H3C官网网络基础知识

一、VRF

VRF(Virtual Routing and Forwarding,虚拟路由和转发)：用来实现不同VPN的路由隔离，每个VRF都有相对独立的路由表和LFIB(Label Forwarding infomation Base,标签转发信息库)，确保VPN数据的独立性和安全性。

RD(Route Distinguisher,路由标识符) ：用来区分不同VPN的相同IPv4地址前缀，从而实现唯一标识网络中的一个站点。

RD为3~21个字符的字符串，路由标识符有三种格式：

16位自治系统号：32位用户自定义数，例如，101：3；

32位IP地址：16位用户自定义数，例如，192.168.122.15：1；

32位自治系统号：16位用户自定义数字，其中的自治系统号最小值为65536,例如：65536：1.

VRF可以与支持多实例的协议(如组播，路由)进行绑定，实现该协议在不同VRF内可以独立运行并相互隔离。例如，在支持OSPF多实例的设备上，为每个OSPF进程绑定一个VRF，通过该OSPF进程学习到的路由只能添加到相应VRF路由表。

二、接口

设备上支持的以太网接口有以下几种：

二层以太网接口：是一种工作在数据链路层的物理接口，可以对接收到的报文进行二层交换转发；

三层以太网接口：是一种工作在网络层的物理接口，可以配置IP地址，可以对接收到的报文进行三层路由转发；

二、三层可切换以太网接口：是一种物理接口，可以工作在二层或三层模式下，作为一个二层以太网接口或三层以太网接口使用。

三层以太网子接口：是一种逻辑接口，工作在网络层，可以配置IP地址，处理三层协议。主要用来实现在三层以太网接口上支持收发VLAN tagged报文。

三、接口对

接口对是在数据链路层对流量进行安全监控的一种技术。

接口对支持工作模式：

反射模式：报文从统一接口收发；

黑洞模式：报文从一个接口接收，处理完后被丢弃；

转发模式；

VLAN ID检查功能：

在Inline转发时，开启此功能后，仅当报文的VLAN ID与会话表项中VLAN ID匹配成功才放行，否则丢弃。

在双机热备组网环境下，当主设备与备设备上报文入接口属于不同VLAN时，必须关闭VLAN ID检查功能，才能使从主设备切换过来的流量或非对称的反向流量匹配备设备上的备份会话，实现安全业务功能的正常运行。

Bypass功能：

开启Bypass功能后，用户流量可以不经过安全业务或者安全设备处理，直接被处理。模式如下：

内部Bypass功能：

用户流量经过安全设备，但不进行安全业务处理；反射、黑洞、转发。

外部Bypass功能：

用户流量不经过安全设备，直接通过PFC设备转发；

本功能仅在接口对处于转发工作模式下支持。分为外部静态或外部自动Bypass功能；

静态外部Bypass功能：用户流量直接通过PFC转发，不经过安全设备处理；

动态外部Bypass功能：在安全设备上将与PFC相连的两个接口加入接口对成员，安全设备通过检查这两个接口的状态，决定自动启用外部Bypass功能，当某个接口状态变为DOWN时，用户流量不经过安全设备，直接通过PFC转发。同时，安全设备会周期性检查成员的接口状态，如果检查到两个接口都处于UP状态，则自动关闭外部Bypass功能，恢复由安全设备处理用户流量。

使用限制和注意事项：

仅支持添加二层或者三层物理接口以及二层聚合接口到反射/黑洞/转发模式的接口对；

使用设备硬件Bypass子卡时，需要配置Bypass功能为内部模式。

外部Bypass功能的支持情况与设备型号有关，请以设备实际情况为准。

四、接口联动组

特性简介

接口联动组功能通过将同一台设备上不同接口加入同一联动组，实现属于同一联动组内各接口的状态相互关联，使得这些接口同时具备或不具备报文的收发能力。

工作原理

当联动组内任一接口的物理状态为down时，联动组内的其它接口均被置为Collaboration-down状态，此时，联动组的状态为Down，联动组内的所有接口都不能收发报文，

当联动组内接口的状态由down变为up时，设备尝试将联动组内其他接口置为UP状态。联动嘛，懂得都懂。默认10s，状态最终将保持一致。

使用限制和注意事项

必须开启Monitor Link协议，接口联动组功能才会生效；

一个接口只能属于一个联动组；

配置接口联动组的设备与其他设备通过多个接口相连时，不要将连接对端的所有接口都加入同一个联动组；否则，该联动组中有一个接口处于down状态时，对端接口都会变为down状态；

请勿将联动组成员接口加入聚合组或冗余组，否则会影响接口组联动功能的正常使用；

链路两端的接口，只有一端接口可以加入联动组。

五、链路聚合

特性简介

以太网链路聚合通过将多条以太网物理链路捆绑在一起形成一条以太网逻辑链路，实现增加链路带宽的目的，同时这些捆绑在一起的链路通过相互动态备份，可以有效地提高链路的可靠性。

聚合组

链路捆绑是通过接口捆绑实现的，多个以太网接口捆绑在一起后形成一个聚合组，而这些被捆绑在一起的以太网接口就被称为该聚合组的成员端口。每个聚合组唯一对应着一个逻辑接口，称为聚合接口。聚合组与聚合接口的编号是相同的，例如聚合组1对应聚合接口1。

聚合组/聚合接口可以分为以下两种类型：

二层聚合组/二层聚合接口：二层聚合组的成员端口全部为二层以太网接口，其对应的聚合接口称为二层聚合接口；

三层聚合组/三层聚合接口：三层聚合组的成员端口全部为三层以太网接口，其对应的聚合接口称为三层聚合接口。

聚合接口的速率和双工模式取决于对应聚合组内的选中端口：聚合接口的速率等于所有选中端口的速率之和，聚合接口的双工模式则与选中端口的双工模式相同。

选中/非选中状态：

聚合组内的成员具有以下两种状态：

选中状态：此状态下的成员端口可以参与数据的转发，处于此状态的成员端口称为"选中端口"；

非选中状态：此状态下的成员端口不能参与数据的转发，处于此状态的成员端口称为"非选中端口"。

操作key

操作key是系统在进行链路聚合时用来表征成员端口聚合能力的一个数值，它是根据成员端口上的一些信息(包括该端口的速率\双工模式等)的组合自动计算生成的，这个信息组合中任何一项的变化都会引起操作key的重新计算，在同一聚合组中，所有的选中端口都必须具有相同的操作key。

