- 博客(54)
- 收藏
- 关注
RSS订阅原创 MPLS VPN-跨域OptionB
但是,在MPLS VPN中,ASBR(Autonomous System Boundary Router,自治系统边界路由器)、HoVPN组网应用中的SPE(Superstratum PE or Service Provider-end PE,上层PE或运营商侧PE),接收到的承载VPN报文的MPLS报文可能只有一层标签,此时,这些设备上并不存在到达报文发送者的路由,则采用第二种方法回应TTL超时消息。在MPLS网络中,当LSR收到TTL为1的含有标签的MPLS报文时,LSR生成ICMP的TTL超时消息。
2024-05-15 13:00:19
395
原创 VLAN聚合
VLAN聚合(VLAN Aggregation,也称Super VLAN)指在一个物理网络内,用多个VLAN(称为Sub-VLAN)隔离广播域,并将这些Sub-VLAN聚合成一个逻辑的VLAN(称为Super-VLAN),这些Sub-VLAN使用同一个IP子网和缺省网关。VLAN聚合通过定义Super-VLAN和Sub-VLAN,使Sub-VLAN只包含物理接口,负责保留各自独立的广播域;Super-VLAN不包含物理接口,只用来建立三层VLANIF接口。
2024-05-10 11:05:08
275
原创 交换机端口隔离
如果用户希望隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信,则可以将隔离模式设置为二层隔离三层互通;如果用户希望同一VLAN不同端口下用户彻底无法通信,则可以将隔离模式配置为二层三层均隔离即可。接口的单向隔离是指若在接口A上配置它与接口B隔离,则从接口A发送的报文不能到达接口B,但从接口B发送的报文可以到达接口A。可以看到ARP表项中PC2的MAC地址为网关MAC地址。通过ARP代理可以实现三层互通。通过网关将数据包转发给PC2。
2024-05-08 12:10:46
445
原创 WLAN-二层隧道转发
1.icmp数据包被封装在capwap协议中,由AP单播发送给AC,内层vlan10,外层vlan254。4.AC收到icmp应答报文,外层封装capwap报头,单播发送给AP。SW1连接AP的接口还可以配置成access或hybrid。2.AC收到capwap报文后解封装,根据内层报文转发。STA ping 网关,数字1-4对应下面的抓包。3.网关回复icmp应答报文,发送给AC。
2024-05-07 10:55:26
225
原创 H3C M-LAG + VRRP
定时器超时之前,业务口(除M-LAG保留接口以外的接口)状态为M-LAG MAD DOWN。peer-link故障,设备通过keepalive选举主从,从设备的部分接口置为M-LAG MAD DOWN状态,设置保留接口后,接口状态依旧为UP。将M-LAG1关机后,R1与M-LAG1连接的接口显示依旧为UP,有一些延迟之后变为down,中间会丢一些包,当接口down后恢复流量。将M-LAG1启动,M-LAG1将变成从设备,不会抢占,经过恢复定时器到期后,接口有mad down变为UP,开始转发流量。
2024-04-03 09:38:05
1253
4
原创 H3C--堆叠(IRF)
(上面堆叠分裂,堆叠备设备的接口DOWN,ACC2上连接PC2的接口也会变为DOWN,由于PC2单归接入,流量中断)为了防止IRF级联组网时,本IRF的MAD检测报文转发到邻居IRF中影响邻居IRF的MAD检测,执行。补充:由于模拟器PC不支持双归接入,对于服务器来说,可以双归接入接入层交换机。恢复堆叠连线,备设备重启,堆叠恢复,被置为DOWN的接口恢复UP。备堆叠设备的除保留接口外的接口DOWN。堆叠主设备的接口正常,保证业务正常转发。PC1无法ping通网关了。测试访问6.6.6.6。
2024-03-22 10:50:16
2325
原创 MAC地址(静态、黑洞、优先级)
