qq_45959697的博客

原创 华为数通笔记-网络准入控制

1.非法用户随意接入园区内部网络，会危害园区的信息安全。防病毒软件未实现集中管理，补丁管理混乱，企业即便购买了防病毒软件，但很难保证所有的终端其病毒特征库都是最新的，导致一旦某台终端感染病毒或恶意代码，很快会在内网泛滥。2.接入园区网络的终端种类多，且园区内用户行为难以管控。3.出于对安全问题的考虑，园区网络不能对所有终端开放访问权限，需要基于终端对应的用户身份和终端状态进行认证，不符合条件的终端不能接入网络用户终端：各种终端设备，例如PC、手机、打印机、摄像头等。网络准入设备：终端访问网络的认证控制点，准

原创 华为防火墙技术-为管理协议（Telnet、FTP/TFTP、SSH、Ping）开放安全策略

为Telnet开放安全策略网络中可能会有三种Telnet业务访问关系入方向流量：从管理终端Telnet防火墙的接口地址，是访问防火墙的流量。出方向流量：从防火墙Telnet服务器的地址，属于从防火墙发出的流量。穿墙流量：从管理终端Telnet服务器的地址，是经过防火墙的穿墙流量。配置security-policy Telnet_in rule name //设置安全策略名称 source-zone trust destination-zo...

原创 华为防火墙技术-防火墙基础

防火墙概述为什么需要防火墙？路由器和交换机构建起互联互通的网络，但是也会带来安全隐患。例如在网络边界，企业有如下安全诉求：1.外部网络隔离2.内部网络安全管控3.内容安全过滤4.入侵防御5.防病毒什么是防火墙？它是一种安全设备，用于保护一个网络不受另一个网络的攻击和入侵，通常被应用在网络边界，例如企业网的外部出口、企业内部业务边界、数据中心边界。根据形态主要可分为：框式防火墙、盒式防火墙、软件防火墙防火墙典型应用场景防火墙种类包过滤防火墙基于五元组

原创 网络工程师的python之路-同步异步、单线程与多线程

感谢知乎大佬：@弈心本文是基于@弈心大佬（王印）的书籍《网络工程师的python之路》所整理的笔记netdev（异步并行）netdev是俄罗斯网络运维开发工程师Sergey Yakovlev开发的一套用来实现异步登录和配置网络设备的第三方开源模块。在讲解它的用法前，首先需要知道什么是同步（Synchronous），什么是异步（Asynchronous），以及为什么使用异步能够提升日常网络运维的工作效率。1.1　同步与异步所谓同步，可以理解为每当系统执行完一段代码或者函数后，系统都将

原创 JSON、TextFSM和ntc-templates

感谢知乎大佬：@弈心本文是基于@弈心大佬（王印）的书籍《网络工程师的python之路》所整理的笔记1.JSONJSON诞生于1999年12月，是JavaScript Programming Language（Standard ECMA-262 3rd Edition）的一个子集合，是一种轻量级的数据交换格式。虽然JSON基于JavaScript开发，但它是一种“语言无关”（Language Independent）的文本格式，并且采用C语言家族，如C、C++、C#、Java、Python和Pe

原创 网络工程师的python之路-基于paramiko登录设备

实验背景与Netmiko不同，Paramiko不会在做配置的时候替我们自动加上sys、return等命令，也不会在执行各种display命令后自动保存该命令的回显内容，一切都需要我们手动搞定。另外，Python不像人类，后者在手动输入每个命令后会间隔一定时间，再输入下一个命令。Python是一次性执行所有脚本里的命令的，中间没有间隔时间。当你要一次性输入很多个命令时，便经常会发生SSH终端跟不上速度，导致某些命令缺失没有被输入的问题（用传统的“复制、粘贴”方法给网络设备做配置的人应该遇到过这个问题）。同

