m0_68698993的博客

原创 HUAWEI综合实验一

7.R1通过telnetR2的外网地址从而登陆DHCP服务器。1.总部核心与接入层交换机通过L2 Eth-trunk互联。9.通过ACL控制PC1和DHCP-Server的互访。5.总部三层运行OSPF，并且下发默认路由。8.总部三层运行OSPF，并且下发默认路由。配置acl不让pc1访问dhcp服务器ip。配置人r1接口地址并配置NAT和默认路由。6.总部分部均通过NAT实现外网访问。2.总部通过L3交换机实现内网互通。3.总部PC通过DHCP获取地址。总部的OSPF以及下发默认路由。

原创 2024上半年网络工程师考试《应用技术》试题二

在SW1和SW2的VLANIF10接口上配置VRRP组，将SW1的VLANIF10的接口设置为VLAN10的VRRP的主网关 ，SW2的VLANIF10接口设置位VLAN10的VRRP备网关；同时在SW1和SW2的VLANIF20的接口上配置VRRP组，将SW2的VLANIF20接口设置为VLAN20的VRRP主网关，SW1的VLANIF20接口设置为VLAN20的VRRP备网关；将VLAN10和VLAN20的主机的默认网关设置为对应的VRRP的虚拟网关IP地址。增加连线后还需要配置什么避免形成二层环路?

原创 HUAWEI VRRP 实验

测试正常，PC1优先走SW1.因为SW1是VLAN 8 的主根桥，PC2优先走SW2，因为SW2是VLAN 9 的主根桥，PC3自行测试，不一一列举。实验要求：在汇聚交换机上SW1和SW2中实施VRRP以保证终端网关的高可靠性(当某一个网关设备失效时，其他网关设备依旧可以实现业务数据的转发。3.PC2、PC3访问远端网络8.8.8.8，优先走SW2。1.在SW1和SW2之间配置链路聚合，以提高带宽速度。最后配置PC1、PC2和PC3的IP地址。1.先完成VLAN的基础配置。2.完成VLANIF的配置。

原创 2024上半年网络工程师考试《应用技术》试题一

位于MPLS域边缘、连接其他网络的LSR称为(3),区域内部的LSR称为核心LSR(CoreLSR)IP报文进入MPLS网络时，MPLS入口设备分析IP报文的内容并为其添加合适的标签，所有MPLS网络中的LSR根据标签转发数据，当该IP报文离开MPLS网络时，标签由出口LER弹出。IP报文在MPLS网络中经过的路径称为(4),LSP是一个单向路径,与数据流的方向一致.LSP的入口LER称为(5):位于LSP中间的LSR称为中间节点(Transit);LSP的出口LER称为(6)。(1)-(6)备选答案。

原创 HUAWEI MPLS 静态配置和动态LDP配置

在MPLS网络中，位于网络边缘的路由称为LER(Label Edge Router)，网络内部路由器称为LSR(Label Switch Router)，MPLS报文经过的路径称为LSP(Label Switch Path)。若不是，则根据报文的目的地址查找路由表，若找到路由，将报文送给相应端口的数据链路层，数据链路层封装后，发送报文。查找LFIB，如果对应的出标签是特殊标签，如标签3 ，则将报文的标签去掉，进行IP转发。标签（Label）：是一个定长的，比较短的，只有本地意义的标识，4字节（0-3）

原创 网络工程师案例题3

但一般情况下都是随机选择一条链路转发流量，并不考虑各条链路的实际带宽或链路的实时状态，为了解决这种问题，我们可以部署（ 1 ）功能来解决，FW通过部署这项功能后，即可根据（ 2 ）、权重、（ 3 ）或者自动探测到的链路质量，动态选择最优链路，并根据各链路实时状态动态调整分配结果，以此提高链路资源的利用率和用户体验。其利用绑定表（ 11 ）、（ 12 ）、（ 13 ）、（ 14 ）的绑定关系去匹配检查二层接口上收到的IP报文，只有匹配绑定表的报文才允许通过，其他报文将被丢弃。