属性类配置：

配置项 | 内容

端口隔离 | 端口是否加入隔离组、端口所属的端口隔离组

VLAN配置 | 端口上允许通过的VLAN、端口缺省VLAN，VLAN报文是否带Tag配置

在聚合组中，只有与对应聚合接口的属性类配置完全相同的成员端口才能够成为选中端口。

聚合模式：

链路聚合分为静态聚合和动态聚合两种模式，处于静态聚合模式下的聚合组为静态聚合组，动态聚合模式下的聚合组为动态聚合组。

静态聚合和动态聚合的优点

静态聚合模式：一旦配置好后，端口的转发流量的状态就不会受网络环境的影响，比较稳定。

动态聚合模式：能够根据对端和本端的信息调整端口的转发流量的状态，比较灵活。

使用限制和注意事项：

聚合链路的两端应配置相同的聚合模式；

对于静态聚合模式，用户需要保证在同一链路两端端口的选中/非选中状态的一致性，否则聚合功能无法正常使用；

用户删除聚合接口时，系统将自动删除对应的聚合组，且该聚合组内的所有成员端口将全部离开该聚合组；

在聚合接口上所作的有关属性配置，将被自动同步到对应聚合组内的所有成员端口上，当聚合接口被删除后，这些配置仍将保留在这些成员端口上；

配置了以太网冗余接口、冗余组节点的端口将不能加入三层聚合组；

二层聚合组和三层聚合组都分为静态聚合和动态聚合两种模式；

对于动态聚合模式，聚合链路两端的设备会自动协商同一链路两端的端口在各自聚合组内的选中/非选中状态，用户只需保证本端聚合在一起的端口的对端也同样聚合在一起，聚合功能即可正常使用。

六、安全域

特性简介

安全域是一个逻辑概念，用于管理设备上安全需求相同的多个接口；管理员将安全需求相同的接口进行分类，并划分到不同的安全域，统一应用安全策略，简化配置，方便管理。

管理员创建安全域后，可以给安全域添加多个成员，成员的类型包括：二层物理接口加VLAN、三层物理接口/三层以太网子接口/其它三层逻辑接口。

配置安全域后，设备上各接口的报文转发遵循以下规则：

一个安全域中的接口与一个不属于任何安全域的接口之间的报文，会被丢弃；

属于同一个安全域的各接口之间的报文缺省会被丢弃；

安全域之间的报文由安全策略进行安全检查，并根据检查结果放行或丢弃；若安全策略不存在或不生效，则报文会被丢弃；

非安全域的接口的报文会被丢弃；

目的/源地址为本机报文，缺省会被丢弃，若该报文与安全策略匹配，则由安全策略进行安全检查，并根据检查接口方向或丢弃。

使用限制和注意事项：

同一个三层接口只允许加入一个安全域；

同一个"二层接口和VLAN"的组合只能加入到一个安全域中；

当报文未匹配对应安全域间实例时，若存在any到any的安全域间实例，则匹配any和any安全域间实例，否则直接丢弃报文；

Management和Local安全域之间的报文缺省会被允许；

Management和Loacl安全域之间的报文只能匹配Management和Loacl之间的安全域间实例，不会匹配any到any的安全域间实例。

七、L2TP

特性简介

L2TP(二层隧道协议)通过在公共网络上建立点到点的L2TP隧道，将PPP(点对点)数据帧封装后通过L2TP隧道传输，使得远端用户利用PPP接入公共网络后，能够通过L2TP隧道与企业内部网络通信，访问企业内部网络资源。

L2TP组网中的角色(三个部分)：

远端系统：接入企业内部网络的远端用户和远端分支机构，通常是一个拨号用户的主机或私有网络中的一台设备；

LAC(L2TP访问集中器)：具有PPP和L2TP协议处理能力的设备，通常是一个当地ISP的NAS(网络接入服务器)，主要用于为PPP类型用户提供接入服务；LAC作为L2TP隧道的端点，位于LNS和远端系统之间，用于在LNS和远端系统之间传递报文；它把从远端系统收到的报文按照L2TP协议进行封装并送往LNS，同时也将从LNS收到的报文进行解封装并送往远端系统。

LNS(L2TP网络服务器)：具有PPP和L2TP协议处理能力的设备，通常位于企业内部网络的边缘；LNS作为L2TP隧道的另一侧端点，是LAC通过隧道传输的PPP会话的逻辑终点，L2TP通过在公共网络中建立L2TP隧道，将远端系统的PPP连接由原来的NAS延伸到了企业内部网络的LNS设备。

L2TP隧道模式包括NAS-Initiated、Client-Initiated和LAC-Auto-Initiated三种模式：

NAS-Initiated模式L2TP隧道具有如下特点：

远端系统只需支持PPP协议，不需要支持L2TP；

对远端拨号用户的身份认证与计费即可由LAC代理完成，也可由LNS完成；

Client-Initiated模式L2TP隧道具有如下特点：

L2TP隧道在远端系统和LNS之间建立，具有较高的安全性；

Client-Initiated模式L2TP隧道对远端系统要求较高(远端系统必须是支持L2TP协议的LAC client, 且能够与LNS通信)，拓展性较差；

LAC-Auto-Initiated模式L2TP隧道具有如下特点：

远端系统和LAC之间可以是任何基于IP的连接，不局限于拨号连接；

不需要远端系统上的拨号接入来触发建立L2TP隧道；

L2TP隧道创建成功后立即建立L2TP会话，然后在LAC和LNS之间进行PPP协商，LAC和LNS分别作为PPP客户端和PPP服务器端；

一条L2TP隧道上只承载一个L2TP会话；

LNS为LAC分配企业网内部的IP地址，而不是为远端系统分配；

八、VLAN

特性简介

VLAN(虚拟局域网)技术可以把一个物理LAN划分成多个逻辑的LAN---VLAN，每个VLAN是一个广播域；处于同一VLAN的主机能够直接互通，而处于不同VLAN的主机不能够直接互通。

