- 博客(107)
- 收藏
- 关注
RSS订阅原创 DSVPN示例
某中小企业有总部(Hub)和两个分支(Spoke1和Spoke2),分布在不同地域,总部和分支的子网环境会经常出现变动。在Hub和Spoke配置OSPF网络类型为broadcast以实现分支间路由相互学习,在Spoke1和Spoke2上分别配置Hub的静态NHRP peer表项。由于分支是采用动态地址接入公网的,分支之间互相不知道对方的公网地址,因此必须采用DSVPN来实现分支之间的VPN互联。配置Spoke1、Spoke2各接口的IP地址,具体配置过程与配置Hub相同(略)。# 在Hub上配置OSPF。
2024-04-30 16:34:46
362
原创 M-LAG的基本概念
动态交换服务组DFS Group(Dynamic Fabric Service Group),主要用于部署M-LAG设备之间的配对,M-LAG双归设备之间的接口状态,表项等信息同步需要依赖DFS Group协议进行同步。M-LAG成员接口角色也区分主和备,与对端同步成员口信息时,状态由Down先变为Up的M-LAG成员接口成为主M-LAG成员口,对端对应的M-LAG成员口为备。部署M-LAG且状态为主的设备,通常也称为M-LAG主设备。部署M-LAG且状态为备的设备,通常也称为M-LAG备设备。
2024-04-26 17:55:57
276
原创 双出口PPPoe拨号
所示,设备作为企业出口网关,通过PPPoE拨号双上行接入Internet,链路1和链路2的出口路由采用等价路由进行负载分担。设备上配置NAT实现企业私网用户访问Internet。,查看PPPoE会话状态和配置信息。根据显示信息判断会话状态是否正常(状态为UP表示正常)、配置是否正确(是否和之前的数据规划和组网一致)。设备作为PPPoE Client双链路负载分担组网图。# 在PPPoE Client上执行命令。
2024-04-25 16:31:21
572
原创 路由表和FIB表
路由器转发数据包的关键是路由表和FIB表,每个路由器都至少保存着一张路由表和一张FIB(Forwarding Information Base)表。路由器通过路由表选择路由,通过FIB表指导报文进行转发。
2024-04-22 14:30:10
728
原创 华为网络设备虚拟系统介绍
虚拟系统是在一台物理设备上划分出的多台相互独立的逻辑设备,通过虚拟系统特性可以将一台物理设备从逻辑上划分为两个或多个虚拟系统。每个虚拟系统相当于一台真实的设备,拥有自己的接口、地址集、路由表项以及策略等资源,管理员可以对虚拟系统内部的业务和资源进行单独的配置和管理。
2024-04-18 19:12:01
272
原创 VLAN Mapping原理描述
当部署VLAN Mapping功能设备上的接口收到带有两层VLAN Tag的报文时,将两层报文携带的外层Tag替换为新的VLAN Tag,内层Tag作为数据透传。当部署VLAN Mapping功能设备上的接口收到带有两层VLAN Tag的报文时,将两层报文所携带的外层802.1p优先级替换为新的802.1p优先级。当部署VLAN Mapping功能设备上的接口收到带有单层VLAN Tag的报文时,将单层报文所携带的VLAN ID替换为新的VLAN ID。(没有领取门槛,主要是一个个发邮件太麻烦了)
2024-04-16 16:11:22
290
原创 802.1X认证原理
IEEE802 LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1X协议。后来,802.1X协议作为局域网接口的一个普通接入控制机制在以太网中被广泛应用,主要解决以太网内认证和安全方面的问题。802.1X协议是一种基于接口的网络接入控制协议。“基于接口的网络接入控制”是指,在局域网接入设备的接口这一级,接入设备通过认证来控制用户对网络资源的访问。如所示,802.1X系统为典型的Client/Server结构,包括三个实体:客户端、接入设备和认证服务器。802.1X认证系统示意图。
2024-04-15 14:42:54
599
原创 华为防火墙NAT配置
所示,某企业在网络边界处部署了DeviceA作为安全网关,并从运营商处购买了宽带上网服务,实现内部网络接入Internet的需求。想要更多网工专业学习资料,可直接找我领取。通过静态IPv4地址接入Internet组网图。(没有领取门槛,主要是一个个发邮件太麻烦了)如果需要系统深入的学习网工知识。视频课程(部分示意)实验拓扑(部分示意)
2024-04-15 09:37:57
831
