一直被模仿，从未被超越

7、创建名VAP模板，配置业务数据转发模式、业务VLAN，并且引用安全模板和SSID模板。2、创建名为 "empolyee" 的AP组，并引用默认的域管理模板。6、创建SSID模板，并配置SSID名称为 "employee"4、以MAC认证方式添加AP，并添加到AP组中。1、创建VLAN，为AP跟STA配置DHCP。5、创建安全模板，配置安全策略。8、配置AP组引用VAP模板。9、配置跟外网上联接口。3、配置AC的源接口。

1、查看电脑信息，如果你看到的是 "基于虚拟化的安全性" 是 正在运行，（我的已经关闭了）

Windows 服务器安装 Radius 实现上网认证。

例如FTP服务器、E-Mail服务器及网站服务器等允许外部用户访问这些服务器，但不可能接触到存放在内网中的信息，就算黑客入侵DMZ服务器，也不会影响到公司内部网络安全，不允许任何外部网络的直接访问，实现内外网分离，在企业的信息安全防护加了一道屏障。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个位于内部网络与外部网络之间的缓冲区，在这个网络区域内可以放置一些公开的服务器资源。DMZ 是英文"Demilitarized Zone"的缩写，中文名称为"隔离区"

公司域环境，大陆客户端居家办公室需要连到公司域，这里可以在上海防火墙上面开通SSLVPN，员工就可以透过SSLVPN连通上海公司的内网，但是由于公司有域控有2个站点，一个在台北，一个在上海，所以还需要拨通VPN后，也实现跟台北的内网互通。可访问内网网段列表：拨通VPN后，客户端可以访问的内网地址，如果内网是IPSec VPN中的地址，还需要进入 IPSec 进行设置，本例10.3.0.0/24是上海防火墙的内网地址，10.3.6.0/24 是 台北的。1、打开防火墙进入 SSL VPN，新建。

PC3上网访问Server1时走ISP1。PC4上网访问Server1时走ISP2。1、配置接口IP并加入相应的安全区域。二、ISP2 运营商 R2路由器。一、ISP1 运营商 R1路由器。

拓扑图。

上面的网络情况跟生产环境基本一致。我们要在 R1 跟 R2 之间配置 IPSec VPN，实现上海与成都两地内网互通。PC1 不能访问 PC2，反之也是。PC1能访问 R2 的外网地址。PC2能访问 R1 的外网地址。一、首先完成网络配置。1、R1 路由器设置。二、配置 IPSec。1、R1 路由器设置。2、R2 路由器设置。

当使用六个字节的源地址字段时，前三个字节表示由IEEE分配给厂商的地址，将烧录在每一块网络接口卡的ROM中。数据字段 以太网包最小规定为64字节，不足的也会填充到64字节。以太网包的最大长度是1518字节，数据字段长度范围为46到1500，因为以太网包最小规定为64字节，不足的也会填充到64字节。而以太网包的最大长度是1518字节，因此1518-18=1500字节。2字节，用来标识上一层所使用的协议类型，如IP协议(0x0800），ARP(0x0806)等。6字节，目的地址字段确定帧的接收者。

很多企业中，有2个路由器，一个有线的，一个无线的，有线跟无线不在同一个网段，但是也要实现2个网段互通，默认情况下，下级个网段是可以访问上级网段的IP，而反向不可以。默认情况下：10.0.10.0 是可以访问 192.168.10.0 网段的。

拓扑图1、接口设置IP2、设置NAT，使 PC1 可以上网3、设置 DNS4、设置 静态路由1、设置如下1、以太网2--IP：192.168.137.1是本地添加的一张环回网卡2、无线网卡共享给这张环回网卡，以实现上网，共享后环回网卡IP会自动变成 192.168.137.1，这里系统默认设置的IP。

认证方式一：AAA（推荐，需要输入用户名和密码）认证方式一：密码（不安全，输入密码）

链路聚合（Eth-Trunk），是将多个物理接口捆绑为一个逻辑接口，实现增加链路带宽、提高可靠性、提供负载分担的目的。3、查看 eth-trunk。1、CE1 交换机设置。2、CE2 交换机设置。

3、R3 出口路由器。

（2）Client2 无法访问 Server1服务器 HTTP 80端口。（1）Client1 无法访问 PC3。3、路由器设置 高级ACL。1、交换机 SW1 设置。2、路由器 R1 设置。

1、什么是ACL？访问控制列表ACL（Access Control List）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。2、ACL可以做什么？

