華為學習文檔資料

snmp-server community pubic ro
snmp-server community private ro
snmp-server 交換器的標識號，可通過命令查到。
snmp-server 管理平台的IP
3550等系列密碼破除＞＞＞＞
開機按交換器前面板的mode鍵
輸入flash_init進行初始化
輸入del flash:config.text刪除配置
輸入boot重新啟動,可破除密碼＞＞
自己做的NAT，調試成功了，呵呵
[Router]dis nat trans
**Total 3 NAT items, 3 in hash list, 0 in extended-list
Pro GlobalAddr GlobalPort InsideAddr InsidePort DestAddr DestPort
6 192.168.34.50 12420 10.0.0.2 1473 207.46.108.89 1863
17 192.168.34.50 12432 10.0.0.2 4004 202.104.129.2528000
6 192.168.34.50 12464 10.0.0.2 1468 207.46.107.99 1863
[Router]dis cur
Now create configuration...
Current configuration
!
version 1.74
local-user cisco service-type ppp password simple cisco
local-user lover service-type administrator password simple cisco
nat address-group 192.168.34.50 192.168.34.51 1
firewall enable
aaa-enable
aaa accounting-scheme optional //如果從AAA伺服器過來的得不到正確的計費應答時，仍然讓使用者訪問網路。
!
acl 10 match-order config
rule normal permit source any
!
interface Aux0
async mode flow
link-protocol ppp
!
interface Ethernet0
ip address 192.168.34.51 255.255.255.0
nat outbound 10 address-group 1
!
interface Ethernet1
ip address 10.0.0.1 255.0.0.0
!
interface Serial0
link-protocol ppp
!
interface Serial1
link-protocol ppp
!
quit
ip route-static 0.0.0.0 0.0.0.0 192.168.34.1 preference 60
!
return
華為的學習手冊筆記
interface 進介面或子介面，undo interface s0.1 刪除子介面
reset interface counters interface
預設情況下，乙太網路的IP包是支援enternet 2型，
speed 10/100/negotiation
deplex full/half
bandrate /bandwidth思科 同步介面是預設64000bps，非同步為9600bps
clock
預設情況下，serial口是Dceclk,即向DTE提供時鐘，恢複為Dteclk1/2/3/4
flow control(software/handware/none)[inbond/outbond]
loopback在介面上設內自環
interface s0#loopback
physical-mode(sync/async) 設定同非同步串口
controler e1
channel set (邏輯介面編號1-30) timesolt range (0-31)
(router-e1-0)frame-format crc4/no crc4設定ce1/pri 四位冗餘較驗位
router-e1-0#loopback在邏輯口上設對內自環及對外的回波，協議狀態為down屬於正常，用於檢測鏈路及介面的狀態
ppp MP
link-protocal ppp
ppp authenatication-mode (chap/pap)
ppp pap password xxxx
display pppoe-client session
isdn :
display isdn active-channel
PPTP是拔廣域網路廣口。
L2TP enable //在路由器上啟用VPDN
allow l2tp virtal-templete (templete number) [remote remote-name]
display l2tp session/tunnel
華為支援L2TP，思科支援PPTP、L2TP，
L2TP match-order {dnis-domain} //先根據被叫號碼進行L2TP組尋找，然後再根據網域名稱組進行尋找
l2tp session-limit 1000 設定最大的會話數
l2tp-group group-number 用來建立l2tP組。
例：
router# l2tp-group 1
router-l2tp1# mandatory-chap //強制用chap 來驗證client身份。
start l2tp{ip /對端ip}{domain-name}{dnis/電話號碼}{fullname/全名}
tunnel authentication 啟用l2tp隧道驗證
tunnel password
tunnel name
gre
interface tunnel 0
router-tunnel0 source ip