原创 网络工程师的python之路-FTP备份配置文件

实验目的创建Python脚本，使用FTP服务器将SW2～SW5的configuration备份保存到FTP服务器上。实验准备（1）使用FTP服务端软件3CDaemon，这里的ftp服务器地址为10.0.1.10，目录自行设置，这里我设置的文件夹名为server。点击设置ftp服务器，添加用户名，用户目录，用户口令。（2）在这里我创建的ftp的用户使用名为renkie，密码为123456，用户目录为桌面的server文件夹。（3）创建ip.txt用于存放ip地址;创建lab5.py脚本

原创 网络工程师的python之路-基于netmiko模块的异常处理

实验背景在网络设备数量超过千台甚至上万台的大型企业网中，难免会遇到某些设备的管理IP地址不通、SSH连接失败的情况，设备数量越多，这种情况发生的概率越高。这个时候如果你想用Python批量配置所有的设备，很可能你的脚本运行了还不到一半就因为中间某一个连接不通的设备而停止了。此时我们想要跳过异常的设备而去处理剩下的设备。实验准备将LSW2的ssh密码改为123，模拟验证失败，连接LSW4的接口关闭，模拟不可达。实验目的创建一个带有try…except…异常处理语句的脚本来批量在交换机SW2

原创 网络工程师的python之路-基于netmiko模块的分组处理

背景介绍sys.argv前面的几个实验是基于一批设备的类型、型号、版本等都一致的情况下进行的。但是，实际现网运维中，数通设备产品线广阔，同样的产品还有众多型号，即便同型号的设备还有不同的软件版本。这些差异造成相应的指令集可能有微小差别，甚至天差地别。本实验通过设备分组模拟现网批次设备间的差异，配合 sys.argv ，让不同组调用不同的预设脚本。sys.argv举个例子:C:\Users\86157\Desktop>py lab3.py ip_list.txt cmd_list.txt

原创 网络工程师的python之路-SSH远程登录设备

python中支持SSH协议的模块主要有Paramiko和netmiko两种，本次实验采用netmiko模块。netmikko模块为python的第三方模块，需要使用pip来下载安装。（联网的情况下）下载完毕后，进入Python 3.10解释器，如果import netmiko没有报错，则说明Netmiko安装成功。实验拓扑实验目的：通过netmiko模块的SSH逐一登录4台交换机LSW2-LSW5,并依次为其配置STP，默认模式为MSTP。实验脚本1.引入netmik.

原创 网络工程师的python之路-telnet远程登录设备实验

在Python中，我们使用Telnetlib模块来Telnet远程登录网络设备，Telnetlib为Python内建模块，不需要pip下载安装就能直接使用。Python 3中，Telnetlib模块下所有函数的返回值都变成字节型字符串（ByteStrings）。因此，在Python 3中使用Telnetlib需要注意以下几点：• 在字符串的前面需要加上一个b。• 在变量和Telnetlib函数后面需要加上.encode('ascii')函数。• 在read_all()函数后面需要加上dec.

原创 网络工程师的python之路---python进阶语法

感谢知乎大佬：@弈心本文是基于@弈心大佬（王印）的书籍《网络工程师的python之路》所整理的笔记1.条件（判断语句）在Python中，条件语句（Conditional Statements）又叫作判断语句，判断语句由if、 elif和else 3种语句组成，其中if为强制语句，可以独立使用，elif和else为可选语句，并且不能独立使用。判断语句配合布尔值，通过判断一条或多条语句的条件是否成立（True或者False），从而决定下一步的动作，如果判断条件成立（True），则执行if或elif

原创 网络工程师的python之路---python基础语法

感谢知乎大佬：@弈心本文是基于@弈心大佬（王印）的书籍《网络工程师的python之路》所整理的笔记1.使用python我使用的python版本为3.10交互模式在Windows下，有两种方法进入Python解释器来使用交互模式：一种是通过命令行输入命令py或者python进入解释器；另一种是打开Python软件包自带的集成开发环境（IDE），也就是IDLE。脚本模式在Windows里，有两种方法创建Python脚本，一种是将代码写进Windows记事本里，另一种是借.