当配置动作为discard时,会对报文的源MAC地址进行匹配,当报文的源MAC地址与MAC地址表项匹配时,则对该报文进行转发。为防止非法用户伪造服务器MAC地址入侵交换机,可以提高服务器侧接口的MAC地址学习优先级,接口配置不同优先级之后,如果不同接口学到相同的MAC地址表项,为了防止黑客通过MAC地址攻击用户设备或网络,可将非信任用户的MAC地址配置为黑洞MAC地址。当设备收到目的MAC或源MAC地址为黑洞MAC地址的报文,直接丢弃。关闭MAC地址学习功能后,设备将不会再从该接口学习新的MAC地址。
2024-03-20 09:15:37
1189
原创 BGP 路由过滤
R3配置实现通告除了10.1.0.0/24和10.1.1.0/24以外的10.1.X.0/24的路由2)BGP ORFR2配置实现(1)需求R3上配置3.3.3.3/32添加as-path 500并通告,R2过滤掉as-path为500的路由R3配置30.3.3.3携带团体属性200:3,R2过滤掉该属性路由AR1过滤10.1.x.0/24(x为偶数)的路由。
2024-02-22 15:56:16
1075
原创 BGP 邻居建立
命令之后,非标签公网路由既可以迭代到有LSP隧道的路由并且继承这条LSP隧道,也可以迭代到IP路由,这样迭代结果就会出现两条等价路由,两者形成负载分担,一条走LSP隧道转发,一条走IP转发。如果两条链路中IP转发的链路不通,走IP转发的流量会被丢弃,导致业务中断。为了解决上述问题,可以指定参数。,使非标签公网路由只迭代有LSP隧道的路由,如果LSP隧道路由不存在,则迭代不成功。AR2、AR4上配置。
2024-02-19 17:26:48
719
原创 IS-IS 接口认证密码平滑更换
指定密码为密文类型,可以键入明文或密文口令,在查看配置文件时以密文方式显示口令。当IS-IS接口链路类型为Level-1-2时,如果不选择参数。当IS-IS接口链路类型为Level-1-2时,如果不选择参数。指定密码为明文类型,只能键入明文口令,在查看配置文件时以明文方式显示口令。,则为Level-1和Level-2的Hello报文都配置认证模式和密码。,则为Level-1和Level-2的Hello报文都配置认证模式和密码。字符串形式,可以为字母或数字,区分大小写,不支持空格。
2024-02-08 11:05:09
904
原创 IS-IS weight影响路由加表
R1通过边界下发的ATT置1的LSP,生成2条默认路由,两条默认路由负载均衡。再次查看路由表,只有一条下一跳为10.1.12.2的路由存在。通过修改weight值,使其中下一跳为R2的路由加表。
2024-02-07 17:17:26
385
原创 IS-IS P2P网路类型 地址不在同一子网建立邻居关系
可以通信的原因:AR2访问AR1,下一跳为10.1.12.1,ARP请求下一跳的MAC地址,由于AR1的G0/0/0接口掩码为24位,ARP请求的IP地址与源地址属于同一网段,所以回应ARP Reply,AR2、AR1得到了双方接口的MAC地址,成功通信。如果接口配置了从IP,那么。不通的原因:AR1访问10.1.12.130,匹配IS路由的下一跳为10.1.12.130,ARP请求10.1.12.130的MAC地址,由于与AR2的接口不在同一网段,被AR2丢弃,无法获得MAC地址信息。
2024-02-07 17:14:29
1829
原创 IS-IS FRR与BFD
BFD检测到接口链路故障后,BFD会话状态会变为Down并触发系统进行快速重路由,将流量从故障链路切换到备份链路上,从而达到流量保护的目的。表1中不等式Distance_opt(X,Y)是指节点X到Y之间的最优路径的开销值。其中,S是转发流量的源节点,E是发生故障的节点,N是备份链路的节点,D是流量转发的目的节点。整数形式,取值范围是10~2000,单位是毫秒。整数形式,取值范围是10~2000,单位是毫秒。在IS-IS进程中,建立BFD会话后,本地的最小接收间隔。指定向对端发送BFD报文的最小发送间隔。
2024-02-05 10:46:02
366
原创 IS-IS OL位
AR1的OL置1,shutdownAR3的G0/0/1接口,AR2将无法收到3.3.3.3的路由。overload置位,不会传递非直连的LSP,可通过设置传递区域间的LSP。