router-tunnel0 destination ip
gre checksum //加校正核 允許校正核。預設關
gre key key-number
gre sequence-datagrams 資料報需要序號同步
IP網路層
ip address ppp-negotiate命令用來允許ip協商，當在對端路由器上配置remote IP，使得本端得到ip,g 一般用在ISP提供動態IP。
ip address unnummbered
封裝了PPP，HDLC，FRAMERELAY，tunnel的口可以借其他以太口的IP
example :interface s0
ip add unnumbered
interface s1
ip add ppp-negotiate
用來配置可以用借其他的介面的IP。封裝了PPP，HDLC，FRAMERELAY，SLIPC以及tunnel連接埠
router-s0# remote address 10.0.0.1給對端配置IP
router-e0# vlan-type dot1q vid 1 指定連接埠加入VLAN　1
dhcp enable
dhcp server ip-pool pool-name
dhcp server forbidden-ip low-ip high-ip
network 192.168.1.0 255.255.255.0 dhpc位址集區0的地址間
gateway-list　網關
dns-list 　　DNS的設定
domain-name mydomainname.com 表示分配給用戶端的尾碼網域名稱
dis dhcp server static
display dhcp server expired 顯示未用的IP
display dhcp server ip-in-use 顯示已用的IP
disp dhcp server tree
reset dhcp
router-dhcp0# domain-name mydomain.com.cn
把ip與mac進行綁定。
　　　　　　# static-bind ip-address 10.1.1.1 mask 255.255.255.0
# static-bind mac-address 00-00-0e-3f-03-05
router acl 101
router-acl-1#rule permit source
interface e0# nat outbound 101 interface
或者：
nat address-group x.x.x.x-x.x.x.x abc
interface s0# nat outbound 101 address-group abc
增加存取控制清單與介面的關聯。
Interface e0
做基於連接埠的PAT，把內網的IP關聯到外網IP的一個連接埠上面＞＞＞＞＞＞＞
[Router-Serial0]nat server global 192.168.0.4 inside 10.0.0.2 ftp tcp
userlog nat(flow-begin) (acl編號)
預設時關閉的，可以開啟日誌
info-center enable
info-center console　向控制口送
userlog nat
info morinitor
info syslog
static-route reference 60　預設的優先順序為60
vpdn（虛擬私人拔號網）
中小型企業，利用PSTN，ISDN，拔號入網，為隨處工作人員，提供接入服務。VPDN隧道協議分為PPTP，L2F，L2TP。
LAC：L2TP　ACCESS　CONCENTRATOR　 // L2TP訪問集中器。
LNS：L2TP　NETWORK　SERVER　 // L2TP網路伺服器。
L2TP排故的步驟:
1、 檢查LAC與LNS的互連性
2、 檢查VPDN使用者能否通過LAC端的驗證
3、 檢查LAC端是否發起L2TP隧道串連
4、 檢查LNS是否接收到串連
5、 檢查LNS端的使用者路由資訊。
ospf
幾種類型：
Router-LSA 由每個路由器產生，描述了路由器的鏈路狀態和花費，傳遞到整個地區 type=1
Network-LSA，由DR產生，描述了本網段的鏈路狀態，傳遞到整個地區 type=2
Net-Summary-LSA，由ABR產生，描述了到地區內某一網段的路由，傳遞到相關地區 type=3
Asbr-Summary-LSA，由ABR產生，描述了到ASBR的路由，傳遞到相關地區 type=4
AS-External-LSA，由ASBR產生，描述了到AS外部的路由，傳遞到整個AS（STUB地區除外） type=5
樹型結構，不會產生環路。
只有在廣播和NBMA時要選舉DR，BDR，其它的時候不需要。
import-route protocal (cost|type|tag|route-policy ) 目前direct ,static,rip,is-is, bgp
abr-summary ip-add mask mask-ip area id　　　定義彙總網段，預設情況下，不對其匯總彙總,而且只有在ABR上進行其匯總。
vlink-peer router-id {hello|...}在兩台ABR之間指定
stub區的配置：
stub{no-summary}
如果某個區被規劃成stub地區，所有區內的路由器都要配，no-summary參數所，在abr上地區間的summary 第三種類型通告將被過濾，路由進一步減少。
　default-cost 　value 用於stub 區，在abr上配置，指發送到stub區預設的路由開銷費用。
stub地區內不能有aSBr,不能用import-route重分發路由。
　ospf network-type (broadcast|nbma|p2mp|p2p)
當鏈路層是PPP，HDLC封裝時，用P2P，frame-relay\x.25時，是nbma,點到多點時，要修改為p2tp.