基于端口划分VLAN

VLAN可以基于端口进行划分，它按照设备端口来定义VLAN成员，将指定端口加入到指定LVAN中之后，端口就可以转发该LVAN的报文；

在某VLAN内，可根据需要配置端口加入Untagged端口列表或Tagged端口列表(即配置端口为Untagged端口或Tagged端口)

端口的链路类型分为三种，在端口加入某VLAN时，对不同链路类型的端口加入的端口列表要求不同：

Access：端口只能发送一个VLAN的报文，发出去的不带VLAN tag,该端口只能加入一个VLAN的Untagged端口列表；

Trunk：端口能发送多个VLAN的报文，发出去的端口缺省VLAN的报文不带VLAN tag, 其他VLAN的报文都必须带VLAN Tag.在端口缺省VLAN中，该端口只能加入Untagged端口列表;在其他VLAN中，该端口只能加入Tagged端口列表。

Hybrid：端口能发送多个VLAN的报文，端口发出去的报文可根据需要配置某个VLAN的报文带VLAN tag，某些VLAN的报文不带VLAN tag。在不同VLAN中，该端口可以根据需要加入Untagged端口列表或Tagged端口列表；

VLAN接口

不同VLAN间的主机不能直接通信，通过设备上的VLAN接口，可以实现VLAN间的三层互通。VLAN接口是一种三层的虚拟接口，它不作为物理实体存在于设备上。每个VLAN对应一个VLAN接口，VLAN接口的IP地址可作为本VLAN内网络设备的网关地址，对需要跨网段的报文进行基于IP地址的三层转发。

使用限制和注意事项

VLAN 1为系统缺省VLAN，用户不能手工创建和删除。

九、MAC

特性简介

MAC(媒体访问控制) 地址表记录了MAC地址与接口的对应关系，以及接口所属的VLAN等信息；设备在转发报文时，根据报文的目的MAC地址查询MAC地址表，如果MAC地址表中包含与报文目的MAC地址对应的表项，则直接通过该表项中的出接口转发该报文；如果MAC地址表中没有包含报文目的MAC地址对应的表项时，设备将采取广播的方式通过对应VLAN内除接收接口外的所有接口转发该报文。

MAC地址表分类

动态MAC地址表项：可以由用户手工配置，也可以由设备通过源MAC地址学习自动生成，用于目的是某个MAC地址的报文从对应接口转发出去，表项有老化时间；手工配置的动态MAC地址表项优先级等于自动生成的MAC地址表项。

静态MAC地址表项：由用户手工配置，用于目的是某个MAC地址的报文从对应接口转发出去，表项不老化；静态MAC地址表项优先级高于自动生成的MAC地址表项；

黑洞MAC地址表项：由用户手工配置，用于丢弃源MAC地址或目的MAC地址为指定MAC地址的报文，表项不老化。

MAC地址表项老化时间

MAC地址表中自动生成的表项并非永远有效，每一条表项都有一个生存周期，这个生存周期被称作老化时间；配置动态MAC地址表项的老化时间后，超过老化时间的动态MAC地址表项会被自动删除，设备将重新进行MAC地址学习，构建新的动态MAC地址表项；如果在到达生存周期前某表项被刷新，则重新计算该表项的老化时间；

用户配置的老化时间过长或者过短，都可能影响设备的运行性能：

如果用户配置的老化时间过长，设备可能会保存许多过时的MAC地址表项，从而耗尽MAC地址表资源，导致设备无法根据网络的变化更新MAC地址表；

如果用户配置的老化时间太短，设备可能会保存许多过时的MAC地址表项，从而耗尽MAC地址表资源，导致设备无法根据网络的变化更新MAC地址表；

如果用户配置的老化时间太短，设备可能会删除有效的MAC地址表项，导致设别广播大量的数据报文，增加网络的负担；

接口MAC地址学习

缺省情况下，MAC地址学习功能处于开始状态；有时为了保证设备的安全，需要关闭MAC地址学习功能。常见的危及设备安全的情况是：非法用户使用大量源MAC地址不同的报文攻击设备，导致设备MAC地址表资源耗尽，照成设备无法根据网络的变化更新MAC地址表。

使用限制和注意事项

配置MAC地址表项时，如果保存配置，设备重启后手工配置的静态MAC地址表项、黑洞MAC地址表项不会丢失，手工配置的动态MAC地址表项会丢失；

十、RDMA+RoCEv2 无损网络完整简介

基础概念分层

RDMA(远程直接内存访问)

传统TCP/IP 传输流程：

应用缓冲区--》内核Socket缓冲区--》网卡--》网络；

两次CPU内存拷贝 + 内核协议栈处理，CPU占用高、延迟高；

RDMA核心优势：

数据直接在两端应用内存搬运，绕过操作系统内核、无CPU拷贝；网卡硬件完成协议封装/解封装，实现微秒级低延迟、极低CPU开销、线速吞吐。

RoCEv2(RDMA over Converged Ethernet v2可路由融合以太网RDMA)

