衡水铁头哥的博客

Forwarder 01的虚拟MAC地址后面有个Take Over的备注，说明VRRP2现在不仅可以响应原本自身的虚拟MAC地址的请求，还可以响应原本属于Master设备的虚拟MAC地址的请求，实现业务不中断转发

配置VRRP多备份组来实现设备的主备，同时配置策略路由来实现流量在不同备份组之间的负载分担是基本可行的

实时证明，策略路由的状态切换确实比VRRP要差很多；使用策略路由时，同时兼顾负载均衡和主备切换的性能要差一些

在正常使用中，先打开HCL创建设备及互联关系，然后运行au3脚本，再打开MobaXterm，双击会话名称进入命令行，齐活

前面我们提到，在默认情况下，为了让VPP将接口绑定到DPDK，我们需要将对应的接口DOWN掉，然后通过在VPP配置文件中绑定接口对应的PCI地址来绑定到DPDK。但是，前面通过命令操作的配置属于易失性配置，重启之后就不在了，也就是说，即使我们把接口DOWN掉了，但是重启后接口还是会UP起来。这里有没有发现一个问题，那就是分明配置了VPP的接口，但是一重启配置就丢了，DPDK纳管的网卡就不见了。下一个问题，就是VPP中的配置也是易失的，重启之后就没有了，我们要把它写到配置文件中。好的，我们回到第一种方法。..

为了让VPP将接口绑定到DPDK，我们需要将对应的接口DOWN掉，然后通过在VPP配置文件中绑定接口对应的PCI地址来绑定到DPDK。很不幸，第一条就不满足。在DPDK官网，关于部署有相关文档，但是没有和VPP对应的20.09这个版本，所以我选择安装20.11这个版本，毕竟正常都应该是向下兼容的。然后就是glibc版本不低于2.7，可以使用命令ldd--version来检查，还好版本是2.17，满足要求。可以看到，在宿主机上已经看不到ens224接口了，对应的，可以在VPP中看到eth1接口。...

在 Linux 中，有一种接口叫做“veth”，像是Windows里面的虚拟网卡，但veth设备是成对出现的，一端连接内核的协议栈，另一端相连VPP的接口。所以，也可以将“veth”接口视为具有两端（而不是一端）的接口。...

在 Linux 中，有一种接口叫做“veth”，像是Windows里面的虚拟网卡，但veth设备是成对出现的，一端连接内核的协议栈，另一端相连VPP的接口。所以，也可以将“veth”接口视为具有两端（而不是一端）的接口。...

实际使用中穿越NAT在所难免，其实这种也好解决，按照前面配置H3C的思路，我们调整对应的配置为野蛮模式+FQDN应该就可以了。

VSR和strongSwan一样的地方：第一阶段的协商模式默认都是主模式，第二阶段默认的加密模式都是ESP，报文封装模式默认都是隧道模式。

Connections可以理解为对等体信息，其中前3行是IKE对等体信息，有本端和对端的身份标识以及认证方式；最后一行child就是IPsec连接，模式为TUNNEL隧道模式，因为IPsec SA是基于IKE SA创建的，所以用child来表示也是比较合理的。...

strongSwan是一个开源的基于IPsec的VPN解决方案，最近要用到strongSwan来对接其他系统的IPsec，不能贸然行动，先在Linux环境下测试一下相同环境下如何配置。

ipsec.conf是strongSwan的关键配置，文件指定了strongSwan IPsec子系统的大部分配置和控制信息。主要的例外是身份验证的密钥，配置保存在ipsec.secrets文件中。

strongSwan是一个开源的基于IPsec的VPN解决方案，ipsec.secrets是strongSwan的关键配置，文件保存了strongSwan IPsec子系统用于IKE身份验证的密钥表信息。这些密钥被strongSwan互联网密钥交换（Internet Key Exchange，IKE）守护程序pluto（IKEv1）和charon（IKEv2）用于验证其他主机。这些密钥必须被妥善保管，该文件应为超级用户所有，其权限应设置为阻止其他人的所有访问。...