原创 网络工程师案例题2

因为缺少域内nat，当内网终端访问服务器映射的公网ip时，防火墙会将目的地址转换为服务器的私网地址，并转发给内部服务器，当服务器在返回响应数据包时，路由发现目标地址就在内网，因此不会将报文发送给自己的默认网关（防火墙），而采用直接交付，当终端收到响应报文时并不是自己所访问的服务器（公网地址）的响应报文，会将报文丢弃，从而导致数据通信失败。外部流量访问内部应用，来自一个ISP的外网用户，而USG设备从另一个ISP出口把数据包返回给用户，导致请求和回应路径不一致丢失数据。请分析造成该现象的原因并给出解决方案。

原创 网络工程师案例题1

某企业办公网络拓扑如图，该网络中的交换机Switch1-Switch4均是二层设备，分布办公楼的楼层，上联采用千兆光纤、核心交换、机防火墙、服务器部署在数据机房，其中核心实现冗余配置。（1）交换网络中核心交换机对网络稳定性尤其重要，通常采用冗余配置方式提高网络稳定性和可靠性，常用的方式有：VRRP方式、堆叠、MSTP、Smark Link+Monitor Link。（2）终端接入认证设备的主要作用时负责内网中的所有终端用户的接入，因此适合部署在网络的核心交换机上。4.电缆应远离高温和电磁干扰的场地。

原创 2023下半年网络工程师上午真题及答案解析

翻译：软件定义网络（SDN）技术是一种实现动态、渐进高效网络配置的（64网络）管理方法，以便以更类似于（65云）计算而非传统网络管理的方式提高网络性能和监控。FAT AP（胖AP）和FIT AP（瘦AP）区别，FIP AP 依赖无线交换机和 无线控制器集中控制管理（AC），不具备独立管理，可以为无线接入终端提供跨AP的L3漫游。为减少多路访问网络中ospf的流量，ospf会选举出一个指定的路由器（DR）和一个备份指定路由器。BDR会监控DR的状态，并在当前DR发生故障时接替其角色。

原创 华为-无线wlan实验

AC6605-wlan-security-profile-summer]security wpa-wpa2 psk pass-phrase a1234567 aes//采用WPA-WPA2方式认证，PSK表示预共享密码，简单理解就是通过密码方式认证。[AC6605-wlan-vap-prof-work]service-vlan vlan-id 101 //为用户服务vlan是101，所有连接这个vap的用户被划分到vlan101。(2)访客(vlan102)能通过无线上网，修改为直接转发模式。

原创 IPsec VPN

互联网安全协议（Internet Protocol Security，IPSec）ipsec是一个协议包,通过对IP协议的分组进行加密和认证来保护IP协议的协议簇IPSec主要由以下协议组成：一、认证头（AH）为IP数据报提供：1.无连接数据完整性2.消息认证3.防重放攻击保护二、封装安全载荷（ESP）提供：1.机密性2.数据源认证3.无连接完整性4.防重放三、安全关联（SA），提供算法和数据包，提供AH、ESP操作所需的参数。

原创 H3C VRF实验

POP-vpn-instance-RT1]route-distinguisher 11:11 # VPN实例-RT1的路由区分器值11:11。配置路由泄露，其实就是在一个VPN示例中添加另一个VPN实例的下一跳，比如在VPN实例RT1中添加去往SRV的默认路由。但是也有了一个新的问题，那就是RT1、RT2和RT3也能互访了，这让VPN实例变得没有意义了。[POP]ip vpn-instance RT1 #配置vpn实例-RT1。绑定了VPN实例，所以要把路由添加到VPN实例POP中。

原创 BGP 网络典型-配置团体属性

通过RA上配置的NO_EXPORT团体属性，使得AS10发布到AS20中的路由，不会再被AS20发布到其它AS。s处于state状态路由，正在被删除，BGP GR过程中可能会出现。可以看出，RC从RB那里学习到了目的地址9.1.1.0/24的路由。命令用来在路由策略中配置改变BGP路由团体属性的动作。:收到这一种团体属性,不会向AS外通告路由。命令用来配置将团体属性发布给对等体(组。e表示AS外部路由来自EBGP。i表示AS内部路由来自IBGP。c#查看RB的路由发送信息。3配置BGP 团体属性。