RoCE是把IB RDMA协议封装在以太网上传输的标准，分两代：

RoCEv1：二层协议(EtherType 0x8915)，仅同VLAN互通，不可跨三层路由，大规模数据中心无法使用；

RoCEv2：行业主流标准，UDP/IP封装 IB 报文，UDP目的端口固定4791，支持IPv4/IPv6三层路由，Leaf-spine大型数据中心通用方案

报文封装结构(由外到内)：以太网头--》IP头--》UDP头--》IB传输头(BTH)-->业务载荷；

为什么RoCEv2必须配套无损Lossless以太网

RoCEv2底层基于UDP，无TCP滑动窗口、选择性重传机制，仅支持简单Go-Back-N回退重传：

一旦网络出现丢包，整条流所有后续报文全部重传，0.001%丢包即可让吞吐暴跌，0.01%丢包近乎断流；

因此RoCEv2强制要求：整条传输路径零丢包，也就是无损网络；

无损网络两大核心技术(交换机必备)

PFC基于优先级流量控制(IEEE 802.1Qbb, 链路层防丢)

以太网8个硬件队列(优先级0~7)，RoCE流量单独分配独立高优先级队列(常用6/7)，与普通TCP业务隔离；

交换机端口缓存即将溢出时，仅向发送端发送该优先级Pause暂停帧，只暂停RoCE流量，不影响其他普通业务；

作用：链路缓存溢出前阻断发送，从源头避免端口拥塞丢包，是无损基础保障；

配套能力：PFC死锁检测/预防，防止多流交叉产生流量死锁；

ECN显式拥塞通知(IP层端到端拥塞调控)

PFC只能解决端口缓存溢出丢包，无法缓解全网渐进拥塞；ECN实现提前降速、避免PFC频繁触发；

{ToS Byte}

RFC 2474 DiffServ Bits | RFC 3168 IP ECN Bits

7	6	5	4	3	2	1(ECT)	0(CE)
Diff-	-Serv	Code	Points	(DS-	-CP)	01	10

工作流程：

交换机队列达到ECN阈值时，在RoCE报文IP头部标记CE拥塞位，报文正常转发不丢弃；

接收端收到标记报文，回复CNP拥塞通知报文给发送端RDMA网卡；

发送端硬件自动降低对应QP(队列对)发包速率，平缓疏导拥塞，减少Pause帧触发频率。

标准无损RoCEv2组合方案：PFC(链路不丢包)|ECN(端到端拥塞调速)

RoCEv2完整端到端工作流程：

服务器部署支持RoCEv2的100G/200G RDMA网卡(ConnectX、BlueField等)；
业务数据写入本地内存，RDMA网卡硬件直接抓取内存数据，封装RoCEv2报文；
报文进行交换机RoCE专属优先级队列，交换机开启PFC+ECN无损能力；
三层IP路由转发(RoCEv2独有，RoCEv1不支持)，跨Leaf/Spine、跨子网互通；
对端网卡解封装，数据直接写入远端应用内存，CPU全程无参与；
若路径拥塞，交换机打ECN标记，接收端反馈CNP，发送端硬件自动降速控流；

RoCEv2 是可三层路由、基于以太网的标准化RDMA协议，依托PFC+ECN构建无损零丢包网络，兼顾以太网通用低成本与InfiniBand RDMA超低延迟，零CPU开销性能，是AI、分布式存储、超算集群的主流高速互联方案。

RoCEv2 无损网络结论

组件 | 状态

PFC硬件能力 orchagent完整实现 + Centec lua脚本

ECN ACL匹配 MATCH_ECN 已就绪

PFCWD 检测 TABLE_TYPE_PFCWD 表类型

Buffer/QoS模板设备级 buffers.json.j2/qos.json.j2

SAI接口全栈API已对接

RoCEv2流量识别(UDP 479) 需配置ACL规则

RoCEv2配置

Buffer --- 无损池已就绪

ingress_lossless_pool 25MB dynamic

egress_lossless_pool 27MB dynamic

PG3/PG4绑定 pg_lossless_100000_5m_profile(含xon/xoff/static_th);

Queue 3/4绑定egress_lossless_profile;

PFC --- 优先级3，4 无损√

"pfc_enable"："3,4", // 《== PFC使能

"pfcwd_sw_enable"："3,4", // 《==软watchdog 已开

"pfc_asym"："on" // 《==非对称模式

DSCP==> TC 映射==>RoCEv2 标准就绪

DSCP	TC	PG	Queue	类型
24-31 →	TC3	PG3 lossless	Q3 lossless	RoCEv2 数据
32-39 →	TC4	PG4 lossless	Q4 lossless	可扩无损
48-55 →	TC6	PG0 lossy	Q6 lossy	CNP 控制包

WRED + ECN === 无损队列已开

"WRED_LOSSLESS"：{

"ecn"："ecn_all", // 《== ECN 全色标记

"green_min_threshold"："1MB", // 《== ECN慢启动阈值

"green_max_threshold"：8MB // 《== ECN满标记阈值

}

Queue 3 和 4 绑定 WRED_LOSSLESS.

RoCEv2流量识别(ACL规则)

RoCEv2 = UDP + 目标端口4791；用ACL标记DSCP确保进无损队列：

步骤 1: 创建 L3 ACL 表（绑定到端口）

sudo config acl add table ROCE_TABLE L3 -p Ethernet0 -s ingress

步骤 2: RoCEv2 数据流量 → DSCP 26 → TC3 (无损)

sudo config acl add rule ROCE_DATA ROCE_TABLE 100

-p 17 -dp 4791 -ds 26 -pa forward

步骤 3: CNP 控制流量 → DSCP 48 → TC6 (lossy)

sudo config acl add rule ROCE_CNP ROCE_TABLE 200

-p 17 -dp 4791 --dscp 48 -pa forward

步骤 4: 批量应用到所有端口

for port in (seq031);dosudoconfigacladdtableROCETABLEETH(seq 0 31); do sudo config acl add table ROCE_TABLE_ETH(seq031);dosudoconfigacladdtableROCETABLEETH{port} L3

