![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
华为
文章平均质量分 51
Mllllk
只想做自己想做的,学自己想学的
展开
-
LSA1-5
LSA1这是某一个路由器的LSA1,它的LSA1具有十分直观 的拓扑信息,尤其是包含它的链路的直连传输网络的信息以及连接到末梢网络的链路的信息,其中对于LSA1来说,它的Ls id是宣告该LSA的router ID。针对LSA的内部内容,如果路由器的直连链路是直连传输网络那么该链路的Link ID就是该传输网络中的DR的接口IP,如果是末梢网络那么它的Link ID就是该末梢网络的网络号。如果链路类型是P2P,那么Link ID就是对端邻居的router ID,而且还要使用另外的一个末梢网络去对这个原创 2022-05-16 11:49:48 · 409 阅读 · 0 评论 -
OSPF type1LSA
*报文格式报文分析type1LSA是一种描述路由器自身链路情况的LSA,里面主要包含的内容是它的标准头部以及其所携带的内容部分,标准头部是所有的LSA共有的标准格式。其中头部的三个字段“Type,Ls id,Adv rtr”唯一标识了一个LSA,这对于所有的LSA来说都是一样的,其中Ls id对于不同的LSA来说取值的含义都是不同的,对于type1 LSA来说它的取值是发送该LSA的路由器的路由ID,它的类型决定了这是什么类型的LSA,是1类LSA还是2类LSA?然后第三个地址段adv rt原创 2022-05-12 21:10:40 · 1187 阅读 · 1 评论 -
HCIP datacom考纲
HCIP-Datacom-Core Technology1. IP路由基础认识网络设备:框式设备硬件模块,网络设备的三个平面,网络设备对报文的处理流程IP路由基础:RIB与FIB,路由引入场景2. OSPF核心知识OSPF基础:动态路由协议简介,OSPF基本概念,OSPF邻居关系建立的过程,OSPF的基本配置OSPF路由计算:区域内路由计算,区域间路由计算,外部路由计算OSPF特殊区域及其他特性:Stub区域和Totally Stub区域,NSSA区域和Totally NSSA区域,原创 2022-05-10 21:39:16 · 2260 阅读 · 0 评论 -
IPsec学习总结
这个阶段IPsec学习了诸多的内容,从一开始的IPsec整个交互过程,到后面的IPsec的具体应用,因为内容颇多,所以在这里记录一下。IPsec是一个IPv4的安全保护措施,IPsec内夹杂着多个安全协议和多种安全算法,可以算作是协议簇,从一开始的IKEv1的主模式+快速模式,野蛮模式+快速模式,到后面的IKEv2的4包交互,IPsec的也是在不断地发展地。IPsec中主要的两个传输模式隧道模式和传输模式,隧道模式主要用于端对端地保护,其实说它是端到端的主要原因就是因为只有加密包的目的地址是自己,那么该原创 2022-05-06 11:03:19 · 800 阅读 · 0 评论 -
Effcient网络隧道 基础配置
服务端服务端其实就是配置策略模板,配置策略模板用于响应客户端的Effcient VPN的快速请求。(83条消息) 华为IPsec预共享密钥配置命令汇总_Mllllk的博客-CSDN博客看上面这个客户端ipsec effcient-vpn xxx mode [ client | network | network-plus ] //创建effcient VPN并进入相关视图在Effcient VPN上能够配置的内容较传统的配置方式来说要少:基本上来说,能配置的内容一般...原创 2022-05-06 08:48:29 · 587 阅读 · 1 评论 -
IKEv2的密钥计算方式