原创 DSVPN基本原理
DSVPN实现分支之间直接通信的关键是在分支之间建立隧道。DSVPN利用mGRE结合NHRP来建立分支之间的隧道。与GRE不同,mGRE建立隧道时不需要定义,而是依赖NHRP告诉它,这就为在动态地址变化的分支间建立隧道创造了条件。mGRE与NHRP结合建立隧道的基本原理是:当设备转发一个IP报文时,根据路由表将IP报文传给下一跳的出接口mGRE隧道接口,mGRE在中查找获取下一跳地址映射的对端公网地址。
2024-04-11 14:13:13
542
原创 DSVPN简介
动态智能VPN(Dynamic Smart Virtual Private Network),简称DSVPN,是一种在Hub-Spoke组网方式下为公网地址动态变化的分支之间建立VPN隧道的解决方案。
2024-04-08 09:30:02
678
原创 华为流量整形配置
所示,企业网内部LAN侧的语音、视频和数据业务通过Switch连接到RouterA的Eth2/0/0上,并通过RouterA的GE3/0/0连接到WAN侧网络。queue 5 gts cir 4000 cbs 100000 //配置队列5的承诺信息速率为4000kbit/s,承诺突发尺寸为100000byte。queue 6 gts cir 256 cbs 6400 //配置队列6的承诺信息速率为256kbit/s,承诺突发尺寸为6400byte。配置流量整形的组网图。
2024-03-29 17:44:06
595
原创 华为设备配置攻击防范
所示,如果局域网内存在Hacker向RouterA发起畸形报文攻击、分片报文攻击和泛洪攻击,将会造成RouterA瘫痪。由显示信息可知,RouterA上产生了TCP SYN报文的丢弃计数,表明攻击防范功能已经生效。# 使能TCP SYN攻击防范,并限制TCP SYN报文接收的速率为15000bit/s。# 使能ICMP泛洪攻击防范,并限制ICMP泛洪报文接收的速率为15000bit/s。使能畸形报文攻击防范功能,避免畸形报文攻击。使能分片报文攻击防范功能,避免分片报文攻击。查看报文攻击防范的统计数据。
2024-03-27 17:23:07
745
原创 配置DHCPV6
如果大量的企业用户IPv6地址都是手动配置,那么网络管理员工作量大,而且可管理性很差。管理员希望实现公司用户IPv6地址和网络配置参数的自动获取,便于统一管理,实现IPv6的层次布局。使能DHCPv6服务器功能,实现设备通过DHCPv6方式分配IPv6地址。//指定RA报文不携带接口IPv6地址生成的默认前缀。使能接口的IPv6功能,实现设备之间的IPv6通信。# 在路由器工业路由交换一体机上使用。# 在路由器工业路由交换一体机上使用。命令用来查看DHCPv6服务器信息。DHCPv6服务器组网图。
2024-03-23 09:26:16
881
原创 华为交换综合实验
步骤2:部署Mux-vlan,实现vlan10内部互相访问,vlan20内部无法互相访问,10 20都可以访问服务器。步骤6:vlan10 和vlan20的设备可以访问共有网络,但是vlan30无法访问公网。步骤4:配置VPN实例,实现三层隔离,并实现互访通过防火墙。注意:PC可事先配置静态IP,方便测试,后期使用DHCP。2)配置静态路由,实现互访经过防火墙,实行流量监控。步骤3:配置端口隔离,实现PC5和PC6无法互访。不通,互通和隔离型的vlan无法互相访问。需求实现,PC5通过防火墙访问PC1。
2024-03-20 09:13:29
657
原创 配置SRV6 policy
通过以上输出可知,PE1接收路由为20.20.20.10/32的路由将染色为101,而显示路径PE1-P1-PE2的color值也为101,PE1在发送目的IP为20.20.20.10/32的流量时,会将流量迭代进入隧道颜色为101的SRV6-policy 隧道。PE1接收路由为20.20.20.20/32的路由将染色为102,而显示路径PE1-P2-PE2的color值也为102,PE1在发送目的IP为20.20.20.20/32的流量时,会将流量迭代进入隧道颜色为102的SRV6-policy 隧道。
2024-03-18 09:32:59
1005
原创 路由和流量控制
项目需求:某政务网络拥有两个园区,园区A和园区B之间通过物理专线相连。想要更多网工专业学习资料,可直接找我领取。(没有领取门槛,主要是一个个发邮件太麻烦了)可以发现30.1.1.0的路由已经被过滤了。如果需要系统深入的学习网工知识。视频课程(部分示意)实验拓扑(部分示意)
