衡水铁头哥的博客

2021年9月1日凌晨，微软邮件提醒我，又该升级新版的Windows 11了，并且发布了一个重磅消息。10月5日将开放Windows 11升级！消息可能是美国时间8月31日晚上发的。2021 年 10 月 5 日起，Windows 11 的免费升级将开始向符合条件的 Windows 10 PC 推出，预装 Windows 11 的 PC 也将开始销售。同时提到了Windows 11的11个亮点，为什么是11个？1、新的设计和声音现代、清新、干净、美丽，带给您平静和轻松的感.

通过前几次的折腾，openwrt路由器的基本功能已经具备了，但是我的主要目的在于验证一个“科学上网”的功能：SmartDNS。为什么叫“科学上网”呢？就是现在市面上存在比较多的DNS服务器，而各个服务器之间同步的进度和响应DNS请求的时间以及准确性可能存在较大差异。举个例子，大家经常使用的DNS服务器一般有114.114.114.114和8.8.8.8，前者IP地址在南京，后者IP地址在美国，响应时间会慢一些，而且第一个DNS服务器响应之后主机就会直接去请求这个地址，也不管其是否可达。因此种种吧，就

前面把openwrt装到了VMware workstation上，本来想把openwrt直接安装到ESXi的，但是转换镜像的时候不能生成OVF或者OVA文件。所以就先把镜像安装到了workstation，再导出来OVF文件，再迁移到ESXi。openwrt运行中，先检查一下主机状态信息。磁盘空间利用率和内存利用率真是出奇的低啊，一共272.5 M的磁盘用了20 M，内存用了25 M。查看资源利用率，99%的资源剩余。感觉内存分给他256 M都用不清。这么看我的3...

我用服务器做VMWare的时候有同学问我为什么不做黑群晖，买了个“矿渣”做黑群晖又有同学问我为什么不做软路由。这都提醒我肯定要紧跟时代发展的步伐，既然已经落后了，那就尽量往前追赶吧。我去了解了一下，这个软路由，主要是指OpenWrt。百度了一下，OpenWrt项目从2004年1月开始, 选择了从零开始搭建自己的系统，一点一点地把各种软件集合进去，使其接近Linksys版Firmware的功能。而OpenWrt 的成功之处是它的文件系统是可写的，开发者无需在每一次修改后重新编译，令它更像一个小型的Linu

之前发过几篇关于国产化相关的文章，把银河麒麟装进U盘、一问带你掌握通过storcli做RAID、统信UOS入门设置（简单使用说明）、国产操作系统统信UOS的简单故障维护等，包括今天发的国产PC，这些都和国产化、信创密不可分。国产化是国家级政策主导的战略方向。推动信息领域核心技术突破，自主创新推进网络强国建设。信创信创全称是信息技术应用创新，管理单位为中国电子工业标准化技术协会信息技术应用创新工作委员会（简称信创工委会），成立于2016年3月，是由从事软硬件关键技术研究、应用和服务的单位发起建立的非营

首先假设你会使用电脑（personal computer，简称PC），并且使用过Windows操作系统或macOS操作系统，那么看完本文，那么你基本上很容易接受统信UOS。（本文操作环境为搭载统信UOS桌面专业版1022的国产台式机UNIS CD2000。）系统激活商用操作系统都要求激活系统，UOS系统在未激活状态下部分功能受限（如应用商店无法下载应用），开机后及使用过程中会重复提示激活系统。可以在激活对话框中点击“激活”，或通过“设置→系统信息→关于本机→版本授权”点击“激活”进入到.

昨天费了九牛二虎之力把底层网络配通了，IS-IS这个协议用的确实少，不过好在配起来了，我骄傲了吗？这时，有个华三大佬讲了个笑话：“河神拿出IS-IS和OSPF，问：哪个是你掉的呢？ 我说：IS-IS。河神说：不可能，我在河里运维这么长时间了，根本没见过用IS-IS的。说完就把OSPF交给我，消失了……”简单回顾一下IS-IS的配置：配置路由器的Level级别和网络实体名称，并在指定接口（所有接口）上配置使能IS-IS功能，就OK了。不知道各位有没有去翻一下华三的官网，目前还没有SRv6的配置指导，所

你一定知道IPv4和IPv6，IPv6号称为地球上每一粒沙子都分一个IP地址。你有可能也听过大名鼎鼎的IPv9，但是从数学上面考虑，IPv10肯定比IPv9厉害啊。前面发了一篇IPv6的协议规范RFC8200，正式发布时间是2017年7月份，它废止了RFC2460，RFC2460又废止了RFC1883，RFC1883的草案是1995年3月份提出来的。什么概念呢？1994年4月，中国NCFC（中国国家计算机与网络设施，The National Computing and Networking Facili

昨天发了一篇Segment Routing的RFC文档，通过文档我们大概可以了解到Segment Routing（SR）是一种段路由协议，也称为源路由协议，由源节点指定转发路径，并将路径转换成一个有序的Segment列表（SID列表）封装到报文头中。路径的中间节点只需要根据报文头中的Segment列表进行转发，就像MPLS中那样，实际上，现阶段的SR也主要是通过MPLS TE来实现的。SR 架构可以在各种数据平面上实例化，RFC8402介绍了SR的两个数据平面实例：SR over MPLS（SR-MPL

回顾一下，前面两个IPsec实验挖了一个坑，就是IPsec和GRE在组合使用的时候，出现了MTU值无法验证的情况，今天来填一下坑。结合RFC2401、RFC2402、RFC2406的相关说明：IPsec SA（Security Association，安全联盟）分为两种类型：传输模式和隧道模式。传输模式 SA 是两个主机之间的安全联盟。在 ESP 的情况下，传输模式 SA 仅为这些更高层协议提供安全服务，而不是为 IP 标头或 ESP 标头之前的任何扩展标头提供安全服务。在 AH 的情况下，保护