在IKEv2的头两个消息中,通信双方会协商一系列的安全参数。包括,一个加密算法,一个完整性算法,一个DH Group,以及一个PRF伪随机数算法。其中,PRF算法被通信双方用来生成即将被用到的各种密钥。在讨论密钥生成之前,先了解下IKEv2通信需要哪些密钥。首先,加解密需要一对密钥,称之为SK_ei和SK_er;然后,完整性算法需要一对密钥,称之为SK_ai和SK_ar;第三,在生成AUTH payload时也需要一对密钥,称之为SK_pi和SK_pr;最后,为了给Child SA生成加密材料,也需原创 2022-05-04 19:22:27 · 2236 阅读 · 1 评论 -
IPsec IKEv1中预共享密钥下使用标识符进行表示出现的问题
问题描述如图所示,在IKEv1的主模式下使用标识符的方式而不是使用IP地址的方式去标识IPsec的双端就会导致主模式无法协商完成的情况,其主要原因就是主模式无法根据第一次数据报的交互中找寻到相关的预共享密钥用于后续的密钥生成,所以这就是主模式无法协商成功的原因以及野蛮模式出现的原因。当使用IKEv2时和上面的场景一模一样的配置,当我将版本切换成IKEv2后就可以进行正常的交互。...原创 2022-05-04 19:21:12 · 6691 阅读 · 0 评论 -
ENSP路由器IPsec策略模板出现的无法建立IPsec隧道的问题
拓扑如图所示抓包信息上面是抓包结果,IPsec的隧道建立就一直停留在快速模式的第一次包交互中,我在路由器上测试不能够正常建立IPsec隧道,主要的问题就是IKEv1的快速模式无法正常建立,我初步猜测是配置问题之间存在差异导致没有办法协商成功,但是检查之后发现配置使用的都是默认配置不存在相关的配置问题,所以进行debug下面是debug信息:这是右边的路由器的DEBUG信息可以看到这里的调试信息显示我的策略模板上面的配置没有匹配到,所以才导致配置的失败,但是我使用相同的配置原创 2022-05-04 17:45:23 · 1615 阅读 · 1 评论 -
tunnel接口的IPsec可不可以做l2tp over ipsec
我觉得不行,因为首先我们常规下做tunnel方式的ipsec,我们需要创建路由将相关的流量引入tunnel接口做ipsec的隧道封装,封装后源目IP变为隧道两端的IP地址,所以防火墙会根据去往防火墙对端接口的路由将封装后的路由进行转发。如果在tunnel接口方式的IPsec上叠加l2tp,那么路由的设置将会变得矛盾,首先我们需要将去往目的内部网络的流量送入VT接口进行l2tp的隧道封装,一般来说此时的流量的源目IP地址是l2tp隧道双方的地址,也是ipsec隧道双方的地址,然后为了将l2tp的流量进行加密,原创 2022-04-11 12:46:10 · 486 阅读 · 0 评论 -
路由方式的IPsec下的路由条目的设置
1、路由方式传输模式对于传输模式来说,不适合在安全网关之间架设,即便架设了,防火墙对待这类报文也只是将其当做普通的三层数据报文,然后将其进行数据报文的传递。所以只有在主机到主机之间架设了IPsec之间的互相联系,那么才会对这类报文进行正常的加密和解密。如这个拓扑,左边的PC1到达FW3且匹配上了感兴趣流并做了IPsec的传输封装,那么这个传输报文的源目IP是192.168.1.1 192.168.2.1,那么对于右边的防火墙来说,目的地址不是自己,这就使得右边的FW2对待这类报文的时候会直接将其原创 2022-04-11 11:26:37 · 1331 阅读 · 0 评论 -
IPsec ACL隧道模式的路由设置