原创 配置bgp快速重路由

为路由4：： 64 指定备份下一跳 的地址为2001：：2（对等体RC的地址）；为路由1：： 64 指定备份下一跳 的地址为2002：：1（对等体RC的地址）；要求链路B(A-B-D)正常时，RA和RD之间的流量通过B转发，当链路B出现故障时快速切换到链路A（A-C-D）上。#配置RA 分别与RB和RC建立EBGP会话,并配置通过BGP发布路由1：： /64。#配置RD分别与RB和RC建立IBGP会话，并配置BGP发布4：： 64。#配置RC与RA建立EBGP会话，与RD建立IBGP会话。

原创 radius scheme无法配置server-type entened（可扩展的）

H3C设备V5平台中radius服务器server-type扩展参数，在V7 平台自适应对端服务器，不需要配置该命令。v7对应命令是：radius session-ctrol enable。

原创 h3c-v7交换机802.1x配置案例web版

原创 H3C设备-802.1X认证配置

5、SW1 与 RADIUS 认证服务器交互报文时的共享密钥为 h3c@123、与 RADIUS 计费服务器交互报文时的共享密钥为 h3c@123。1、打开iNode智能客户端，输入用户名:admin,密码：admin123,点击"连接",连接成功则表示认证通过，如下图所示；1、打开WinRadius软件，点击"设置">"系统"配置NAS秘钥：h3c@123，认证端口1812，计费端口1813；2、 端口GE1/0/1 下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络。

原创 H3C-802.1X

802.1X，全称为Port-Based Networks Access Control，即基于端口的网络访问控制，它起源于无线网络标准802.11协议，802.11协议是标准的无线局域网协议，802.1X协议设计的最初的目的是为了解决无线局域网用户的接入认证问题。802.1X可以防止未经授权的用户访问网络，同时保护用户数据的安全性。认证服务器通常为Radius服务器，该服务器可以存储有关用户的认证、计费、业务信息，比如用户所属的VLAN、CAR参数、优先级、用户的访问控制列表等等。

原创 二层远程端口镜像配置

配置远程源镜像组1的远程镜像VLAN为VLAN 2，源端口为Ten-GigabitEthernet1/0/1，出端口为Ten-GigabitEthernet1/0/2。配置远程源镜像组1的远程镜像VLAN为VLAN 2，源端口为Ten-GigabitEthernet1/0/1，反射端口为Ten-GigabitEthernet1/0/3。# 配置远程目的镜像组2的远程镜像VLAN为VLAN 2，目的端口为Ten-GigabitEthernet1/0/2，在该端口上关闭生成树协议并将其加入VLAN 2。

原创 Private VLAN典型配置举例

将下行端口GigabitEthernet1/0/2、GigabitEthernet1/0/3添加到VLAN 201，GigabitEthernet1/0/4、GigabitEthernet1/0/5添加到VLAN 202，并配置它们工作在host模式。可以看到，工作在promiscuous模式的端口GigabitEthernet1/0/1和工作在host模式的端口GigabitEthernet1/0/2～GigabitEthernet1/0/5均以Untagged方式允许VLAN报文通过。

原创 SuperVLAN、

查看Host A的ARP表，表中Host B的IP地址对应的MAC地址是Vlan-interface10的MAC地址。VLAN 2中的用户通过Device A的GigabitEthernet1/0/1接入网络，VLAN 3中的用户通过Device A的GigabitEthernet1/0/2接入网络。由于Super VLAN中不能包含物理端口，由此若某VLAN中已经包含物理端口，则该VLAN不能被配置为Super VLAN。VLAN 2、VLAN 3、VLAN 20中的终端用户二层隔离，三层互通。

原创 学习MVRP

当一个MRP实体收到来自对端实体的Leave消息时，它会注销该Leave消息中的属性，并向本设备的其他实体传播该Leave消息，其他实体收到传播的Leave消息后，根据该Leave消息中的属性在本设备上的状态，决定是否向其对端实体发送该Leave消息（比如该Leave消息中的属性为某VLAN，若该VLAN为动态VLAN，且本设备上无实体注册该VLAN，则在设备上删除该VLAN，并向对端实体发送该Leave消息；也就是说，在该模式下，实体已经注册的动态VLAN是不会被注销的，同时也不会注册新的动态VLAN。