原创 ENSP网络综合实验

拓扑图总公司一共有三个部门：销售部、技术部、财务部，临设访客区域。分公司这里简化为只有一个技术部门配置需求1.销售部、技术部、财务部，访客区域分别划分到VLAN10-VLAN402.销售部可通过有线、无线访问网络，访客区域提供访客无线服务。3.配置步骤1.销售部、技术部、财务部，访客区域分别划分到VLAN10-VLAN40分别在LSW1和LSW2基于接口划分VLAN，终端不必配置ip地址，后面配置DHCP自动获取 。以LSW1为例：interface Eth

原创 华为数通笔记-双点双向引入

如图所示，R1（E0/0/0），R2（Loopback0、G0/0/0、E0/0/0、E0/0/1），R3（E0/0/0）与R5（E0/0/1）之间运行OSPF协议，进程号为1，区域为0，同时将 R1的Loopback0的路由通过import引入的方式发布到OSPF域中。而R3（Loopback0、E0/0/1），R4（Loopback0、E0/0/0、E0/0/1）与R5（Loopback0、 E0/0/0）运行ISIS路由协议，部署在区域49.0001内。现需要使全网互联互通（OSPF域与ISIS域）.

原创 华为数通笔记-策略路由

策略路由-PBR介绍策略路由与路由策略（Routing Policy）存在以下不同：策略路由的操作对象是数据包，在路由表已经产生的情况下，不按照路由表进行转发，而是根据需要，依照某种策略改变数据包转发路径。路由策略的操作对象是路由信息。路由策略主要实现了路由过滤和路由属性设置等功能，它通过改变路由属性（包括可达性）来改变网络流量所经过的路径。背景传统的路由转发原理是首先根据报文的目的地址查找路由表，然后进行报文转发。但是目前越来越多的用户希望能够在传统路由转发的基础上根据自.

原创 华为数通笔记-路由策略

简介路由策略主要实现了路由过滤和路由属性设置等功能，它通过改变路由属性（包括可达性）来改变网络流量所经过的路径。路由协议在发布、接收和引入路由信息时，根据实际组网需求实施一些策略，以便对路由信息进行过滤和改变路由信息的属性，如：1.控制路由的接收和发布，只发布和接收必要、合法的路由信息，以控制路由表的容量，提高网络的安全性。2.控制路由的引入，在一种路由协议引入其它路由协议发现的路由信息丰富自己的路由信息时，只引入一部分满足条件的路由信息。3.设置特定路由的属性，修改通过路由策略过滤的路

原创 华为数通笔记VXLAN&BGP EVPN

VXLAN简介定义RFC定义了VLAN扩展方案VXLAN（Virtual eXtensible Local Area Network，虚拟扩展局域网）。VXLAN采用MAC in UDP（User Datagram Protocol）封装方式，是NVO3（Network Virtualization over Layer 3）中的一种网络虚拟化技术。目的随着网络技术的发展，云计算凭借其在系统利用率高、人力/管理成本低、灵活性/可扩展性强等方面表现出的优势，已经成为目前企业IT建设的新趋势。而

原创 华为数通笔记-SDN和Overlay

传统网络存在的问题目前的网路是由协议定义的，如果一个网络协议有“缺陷”或者不适用了，那就再开发一个协议出来，协议的开发也显得“时不我待”。当我们要部署一个新业务时，就必须先去商讨这些标准，商讨完后，再进行开发，验证，最后，由于网络中每台设备都需要了解这些标准，所以我们需要在每台设备上都进行更新，这么一套下来，没有个3、 5年还真是难以完成。对于网络工程师来说，现在的协议，不管是私有协议还是通用协议也是越来越多。如此多的协议，你别说是各个精通，就算是都学一遍都是要花很长得时间。但是随着互联网的飞速发展