前面把openwrt装到了VMware workstation上，本来想把openwrt直接安装到ESXi的，但是转换镜像的时候不能生成OVF或者OVA文件。所以就先把镜像安装到了workstation，再导出来OVF文件，再迁移到ESXi。openwrt运行中，先检查一下主机状态信息。磁盘空间利用率和内存利用率真是出奇的低啊，一共272.5 M的磁盘用了20 M，内存用了25 M。查看资源利用率，99%的资源剩余。感觉内存分给他256 M都用不清。这么看我的3...

我用服务器做VMWare的时候有同学问我为什么不做黑群晖，买了个“矿渣”做黑群晖又有同学问我为什么不做软路由。这都提醒我肯定要紧跟时代发展的步伐，既然已经落后了，那就尽量往前追赶吧。我去了解了一下，这个软路由，主要是指OpenWrt。百度了一下，OpenWrt项目从2004年1月开始, 选择了从零开始搭建自己的系统，一点一点地把各种软件集合进去，使其接近Linksys版Firmware的功能。而OpenWrt 的成功之处是它的文件系统是可写的，开发者无需在每一次修改后重新编译，令它更像一个小型的Linu

之前发过几篇关于国产化相关的文章，把银河麒麟装进U盘、一问带你掌握通过storcli做RAID、统信UOS入门设置（简单使用说明）、国产操作系统统信UOS的简单故障维护等，包括今天发的国产PC，这些都和国产化、信创密不可分。国产化是国家级政策主导的战略方向。推动信息领域核心技术突破，自主创新推进网络强国建设。信创信创全称是信息技术应用创新，管理单位为中国电子工业标准化技术协会信息技术应用创新工作委员会（简称信创工委会），成立于2016年3月，是由从事软硬件关键技术研究、应用和服务的单位发起建立的非营

首先假设你会使用电脑（personal computer，简称PC），并且使用过Windows操作系统或macOS操作系统，那么看完本文，那么你基本上很容易接受统信UOS。（本文操作环境为搭载统信UOS桌面专业版1022的国产台式机UNIS CD2000。）系统激活商用操作系统都要求激活系统，UOS系统在未激活状态下部分功能受限（如应用商店无法下载应用），开机后及使用过程中会重复提示激活系统。可以在激活对话框中点击“激活”，或通过“设置→系统信息→关于本机→版本授权”点击“激活”进入到.

昨天费了九牛二虎之力把底层网络配通了，IS-IS这个协议用的确实少，不过好在配起来了，我骄傲了吗？这时，有个华三大佬讲了个笑话：“河神拿出IS-IS和OSPF，问：哪个是你掉的呢？ 我说：IS-IS。河神说：不可能，我在河里运维这么长时间了，根本没见过用IS-IS的。说完就把OSPF交给我，消失了……”简单回顾一下IS-IS的配置：配置路由器的Level级别和网络实体名称，并在指定接口（所有接口）上配置使能IS-IS功能，就OK了。不知道各位有没有去翻一下华三的官网，目前还没有SRv6的配置指导，所

你一定知道IPv4和IPv6，IPv6号称为地球上每一粒沙子都分一个IP地址。你有可能也听过大名鼎鼎的IPv9，但是从数学上面考虑，IPv10肯定比IPv9厉害啊。前面发了一篇IPv6的协议规范RFC8200，正式发布时间是2017年7月份，它废止了RFC2460，RFC2460又废止了RFC1883，RFC1883的草案是1995年3月份提出来的。什么概念呢？1994年4月，中国NCFC（中国国家计算机与网络设施，The National Computing and Networking Facili

