网工鹏哥-CSDN博客

原创 IP-Trunk简介

IP-Trunk是将多个链路层协议为HDLC的POS接口捆绑到一起，形成一条逻辑上的数据链路，以提供更高的连接可靠性和更大的带宽，实现流量负载分担。

2024-07-19 14:09:57 405

在隧道模式下，首先在原有IP报文外部封装安全协议头ESP，然后在最外层封装一个与原有报文IP头完全相同的IP头，这样经过加密后的报文仍保留了原报文IP头的重要信息，包括源/目的地址，协议标识等。A2A VPN的数据封装与传统的IPSec类似，但A2A VPN只支持使用ESP（Encapsulating Security Payload）协议对报文进行加密，数据的封装模式也只支持隧道模式，该模式由KS决定并下发给GM。Normal模式：已经注册成功的GM只发送密文报文，只接收密文报文。

2024-07-19 12:00:00 220

原创 A2A VPN GM向KS注册

KS对收到的组ID进行验证，验证通过后，KS根据GM提供的组ID向GM发送相应组的GDOI安全策略（例如保护的数据流信息、认证算法、加密算法、封装模式等）。第二阶段为GDOI协商：在第一阶段建立的IKE SA的保护下GM与KS进行GDOI协商，并从KS下载密钥信息（KEK、TEK）。GM对收到的GDOI安全策略进行验证，如果这些策略是可接受的（例如认证算法和加密算法是可支持的），则向KS发送确认消息。第一阶段为IKE协商：GM与KS进行协商，进行双方的身份认证，身份认证通过后，建立IKE SA。

2024-07-17 12:00:00 152

原创 A2A VPN基本组网

A2A VPN的基本组网如图所示，主要包括两类设备，密钥服务器KS（Key Server）和组成员GM（Group Member）。A2A VPN提供了一种基于组的IPSec安全模型。组是一个GDOI安全策略的集合，属于同一个组的所有成员共享相同的GDOI安全策略及密钥。

2024-07-16 12:30:00 129

原创 A2A VPN简介

它提供了高质量的、可互操作的、基于密码学的安全保证，是一种传统的实现三层VPN的安全技术，特定的通信方之间通过建立IPSec隧道来传输用户的私有数据。其通过对密钥和GDOI安全策略的集中管理，简化了网络部署，分布式的分支机构网络既能够大规模扩展，也支持能够确保语音和视频质量的QoS和组播功能。随着网络的发展，企业不仅有数据业务，而且对于语音和视频等智能业务的诉求也越来越多，这些诉求加速了企业对分支机构间即时互联的需求。企业大量分支间的数据IPSec加密面临N2隧道配置的问题，配置管理复杂，网络扩容能力差。

2024-07-15 14:11:11 122

原创 URPF简介

URPF（Unicast Reverse Path Forwarding）是单播逆向路径转发的简称，其主要功能是防止基于源IP地址欺骗的网络攻击行为。

2024-07-10 10:34:55 366

原创免费ARP

IP地址冲突检测：当设备接口的协议状态变为Up时，设备主动对外发送免费ARP报文。如果检测到IP地址冲突，设备会周期性的广播发送免费ARP应答报文，直到冲突解除。用于通告一个新的MAC地址：发送方更换了网卡，MAC地址变化了，为了能够在动态ARP表项老化前通告网络中其他设备，发送方可以发送一个免费ARP。在VRRP备份组中用来通告主备发生变换：发生主备变换后，MASTER设备会广播发送一个免费ARP报文来通告发生了主备变换。设备主动使用自己的IP地址作为目的IP地址发送ARP请求，此种方式称免费ARP。

2024-06-29 14:21:20 127

原创 ARP报文限速

如果设备的某个接口在ARP报文限速时间内接收到的ARP报文数目超过了设定阈值（ARP报文限速值），则丢弃超出阈值部分的ARP报文，并在接下来的一段时间内（即阻塞ARP报文时间段）持续丢弃该接口下收到的所有ARP报文。设备支持在全局、VLAN和接口下配置ARP报文的限速值和限速时间，当同时在全局、VLAN和接口下配置ARP报文的限速值和限速时间时，设备会先按照接口进行限速，再按照VLAN进行限速，最后按照全局进行限速。针对全局的ARP报文限速：在设备出现ARP攻击时，限制全局处理的ARP报文数量。