2024-03-16 14:50:41
744
原创 路由策略基本原理
介绍路由策略的实现原理。路由策略使用不同的匹配条件和匹配模式选择路由和改变路由属性。在特定的场景中,路由策略的6种过滤器也能单独使用,实现路由过滤。若设备支持BGP to IGP功能,还能在IGP引入BGP路由时,使用BGP私有属性作为匹配条件。
2024-03-14 10:09:28
655
原创 L2TP简介
二层隧道协议L2TP(Layer 2 Tunneling Protocol)是虚拟私有拨号网VPDN(Virtual Private Dial-up Network)隧道协议的一种,扩展了点到点协议PPP(Point-to-Point Protocol)的应用,是远程拨号用户接入企业总部网络的一种重要VPN技术。L2TP通过拨号网络,基于PPP的协商,建立企业分支用户到企业总部的隧道,使远程用户可以接入企业总部。
2024-03-11 14:12:18
908
原创 防火墙配置案例
步骤2 :在LSW1上创建VLAN和VLANIF接口,LSW2和LSW3上创建vlan10和vlan20,并与相应接口绑定。步骤3:配置防火墙的NAT策略与安全策略,实现trust区域client1访问untrust区域client3。步骤6:做NAT-server,实现外网访问服务器192.168.1.100的HTTP服务。可知正常访问,但无法ping通,ping通需要在安全策略里action icmp。步骤5:配置防火墙安全策略实现client2访问serveAR1的HTTP服务。
2024-03-08 16:39:45
664
原创 IS-IS网络收敛
想要更多网工专业学习资料,可直接找我领取。(文末领取)为了提高IS-IS网络的收敛,有快速收敛和按优先级收敛两种方式。快速收敛侧重于从路由的计算角度加快收敛速度;按优先级收敛侧重于从路由优先级角度提高网络性能。
2024-03-05 17:36:23
738
原创 Smart Link基本原理
以描述的组网为例,按照链路正常->链路故障->链路恢复的过程,介绍Smart Link运行的基本原理。Smart Link示意图。
2024-02-29 13:53:15
900
原创 Smart Link基本概念
Smart Link通过两个端口相互配合工作来实现功能。这样的一对端口组成了一个Smart Link组。为了区别一个Smart Link组中的两个端口,我们将其中的一个叫做主端口,另一个叫做从端口。同时我们利用Flush报文、Smart Link实例和控制VLAN等机制,以更好地实现Smart Link的功能(包括负载分担)。Smart Link示意图。
2024-02-29 13:51:14
422
原创 二层协议透明传输简介
二层协议报文透明传输(Layer 2 Protocol Tunneling)是利用二层隧道技术使不同地域私网用户的二层协议报文,通过运营商网络内的指定通道进行透明传输。
2024-02-28 09:47:35
294
原创 配置mux-vlan
配置公共服务器vlan100为主vlan,公司内部部门为互通型vlan,访客区为隔离型vlan。可以看到vlan10为互通型vlan,设备之间可以互通,与vlan 20 不能互通,vlan 10 也可以访问主vlan 100。可以看到vlan 10 、20为mux vlan的从vlan。可以看到PC3和PC4即使属于同一个vlan,但是由于配置了vlan20为隔离型vlan,他们之间也不能互通。1)配置vlan、并且配置mux vlan。配置vlan10为互通型vlan。配置vlan100为主vlan。
2024-02-26 17:29:58
1118
原创 配置QINQ
1.实验环境: 某运营商接了公司A和公司B的网络,现需要使用qinq技术实现公司A、公司B的私有网络能够使用运营商网络互通。公司A使用灵活的qinq让内部网络的vlan 10映射为公网vlan2进行数据转发,vlan20映射为vlan3进行数据转发。如图,可以看出外层标签为3,内层标签为20 .说明灵活qinq实现了不同的私网vlan映射到不同的公网vlan上。如图,可以看到外层标签为2(公网vlan的标签)、内层标签为10(私有网络vlan的标签)2)在公网设备配置公网vlan,并且配置qinq。
2024-02-26 17:28:04
753
原创 MAC地址漂移