昨天发了一篇Segment Routing的RFC文档，通过文档我们大概可以了解到Segment Routing（SR）是一种段路由协议，也称为源路由协议，由源节点指定转发路径，并将路径转换成一个有序的Segment列表（SID列表）封装到报文头中。路径的中间节点只需要根据报文头中的Segment列表进行转发，就像MPLS中那样，实际上，现阶段的SR也主要是通过MPLS TE来实现的。SR 架构可以在各种数据平面上实例化，RFC8402介绍了SR的两个数据平面实例：SR over MPLS（SR-MPL

回顾一下，前面两个IPsec实验挖了一个坑，就是IPsec和GRE在组合使用的时候，出现了MTU值无法验证的情况，今天来填一下坑。结合RFC2401、RFC2402、RFC2406的相关说明：IPsec SA（Security Association，安全联盟）分为两种类型：传输模式和隧道模式。传输模式 SA 是两个主机之间的安全联盟。在 ESP 的情况下，传输模式 SA 仅为这些更高层协议提供安全服务，而不是为 IP 标头或 ESP 标头之前的任何扩展标头提供安全服务。在 AH 的情况下，保护

上个实验介绍了GRE over IPsec，就是GRE在IPsec之上，在报文封装的时候先封装GRE，再封装IPsec，从报文结构上看起来就是一个IPsec封装的报文，看不到GRE封装的痕迹，是用IPsec保护GRE隧道。今天在上个实验基础上做一下IPsec over GRE实验，也就是GRE在IPsec之上，在报文封装的时候先封装IPsec，再封装GRE。因为GRE是不加密的，所以今天从报文结构上看，应该是可以看到外层封装GRE隧道、内层封装IPsec隧道的报文结构的，不能说用GRE隧道保护IPsec

关于相同的二层子网跨广域网进行互通，目前我们测试了VXLAN、IPsec和GRE三种方式，分别是（VXLAN小实验：VXLAN头端复制配置）、（为什么IPsec两端内网的网段能不能重复？分明可以实现！）和（GRE隧道也能实现两端配置相同子网了，快来看看！）。VXLAN特性比较新，所以部分场景下需要考虑使用IPsec或者GRE，但是GRE配置简单却不安全，IPsec使用又会有一些小的限制，所以一般会将IPsec和GRE组合使用。常见的两种类型包括IPsec over GRE和GRE over IPsec，

前面用两篇文章介绍了GRE（Generic Routing Encapsulation，通用路由封装）协议，分别是（）和（）。首先回顾一下：GRE协议用来对某种协议（如IP、MPLS、以太网）的数据报文进行封装，使这些被封装的数据报文能够在另一个网络（如IP）中传输。封装前后数据报文的网络层协议可以相同，也可以不同。封装后的数据报文在网络中传输的路径，称为GRE隧道。GRE隧道是一个虚拟的点到点的连接，其两端的设备分别对数据报文进行封装及解封装。先配置一个简单的“GRE over IPv4隧道”实验

上一个IPsec实验，我们测试了两端不同子网的隧道打通，那能不能打通两端相同的子网呢？原则上是不行的，因为不同站点的网段在设计时就要求不能冲突，这样会影响报文的正常转发。当分支数量大于2个时，也会导致不同隧道的保护流量源目地址段重复，进而导致数据转发异常。但是，大二层网络技术都已经实现了，为什么IPsec不能用呢？我们来一步一步地分析一下具体原因和解决办法。组网需求和组网图和上个实验相同。在RT1和RT2之间建立一条IPsec隧道，对PCA（192.168.1.101/24）与PCB（192

前面用VXLAN和EVPN介绍了跨广域网大二层网络互通的方案，但是我们也发现这种新技术对设备的能力有要求，成本可能会提升。那能不能用简单一点的方案呢？相信机智的小伙伴已经发现我前几天的IPsec的RFC文档，那么今天就用IPsec来操练一下吧。实验原型借鉴H3C典型配置“采用手工方式建立保护IPv4报文的IPsec隧道”，https://www.h3c.com/cn/d_202103/1390179_30005_0.htm#_Toc65521983。组网需求在RT1和RT2之间建立一条IPsec