针对这个拓扑来进行讲解1、去往对端隧道接口的路由这个毋庸置疑,因为隧道双方都要进行隧道相关协商报文的传递,所以去往对端隧道接口的路由是是必须的2、去往对端内部网络的路由对于隧道模式来说,当相关流量根据路由从绑定了ipsec的物理接口上流入,且匹配上了该IPsec的感兴趣流,那么就会引发IPsec的隧道封装,隧道封装也就是根据IPsecSA中记录的隧道双方的IP地址去生成新的IP首部。那么为了将流量引入绑定了IPsec的物理接口,那么我们就必须设置相对应的路由,使得相关的流量可以从物理接口..原创 2022-04-11 11:03:11 · 779 阅读 · 0 评论 -
IPsec传输模式出现的问题
据书中所述,传输模式适合的场景仅仅是在主机与主机之间的IPsec的流量保护。一开始我还不大理解,知道现在就有些眉目了。看上图的这个实验场景,在左右两端的防火墙建立ipsec传输模式隧道,感兴趣流是内网主机的网段,那么会出现什么问题?出现的问题当左边的主机去ping右边的主机的地址的时候,会匹配上左边防火墙上IPsec的感兴趣流,那么这就会导致防火墙为其打上IPsec的加密首部,但是原目地址还是PC1和PC2,而不像隧道模式会根据隧道两端的IP地址为其打上新的IP首部。那么此时左边的防火墙FW1根..原创 2022-04-11 10:52:43 · 781 阅读 · 0 评论 -
NAS上对于pppoe报文的转发态度
NAS上对于pppoe报文的态度是全部交给LNS,它会判断进行当前数据流使用的验证用户是谁,然后根据l2tp的tunnel的创建者判断是否为该验证用户,于是它就会将这报文直接传递给LNS。在这个拓扑中左边是NAS,右边是LNS,在NAS上没有任何的相关转发路由,所以在这种网络场景下NAS的态度就是直接对相关的pppoe报文进行直接转送给LNS进行处理...原创 2022-04-10 08:45:21 · 198 阅读 · 0 评论 -
l2tp over ipsec配置的大概思路
l2tp over ipsec的大概思路先配置l2tp的内容,然后再正常地建立ipsec隧道,将创建后地ipsec policy挂在l2tp隧道的接口上。如果是client发起的,且使用的就是l2tp over ipsec那么从一开始就会在client发出相关请求报文就会包括l2tp隧道建立以及ipsec隧道的建立。如果是NAS发起的,那么pppoe的客户端所有的流量都是先到NAS,然后NAS再将这些流量通过l2tp隧道将流量转发给防火墙,也就是l2tp隧道的对端,那么针对这种网络场景,ipsec的隧道原创 2022-04-09 16:12:09 · 1750 阅读 · 2 评论 -
华为IPsec隧道模式能否做到路由协议的动态传播
回答ACL方式是不能,因为有些报文是以组播和广播的形式进行传播,所以IPsec不会对这类报文进行隧道封装。如果在路由协议中的交互中有单播的报文,而且你设置了相关的流是进行隧道封装,那么是会对该报文进行隧道封装,但是像OSPF这个协议在广播型链路上既有组播报文也有单播链路,所以它的隧道封装加密并不彻底。如果将IPsec放在tunnel接口中,我在模拟器上测试也是不行,即便你将tunnel口宣告进ospf中,它也不会发送任何的hello报文出去。...原创 2022-04-08 09:49:39 · 3024 阅读 · 2 评论 -
IPsec的NAT穿越详解
问题场景左边的支部,它的防火墙上联路由器,由于防火墙内部的接口使用的是私网地址,这就导致其无无法在公网上与对端防火墙进行IPsec的隧道建立 。所以必须在AR5上面不是NAT地址转换,由于一般使用的是NAPT,isakmp协议因为是UDP报文,且没有像AH或者ESP那样有对内容进行签名,所以可以正常地协商IKE SA以及IPsec SA,但是AH和ESP就没有那么简单了AH和ESP的认证范围如图所示,其实说是认证范围本质上来说应该是进行HASH运算的范围,如图所示,AH的签...原创 2022-04-07 21:26:35 · 11414 阅读 · 1 评论 -
华为IPsec中总部对多个支部场景下针对多个支部设置不同的于预共享密钥