2024-06-27 10:08:05 150

原创 IPSG应用在网络中的位置

如图所示，在接入用户侧的VLAN上应用IPSG，属于该VLAN的所有接口接收到IP报文均进行IPSG检查。如果与用户直连的接入设备不支持IPSG功能，也可以在汇聚设备或核心设备上应用IPSG，如图所示。IPSG一般应用在与用户直连的接入设备上，可以基于接口或者基于VLAN应用。基于VLAN使能IPSG。基于接口使能IPSG。

2024-06-26 15:44:15 432

原创 DNS原理

如果DNS Client没有该域名对应的IP地址信息，DNS Client就会向DNS Server发起A类查询，获取该域名对应的IP地址，完成ping和tracert的功能。IPv4静态域名解析是通过静态域名解析表进行的，即手动建立域名和IPv4地址之间的对应关系表，该表的作用类似于Windows 9X操作系统下的hosts文件，可以将一些常用的域名放入表中。当DNS Client需要域名所对应的IPv4地址时，即到静态域名解析表中去查找指定的域名，从而获得所对应的IP地址，提高域名解析的效率。

2024-06-24 14:22:32 593

原创动态ARP

动态ARP表项由ARP协议通过ARP报文自动生成和维护，可以被老化，可以被新的ARP报文更新，可以被静态ARP表项覆盖。动态ARP适用于拓扑结构复杂、通信实时性要求高的网络。

2024-06-22 20:15:41 480

原创 MPLS TE简介

MPLS TE（MPLS Traffic Engineering），即MPLS流量工程。MPLS流量工程通过建立基于一定约束条件的LSP隧道，并将流量引入到这些隧道中进行转发，使网络流量按照指定的路径进行传输，达到流量工程的目的。

2024-06-19 17:14:36 619

原创 IGMP Proxy

如左图所示，在一些简单的树形网络拓扑中，与用户网段相连的设备RouterB上并不需要运行复杂的组播路由协议（如PIM），而透传主机IGMP报文又会导致RouterA管理太多用户。当网络中存在大量成员主机或大量成员主机频繁加入/离开组播组时，会产生大量的IGMP报告/离开报文，从而给接入设备RouterA带来较大的处理压力。如右图所示，通过在RouterB上配置IGMP Proxy功能，可以解决以上问题，实现组播报文正常转发同时减轻RouterA的处理压力。

2024-06-14 17:44:48 712

原创华为网络设备攻击防范

畸形报文攻击是通过向交换机发送有缺陷的IP报文，使得交换机在处理这样的IP包时会出现崩溃，给交换机带来损失。畸形报文攻击主要有如下几种：没有IP载荷的泛洪攻击IGMP空报文攻击LAND攻击Smurf攻击TCP标志位非法攻击。

2024-06-13 15:59:28 471

原创 MAC认证

MAC认证是一种基于接口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件。设备在启动了MAC认证的接口上首次检测到用户的MAC地址以后，即启动对该用户的认证操作。认证过程中，不需要用户手动输入用户名或者密码。

2024-06-11 09:19:36 606

原创华为HCIP-DATACOM 831最新题目

解析：题目要求R3选择AS-PATH最长的路由，R3 可以从R2、R5、R6学习到192.168.1.0/24的BGP路由，其中R2和R5传递过来的BGP路由AS-PATH长度为2 ，R6传递过来的BGP路由长度为3 ，所以题目就是需要选择R6传递过来的BGP路由，解题思路为拒绝R2（AS65002）、R5（AS65005）传递过来的BGP路由，B选项符合要求。灵活QinQ功能可以根据不同的内层报文来加上不同的外层Tag，那么以下关于灵活QinQ的tag添加情况的描述，错误的是哪一项?值，正确的是哪一项?

2024-06-06 17:14:39 725 1

原创 LLDP工作原理

LLDP可以将本地设备的信息组织起来并发布给自己的远端设备，本地设备将收到的远端设备信息以标准MIB的形式保存起来。LLDP本地系统MIB用来保存本地设备信息。包括设备ID、接口ID、系统名称、系统描述、接口描述、网络管理地址等信息。LLDP远端系统MIB用来保存远端设备信息。包括设备ID、接口ID、系统名称、系统描述、接口描述、网络管理地址等信息。