前两个实验中我们发现EVPN中大量使用了VPN实例，并得到以下结论：RT是一种BGP扩展团体属性，用于控制EVPN路由的发布与接收。也就是说，RT决定了本端的EVPN路由可以被哪些对端所接收，以及本端是否接收对端发来的EVPN路由。RT分为ERT（Export RT，本端发送EVPN路由时，携带的RT属性设置为ERT）和IRT（Import RT，本端设置接收的对端的EVPN路由属性）。本端在收到对端的EVPN路由时，将路由中携带的ERT与本端的IRT进行比较，只有两者相等时才接收该路由，否则丢弃该路由

通过上一个实验，我们已经知道EVPN是一种二层VPN技术，控制平面采用MP-BGP通告EVPN路由信息，数据平面采用VXLAN封装方式转发报文。当租户的物理站点分散在不同位置时，EVPN可以基于已有的服务提供商或企业IP网络，为同一租户的相同子网提供二层互联；通过EVPN网关为同一租户的不同子网提供三层互联，并为其提供与外部网络的三层互联。EVPN不仅继承了MP-BGP和VXLAN的优势，还提供了新的功能。EVPN具有如下特点：简化配置：通过MP-BGP实现VTEP自动发现、VXLAN隧道自动建立、

前面通过四个实验大概了解了一下VXLAN隧道的建立过程，包括二层的头端复制实验、集中式VXLAN网关和分布式VXLAN网关，而使用华为模拟器eNSP做的实验因为模拟器问题没有成功。不过这四个实验都有一个共同点，那就是都是以手工方式进行建立和关联的。VXLAN隧道的建立方式有两种：1、手工方式，就是前面实验用到的。手工配置Tunnel接口，并指定隧道的源IP地址和目的IP地址分别为本端和远端VTEP的IP地址。2、自动方式，一般是通过ENDP（Enhanced Neighbor Discovery

做完实验之后就要考虑实际的应用场景了，以头端复制实验为例，我们可以发现：VTEP负责复制报文，采用单播方式将复制后的报文通过本地接口发送给本地站点，并通过VXLAN隧道发送给VXLAN内的所有远端VTEP。过程就像RFC7438中4.1节描述的那样：设想一台VXLAN overlay网络中的 VM，这台VM感知不到VXLAN。为了与不同主机上的虚拟机通信，它会像往常一样发送一个发往目标的 MAC 帧。物理主机上的 VTEP 查找与此 VM 关联的 VNI，然后确定目标 MAC 是否在同一网段上，以及目标

从前面两个实验我们已经知道：VXLAN可以为分散的物理站点提供二层互联。实验（1）演示了二层互通的网络环境，此时如果要为VXLAN站点内的虚拟机提供三层业务，则需要在网络中部署VXLAN IP网关，以便站点内的虚拟机通过VXLAN IP网关与外界网络或其他VXLAN网络内的虚拟机进行三层通信。将实验一中的一台虚拟机换成网关，就是部署在独立的物理设备上的场景，也称为独立VXLAN IP网关。也可以部署在其中一台VTEP设备上，像实验二中那样配置，这种就属于集中式VXLAN IP网关。与独立的VXLAN I

昨天用华为模拟器做完VXLAN实验之后，总感觉不爽。毕竟因为模拟器有问题，没有得到理想的实验结果，那就只能用点企业级的装备来武装一下了。H3C VSR1000，这款路由器，配置上4核8G，应该能打到1G以上的转发性能。废话少说，来做一个H3C官网的“VXLAN头端复制配置”小实验。组网需求VSR1、VSR3为与服务器连接的VTEP设备，VSR2为与广域网连接的集中式VXLAN IP网关设备。虚拟机VM1和VM3同属于VXLAN10。通过VXLAN实现不同站点间的二层互联，确保虚拟机在站点之间进行