MAC地址漂移是指设备上一个VLAN内有两个端口学习到同一个MAC地址,后学习到的MAC地址表项覆盖原MAC地址表项的现象。图1所示,MAC地址为00e0-fc22-0034,VLAN ID为2的表项,出接口由GE0/0/1刷新为GE0/0/2,这就是MAC地址漂移。设备出现MAC地址漂移时,设备CPU占用率会有不同程度的升高。正常情况下,网络中不会在短时间内出现大量MAC地址漂移的情况。出现这种现象一般都意味着网络中存在环路,可以通过查看告警信息和漂移记录,快速定位和排除环路。图1MAC地址漂移示意图。
2024-02-24 17:37:18
397
原创 MAC地址学习和老化
如果之前MAC地址表不存在关于(MAC: 00e0-fc00-0001,VLAN: 1)的任何种类表项,那么这个地址就会作为动态MAC地址表项学习到地址表里,同时该表项的命中标志位被置1。MAC表中自动生成的表项(即动态表项)并非永远有效,每一条表项都有一个生存周期,到达生存周期仍得不到更新的表项将被删除,这个生存周期被称作老化时间。如上所述,通过自动老化,一条动态表项在MAC地址表存在的最短时间是设备所配置的老化时间T到2T之间。设备周期性(每经过T时间)地对所有学习到的动态MAC地址表项进行检查。
2024-02-24 17:35:26
846
原创 DHCP Snooping的基本原理
DHCP Snooping分为DHCPv4 Snooping和DHCPv6 Snooping,两者实现原理相似,以下以DHCPv4 Snooping为例进行描述。使能了DHCP Snooping的设备将用户(DHCP客户端)的DHCP请求报文通过信任接口发送给合法的DHCP服务器。之后设备根据DHCP服务器回应的DHCP ACK报文信息生成DHCP Snooping绑定表。后续设备再从使能了DHCP Snooping的接口接收用户发来的DHCP报文时,会进行匹配检查,能够有效防范非法用户的攻击。
2024-02-22 09:39:07
824
原创 本机防攻击简介
在网络中,存在着大量针对CPU(Central Processing Unit)的恶意攻击报文以及需要正常上送CPU的各类报文。针对CPU的恶意攻击报文会导致CPU长时间繁忙的处理攻击报文,从而引发其他业务的中断甚至系统的中断;大量正常的报文也会导致CPU占用率过高,性能下降,从而影响正常的业务。为了保护CPU,保证CPU对正常业务的处理和响应,设备提供了本机防攻击功能。本机防攻击针对的是上送CPU的报文,主要用于保护设备自身安全,保证已有业务在发生攻击时的正常运转,避免设备遭受攻击时各业务的相互影响。
2024-02-22 09:36:26
1034
原创 Smart Link和Monitor Link简介
Smart Link,又叫做备份链路。一个Smart Link由两个接口组成,其中一个接口作为另一个的备份。Smart Link常用于双上行组网,提供可靠高效的备份和快速的切换机制。Monitor Link是一种接口联动方案,它通过监控设备的上行接口,根据其Up/Down状态的变化来触发下行接口Up/Down状态的变化,从而触发下游设备上的拓扑协议进行链路的切换。
2024-02-19 14:16:47
261
原创 华为radius认证
RADIUS服务器10.7.66.66/24作为主用认证服务器和计费服务器,RADIUS服务器10.7.66.67/24作为备用认证服务器和计费服务器,认证端口号缺省为1812,计费端口号缺省为1813。Router对接入用户先用RADIUS服务器进行认证,如果认证没有响应,再使用本地认证。# 配置计费方案abc,计费模式为RADIUS,并配置当开始计费失败时,允许用户上线。# 配置认证方案auth,认证模式为先进行RADIUS认证,后进行本地认证。,可以观察到该RADIUS服务器模板的配置与要求一致。
2024-01-29 09:29:35
1063
原创 Segment Routing MPLS概述
Segment Routing MPLS是指基于MPLS转发平面的Segment Routing,下文简称为Segment Routing。Segment Routing将网络路径分成一个个段,并且为这些段和网络中的转发节点分配段标识ID。Segment Routing同时支持传统网络和SDN网络,兼容现有设备,保障现有网络平滑演进到SDN网络,而不是颠覆现有网络。此外,Segment Routing技术的标签数量是:全网节点数+本地邻接数,只和网络规模相关,与隧道数量和业务规模无关。
2024-01-27 15:55:30
347
原创 华为设备静态路由+BFD(NQA)配置