2024-05-31 11:30:00 341

原创华为SAC

智能应用控制SAC（Smart Application Control）引入了业务感知技术，通过智能的应用协议识别与分类引擎，对报文中的第4～7层内容和一些动态协议(如HTTP、RTP)进行检测和识别，根据分类结果实施精细化QoS策略控制，从而实现基于应用的流量控制。SAC基于业务感知技术中的特征识别技术实现对应用的识别和分类。不同的应用程序通常会采用不同的协议，而不同的应用协议具有各自的特征，这些特征可能是特定的端口、特定的字符串或者特定的比特序列，能标识该协议的特征称为特征码。

2024-05-29 12:30:00 383

原创 DHCP Snooping的攻击防范功能

DHCP服务器IP地址配置为10.2.1.2/24，同时配置一个IP地址范围为192.168.1.0/24的地址池，地址池中网关配置为192.168.1.1。以GE0/0/1接口为例，GE0/0/2的配置与GE0/0/1接口相同，不再赘述。以GE0/0/1接口为例，GE0/0/2的配置与GE0/0/1接口相同，不再赘述。以GE0/0/1接口为例，GE0/0/2的配置与GE0/0/1接口相同，不再赘述。以GE0/0/1接口为例，GE0/0/2的配置与GE0/0/1接口相同，不再赘述。

2024-05-28 15:49:26 778

原创 IPS简介

入侵防御系统IPS（Intrusion Prevention System）是一种安全机制，通过分析网络流量可以检测出入侵行为（包括缓冲区溢出攻击、木马、蠕虫等），提供一种主动的、实时的防护，对网络深层攻击行为进行准确的分析判断，阻止漏洞攻击的恶意流量，为企业网络提供“虚拟补丁”，从而保护企业信息系统和网络架构免受侵害。

2024-05-24 09:26:51 481

原创配置穿越NAT设备建立IPSec隧道的示例

所示，分支网络出口网关RouterA、总部网络出口网关RouterB之间通过NATER进行地址转换，RouterA、RouterB之间建立支持NAT穿越的野蛮模式IPSec。当进行IPSec协商的两个对端设备之间存在NAT网关时，建立IPSec隧道的两端需要进行NAT穿越能力协商，因此两端设备都必须具备NAT穿越的能力。IPSec穿越NAT功能组网图。RouterA的配置。RouterB的配置。

2024-05-21 14:25:49 827

原创 AAA简介

AAA作为网络安全的一种管理机制，以模块化的方式提供以下服务：认证：确认访问网络的用户的身份，判断访问者是否为合法的网络用户。授权：对不同用户赋予不同的权限，限制用户可以使用的服务。计费：记录用户使用网络服务过程中的所有操作，包括使用的服务类型、起始时间、数据流量等，用于收集和记录用户对网络资源的使用情况，并可以实现针对时间、流量的计费需求，也对网络起到监视作用。vAAA采用客户端/服务器结构，AAA客户端运行在接入设备上，通常被称为NAS设备，负责验证用户身份与管理用户接入；

2024-05-20 14:14:42 292

原创 SD-WAN EVPN基本原理

SD-WAN EVPN是一种用于Overlay业务网络和底层传输网络分离以及业务网络路由和传输网络路由分离的VPN技术。SD-WAN EVPN技术采用类似于BGP/MPLS IP VPN的机制，通过扩展BGP协议，使用扩展后的可达性信息，使不同站点的底层传输网络互通，通过BGP的多VPN能力，统一控制协议，使路由统一发布，最终实现不同站点网络间的隧道封装信息从数据平面转移到控制平面。SD-WAN EVPN的基本应用场景如所示。SD-WAN EVPN应用场景。

2024-05-17 14:35:07 828

原创配置BFD多跳检测示例

所示，RouterA和RouterC为非直连设备，通过配置静态路由互通。在RouterA和RouterC上分别配置BFD会话，实现RouterA到RouterC间多跳路径的检测。命令，可以看到建立了一个多跳检测的BFD会话，且会话状态为Down。# RouterC的配置与RouterA类似，具体配置过程略，详见配置文件。# 在RouterA上配置与RouterC之间的BFD会话。# 在RouterC上配置与RouterA之间的BFD会话。# 配置完成后，在RouterA和RouterC上执行。

2024-05-15 15:07:01 466

原创配置接口的主从IP地址

所示，Router上只有一个空闲接口GE1/0/0，但该局域网中的计算机分别属于2个不同的网段10.16.1.0/24和10.16.2.0/24，要求通过Router可以实现一个接口接入两个不同的网段。# 网段10.16.1.0/24和网段10.16.2.0/24内的主机可以互相Ping通。# 从Router上Ping网段10.16.1.0/24内的主机，可Ping通。# 从Router上Ping网段10.16.2.0/24内的主机，可Ping通。配置主从IP地址，实现一个接口可以接入两个不同网段。