昨天用华为模拟器做完VXLAN实验之后，总感觉不爽。毕竟因为模拟器有问题，没有得到理想的实验结果，那就只能用点企业级的装备来武装一下了。H3C VSR1000，这款路由器，配置上4核8G，应该能打到1G以上的转发性能。废话少说，来做一个H3C官网的“VXLAN头端复制配置”小实验。组网需求VSR1、VSR2、VSR3为与服务器连接的VTEP设备。虚拟机VM1、VM2和VM3同属于VXLAN10。通过VXLAN实现不同站点间的二层互联，确保虚拟机在站点之间进行迁移时用户的访问流量不会中断。实验

前段时间刚部署好了eNSP，紧接着又看了VXLAN的文档，现在我们大概已经知道VXLAN隧道的建立方式分为手工创建和自动创建，放在华为设备上，配置方式可以分为静态方式和EVPN的方式。那今天就来敲一个静态方式手工建立VXLAN隧道的小实验。实验环境Windows7旗舰版（Xeon E5 v3@2.5GHz x16核心，32G内存）eNSP（V100R003C00SPC100）CE12800（V200R005C10SPC607B607）组网需求某公司有两个数据中心机房，A机房的服务器V

简介本文档描述了虚拟可扩展局域网 (Virtual eXtensible Local Area Network，VXLAN)，该网络用于解决在容纳多租户的虚拟化数据中心内对overlay网络的需求。该方案及相关协议可用于云服务提供商和企业数据中心的网络。本备忘录记录了已部署的 VXLAN 协议，以造福 Internet 社区。本备忘录的状态本文档不是 Internet Standards Track 规范；它是为了信息目的而发布的。这是对 RFC 系列的贡献，独立于任何其他RFC流。RFC编

1.引言1.1、动机Internet协议旨在用于数据包交换计算机通信网络的互连系统中。这样的系统被称为“catenet”。 互联网协议提供了从源向目的地传输称为数据包的数据块的功能，其中源和目的地是由固定长度地址标识的主机。互联网协议还提供了长数据包的分段和重组（如果需要），以便通过“小数据包”网络进行传输。1.2、范围互联网协议的范围受到特定限制，以提供必要的功能，以通过互连的网络系统将比特包（互联网数据包）从源传递到目的地。没有任何机制可以增强端到端数据的可靠性，流控制，排序或主机到主机

介绍定义此用户数据报协议（User Datagram Protocol，UDP），以在一组互连的计算机网络环境中提供数据包交换计算机通信的数据报模式。该协议假定将Internet协议（IP）用作基础协议。该协议为应用程序提供了一种以最少的协议机制将消息发送到其他程序的过程。 该协议是面向事务的，因此不能保证交付和重复保护。需要有序可靠传输数据流的应用程序应使用传输控制协议（TCP）。格式用户数据包头格式字段源端口是一个可选字段，当有意义时，它指示发送过程的端口，并且可以假定为

昨天发了一篇EVPN的文章，近期要研究一下EVPN，但是华三的模拟器HCL不支持EVPN，没有办法，只能倒戈转向华为的eNSP了。eNSP(Enterprise Network Simulation Platform)是一款由华为提供的免费的、可扩展的、图形化操作的网络仿真工具平台，主要对企业网络路由器、交换机进行软件仿真，完美呈现真实设备实景，支持大型网络模拟，让广大用户有机会在没有真实设备的情况下能够模拟演练，学习网络技术。首先准备安装包。...

上次发了服务器上公网（低成本用L2TP把物理服务器放到了公网，省了几万块）的文章，当时L2TP拨号用的是网络上的解决方案，也就是现成的脚本，一跑就OK了。像这样：输入几个关键信息，脚本就自动执行完成了。我看了一下，脚本一共810行，功能很强大，系统方面支持CentOS 6+、Debian 7+、Ubuntu 12+。但实际上有个隐藏的问题。上次部署用的是CentOS 7的系统，一切正常，重新部署之后腾讯云的CentOS仅支持8.3的镜像，安装频...