debuging ospf{event|packet[ack|dd|hello|request|update]|isa|spf}
default import-route cost　　　引入外部路由的預設值
default import-route type 1/2 類似於CISCO　e1/e2,
dis ospf area/error/database/
display ospf ase　外部路由顯示
dis ospf interface
copy xmodem: flash:c3500
　
網路儲存與小型機與網路裝置是我今後的發展目標。
HP，EMC，IBM，VERITAS，
dns：外裝置，與伺服器直接
nas:與伺服器獨立有IP，但擴充幾台後，檔案系統不能直接相連，
sun：光纖FC+SUN，速度快，以資料存放區為中心，面向網路的儲存結構，採用可擴充的網路拓撲結構串連伺服器和存放裝置，並將資料的儲存和管理集中在相對 獨立的專用網路中，面向伺服器提供資料存放區服務。
ip sun新技術，把NAS的IP與SUN的FC，10公裡異地備份。
iSICI：是一種在INTERNET協議網路上，是乙太網路上進行資料區塊(BLOCK)傳輸的標準，是一個供硬體裝置使用的可以在IP協議上層啟動並執行SCSI指令集，它可以實現在IP網路上運行SCSI協議，使其能夠在乙太網路上進行路由選擇。
ILM(imformation lifecycle Management)生命週期管理,即對資訊的產生，使用到消亡這樣的一個完整的生命過程進行有效管理 ，使用不同成本的儲存空間來儲存不同類型的資訊。HP，IBM，VERITAS提出 了自己的ILM。
中小型企業smb ，SUN，EMC
線路保證 1，主從備份：如廣域網路通過拔號線來做備份，負載分擔：用幾條鏈路做CHANNAL GROUP
地區劃分
身分識別驗證：路由器有4種 telnet\ consal\snmp\modem 遠程配置
存取控制:分級保護，不能層級的使用者，擁有不同的操作許可權
五元素是指：源IP，目標IP，協議號，原連接埠號碼，目標連接埠號碼
資訊隱藏：NAT
資料加密和防偽：技術：資料加密，以防止傳輸不可避免地被偵聽
防偽：數位簽章，報文在傳輸過程中被擷取，修改，再傳，接受端進行識別，丟棄被修改的部分。
IPSEC
Ip　路由策略與引入
作用：
1， 過濾路由資訊的手段，
2， 發布路由資訊時只發送部分資訊
3， 接收路由資訊時只接收部分資訊
4， 進行路由引入時引入滿足特定的條件的資訊支援等值路由
5， 設定路由協議引入的路由屬性
和策略相關的五種過濾器
路由策略(routing policy)
訪問列表(access_list)
首碼列表（prefix-list）
一個prefix-list由列表名標識可能分為幾個部分，由序號指定這幾個部分的匹配順序，在每個部分中，使用者可以獨立指定一個網路的首碼形式的匹配範圍。在匹配過程中，不同的序列的各個部分之間的關係是或。路由資訊集資匹配各個部分，通過其中的某一部分，就意味著通過該prefix-list的過濾。
自治系統路徑訪問列表（aspath-list）
　　僅用於BGP。
團體屬性列表（community-list）
網路中存在的幾種攻擊：
報文分析
IP地址欺騙
連接埠掃描
拒絕服務
分散式阻斷服務 distribute deny of service (DDOS)
應用程式層攻擊：如木馬等
AAA 驗證，受權，記帳，它是基於使用者名稱和密碼的，而包過濾的防火牆ACL是基於IP的特徵的
主要用於使用者拔號，進行驗證，受權，記費
IPSEC/IKE
IPSEC：(IP SECURITY)，是一組開放的協議的總稱，特定的通訊方之間在IP層通過加密與資料來源驗證，以保證資料包在INTERNET網上傳輸時的私人性，完整性和真實性。通過AH，ESP這兩個安全性通訊協定來實現。
IKE：internat 金鑰交換協議，用於通訊雙方協商和建立安全聯盟，交換 。IKE定義了通訊雙方進行身份認證，協商密碼編譯演算法以及產生共用的工作階段金鑰的方法。
AAA伺服器與網路裝置之間是走的radius 協議
提供AAA支援的服務：PPP，EXEC，FTP //pix為http,ftp,telnet時驗證。
驗證：使用者名稱、口令。包PPP的PAP、CHAP，EXEC使用者驗證，FTP使用者驗證。
50user 以下在本地路由器上建立資料庫，超過50個，在radius上建立。
quidway# aaa enalbe
quidway# aaa authentication-scheme login default radius local
# aaa accounting-scheme optional
serial0# ppp authentication-mode pap scheme default
radius server 129.7.66.68
radius server 129.7.66.66 accouting-port 0 備份計費伺服器
radius server 129.7.66.67 authentication-port 0 備份驗證伺服器。
radius shared-key this-is-my-secret
radius retry 2
radius timer response-timeout 5
與RADISU伺服器的共用密鑰為this-is-my-secret 最大重傳次數為2，間隔5秒。
首先由各種服務(ppp,ftp,exec)得到使用者的資訊,送給AAA驗證，如果通過，連同驗證資訊與授權資訊給路由器，由路由器提供相應的服務給使用者，同時RADIUS開始計費
display aaa
debug radius primitive 原始，觀察AAA的請求與結果
debug radius event
aaa server/client 路由器為client
AAA是UDP 1812為驗證連接埠，1813為計費連接埠
作為安全性通訊協定，RADIUS自身的安全性也有一定的考慮，用戶端與服務端有共用密鑰，通過MD5演算法對包進行數位簽章，驗證簽名的正確性可以防止網路上其他主機冒充路由器或者RADIUS伺服器，使用者口令也加密
gre: 實際上是種承載協議，它提供了一種協議的報文封裝在另一種協議報文中的機制，使報文能在異種網路中傳輸，異種報文傳輸的通道稱為tunnel.