假设现在有一个总部,两个支部,支部A,支部B,那么如果总部与支部A,总部与支部B之间如果想要使用不同的预共享密钥的话,该如何部署?第一步 创建用户表ike user-table 1user fuck3 id-type fqdn fuck3 pre-shared-key %^%#emIOXr@\7+uemHEL}_|5,"ay7`YOuN2q`wC~r3@;%^%# vpn-instance-traffic publicuser fuck2 id-type fqdn fu...原创 2022-04-07 15:18:47 · 365 阅读 · 0 评论 -
华为IPsec实现支部与支部间借助总部进行隧道中转
如图所示,左边的防火墙是总部,中间的防火墙是支部1,右边的防火墙是支部2,三台防火墙我用cloud进行web界面管理。如果要实现支部1借助总部和支部2之间的隧道进行加密通信,那么该如何实现?1、保证总部与支部1,支部2之间建立好IPsec SA这是一个毋庸置疑的前提,因为只有总部建立好了隧道之后,它们之间才能进行隧道转发2、感兴趣流的设置在这种转发模式下,感兴趣流是十分关键的,因为只有隧道双方的感兴趣流一致后才能进行隧道加密转发。下面是三台防火墙的感兴趣流设置:...原创 2022-04-06 18:40:21 · 492 阅读 · 0 评论 -
IPsec中以ACL引流方式中不设置镜像流会出现的问题
设有AB两端IPsec设备,设A端的设备创建ACL为:X-->Y,B端的设备创建ACL为Y-->X,那么此时设备之间的acl是互为镜像的,则AB端可以正常地进行隧道流地封装。若此时A端的设备创建的ACL为:Z--->P,B端设备创建的ACL为:P-->Z,Z-->M,那么此时因为AB设备两端的Z-->P和P-->Z是互为镜像的,所以当有此类流量的时候将会进行IPsec隧道转发,而当B设备遇到Z-->M的流量的时候将会导致虽然通过了路由表查找,会话建立,但是原创 2022-04-06 18:20:02 · 366 阅读 · 0 评论 -
L2TP LAC initial 配置与安全策略
对于和NAS initial类似,这里是由LAC发起的,而且不是使用pppoe进行隧道的建立和会话的建立,当有去往总部的流量的时候,LAC就会主动和LNS进行隧道和会话的协商,LNS会分配给LAC一个地址,所以如果分支机构的用户想要访问总部,那么都要借助LAC获取来的地址,所以在这种情况下,分支机构的用户要访问总部就需要LAC设置easy IP,将分支结构用户的源IP置换为LNS分配的IP地址。模拟器上配置的困难:首先就是你配了也不一定立刻就能生效,有的时候你明明创建了用户,但是验证没有给...原创 2022-04-04 10:58:02 · 1054 阅读 · 0 评论 -
L2TP 二次身份认证报文
我配置了LCP重协商或者CHAP重协商好像后续的报文协商都是一样,主要就是NAS侧的认证消息触发了进行LCP和CHAP的隧道报文封装发送给LNS。在默认情况下是没有LCP报文在隧道上传送的,但是在重协商的情况下,会将LCP报文在隧道上转发,于是不仅在NAS侧会进行验证,在LNS侧也会进行验证。...原创 2022-04-04 08:50:30 · 256 阅读 · 0 评论 -
华为L2TP NAS initial 配置详解以及安全策略的原理
基本互联就不说了!!!,安全策略在尾部讲解一、NAS与客户端的配置(1)NAS PPPoe服务的提供首先完成左边部分的NAS的PPPoe的服务提供,所以我们需要创建一个VT接口,并配置认证方式是chap还是papinter Virtual-Template 10 //创建虚拟模板ppp auth chap //设置认证方式创建完虚拟模板后,将该模板绑定到相应的端口[NAS-GigabitEthernet1/0/1]pppoe-server bind virtual...原创 2022-04-03 21:15:19 · 2471 阅读 · 0 评论 -