原创 华为数通笔记-ICMP

ICMP协议Internet控制消息协议ICMP (Internet Control Message Protocol)是IP协议的辅助协议。为了更有效地转发IP数据报文和提高数据报文交互成功的机会，在网络层使用ICMP协议。ICMP允许主机或设备报告差错情况和提供有关异常情况的报告。ICMP消息：ICMP消息封装在IP报文中，IP报文头部Protocol值为1时表示ICMP协议。字段解释：ICMP消息的格式取决于Type和Code字段，其中Type字段为消息类型，Code字

原创 华为数通笔记-Telnet

Telnet应用场景为方便通过命令行管理设备，可以使用Telnet协议对设备进行管理。Telnet协议与使用Console接口管理设备不同，无需专用线缆直连设备的Console接口，只要IP地址可达、能够和设备的TCP 23端口通信即可。支持通过Telnet协议进行管理的设备被称为Telnet服务器端，而对应的终端则被称为Telnet客户端。很多网络设备同时支持作为Telnet服务器端、Telnet客户端。目前主流的网络设备，如：AC（Access Controller，无线控制器...

原创 华为数通笔记-VRF

VRFVRF（Virtual Routing and Forwarding，虚拟路由转发）技术通过在一台三层转发设备上创建多张路由表实现数据或业务的隔离，常用于MPLS VPN、防火墙等一些需要实现隔离的应用场景。网络需求某企业网络内有生产和管理两张网络，这两张网络独占接入和汇聚层交换机，共享核心交换机。核心交换机上同时连接了生产网络和管理网络的服务器群，两个网段均为192.168.100.0/24网段。需求：实现生产和管理网络内部的数据通信，同时隔离两张网络之间的通信。通过..

原创 华为数通笔记-NAT

NAT私网地址不能和公网地址互通，是因为私网地址不允许在公网上路由，没有路由当然就不能通信。不是说存在某种机制让这两种地址不能互通随着Internet的发展和网络应用的增多，有限的IPv4公有地址已经成为制约网络发展的瓶颈。为解决这个问题，NAT（Network Address Translation，网络地址转换）技术应需而生。NAT技术主要用于实现内部网络的主机访问外部网络。一方面NAT缓解了IPv4地址短缺的问题，另一方面NAT技术让外网无法直接与使用私有地址的内网进行通信，提升...

原创 华为数通笔记-DHCP

DHCP背景随着网络规模的不断扩大，网络复杂度不断提升，网络中的终端设备例如主机、手机、平板等，位置经常变化。终端设备访问网络时需要配置IP地址、网关地址、DNS服务器地址等。采用手工方式为终端配置这些参数非常低效且不够灵活。IETF于1993年发布了DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）。DHCP实现了网络参数配置的自动化，降低客户端的配置和维护成本。本课程介绍DHCP工作原理、应用场景和简单配置。手工配置主机IP地址、网络掩码

原创 华为数通笔记-NTP

时间同步需求当今企业园区网络中很多场景都需要所有设备保持时钟一致：网络管理：对从不同路由器采集来的日志信息、调试信息进行分析时，需要以时间作为参照依据。 计费系统：要求所有设备的时钟保持一致。 多个系统协同处理同一个复杂事件：为保证正确的执行顺序，多个系统必须参考同一时钟。 备份服务器和客户机之间进行增量备份：要求备份服务器和所有客户机之间的时钟同步。 系统时间：某些应用程序需要知道用户登录系统的时间以及文件修改的时间。NTP简介如果采用管理员手工输入命令修改系统时间来进行时间同...

原创 华为数通笔记-DNS

DNS的诞生（默认端口号 53）当我们在浏览器中输入一个域名访问某个网站时，这个域名最终会被解析为一个IP地址，我们的浏览器实际是在和这个IP地址进行通信。负责将域名解析到IP地址的协议为DNS（Domain Name System，域名解析系统）。网络中每个节点都有自己唯一的IP地址，通过IP地址可以实现节点之间的相互访问，但是如果和所有的节点进行通信都使用IP地址的方式，人们很难记住这么多IP地址，为此提出了DNS，将难以记忆的IP地址映射为字符类型的地址。Internet的前...