GRE的協議號是47，系統收到一個需要封裝和路由的資料報文後，我們稱為承載，首先被GRE封裝然後被稱為GRE報文，這個報文接著被封裝在IP報文中，然後完全由IP層負責此報文的轉寄(FORWARDING)。
IP/IPX是乘客協議 IP是運輸協議，GRE是封裝協議。
鏈路層
IP
GRE
IP/IPX
Payload
配置命令：
interface tunnel number
tunnel0: source ip 真實的介面地址
tunnel0:destination ip 真實的對方介面對址。
tunnel0: ip add 虛擬IP
調試命令：display tunnel 0
IPSEC/IKE
IPSEC：(IP SECURITY)，是一組開放的協議的總稱，特定的通訊方之間在IP層通過加密與資料來源驗證，以保證資料包在INTERNET網上傳輸時的私人性，完整性和真實性。通過AH，ESP這兩個安全性通訊協定來實現。ESP：50和AH：51
AH：提供資料來源驗證和資料完整性驗證
ESP：除資料來源驗證和資料完整性驗證，還有加密功能。
IPSEC：有tunnel 和transport。在Tunnel方式上，使用者的整個IP資料包被用來計算AH和ESP頭，AH或ESP頭和加密使用者資料被封裝在一個新的IP資料包中；在傳送方式中，只是傳輸層資料被用來計算AH和ESP頭，AH或ESP和被加密的傳輸層資料被旋轉在源IP包頭後面。
AH：報文驗證頭協議，主要提供的功能有資料來源驗證和資料完整性和防重放，演算法有MD5，SHA1。AH插入標準的IP包頭後面，採用hash演算法來對資料包進行保護。
ESP：報文安全封裝協議，將需要保護的的使用者資料進行加密後再封裝到標準的IP包中，可選的密碼編譯演算法有DES，3DES。
IKE：internat 金鑰交換協議，用於通訊雙方協商和建立安全聯盟，交換 。IKE定義了通訊雙方進行身份認證，協商密碼編譯演算法以及產生共用的工作階段金鑰的方法。
資料流：
安全聯盟(SA)：對資料流提供的安全服務通過安全聯盟SA來實現，它包括協議，演算法，密鑰等內容，具體確定了如何對IP報文進行處理。一個SA就是兩個IPSEC系統之間的一個單向邏輯串連。輸入資料流和輸出資料流由輸入安全聯盟與輸出安全聯盟分別處理。安全聯盟由一個三元組(安全參數索引SPI、IP目的地址、安全性通訊協定號(AH或ESP)來唯一標識。安全聯盟可以通過手工配置和自動協商)。手工是指在通過兩端的手工配置一些參數，在兩端參數匹配和協商通過後建立安全聯盟。自動協商是通過IKE產生和維護。
SPI：安全參數索引
是一個32位的比物的數值，在每個IPSEC報文中都攜帶該值。SPI，IP目的地址、安全性通訊協定號三者結合起來,當IKE自動協商時，SPI值會隨機產生。
共同構成三元組。
安全聯盟存留時間(LIFE TIME)
以時間進行限制或以流量進行限制(每傳輸一定的位元組數量的資訊進行更新)兩種
安全性原則：(crypto map)
由使用者手工配置，規定對什麼樣的資料流採用什麼樣的安全的安全措施。
安全提議(Transform Mode)轉換方式
IKE：英特網金鑰交換協議，是IPSEC的信令協議。為IPSEC提供了自動的SA協商和管理，大大減化了IPSEC的配置和維護工作。IKE不是在網路上直接傳輸密鑰，而是通過一系列的資料交換，最終計算出雙方共用的密鑰，並且第三方截獲，也不足已計算出真正的密鑰，IKE具有一套自保機制，可以在不安全的網路上安全地分發密鑰，驗證身份。
資料驗證有兩個方面的概念：
1， 保證資料的完整性
2， 身份保護，身分識別驗證確認通訊雙方的身份。身份資料在密鑰產生之後加密傳送。實現了對身份資料的保護。
DH交換與密鑰分發：
是一種公用的密鑰演算法。通訊雙方在不發送密鑰的情況下通過一些資料，計算出共用密鑰。
IKE的交換過程：
SA交換、金鑰交換、身份ID交換及驗證三個過程。IKE兩個階段，第一階段為建立IKE SA，主模式。
第二階段為快速模式，在IKE SA的保護下完成 IPSEC的協商。
IPSEC的配置命令：
1， 建立加密的存取控制清單
2， 定義安全提議Quidway] ipsec proposal name
quidway-ike-proposal-10]encryption-algorithm[des-3des]加密
quidway-ike-proposal-10]authentication-method[pre-share]
quidway-ike-proposal-10]authentication-algorithm[md5/sha]選擇演算法