L2TP NAS initial中整个交互过程分析
1、PPPoe的LCP协商在这个阶段客户端也就是拨号的发起端会发送PADI报文,也就是发现报文,于是NAS会对其进行响应,然后就是类似DHCP的交互过程,总共涉及四个报文,四个报文的目的就是协商出PPPoe的会话ID。详细讲解看我的这个:(78条消息) PPPoe的抓包分析(详细)_Mllllk的博客-CSDN博客_pppoe报文抓包2、PPP的LCP协商在通过了PPPoe的互相发现的阶段后,客户端与NAS进行进一步的协商,当然第一步就是PPP中的LCP协商,主要就是MRU,魔术字,..原创 2022-04-03 17:50:12 · 1252 阅读 · 1 评论 -
华为防火墙L2TP 客户机发起端配置(本地验证)
1、完成基本互联接口的IP配置,安全区域的设置,路由的配置,保证客户端可以访问到防火墙2、配置地址池上面是华为的产品文档,其中标注了当分配给客户端的IP与内网的目标主机为同网段时必须设置防火墙连接内部网络的接口的ARP请求应答功能,这是为什么?因为当主机接收到解封后的L2TP报文后,会发现目的地址为同网段,于是就会发出arp请求,防火墙连接内部网络的接口默认时若不做arp代理,这时就会导致业务中断,所以需要开启接口的arp请求。3、配置业务方案如图所示,将先前配置好的地址池绑..原创 2022-04-02 20:25:54 · 4303 阅读 · 1 评论 -
L2TP client主动发起详解(含抓包)
观看前提:具有PPP,PPPoe基础L2TP概述我们都知道PPP协议,它具有的独特的验证功能是以太网没有但是却一直想拥有的内容,因为以太网多个优点和高速率,由此产生出了PPPoe协议,将PPP报文承载在以太网结构上,于是PPP报文也可以在以太网上传输了。PPP协议大家都很喜欢的功能就是它的验证功能,虽然PPPoe实现了PPP报文在以太网链路的传输,但是因为它的发现报文的目的地址是广播包,所以这就导致PPPoe的作用范围仅仅局限在一段广播链路当中,虽然在最后一公里这并不是什么十分大的问题,但是如果假如原创 2022-04-02 18:11:09 · 3360 阅读 · 0 评论 -
AP上线和一些其他内容
1、AP默认是不带有IP地址的,此时AP通过有两种方式获取到IP地址第一种:手工配置第二种:DHCP在现有的环境中,一般使用的是DHCP的方式进行IP地址的获取,其原因不言而喻,相比起DHCP烦杂的手工配置IP肯定是不会被广泛采纳的。当DHCP可以使用同广播域内搭建DHCP服务器,也可以做DHCP中继,使用DHCP中继的时候要注意要保证DHCP服务器要有去往AP的路由,否则DHCP单播回包将无法正确传送。当AP获取到IP地址之后,如果在DHCP中它有接收到含有option43的TLV,也就是原创 2022-03-30 12:38:01 · 978 阅读 · 0 评论 -
华为防火墙虚拟子系统引流表存在的问题
在虚拟子系统中的引流表帮助根系统简化了静态路由的创建,同时还节省了会话资源,但是它也存在着问题。那么是什么问题?在nat server中,如果根系统对nat server的流量进行了转换后,如果根系统仅有对应的引流表,那么根系统也不会将该流量进行转发,为什么?因为在经过nat server的转换后,该流量已经错过了匹配引流表的机会了,所以在这种情况下,引流表将不会生效,同时在IPsec中也有一样的问题,当IPsec的流量到达防火墙并进行解封后,同样也不会匹配引流表,原因也是和nat server一样。原创 2022-03-29 15:32:42 · 905 阅读 · 0 评论 -