2024-05-13 09:37:17 806

原创华为网络设备环路检测

网络中的环路会导致设备对广播、组播以及未知单播等报文进行重复发送，造成网络资源浪费甚至网络瘫痪。为了能够及时发现二层网络中的环路，避免对整个网络造成严重影响，需要提供一种检测技术，使网络中出现环路时能及时通知用户检查网络连接和配置情况，并能够将出问题的接口置于某种受控状态。Loopback Detection正是这样的检测技术。它通过从接口周期性发送检测报文，检查该报文是否返回本设备（不要求收、发接口为同一接口），进而判断该接口、设备下挂网络或设备，或者设备双接口间是否存在环路。

2024-05-09 14:38:28 1217

原创 DSVPN示例

某中小企业有总部（Hub）和两个分支（Spoke1和Spoke2），分布在不同地域，总部和分支的子网环境会经常出现变动。在Hub和Spoke配置OSPF网络类型为broadcast以实现分支间路由相互学习，在Spoke1和Spoke2上分别配置Hub的静态NHRP peer表项。由于分支是采用动态地址接入公网的，分支之间互相不知道对方的公网地址，因此必须采用DSVPN来实现分支之间的VPN互联。配置Spoke1、Spoke2各接口的IP地址，具体配置过程与配置Hub相同（略）。# 在Hub上配置OSPF。

2024-04-30 16:34:46 995

原创 M-LAG的基本概念

动态交换服务组DFS Group（Dynamic Fabric Service Group），主要用于部署M-LAG设备之间的配对，M-LAG双归设备之间的接口状态，表项等信息同步需要依赖DFS Group协议进行同步。M-LAG成员接口角色也区分主和备，与对端同步成员口信息时，状态由Down先变为Up的M-LAG成员接口成为主M-LAG成员口，对端对应的M-LAG成员口为备。部署M-LAG且状态为主的设备，通常也称为M-LAG主设备。部署M-LAG且状态为备的设备，通常也称为M-LAG备设备。

2024-04-26 17:55:57 306

原创双出口PPPoe拨号

所示，设备作为企业出口网关，通过PPPoE拨号双上行接入Internet，链路1和链路2的出口路由采用等价路由进行负载分担。设备上配置NAT实现企业私网用户访问Internet。，查看PPPoE会话状态和配置信息。根据显示信息判断会话状态是否正常（状态为UP表示正常）、配置是否正确（是否和之前的数据规划和组网一致）。设备作为PPPoE Client双链路负载分担组网图。# 在PPPoE Client上执行命令。

2024-04-25 16:31:21 612

原创路由表和FIB表

路由器转发数据包的关键是路由表和FIB表，每个路由器都至少保存着一张路由表和一张FIB（Forwarding Information Base）表。路由器通过路由表选择路由，通过FIB表指导报文进行转发。

2024-04-22 14:30:10 1125

原创华为网络设备虚拟系统介绍

虚拟系统是在一台物理设备上划分出的多台相互独立的逻辑设备，通过虚拟系统特性可以将一台物理设备从逻辑上划分为两个或多个虚拟系统。每个虚拟系统相当于一台真实的设备，拥有自己的接口、地址集、路由表项以及策略等资源，管理员可以对虚拟系统内部的业务和资源进行单独的配置和管理。

2024-04-18 19:12:01 294

原创 VLAN Mapping原理描述

当部署VLAN Mapping功能设备上的接口收到带有两层VLAN Tag的报文时，将两层报文携带的外层Tag替换为新的VLAN Tag，内层Tag作为数据透传。当部署VLAN Mapping功能设备上的接口收到带有两层VLAN Tag的报文时，将两层报文所携带的外层802.1p优先级替换为新的802.1p优先级。当部署VLAN Mapping功能设备上的接口收到带有单层VLAN Tag的报文时，将单层报文所携带的VLAN ID替换为新的VLAN ID。（没有领取门槛，主要是一个个发邮件太麻烦了）