quidway-ike-proposal-10]dh{group1\group2}
quidway-ike-proposal-10]sa duration seconds
quidway] ike pre-shared-key remote remote-address
quidway] ike sa keepalive-timer [interval\timeout] seconds
3， 定義安全性通訊協定Quidway-crypto-transform-trans
封裝模式：encapsulation-mode transport/tunnel
選擇安全性通訊協定: transform {ah-new | esp-new| ah-esp-new}
ah-new authentication-algorithm{md5-hmac-96|sha1-hmac-96}
esp-new authentication-algorithm {md5-hmac-96| sha1-hmac-96}
esp-new encryption-algorithm {3des|des…..}
4,建立安全性原則
ipsec policy name sequence-number [manual|isakmp]
quidway-ipsec-policy-policy1-10] security acl access-list-number 引用存取控制清單
tunnel remote add
proposal proposal1(2,3,4) 引用安全提議
5,在介面上應用
quidway-serial0] ipsec policy policy-name
QOS：服務品質
目標：避免並管理IP網路擁塞
減少IP報文的丟失率
調控IP網路的流量
為特定的使用者或特定的業務提供專用頻寬
支撐IP網路上的即時業務
BEST-EFFORT-service (儘力而為服務模型)：主要實現技術FIFO
Intergrate service(綜合服務模型)業務能過信令向網路申請特定的QOS服務，網路在流量參數描述的範圍內，預留資源以承諾滿足該請求。
Differentiated service (區分服務模型)：當網路出現擁塞時，根據業務的不同服務等級約定，有差別地進行流量控制和轉寄來解決擁塞問題。
RSVP：是第一個標準的QOS信令協議，它動態地建立端到端的QOS，它允許應用程式動態地申請網路頻寬等。RSVP不是一個路由協議，而是按照路由協議規定的報文流的路徑為報文申請預留資源，當路徑變了後，它會按照新路由進行調整，並在新的路徑上申請預留資源。RSVP只是在網路的節點之間傳遞QOS請求，本身不完成這些QOS要求實現，而是通過其他的技術如:WFQ.網路節點收到請求後，比較資源請求和網路現有的資源，確定是否接受。可以對每個資源請求設定不同的優先順序。這樣，當優先順序較高的資源請求可以在網路資源不夠的情況下，搶佔低優先順序的預留資源。
RSVP的缺點：
要求端到端所有裝置支援這協議
網路單元為每個應用儲存狀態資訊，可擴充性差
周期性同想念單元交換狀態資訊，協議報文開銷大。
不適合在大型網路中應用。
DiffServ:首先，在網路的邊緣進行不同的業務分類，打上不同的QOS標記(著色)。分類的依據可以是報文帶的四層，三層，三層的資訊，如源IP，目IP，源MAC，目MAC，TCP或UTP連接埠號碼等。然後在網路內部，根據著色的結果在每一跳進行相應的處理。
DifferServ:有以下幾種技術實現：
CAR：根據報文所帶的資訊進行分類，並利用Precedence：(TOS的高3位最多分為8類或)DSCP(TOS的高6位)進行著色，CAR同時也完成流量的度量和監管。
GTS：對通過網路節點，指定的業務或所有業務進行流量整形，合其符合期望的流量指標。
隊列機制：通過FIFO，PQ，CQ，WFQ等隊列技術，在網路擁塞時進行擁塞管理，對不同業務的報文按使用者指定的策略進行調度。
擁塞避免：WRED，對網路擁塞情況進行預測，並在此基礎上採用隨機丟棄部TCP報文的方式。
一般，在網路邊界，對報文進行著色，在網路內部則簡單的使用著色的結果作為對列調度、流量整形等處理的依據。
CAR(committed access rate):約定訪問速率
CAR用令牌桶演算法，對流量進行控制。當CAR用來作流量監管時，一般配置為：conform的報文進行發送，對EXCEED的報文進行丟棄。
命令：