-p Ethernetport−singresssudoconfigacladdruleRDATAETH{port} -s ingress sudo config acl add rule R_DATA_ETHport−singresssudoconfigacladdruleRDATAETH{port} ROCE_TABLE_ETHport100 −p17−dp4791−ds26−paforwardsudoconfigacladdruleRCNPETH{port} 100 \ -p 17 -dp 4791 -ds 26 -pa forward sudo config acl add rule R_CNP_ETHport100 −p17−dp4791−ds26−paforwardsudoconfigacladdruleRCNPETH{port} ROCE_TABLE_ETH${port} 200

-p 17 -dp 4791 --dscp 48 -pa forward

done

注意：如果上层应用/网卡已正确设置了 DSCP 26（数据）和 DSCP 48（CNP），则无需 ACL 标记，模板中的 DSCP_TO_TC_MAP 已自动路由到正确的 lossless/lossy 队列。ACL 仅作为兜底保障

十一、DNS

特性简介

DNS(Domain Name System域名系统) 是一种用于TCP/IP应用程序的分布式数据库，提供域名与IP地址之间的转换；

设备作为DNS客户端，当用户在设备上进行某些应用时，可以之间使用便于记忆的、有意义的域名，通过域名系统将域名解析为正确的IP地址；

域名解析分为以下两种：

静态域名解析

手工建立域名和IP地址之间的对应关系；当用户使用域名进行某些应用时，系统查找静态域名解析表，从中获取指定域名对应的IP地址；

动态域名解析

使用动态域名解析时，需要手工指定域名服务器的IP地址；

动态域名解析通过向域名服务器查询域名和IP地址之间的对应关系来实现将域名解析为IP地址；

动态域名解析支持域名后缀列表功能；

静态域名解析和动态域名解析可以配合使用；在解析域名时，首先采用静态域名解析(查找静态域名解析表)，如果静态域名解析不成功，再采用动态域名解析。由于动态域名解析需要域名服务器的配合，会花费一定的时间，因而可以将一些常用的域名放入静态域名解析表中，这样可以大大提高域名解析效率；

DDNS

DNS无法动态更新域名和IP地址的对应关系，故DDNS(Dynamic Domain Name Syetem动态域名系统)用来动态更新DNS服务器上域名和IP地址之间的对应关系，保证通过域名解析到正确的IP地址；

DNS代理

在DNS客户端和DNS服务其之间转发DNS请求和应答报文；

十二、IP

特性简介

IP地址分类和表示

IP地址是每个连接到IPv4网络上的设备的唯一标识；IP地址长度为32比特，通常采用点分十进制方式表示，即每个IP地址被表示为以小数点隔开的4个十进制整数，每个整数对应一个字节，如10.1.1.1;

IP地址由两部分组成：

网络号码字段(Net-id)：用于区分不同的网络；网络号码字段的前几位称为类别字段(又称为类别比特)，用来区分IP地址的类型；

主机号码字段(Host-id)：用于区分一个网络内的不同主机；

IP地址分为5类，每一类地址范围如下表所示，目标大量使用的IP地址属于A,B,C三类；

地址类型	地址范围	说明
A	0.0.0.0～127.255.255.255	IP地址0.0.0.0仅用于主机在系统启动时进行临时通信，并且永远不是有效目的地址127.0.0.0网段的地址都保留作环回测试，发送到这个地址的分组不会输出到链路上，它们被当作输入分组在内部进行处理
B	128.0.0.0～191.255.255.255	-
C	192.0.0.0～223.255.255.255	-
D	224.0.0.0～239.255.255.255	组播地址
E	240.0.0.0～255.255.255.255	255.255.255.255用于广播地址，其它地址保留今后使用

子网和掩码

子网掩码是一个长度为32比特的数字，有一串连续的"1"和一串连续的"0"组成；"1"对应于网络号码字段和子网号码字段，而"0"对应于主机号码字段；

一个B类地址可以容纳(2^16-2)个主机号码

IP地址的配置方式

接口获取IP地址有以下几种方式：

通过手动指定IP地址；通过DHCP分配得到IP地址；

接口MTU

当设备收到一个报文后，如果发现报文长度比转发接口的MTU值大，则进行下列处理：

如果报文不允许分片，则将报文丢弃；如果报文运行分片，则将报文进行分片转发；

十三、ARP

特性简介

地址解析协议：ARP(Address Resolution Protocol)是将IP地址解析为以太网MAC地址(物理)的协议；ARP表项分为两种：动态|静态ARP表项；

IP-MAC绑定

为增强设备的安全性，系统提供了IP-MAC绑定功能，即在设备上建立IP地址与MAC地址的对应关系即IP-MAC绑定表项，并基于该表项实现报文的过滤控制；该功能适用于防御主机仿冒攻击，可有效过滤攻击者通过仿冒合法用户主机的IP地址或者MAC地址向设备发送的伪造IP报文；

动态ARP表项

由ARP协议通过ARP报文自动生成和维护，可以被老化，可以被新的ARP报文更新，可以被静态ARP报文更新；当到达老化时间、接口状态down时，系统会删除相应的动态ARP表项；

动态ARP表项可以固化为静态ARP表项，但被固化后无法再恢复为动态ARP表项；

为了防止部分接口下的用户占用过多的ARP资源，可以通过设置接口学习动态ARP表项的最大个数来进行限制；

静态ARP表项

通过手工创建或由动态ARP表项固化而来，不会被老化，不会被动态ARP表项覆盖；

IP-MAC绑定表项

IP-MAC绑定表项可以通过手工配置和批量生成两种方式进行创建

· 手工配置绑定表项

· 批量生成绑定表项是指通过指定接口下的ARP表项生成对应的IP-MAC绑定表项

配置IP-MAC绑定表项可以增加通过通信的安全性；设备收到报文后，提取报文头中的源IP地址和源MAC地址,并与IP-MAC绑定表项进行匹配。

十四、IPv6

特性简介

IPv6(互联网协议版本6)是网络层协议的第二代标准协议，也被称为IPng(下一代互联网协议)，它是IETF(互联网工程任务组)设计的一套规范，是IPv4的升级版本