2024-02-04 16:27:11
330
原创 IS-IS 基本配置
配置ISIS多区域配置ISIS接口级别与设备级别AR2与AR3之间的ISIS网络类型为P2PAR2和AR3互联地址不在同一网段,AR2与AR3可建立邻居保证P2P链路的可靠性,修改建立邻居时采用的模式P2P链路发送更小的Hello包修改DIS路由器。
2024-01-26 15:34:30
1244
原创 OSPF LSA汇总
配置OSPF,汇总3类LSA和5类LSAAR1为出口路由器,配置静态路由,并在OSPF进程中下放默认路由假设10.10.1.0/24网络不可达,在AR1上 tracert 10.10.1.1,观察现象。
2024-01-23 15:59:06
413
原创 OSPF-LSA过滤
1)AR2上过滤掉AR3和AR4直连网段的路由,查看AR1和AR2的路由表及LSDB是否受影响2)3类LSA过滤 10.10.x.0/24(x为奇数),查看AR1和AR2的路由表及LSDB是否受影响3)过滤掉5类LSA5 10.10.x.0/24(x为偶数)4)在ABR上过滤掉区域1内的10.10.4.0的路由,查看AR1和AR2的路由表及LSDB是否受影响。
2024-01-22 16:18:11
510
1
原创 OSPF 外部路由的FA地址
运行OSPF多区域,其中区域1为NSSAR4上引入外部路由,默认7转5的转换者为R3(router-id大的成为转换者)设置R2为转换者,查看lsdb是否转换者变为R2,查看R1环回口访问R4的环回口路径清除FA地址,使R1环回口能够访问R4的环回口R2依旧为转换者路由器,取消抑制FA地址,在R1上过滤掉FA地址网段的路由,使R1环回口能够访问R4的环回口。
2024-01-19 15:17:08
1080
1
原创 OSPF 多区域与Vlink
2)若R2、R4互联链路故障,保障R2与R4环回口之间可通信。SW1部署部分互联网络,其中R2、R3之间不能直接通信。1)配置OSPF多区域,R2,R3的环回口属于区域0。
2024-01-18 15:10:28
430
1
原创 OSPF网络类型
由于AR1、AR2、AR3通过SW1互联的接口的OSPF网络类型默认为Broadcast,会选举DR和BDR,鉴于AR2和AR3不能通过SW1直接通信,此处使AR1成为DR,AR2和AR3成为DR-Other。查看AR2到AR3的环回口路由,由于是Broadcast网络类型,OSPF认为AR1、AR2、AR3直接相连,所以到3.3.3.3的下一跳为AR3。查看AR2到AR3的环回口路由,由于是nbma网络类型,OSPF认为AR1、AR2、AR3直接相连,所以到3.3.3.3的下一跳为AR3。
2024-01-04 18:05:44
875
1
原创 防火墙虚拟系统——租户隔离
从上图可以看出,我们想的没错,OSPF的LSDB中确实收到了100网段的3类LSA,但是并没有去计算路由,因为在FW和SW1上开启了VPN-Instance,从而触发了OSPF多实例下的3类LSA防环,只是将3类LSA放到了LSDB中,并未计算路由,因此,FW和SW1关闭VPN实例防环检测。上面的实验实现最优路径,配置的是32位的主机路由,有的小伙伴会问,如果我配置成24位掩码的静态路由可不可以.....当然也是可以的,但是配置会稍微复杂一些。
2023-12-29 17:45:00
1044
1
原创 防火墙虚拟系统——引流表
在虚拟系统和根系统互访的场景中,虚拟系统和根系统都会按照防火墙转发流程对报文进行处理。针对互访的业务,虚拟系统和根系统都要配置策略、都会建立会话。这样,一方面增加了配置的复杂性,另一方面,每条连接都需要两条会话,业务量大时,会造成整机的会话资源紧张。通过配置引流表,可以解决上述问题。报文命中引流表时,根系统不再按照防火墙转发流程处理报文,而是按路由表或引流表直接转发报文。因此,根系统中不需要为命中引流表的报文配置策略,根系统也不会为命中引流表的报文创建会话。
2023-12-25 12:50:55
1379
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人