qos carl carl-index {precedence precedence-value| mac mac-address}
qos car {inbound\outbound}{any\acl acl-index\carl aarl-index} cir eonnitted-rate cbs burst-size ebs exceess-burst-size conform action exceed action
acl:匹配訪問列表的報文
carl:匹配承諾訪問速率列表的報文。
Cir :正常的流量，在8k-155Mbps
Ebs: 所允許的突發資料區塊的大小，取0-155m 單位為bits.
Conform Action:對符合流量約定的資料報文，可採取：
Continue
Discard:
Remark-prec-continue xxxxx為資料報文重設優先順序後，交由下條QOS CAR命令處理。
Remark-prec-pass xxxxx 為資料報文重設優先順序後，直接發送。
Pass 直接發送。
Exceed action 指示當資料流量不符合流量約定時，對資料報文採取動作。注意：在一介面上(inbound或outbound)共可應用100條car策略。應用策略前，先禁止快速轉寄功能。
執行個體：
quidway] qos carl 1 precedence 3
qos carl 2 precedence 5
quidway-ethernet0] qos car inbound any cir 800000 cbs 150000 ebs 0 conform remark prec-continue 5 execeed discard
quidway-serial1] qos car inbound any cir 800000 cbs 150000 ebs 0 conformremark-pree continue 3 exceed discard
quidway-serial0] qos car outbound carl1 cir 800000 cbs 150000 ebs 0 conform pass exceed discard
quidway-serial] qos car outbound carl 2 cir 800000 cbs 150000 ebs 0 conform pass exceed discard
GTS配置命令：
為某一類別流配置整形參數
qos gts acl acl-index cir committed-rate [cbs burst-size[ebs excess-burst-size]［隊列長度]]
為所有的流配置整形參數
qos gts any cir committed-rate [cbs burst-size[ebs excess-burst-size[隊列參數]]]
其中queue length 的預設長度為50
LR物理介面限速（line rate,LR）
在一個物理介面上，限制介面發送報文的總速率（對全部的流量，而GTS，CAR只適合於IP包。）
LR的配置命令：
Qos LR cir committed-rate [cbs burst-size[ebs excess burst-size]]
預設地，burst-size是committed的兩倍
當網路出現堵塞時，用到隊列來實現。FIFO、PQ、CQ、WFQ
priority queueing優先順序隊列：
執行個體：
quidway]acl 1
quidway-acl-1] rule permit ip source 10.0.0.0 0.255.255.255
quidway] qos pql 1 protocol ip acl 1 queue top
quidway] qos pql 1 inbound-interface serial 1 queue bottom
quidway] qos pql 1 default-queue middle
quidway] qos pql 1 queue top queue-length 10
// 定義隊列的長度為：top 20
middle 40
normal 60
bottom 80
quidway-serial0] qos pq pql 1