IPv6和IPv4之间最显著的区别为：地址的长度是32比特增加到128比特；

IPv6地址表示方式

IPv6地址被表示为以冒号(:)分隔的一连串16比特的十六进制数，8组；

比如：

2001:0000:130F:0000:0000:09C0:876A:130B

为了简化IPv6地址的表示，对于IPv6地址中的"0"可以有下面处理方式：

· 每组中的前导"0"可以省略，即 2001:0:130f:0:0:9C0:876A:130B

· 地址中包含一组或连续多组为0,可用"::"代替,即 2001:0:130F::9C0:876A:130B

IPv6地址由两部分组成：地址前缀与接口标识

地址前缀表示方式为：IPv6地址/前缀长度；

IPv6地址分类

IPv6主要有三种类型的地址：单播地址、组播地址、任播地址

地址类型	格式前缀（二进制）	IPv6前缀标识	简介
单播地址	未指定地址	00...0 (128 bits)	::/128	不能分配给任何节点。在节点获得有效的IPv6地址之前，可在发送的IPv6报文的源地址字段填入该地址，但不能作为IPv6报文中的目的地址
环回地址	00...1 (128 bits)	::1/128	不能分配给任何物理接口。它的作用与在IPv4中的环回地址相同，即节点用来给自己发送IPv6报文
链路本地地址	1111111010	FE80::/10	用于邻居发现协议和无状态自动配置中链路本地上节点之间的通信。使用链路本地地址作为源或目的地址的数据报文不会被转发到其他链路上
全球单播地址	其他形式	-	等同于IPv4公网地址，提供给网络服务提供商。这种类型的地址允许路由前缀的聚合，从而限制了全球路由表项的数量
组播地址	11111111	FF00::/8	-
任播地址	从单播地址空间中进行分配，使用单播地址的格式	-

十五、ND

特点协议

IPv6邻居发现(Neighbor Discovery)协议使用五种类型的ICMPv6消息，实现地址解析、验证邻居是否可达、重复地址检测、路由器发现/前缀发现、地址自动配置和重定向等功能；

ICMPv6消息	类型号	作用
邻居请求消息NS（Neighbor Solicitation）	135	获取邻居的链路层地址
验证邻居是否可达
进行重复地址检测
邻居通告消息NA（Neighbor Advertisement）	136	对NS消息进行响应
节点在链路层变化时主动发送NA消息，向邻居节点通告本节点的变化信息
路由器请求消息RS（Router Solicitation）	133	节点启动后，通过RS消息向路由器发出请求，请求前缀和其他配置信息，用于节点的自动配置
路由器通告消息RA（Router Advertisement）	134	对RS消息进行响应
在没有抑制RA消息发布的条件下，路由器会周期性地发布RA消息，其中包括前缀信息选项和一些标志位的信息
重定向消息（Redirect）	137	当满足一定的条件时，缺省网关通过向源主机发送重定向消息，使主机重新选择正确的下一跳地址进行后续报文的发送

邻居表项

邻居表项保存的是设备在链路范围内的邻居信息，设备邻居表项可以通过邻居请求消息NS及邻居通过消息NA来动态创建，也可以通过手工配置来静态创建；

静态邻居表项有两种配置方式：

配置本节点的三层接口相连的邻居节点的IPv6地址和链路层地址；

配置本节点VLAN中的二层端口相连的邻居节点的IPv6地址和链路层地址；

对于VLAN接口，可以采用上述两种方式来配置静态邻居表项：

采用第一种方式配置静态邻居表项后，设备还需要解析该VLAN下的二层端口信息；

采用第二种方式配置静态邻居表项后，需要保证该二层端口属于指定的VLAN，且该VLAN已经创建了VLAN接口；

十六、GRE

特性简介

GRE(Generic Routing Encapsulation通用路由封装)协议用来对任意一种网络层协议(如IPv6)的数据报文进行封装，是这些被封装的数据报文能够在另一个网络(如IPv4)中传输；封装前后数据报文的网络层协议可以相同，也可以不同；封装后的数据报文在网络中传输的路径，称为GRE隧道。

封装格式

GRE封装后的报文如下几个部分：

净荷数据(Payload packet)：需要封装和传输的数据报文；

GRE头：采用GRE协议对净荷数据进行封装索添加的报文头，包括封装层数、版本、乘客协议类型、校验和信息、Key信息等内容；

传输协议的报文头(Delivery header)：在GRE报文上添加的报文头，以便传输协议对GRE报文进行转发处理；传输协议是指负责转发GRE报文的网络层协议；

工作原理

IPv4/IPv6协议报文通过GRE隧道进行传输的过程：

1）GRE隧道源端设备收到IPv4/IPv6协议报文后，将该报文发给相应的Tunnel接口；

2）GRE隧道模式的Tunnel接口收到此报文后，先在报文前封装上GRE头，再封装上传输协议头；传输协议头中的源地址为隧道的源端地址，目的地址为隧道的目的端地址；

3）隧道源端设备将封装后的IPv4/IPv6协议报文通过GRE隧道的实际物理接口转发出去；

4）封装后的IPv4/IPv6协议报文通过GRE隧道到达隧道的目的端设备后，由于报文的目的地是本设备，故将此报文交过GRE协议进行解封装处理；

5）GRE协议先剥离掉此报文的传输协议头，再对报文进行GRE Key验证、校验和验证、报文序列号检查等处理，处理通过后再剥离掉报文的GRE头，将报文交给相应的载荷协议进行后续的转发处理；