设想在发送端发送数据的速度很快而接收端接收速度却很慢的情况下，为了保证数据不丢失，显然需要进行流量控制， 协调好通信双方的工作节奏。：占4个字节，是本报文段所发送的数据项目组第一个字节的序号。例如，一报文段的序号为300，而且数据共100字节，则下一个报文段的序号就是400；与“紧急指针”字段共同应用，紧急指针指出在本报文段中的紧急数据的最后一个字节的序号，使接管方可以知道紧急数据共有多长。：占4字节，是期望收到对方下次发送的数据的第一个字节的序号，也就是期望收到的下一个报文段的首部中的序号；

IP协议（Internet Protocol），又称之为网际协议，IP协议处于IP层工作，它是整个TCP/IP协议栈的核心协议之一，上层协议都要依赖IP协议提供的服务，IP协议负责将数据报从源主机发送到目标主机，通过IP地址作为唯一识别码，简单来说，不同主机之间的IP地址是不一样的，在发送数据报的过程中，IP协议还可能对数据报进行分片处理，同时在接收数据报的时候还可能需要对分片的数据报进行重装等等。注意：分片仅在IPv4中实现，而IPv6是没有分片的。

首先，向目的服务器上执行ping命令，主机会构建一个 ICMP 回显请求消息数据包（类型是8，代码是0），在这个回显请求数据包中，除了类型和代码字段，还被追加了标识符和序号字段。所以在 IP 数据包中如果协议类型字段的值是 1 的话，就表示 IP 数据是 ICMP 报文。当10.0.0.1送到 回显请求数据包后，10.0.0.3就会向发送方10.0.0.1发送回显应答（类型是0，代码是0），这个 ICMP 回显应答数据包在 IP 层来看，与被送来的回显请求数据包基本上一样。ICMP协议的类型分为两大类，

网络设备有数据要发送给另一台网络设备时，必须要知道对方的网络层地址（即IP地址）。IP地址由网络层来提供，但是仅有IP地址是不够的，IP数据报文必须封装成帧才能通过数据链路进行发送。数据帧必须包含目的MAC地址。因此发送端还必须获取到目的MAC地址。通过目的IP地址而获取目的MAC地址的过程是由ARP协议来实现的。2.1、ARP 工作过程：主机A要发送一个数据包给主机C之前，先要获取主机C的MAC地址。一、ARP的技术背景。2.2、ARP 请求。2.3、ARP 响应。

4、清除特定对端的ike sa信息，让链接重新建立。8、查看IKE协商建立的IPSec隧道被删除的信息。9、查看 IP 是从哪个接口出去的。6、查看 指定目地地址 会话。2、查看 ipsec 连接。1、查看 ike 连接。3、显示 ike 错误。5、查看 ike 会话。

华为路由器 OSPF单区域配置

华为交换机配置SSH远程登陆

华为交换机 VLAN中 access跟trunk原理

华为防火墙与三层交换机对接配置VLAN上网设置

华为防火接与二层交换机对接配置VLAN上网设置

华为防火墙 USG6000V 开启WEB管理

华为三层交换机做中继，WinServer2012当DHCP服务器

华为三层交换机 配置

华为三层交换机 配置VLAN 基于中继开启DHCP

华为三层交换机 配置VLAN DHCP全局配置

华为三层交换机 配置VLAN基于接口开启DHCP

华为路由器 静态路由

华为路由器 多臂路由

华为防火墙 三层交换机 VLAN 配置

华为防火墙 单臂路由

子网划分总结和技巧

经过防火墙墙的流量可以ping通，但是tracert后显示的全是*， 配置让tracert命令穿越防火墙不显示星号的方法如下:1. Tracert防火墙自身需要放开到防火墙Local域的ICMP或者UDP报文包过滤/安全策略。如果Tracert使用ICMP报文，那么还需要执行命令 ipicmp host-unreachable send 开启ICMP目的站不可达报文的发送功能。2. Tracert经过防火墙转发a. 放开经过防火墙转发ICMP或者UDP报文包过滤/安全策略。b. 配置ICMP超

# 显示所有接口dis int bri# 显示所有接口的IPdis ip int bri# 查看拨号口：连接类型为 PPPoEdisplay dialer interface dialer 0# 进入指定接口int g0/0/8# 查看dis th# 退出quit

接口如下图， wan口，lan口1、添加安全策略2、添加 NAT策略3、添加静态路由4、添加IPSec5、查看监控成功