缺點，PQ當較高的優先順序的報文絕對的優先權，這樣雖然可以保證關鍵業務的優先，但在較高優先順序的報文的速度總是大於介面的速度時，將會使較低優先順序的報文始終得不到發送的機會，採用CQ，定製隊列，使用者可配置隊列佔用的頻寬比例關係，根據優先順序高低，輪詢調度。將可以避免這種情況的發生。CQ可以將報文分類，然後按類別將報文被分配到CQ的一個隊列中去，對每個隊列，可以規定隊列中的報文應占介面頻寬的比例，這樣就可以讓不同業務報文獲得合理的頻寬，從而保證關鍵業務，也不到於使非關鍵業務得不到頻寬。
取值範圍為0－16，系統為0，預設隊列號為16。
定義好的隊列組需要應用在介面上。一個介面上只能應用一個隊列組，一個隊列組可以應用於多個介面上。
執行個體：
quidway]acl 1
] rule permit ip source 10.10.0.0 0.0.255.255
quidway] qos cql 1 protocol ip acl 1 queue 1 //存取控制清單1定義的報文入CQ組1隊列1。
quidway] qos cql 1 queue 1 queue-length 100 //隊列1的長度為100
queue-serving 5000 //隊列1的每次輪詢發送的位元組數為5000。
Quidway] qos cql 1 intbound-interface serial 1 queue 2//將從介面S1進入的報文入CQ組1隊列2
　　　　Qos cql 1 queue 2 queue-length 90
Quidway-serial0] qos cq cql 1// 將CQ組1應用到串口上。
WFQ　：weigth fair queue 加權公平隊列
原理：在保證公平（頻寬，延遲）的基礎上體現權值，權值大小依賴IP報中帶的IP優先順序（precedence）.WFQ 對報文按流進行分類，即相同的五個元素為一個流），每個流被分配到一個隊列當中，過程稱為散列，入隊過程採用HASH演算法自動完成，出去時，WFQ按流的優先順序來分配每個流佔有的不同的頻寬。
命令：qos wfq queue-length 64(預設地一個隊列資料包最大數) queue number 512（一共加起來的個包）
當隊列中同時丟棄多個TCP串連的報文時，將造成多個TCP串連同時進入慢啟動和擁塞避免，稱之為：TCP全域同步。
RED（random early detection）隨機早期檢測
WRED（Weighted random early detection）加權的隨機早期檢測。
WRED：
1， 採用隨機丟棄的策略，避免了尾部丟棄的方式而引起TCP全域同步
2， 根據當前隊列的濃度來預測擁塞的情況
3， 根據優先順序定義不同的丟棄策略，定義上限閥值和下限閥值。
4， 相同的優先順序不同的隊列，隊列長度越長丟棄機率越高。
一般地，WRED與WFQ一起用，
執行個體：
quidway-serial0] qos wfq//在介面上使用WFQ隊列策略
quidway—serial0] qos wred //使用預設的WRED參數。
QOS資訊的監控與維護：
Display qos[car\qts\lr\cq\pq\wfq\wred] [interface type number] //介面的QOS配置和統計資訊。
Dis qos [cql\pql]//顯示PQ與CQ的隊列列表內容。
交換部分：
產生樹協議：
首先各連接埠收到的配置訊息和自己的配置訊息做比較，得到優先順序高的配置，並更改本身的配置訊息，主要工作有：
1， 選擇根橋接器ROOTID：最優配置訊息ROOTID，,
2， 計算到根橋接器的路徑最短開銷值：如果自己不是根橋接器，則開銷值rootpathcost等於所收到的最優配置訊息的開銷值與收到該配置訊息的連接埠開銷之和
3， 選擇根連接埠ROOTPORT：如果自己是根橋，則根連接埠為0，否則一般為收到最優配置訊息的那個連接埠。
4， 指定連接埠：除了根連接埠外的其他產生樹上處於轉寄狀態的連接埠
5， 最後，修改了自己的BPDU後，該橋接器從指定連接埠將自己的配置訊息發送出去。
如果橋接器連接埠來
hello time 橋接器從指定連接埠以HELLO　TIME為周期定時發送配置訊息
message age \ max age　連接埠儲存的配置訊息有一個生存期message age欄位，並按時間遞增，每當收到一個生存期比自己小的配置訊息時，則更新自己的配置訊息，當一段時間未收任何配置訊息，達到max age時，橋接器認為該連接埠處於鏈路故障，進行故障處理。該橋接器將拋棄這個過時的配置訊息，重新計算產生樹。
　　什麼時候阻塞的連接埠接收轉寄的資料，（不包括STP協議報文），直到新的情況發生觸發產生樹的重新計算，比如另外一條鏈路斷開，或連接埠收到更新的配置訊息。