原创 H3C交换机远程管理之telnet、ssh、console配置v7

H3C-line-vty0-4]authentication-mode scheme 远程用户密码与本地用户一致。[H3C-luser-manage-admin]service-type telnet 设置服务类型为telnet。//创建密钥rsa（public-key local create dsa//创建rsa和dsa密钥对）//simple密码是明文存储的，密码为xxxxx（simple/cipher/hash密文/哈希值）[H3C]local-user admin //添加本地用户。

原创 IRF技术(堆叠)

IRF系统中成员设备进行互联时，IRF逻辑端口号的选择：路由器3620-1上的IRF-PORT 1绑定的物理端口只能和路由器3620-3的IRF-PORT 2绑定的物理端口相连，如果两台IRF的邻居设备使用相同的IRF逻辑端口，如IRF-PORT 1 和IRF-PORT 1A相连 、IRF-PORT 2 和IRF-PORT 2 相连，都不能建立IRF.H3C一般支持1gbps以上速率的物理端口绑定irf逻辑端口。企业网络不建议使用电口作为IRF的端口，建议使用光纤口作为IRF的端口。IRF（智能弹性架构）

原创 一个完整的项目工程，交换机需要做哪些配置了？

登陆交换机之后的认证方式又有两种：password认证、aaa认证，aaa认证方式可以对权限尽心精细化管理，根据内网的环境选择合适的方式。首先配置交换机全局的VLAN，根据端口所连接的终端，给端口分配不同的VLAN，端口类型配置成access模式；如果是复杂的大型网络，那就需要配置各种的镜像口、防火墙策略、端口限速、隔离策略、聚合端口等。网络中的所有交换机等网络设备，可以使用一个管理VLAN，比如VLAN400，设备的IP地址全网统一规划，与办公网、业务网相互隔离。

原创 NAT的概括

动态NAT就是把可用的公网IP放在一个地址池里面，当主机需要公网地址的时候，从地址池里面拿一个，用完会自动释放，如果同时有多台主机在上网把地址池里面的公网IP地址耗尽，那新的主机需要上网的话，就得排队等前面的主机释放地址，就像我们去比较火的餐馆吃饭，没有桌了只能等前面的客人吃完。那么此标记有什么用的？no-pat的真正含义，是不需要转端口，你想一下，A访问谷歌的443端口，B也同时访问谷歌的443端口，同时访问的话，如果路由器不转换端口的话，就必须一个公网地址对一个私网地址。

原创 防火墙与路由器自带的防火墙的区别与了解

在高端路由器中，以较低的成本提供了与 硬件防火墙设备相似的防火墙功能，但是吞吐量较低。防火墙还会及时做出一些日志的记录。它会提供网络实际情况的统计数据，当出现网络异常时，它会及时处理，还会根据提供的数据分析。防火墙可以帮助强化网络安全策略，我们只需要通过防火墙的安全方案的配置，就可以把安全软件配置到防火墙上面。防火墙可以帮助我们防止内部信息外泄，它可以阻止外部的不良信息进入我们电脑，还能保护我们电脑中的重要文件。一般来说，计算就的流入和流出的所有网络通信都是包含网络通信和数据包的，这个都是要经过防火墙的。

原创 机房网络设备布线要求规范

核心网络设备，内网接入设备，管理 网接入设备等不同角色的网络设备布线都应整齐，光纤和网线不应该挡住网络设备进出风口，不宜预留到 机架底部太长，光纤和网线上贴的标签要清晰。网络设备正面插光纤和网线的方式应尽可能保持一致，对光 纤和网线进行摁绑，网络设备背面电源线和网线整齐不杂乱，强弱分开，具有整体感。如正面 A1-4-J-17-24-Gi1/1，反面 J-17-01（其中A1-4表示机房名，J指的是第J 列，017指的是 17个机柜，24表示第24个托盘位置，Gi1/1 指的是交换机的1/1端口。

原创 H3C-防火墙-交换机基础配置，值得收藏学习

H3C] Firewall zone trust 配置安全域（这里分四个域，local，trust，untrust，DMZ，其中DMZ是介于内网和外网之间的网络，例如，在一个提供电子商务服务的网络中，某些主机需要对外提供服务，如Web服务器、FTP服务器和邮件服务器等,为了更好地提供优质的服务，同时又要有效保护内部网络的安全）system-view是我们最常用的视图，在系统视图，我们可以查看全局配置，同时可以修改和进行所有系统配置，每一个接口视图间的切换都需要回到系统视图。