保活机制

Keepalive功能用来对GRE隧道状态进行监控，若本端设备在按照用户设置的发送周期和最大发送次数向对端设备发送Keepalive报文后仍然没有收到对端的回应，则把本端Tunnel接口的状态置为down.如果Tunnel接口为down状态时，收到对端回复的Keepalive确保报文，则Tunnel接口的状态将转换为up，否则保持down状态；无论是否开启Keepalive功能，隧道一端收到Keepalive报文，必须向对端发送应答报文；

十七、IPsec

特性简介

IPsec(IP Security,IP安全)是IETF制定的三层隧道加密协议，是一种传统的实现三层VPN(虚拟专用网络)的安全技术；IPsec通过在特定通信方之间(如两个安全网关之间)建立"通道"，来保护通信访之间传输的用户数据，该通道通常称为IPsec隧道；

IPsec协议为IP层上的网络数据安全提供了一整套安全体系结构，包括安全协议AH(认证头)和ESP(封装安全载荷)、IKE(互联网密钥交换)以及用于网络认证及加密的一些算法等；

安全协议

IPsec包括AH和ESP两种安全协议，定义了对IP报文的封装格式以及可提供的安全服务；

AH协议定义了AH头在IP报文中的封装格式；可提供数据来源认证、数据完整性校验和抗重放功能，能保护报文免受篡改，但不能防止报文被窃听，适合用于传输非机密数据；

ESP协议定义了ESP头和ESP尾在IP报文中的封装格式；可提供数据加密、数据来源认证、数据完整性校验和抗重放功能；且AH提供的认证服务强于ESP；

封装模式

IPsec支持两种封装模式：

传输模式：该模式下的安全协议主要用于保护上层协议报文；

隧道模式：该模式下的安全协议用于保护整个IP数据包；

认证算法

IPsec使用的认证算法主要是通过杂凑函数实现的；杂凑函数是一种能够接受任意长度的消息输入，并产生固定长度输出的算法，该算法的输出称为消息摘要；IPsec对等体双方都会计算一个摘要，接收方将发送方的摘要与本地的摘要进行比较，如果二者相同，则表示收到的IPsec报文是完整未经篡改的，以及发送方身份合法；

IPsec使用基于HMAC(hash-based Message Authentication Code基于散列的消息鉴别码)的认证算法和SM3认证算法；HMAC认证算法包括HMAC-MD5、HMAC-SHA；

加密算法

IPsec使用的加密算法属于对称密钥系统；

DES：使用56比特的密钥对一个64比特的明文块进行加密；

3DES：使用三个56比特(共168比特)的密钥对明文块进行加密；

AES：使用128比特、192比特或256比特的密钥对明文块进行加密；

SM：使用128比特的密钥对明文块进行加密；

这四个加密算法的安全性由高到低依次是：AES/SM、3DES、DE3；

IPsec SA

安全联盟(Security Association)是IPsec对等体间对某些要素的约定；

IPsec SA是单向的，在两个对等体之间的双向通信，最少需要两个IPsec SA来分别对两个方向的数据流进行安全保护；

IPsec SA由一个三元组来唯一标识，这个三元组包括SPI(Security Parameter Index安全参数索引)、目的IP地址和安全协议号，其中,SPI是用于标识SA的一个32比特的数值，它在AH和ESP头中传输；

IKE协商

IKE为IPsec协商建立SA，并把建立的参数交给IPsec，IPsec使用IKE建立的SA对IP报文加密或认证处理；

十八、ADVPN

特性简介

ADVPN(自动发现虚拟专用网络)是一种基于VAM(VPN地址管理)协议的动态VPN技术；VAM协议负责收集、维护和分发动态变化的公网地址等信息，采用Client/Server模型；

十九、SSL VPN

特性简介

SSL VPN是以SSL(安全套接字层)为基础VPN(虚拟专用网络)技术；SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，能够为应用层之间的通信建立安全连接；

SSL VPN典型组网：网关模式和单臂模式；

二十、策略路由

特性简介

策略路由是一种依据用户制定的策略进行路由转发的机制，可以满足一定条件(ACL规则、报文长度、服务对象组、应用组)的报文，执行指定的操作(设置报文转发的下一跳、缺省下一跳、出接口和缺省出接口)；

二十一、OSPF

特性简介

OSPF是一种基于链路状态的内部网关协议，其协议报文之间封装为IP报文，协议号为89；OSPF支持各种规模的网络，最多可支持几百台路由器。

二十二、BGP

特性简介

BGP(边界网关协议)是一种既可以用于不同AS(自治系统)之间，又可以用于同一AS内部的动态路由协议；

当BGP运行于同一AS内部时，被称为IBGP；当BGP运行于不同AS之间时，称为EBGP；AS是拥有同一选路策略，属于同一技术管理部门发一组路由器。

当前使用的BGP版本是BGP-4；BGP-4作为Internet外部路由协议标准，被ISP(互联网服务提供商)广泛应用；

二十三、RIP

特性简介

RIP(路由信息协议)是一种较为简单的内部网关协议(IGP)，主要用于规模较小的网络中，比如校园网等地区性网络；

使用限制和注意事项

在多RIP进程情况下，不允许配置通告所有网段功能；

如果接口上配置RIP版本，以接口配置的为准；如果接口没有进行RIP版本配置，接口运行的RIP版本将以全局配置的版本为准；

二十四、IP组播路由

特性简介

只有开启了IP组播路由功能，其它三层组播功能(包括IGMP和PIM等)才能生效

IP组播路由中有以下两种表：

每个组播路由协议都有一个协议自身的路由表，如PIM路由表；

每组播路由协议的组播路由信息经过综合形成一个总的组播路由表，该表中包含了由一或多种组播路由协议生成的组播路由；

二十五、PIM

特性简介

PIM(Protocol Independent Multicast, 协议无关组播)协议利用单播静态路由或者任意单播路由协议所生成的单播路由表为IP组播提供路由；组播路由与所采用的单播路由协议无关，只要能够通过单播路由协议产生相应的组播表项即可