上个实验介绍了GRE over IPsec，就是GRE在IPsec之上，在报文封装的时候先封装GRE，再封装IPsec，从报文结构上看起来就是一个IPsec封装的报文，看不到GRE封装的痕迹，是用IPsec保护GRE隧道。今天在上个实验基础上做一下IPsec over GRE实验，也就是GRE在IPsec之上，在报文封装的时候先封装IPsec，再封装GRE。因为GRE是不加密的，所以今天从报文结构上看，应该是可以看到外层封装GRE隧道、内层封装IPsec隧道的报文结构的，不能说用GRE隧道保护IPsec

关于相同的二层子网跨广域网进行互通，目前我们测试了VXLAN、IPsec和GRE三种方式，分别是（VXLAN小实验：VXLAN头端复制配置）、（为什么IPsec两端内网的网段能不能重复？分明可以实现！）和（GRE隧道也能实现两端配置相同子网了，快来看看！）。VXLAN特性比较新，所以部分场景下需要考虑使用IPsec或者GRE，但是GRE配置简单却不安全，IPsec使用又会有一些小的限制，所以一般会将IPsec和GRE组合使用。常见的两种类型包括IPsec over GRE和GRE over IPsec，

前面用两篇文章介绍了GRE（Generic Routing Encapsulation，通用路由封装）协议，分别是（）和（）。首先回顾一下：GRE协议用来对某种协议（如IP、MPLS、以太网）的数据报文进行封装，使这些被封装的数据报文能够在另一个网络（如IP）中传输。封装前后数据报文的网络层协议可以相同，也可以不同。封装后的数据报文在网络中传输的路径，称为GRE隧道。GRE隧道是一个虚拟的点到点的连接，其两端的设备分别对数据报文进行封装及解封装。先配置一个简单的“GRE over IPv4隧道”实验

上一个IPsec实验，我们测试了两端不同子网的隧道打通，那能不能打通两端相同的子网呢？原则上是不行的，因为不同站点的网段在设计时就要求不能冲突，这样会影响报文的正常转发。当分支数量大于2个时，也会导致不同隧道的保护流量源目地址段重复，进而导致数据转发异常。但是，大二层网络技术都已经实现了，为什么IPsec不能用呢？我们来一步一步地分析一下具体原因和解决办法。组网需求和组网图和上个实验相同。在RT1和RT2之间建立一条IPsec隧道，对PCA（192.168.1.101/24）与PCB（192

前面用VXLAN和EVPN介绍了跨广域网大二层网络互通的方案，但是我们也发现这种新技术对设备的能力有要求，成本可能会提升。那能不能用简单一点的方案呢？相信机智的小伙伴已经发现我前几天的IPsec的RFC文档，那么今天就用IPsec来操练一下吧。实验原型借鉴H3C典型配置“采用手工方式建立保护IPv4报文的IPsec隧道”，https://www.h3c.com/cn/d_202103/1390179_30005_0.htm#_Toc65521983。组网需求在RT1和RT2之间建立一条IPsec

前两个实验中我们发现EVPN中大量使用了VPN实例，并得到以下结论：RT是一种BGP扩展团体属性，用于控制EVPN路由的发布与接收。也就是说，RT决定了本端的EVPN路由可以被哪些对端所接收，以及本端是否接收对端发来的EVPN路由。RT分为ERT（Export RT，本端发送EVPN路由时，携带的RT属性设置为ERT）和IRT（Import RT，本端设置接收的对端的EVPN路由属性）。本端在收到对端的EVPN路由时，将路由中携带的ERT与本端的IRT进行比较，只有两者相等时才接收该路由，否则丢弃该路由

通过上一个实验，我们已经知道EVPN是一种二层VPN技术，控制平面采用MP-BGP通告EVPN路由信息，数据平面采用VXLAN封装方式转发报文。当租户的物理站点分散在不同位置时，EVPN可以基于已有的服务提供商或企业IP网络，为同一租户的相同子网提供二层互联；通过EVPN网关为同一租户的不同子网提供三层互联，并为其提供与外部网络的三层互联。EVPN不仅继承了MP-BGP和VXLAN的优势，还提供了新的功能。EVPN具有如下特点：简化配置：通过MP-BGP实现VTEP自动发现、VXLAN隧道自动建立、

上次发了从Windows 10升级到Windows 11的劣质教程，很多小伙伴表示不满意，说为什么不直接安装，要从Windows 10升级呢？其实这个地方有一个问题，就是目前没有有效的Windows 11激活工具，从Windows 10升级上去，自动继承了Windows 10的激活状态，不用再次激活，估计也就是这一点吧。先给大家看一眼使用镜像安装Windows 11的操作体验视频，从一个多小时压缩到整整5分钟，稍微有点长。Windows11超前预览镜像版本是22000.51，6月17日打包的版本

前面通过四个实验大概了解了一下VXLAN隧道的建立过程，包括二层的头端复制实验、集中式VXLAN网关和分布式VXLAN网关，而使用华为模拟器eNSP做的实验因为模拟器问题没有成功。不过这四个实验都有一个共同点，那就是都是以手工方式进行建立和关联的。VXLAN隧道的建立方式有两种：1、手工方式，就是前面实验用到的。手工配置Tunnel接口，并指定隧道的源IP地址和目的IP地址分别为本端和远端VTEP的IP地址。2、自动方式，一般是通过ENDP（Enhanced Neighbor Discovery