2024-04-16 16:11:22 354

原创 802.1X认证原理

IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题，提出了802.1X协议。后来，802.1X协议作为局域网接口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。802.1X协议是一种基于接口的网络接入控制协议。“基于接口的网络接入控制”是指，在局域网接入设备的接口这一级，接入设备通过认证来控制用户对网络资源的访问。如所示，802.1X系统为典型的Client/Server结构，包括三个实体：客户端、接入设备和认证服务器。802.1X认证系统示意图。

2024-04-15 14:42:54 665

原创华为防火墙NAT配置

所示，某企业在网络边界处部署了DeviceA作为安全网关，并从运营商处购买了宽带上网服务，实现内部网络接入Internet的需求。想要更多网工专业学习资料，可直接找我领取。通过静态IPv4地址接入Internet组网图。（没有领取门槛，主要是一个个发邮件太麻烦了）如果需要系统深入的学习网工知识。视频课程（部分示意）实验拓扑（部分示意）

2024-04-15 09:37:57 950

原创 DSVPN基本原理

DSVPN实现分支之间直接通信的关键是在分支之间建立隧道。DSVPN利用mGRE结合NHRP来建立分支之间的隧道。与GRE不同，mGRE建立隧道时不需要定义，而是依赖NHRP告诉它，这就为在动态地址变化的分支间建立隧道创造了条件。mGRE与NHRP结合建立隧道的基本原理是：当设备转发一个IP报文时，根据路由表将IP报文传给下一跳的出接口mGRE隧道接口，mGRE在中查找获取下一跳地址映射的对端公网地址。

2024-04-11 14:13:13 579

原创 DSVPN简介

动态智能VPN（Dynamic Smart Virtual Private Network），简称DSVPN，是一种在Hub-Spoke组网方式下为公网地址动态变化的分支之间建立VPN隧道的解决方案。

2024-04-08 09:30:02 939

原创华为流量整形配置

所示，企业网内部LAN侧的语音、视频和数据业务通过Switch连接到RouterA的Eth2/0/0上，并通过RouterA的GE3/0/0连接到WAN侧网络。queue 5 gts cir 4000 cbs 100000 //配置队列5的承诺信息速率为4000kbit/s，承诺突发尺寸为100000byte。queue 6 gts cir 256 cbs 6400 //配置队列6的承诺信息速率为256kbit/s，承诺突发尺寸为6400byte。配置流量整形的组网图。

2024-03-29 17:44:06 640

原创华为设备配置攻击防范

所示，如果局域网内存在Hacker向RouterA发起畸形报文攻击、分片报文攻击和泛洪攻击，将会造成RouterA瘫痪。由显示信息可知，RouterA上产生了TCP SYN报文的丢弃计数，表明攻击防范功能已经生效。# 使能TCP SYN攻击防范，并限制TCP SYN报文接收的速率为15000bit/s。# 使能ICMP泛洪攻击防范，并限制ICMP泛洪报文接收的速率为15000bit/s。使能畸形报文攻击防范功能，避免畸形报文攻击。使能分片报文攻击防范功能，避免分片报文攻击。查看报文攻击防范的统计数据。

2024-03-27 17:23:07 769

原创配置DHCPV6

如果大量的企业用户IPv6地址都是手动配置，那么网络管理员工作量大，而且可管理性很差。管理员希望实现公司用户IPv6地址和网络配置参数的自动获取，便于统一管理，实现IPv6的层次布局。使能DHCPv6服务器功能，实现设备通过DHCPv6方式分配IPv6地址。//指定RA报文不携带接口IPv6地址生成的默认前缀。使能接口的IPv6功能，实现设备之间的IPv6通信。# 在路由器工业路由交换一体机上使用。# 在路由器工业路由交换一体机上使用。命令用来查看DHCPv6服务器信息。DHCPv6服务器组网图。

2024-03-23 09:26:16 973

原创华为交换综合实验

步骤2：部署Mux-vlan，实现vlan10内部互相访问，vlan20内部无法互相访问，10 20都可以访问服务器。步骤6：vlan10 和vlan20的设备可以访问共有网络，但是vlan30无法访问公网。步骤4：配置VPN实例，实现三层隔离，并实现互访通过防火墙。注意：PC可事先配置静态IP，方便测试，后期使用DHCP。2）配置静态路由，实现互访经过防火墙，实行流量监控。步骤3：配置端口隔离，实现PC5和PC6无法互访。不通，互通和隔离型的vlan无法互相访问。需求实现，PC5通过防火墙访问PC1。

2024-03-20 09:13:29 730 1

空空如也

空空如也