原创 华为数通笔记-HTTP

使用浏览器访问网页当我们在浏览器中输入URL（UniformResourceLocator，统一资源定位符）时，浏览器就可以从某处获取内容，并将页面内容显示在浏览器中。HTTP（Hypertext Transfer Protocol，超文本传输协议）：客户端浏览器或其他程序与Web服务器之间的应用层通信协议。HTTP是典型的C/S构架应用，作为应用层协议使用TCP进行传输。URL：唯一标识Internet上网页和其他资源位置的地址，可以包括如超文本网页（扩展名通常为.html或...

原创 华为数通笔记-文件传输协议FTP

文件传输协议主机之间传输文件是IP网络的一个重要功能，如今人们可以方便地使用网页、邮箱进行文件传输。然而在互联网早期，Web（World Wide Web，万维网）还未出现，操作系统使用命令行的时代，用户使用命令行工具进行文件传输。其中最通用的方式就是使用FTP（File Transfer Protocol，文件传输协议）以及TFTP（Trivial File Transfer Protocol，简单文件传输协议）。FTP基本概念FTP采用典型的C/S架构（即服务器端与客户端模型），客.

原创 华为数通笔记-NSR

NSR简介NSR是在有主用主控板和备用主控板的设备上，主用主控板发生故障时不影响邻居关系的一种可靠性技术。不间断转发NSF（Non-Stopping Forwarding）和不间断路由NSR（Non-Stopping Routing）是高可靠性的两个解决方案。NSR与NSF不间断转发NSF（Non-Stopping Forwarding）和不间断路由NSR（Non-Stopping Routing）是高可靠性的两个解决方案。NSR与GR在主备倒换端，系统支持NSR和GR两种不同...

原创 华为数通笔记-Smart Link和Monitor Link

Smart Link和Monitor Link简介定义Smart Link，又叫做备份链路。一个Smart Link由两个接口组成，其中一个接口作为另一个的备份。Smart Link常用于双上行组网，提供可靠高效的备份和快速的切换机制。Monitor Link是一种接口联动方案，它通过监控设备的上行接口，根据其Up/Down状态的变化来触发下行接口Up/Down状态的变化，从而触发下游设备上的拓扑协议进行链路的切换。目的下游设备连接到上游设备，当使用单上行方式时，若出现单点故障，会...

原创 华为数通笔记-VRRP

VRRP局域网中的用户终端通常采用配置一个默认网关的形式访问外部网络，如果默认网关设备发生故障，那么所有用户终端访问外部网络的流量将会中断。可以通过部署多个网关的方式来解决单点故障，但是需要解决多个网关之间的冲突问题。VRRP（Virtual Router Redundancy Protocol，虚拟路由器冗余协议）既能够实现网关的备份，又能解决多个网关之间互相冲突的问题，从而提高网络可靠性。单网关面临的问题VRRP概述通过把几台路由设备联合组成一台虚拟的“路由设备”...

原创 华为数通笔记-NQA

NQA简介定义网络质量分析NQA（Network Quality Analysis）是一种实时的网络性能探测和统计技术，可以对响应时间、网络抖动、丢包率等网络信息进行统计。NQA能够实时监视网络QoS，在网络发生故障时进行有效的故障诊断和定位。目的为了使网络服务质量可见，使用户能够自行检查网络服务质量是否达到要求，需要采取以下措施：在设备上提供能够说明网络服务质量的数据。在网络中部署探针设备能对网络服务质量进行监控。部署上述措施时，需要在设备侧提供时延、抖动、丢包率等相关统...