步骤2 :配置LSW1与AR3之间路由可达(静态路由),在R3上做双出口去往公网,其中电信为主链路,联通为备份链路。① 主链路为电信,电信链路出故障时,业务数据流量切换到联通链路。步骤4:配置单臂回声(适用于AR1和SW4之间链路故障场景。步骤5:配置NQA(适用于AR1与AR4之间链路故障场景)可知PC访问外网走联通链路,实现链路切换。AR 1和AR 2自行配置,不做赘述。步骤1:设备重命名以及IP地址的配置。(2)NQA与静态路由联动配置。按照规划自行配置,不做赘述。//配置测试报文的发送间隔。
2024-01-25 09:23:19
896
原创 华为设备配置简单流分类
实验需求:10.1.1.0/24网段的PC访问PC3,流量进入AR1时,DSCP字段优先级为0,在AR1进行配置,将10.1.1.0/24网段流量的优先级映射为内部优先级46。通过上述输出可知,10.1.1.0/24网段的流量进入G0/0/0口时优先级为0,在G0/0/2口被转发出去时优先级为EF(即46),与实验预计效果相符。测试PC1或PC2与PC3的连通性,并在AR1的G0/0/0、G0/0/2口抓包,观察IP头部的DSCP字段数值。此处只截取一部分回显信息!AR1的G0/0/0口抓包。
2024-01-24 10:39:46
1203
原创 Telnet登录设备的身份认证示例(HWTACACS认证)规格
命令,并输入用户名[email protected]和密码Huawei@1234,通过Telnet方式登录设备成功。管理员在PC上单击“运行”->输入“cmd”,进入Windows的命令行提示符界面,执行。管理员通过Telnet登录设备后,可以执行命令级别为0~15的所有命令行。配置用户通过Telnet登录设备的身份认证示例(HWTACACS认证)管理员输入正确的用户名和密码才能通过Telnet登录设备。适用于所有版本、所有形态的AR路由器。Router上的配置。
2024-01-22 09:59:47
839
原创 策略路由与NQA联动示例
某公司网络使用SwitchA做汇聚层交换机,接入层交换机LSW做用户网关,LSW和SwitchA之间路由可达。汇聚层交换机SwitchA通过两条链路连接到两个核心交换机上,一条是高速链路,网关为10.1.20.1/24;另外一条是低速链路,网关为10.1.30.1/24。通过在汇聚层交换机SwitchA上配置默认路由保证流量默认通过高速链路传输。
2024-01-19 14:50:41
836
原创 华为路由设备DHCPV6配置
如果大量的企业用户IPv6地址都是手动配置,那么网络管理员工作量大,而且可管理性很差。管理员希望实现公司用户IPv6地址和网络配置参数的自动获取,便于统一管理,实现IPv6的层次布局。使能DHCPv6服务器功能,实现设备通过DHCPv6方式分配IPv6地址。使能接口的IPv6功能,实现设备之间的IPv6通信。命令用来查看DHCPv6地址池信息。命令用来查看DHCPv6服务器信息。DHCPv6服务器组网图。
2024-01-17 19:59:35
1604
原创 NSR原理描述
完成批量备份,进入冗余保护状态的系统,当主用主控板发生软件或硬件故障后,备用主控板会从底层应该感知到主用主控板的故障,并自行升主。如果业务批量备份尚未结束时,主控板故障,备板升主后可能会因为业务数据不全而导致无法升主,因此这个种状态下无法完成NSR倒换,设备会整机重启,恢复故障前状态。进入该状态后,如果主控板出现故障,备板升主后就可以利用之前从主板备份过来的数据进行升主,恢复业务。完成批量备份后,系统进入实时备份阶段,在该阶段当邻居状态或路由信息发生时,主用主控板会实时将变化信息备份到备用主控板。
2024-01-13 16:19:13
436
原创 NSR简介
NSR是在有主用主控板和备用主控板的设备上,主用主控板发生故障时不影响邻居关系的一种可靠性技术。不间断转发NSF(Non-Stopping Forwarding)和不间断路由NSR(Non-Stopping Routing)是高可靠性的两个解决方案。
2024-01-12 17:21:53
403
原创 BFD原理
BFD在两台网络设备上建立会话,用来检测网络设备间的双向转发路径,为上层应用服务。BFD本身并没有邻居发现机制,而是靠被服务的上层应用通知其邻居信息以建立会话。会话建立后会周期性地快速发送BFD报文,如果在检测时间内没有收到BFD报文则认为该双向转发路径发生了故障,通知被服务的上层应用进行相应的处理。下面以OSPF与BFD联动为例,简单介绍会话工作流程。
2024-01-09 11:50:26
863
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人