PIM协议包括以下三种实现模式

PIM-DM(Dense Mode密集模式)：通常适用于组播组成员相对比较密集的小型网络；

PIM-SM(Sparse Mode稀疏模式)：通常适用于组播组成员分布相对分散、范围较广的大中型网络；

PIM-SSM(Source-Specififc Multicast指定源组播)：由于PIM-SSM是通过PIM-SM的部分子集功能实现的，因此在配置PIM-SSM之前应先使能PIM-SM；

二十六、IGMP

特性简介

互联网组管理协议用于在三层设备和其直连网段中的用户主机之间建立和维护组播组成员关系；

IGMP有三个版本：

IGMPv1：基于查询和响应机制来完成对组播组成员的管理；

IGMPv2：增加了查询器选举机制和离开组播组机制；

IGMPv3：增强了主机的控制能力，并增强了查询和报告报文的功能；

在接口上开启了IGMP功能后，该接口将具备建立和维护组播组成员关系的能力

二十七、DHCP

特性简介

动态主机配置协议用来为网络设备动态地分配IP地址等网络配置参数；

DHCP采用客户端/服务器通信模式，由客户端向服务器提出请求分配网络配置参数的申请，服务器返回为客户端分配的IP地址等配置信息，以实现IP地址等信息的动态配置；

二十八、HTTP/HTTPS

HTTP登录方式：超文本传输协议用来在Internet上传递Web页面信息1.0|1.1；

HTTPS登录方式：超文本传输协议的安全版本是支持SSL协议的HTTP协议

二十九、SSH

特性简介

SSH是Secure Shell(安全外壳)的简称，是一种在不安全的网络环境中，通过加密机制和认证机制，实现安全的远程访问以及文件传输等业务的网络安全协议

SSH协议采用了典型的客户端/服务器模式，并基于TCP协议建立用于保护数据传输的会话通道；

本设备可作为SSH服务器，为SSH客户端提供以下几种应用：

Stelnet：全称为Secure Telnet,可提供安全可靠的网络终端访问服务；

SFTP：全称为Secure FTP，基于SSH2，可提供安全可靠的网络文件传输服务；

SCP：全称为Secure Copy,基于SSH2，可提供安全的文件复制功能；

三十、NTP

特性简介

网络时间协议可以用来在分布式时间服务器和客户端之间进行时间同步，使网络内所有设备的时间保持一致，从而使设备能够提供基于统一时间的多种应用

NTP通过时钟层数来定义时钟的准确度，时间层数的取值范围为1~15，取值越小，时钟准确度越高；

使用限制和注意事项

配置本地时钟作为参考时钟时，如果本地设备的时钟不正确，则会导致网络中设备的时间错误；在执行本配置时，建议先调整本地系统时间；

三十一、FTP

特性简介

FTP用于在FTP服务器和FTP客户端之间传输文件，是IP网络上传输文件的通用协议；本设备可作为FTP服务器，使用20端口传输数据，使用21端口传输控制消息；

三十二、Telnet

特性简介

设备可以开启Telnet服务器功能，以便用户能够通信Telnet登录到设备进行远程管理和监控；

通过引用ACL(访问控制列表)可以对访问设备的登录用户进行控制：

当未引用ACL、引用ACL不存在或者引用ACL为空时，允许所有登录用户访问设备；

当引用的ACL非空时，则只有ACL中permit的用户才能访问设备，其它用户不允许访问设备，可以避免非法用户通过Telnet访问设备；

使用限制和注意事项

开启Telnet服务器功能后，还需要对认证方式、用户角色及公共属性进行相应的配置，才能保证通过Telnet方式正常登录到设备；

三十三、无线

设备提供无线接入服务，使终端用户通过设备接入无线网络，并同时对接入的用户进行管理

参数	说明
SSID	表示无线服务的SSID
VLAN接口	表示无线服务使用的VLAN接口
接入密码	表示接入无线服务的密码
隐藏SSID	开启本功能后，无线网络的名称将被隐藏，无线客户端连接时需手动加入网络
二层隔离	开启本功能后，无线客户端无法在二层网络内直接通信
本地认证	设备对请求接入无线网络的客户端进行身份认证
Portal Web服务器	表示用于认证接入客户端身份的Portal Web服务器
ISP域	表示请求接入无线网络的客户端所属的ISP域

三十四、4G

特性简介

4G功能用于使设备接入4G网络

设备使用固定的Cellular接口对4G功能进行管理，Cellular接口可以派生出工作在协议模式下的Eth-channel接口，Eth-channel接口链路层协议为以太网，支持IP协议；Eth-channel接口通过DHCP协议获取IP地址；

选择Cellular接口后，设备将在该接口下自动创建一个编号为0的Eth-channel接口，并将Eth-channel接口加入到编号为1的拨号访问组中，允许所有IPv4报文访问。Eth-channel接口默认通过DHCP协议获取IP地址。Eth-channel接口下默认使能传统DDR功能。
配置对端拨号串后，设备将同时开启自动拨号功能。自动拨号是指在设备启动后，DDR将自动尝试拨号连接对端，无需通过数据报文进行触发。
配置呼叫间隔后，DDR将每隔指定时间间隔后自动尝试拨号一次，直至连接建立。
完成上述配置后，需要单击<应用配置>按钮激活。

关于USB 4G Modem的使用限制

· USB 4G Modem的支持情况与设备型号有关，请以设备实际情况为准。

· 在配置4G功能之前，需要用户在设备上安装USB 4G Modem模块。

· USB 4G Modem模块是插到设备的USB接口上的，如果关闭USB接口，则USB 4G Modem模块的功能不可用。

· 在USB 4G Modem传输数据的过程中，请不要强行将其拔出。在拔出USB 4G Modem之前，建议先关闭USB 4G Modem功能。

· USB 4G Modem模块支持热插拔。

· Cellular接口下配置的参数在USB 4G Modem模块被拔出后，可以继续保存。