原创 华为数通笔记-BFD

BFD随着网络应用的广泛部署，网络发生故障极大可能导致业务异常。为了减小链路、设备故障对业务的影响，提高网络的可靠性，网络设备需要尽快检测到与相邻设备间的通信故障，以便及时采取措施，保证业务正常进行。BFD（Bidirectional Forwarding Detection，双向转发检测）提供了一个通用的、标准化的、介质无关和协议无关的快速故障检测机制，用于快速检测、监控网络中链路或者IP路由的转发连通状态。网络故障检测遇到的问题在无法通过硬件信号检测故障的系统中，应用通常采用上层协议本身

原创 华为数通笔记-网络管理协议

网络管理的典型架构通常情况下，网络管理系统具有相同的基本体系结构。该体系结构包含两个关键元素：管理设备，也被称为网络管理站。 被管理设备，也被称为代理设备。网络管理的四大模型组织结构模型定义管理者，代理和被管理对象。 它描述了网络管理系统的组件，组件的功能和基础架构。信息模型与信息结构和存储有关。 它指定用于描述被管理对象及其关系的信息库。 管理信息结构（SMI）定义了存储在管理信息库（MIB）中的管理信息的语法和语义。 代理进程和管理器进程都使用MIB进行管理信息交换和存储。通

原创 华为数通笔记-安全技术

原创 华为数通笔记-QOS实验

实验一在 R1的 E0/0/0的出方向、周一至周五的 8:00—18:00 点，对 TCP 目的端口号 6881—6999 的流量，承诺的平均速率为 1Mbps。time-range work 08:00 to 18:00 working-day acl number 3000 rule 5 permit tcp destination-port range 6881 6999 time-range wrokinterface e0/0/0qos car outbound acl ..

原创 华为数通笔记-QOS

背景QOS(服务质量)技术本身不会增加带宽，而是在有限的带宽，针对不同业务合理分配带宽，提供端到端的服务质量保证。资金充足就可以考虑直接增加带宽。度量标准带宽带宽也叫吞吐量，是指在1s内，从网络一端传到另一端最大数据位数，单位bit/s。一般带宽越高，服务质量越好，但是相应的运营和维护成本也就越高。带宽和网速不是一回事，带宽的1M是1024k位，网速的1M是1024k字节。大约1M的带宽的下载速度为128Kb/s,网速单位为字节/s。1Mbps=1024kbps=1024/8kBps=1

原创 华为数通笔记-MCE

MCE定义MCE是Multi-VPN-Instance CE（多实例CE）的简称，具有MCE功能的设备可以在BGP/MPLS IP VPN组网应用中承担多个VPN实例的CE功能，减少用户网络设备的投入。产生背景BGP/MPLS IP VPN以隧道的方式解决了在公网中传送私网数据的问题，但传统的BGP/MPLS IP VPN架构要求每个VPN实例单独使用一个CE与PE相连，如图1所示。图1部署MCE前的组网随着用户业务的不断细化和安全需求的提高，很多情况下一个私有网络内的用户...

原创 华为数通笔记-ospf伪连接

伪连接简介OSPF伪连接（Shamlink）是MPLS VPN骨干网上两个PE之间的点到点链路，这些链路使用借用（Unnumbered）的地址。通常情况下，BGP对等体之间通过BGP扩展团体属性在MPLS VPN骨干网上承载路由信息。另一端PE上运行的OSPF可利用这些信息来生成PE到CE的区域间路由。如图1所示，如果本地CE所在网段和远端CE所在网段间存在一条区域内OSPF链路，则称之为后门链路（Backdoorlink）这种情况下经过后门链路的路由是区域内路由，其优先级要高于经过...

原创 华为数通笔记-MPLS BGP跨域optionC2

1.实验拓扑2.配置思路 各AS内的MPLS骨干网上分别配置IGP协议，实现各自骨干网ASBR-PE和PE之间的互通。 各AS内的MPLS骨干网上分别配置MPLS基本能力和MPLS LDP，建立LDP LSP。 各AS内，与CE相连的PE上需配置VPN实例，并把与CE相连的接口和相应的VPN实例绑定。 各AS内，PE与CE之间建立EBGP对等体关系，交换VPN路由信息。 将域内PE的路由发布给对端PE：先在本端ASBR-PE上通过BGP将域内PE的路