华为防火墙虚拟系统的适用场景与个人评价以及NAT相关操作下安全策略的配置解释
我翻了一圈它的产品文档,发现文档中给出的场景大多是防火墙下联一个区域,什么意思?也就是防火墙一个接口代表一个区域,一个范围,然后这个范围由虚拟子系统进行管理,如下图:可以看到一般都是防火墙下联多区域的情况,如果是基于接口分流的这种情况,我们必须保证防火墙下联的区域的流量是单区域的,不能是多区域混杂的,否则将无法起到单个虚拟子系统管理单区域的效果,这当然是我们不想看到的。如果是基于VLAN分流的,那么就需要我们将防火墙设置为透明模式,以便可以接收采纳到多个vlan的流量,其实这种基于VL...原创 2022-03-29 15:24:26 · 1093 阅读 · 0 评论 -
华为虚拟系统的相关配置
vsys enable //开启虚拟系统resource-class xxx //创建资源类在资源类视图:resource-item-limit xxx可分配的资源如上图所示,上面的资源都是手工资源,即可以手工分配的资源,还有一些资源是不能手工分配的,称为定额分配,比如默认的安全区域,每个虚拟子系统都有默认的4个安全区域。还有共享抢占资源,它们是全部的虚拟子系统共享的,比如ARP表,server-map表,MAC地址表。下面是各个手工分配可选项的含义:会话数 //会话的数量.原创 2022-03-29 14:29:00 · 1192 阅读 · 0 评论 -
华为防火墙虚拟系统的案例分析(个人总结向)
案例一如图整个拓扑的架构如图所示,上面蓝色的是子虚拟系统1,它分配了一个物理接口g1/0/0,在虚拟子系统1上面利用实现NAPT使得内网用户可以访问外网,同时在子虚拟系统1上面实现nat server使得192.168.0.1的服务器可以对外提供服务。下面紫色的是子虚拟系统2,它也分配了一个物理接口g1/0/1,在虚拟子系统2上面同样利用NAPT使得内网的主机可以访问外网,同时在虚拟子系统使用no-reverse的nat server,使得内网主机可以被外部主机访问。根系统的出口接口是g1.原创 2022-03-28 15:29:18 · 4260 阅读 · 1 评论 -
华为虚拟系统
概述什么是虚拟系统,按照我的理解,虚拟系统就是防火墙上面的进程原先是一个进程在防火墙上面运作并执行相关的安全职能,但现在我们可以通过创建多个进程,以防火墙的硬件基础从逻辑上虚拟化出多个执行防火墙安全职能的进程。通过主虚拟系统向子虚拟系统分配接口,vlan,策略数等等相关系统资源,使得子虚拟系统可以在被分配了一定的系统资源后独立的对这块系统资源进行管理。其主要的作用就好比一块大土地被分割成了多块小土地,然后每个人,每个管理员所管辖的范围也仅仅限于小土地,这就减少了管理的难度,和管理的事务量。.原创 2022-03-28 10:08:36 · 2624 阅读 · 0 评论 -
华为智能选路步骤
图1图2图3 图4上图中的下一跳所填入的内容是用于缺省路由和运营商路由的材料,所属运营商是一个运营商的地址集合,如下图所示可以对运营商地址进行导入:图5运营商地址是不同的运营商的地址集合,比如运营商的地址集是A,运营商地址集是B当我们该图的上面一张的图中创建链路接口的时候,可以选择勾选该接口所属的运营商以及缺省路由,如果这两个复选框都选上后,就会生成路由条目:缺省路由的路由条目:0.0.0.0 0.0.0.0 下一跳(这里的下一跳就是图4中下一跳框中...原创 2022-03-27 11:36:40 · 1227 阅读 · 0 评论 -
华为双机热备与NAT的结合
拿这个图来说吧,上面是外网,下面是内网,内网使用两台防火墙做出口,然后在防火墙上面配置了NAT和NAT Server。我现在来就双机热备基础下,NAT会出现什么问题做一个讨论。1、NAT server问题1:(针对nat server公布的地址与出接口同网段)arp的频繁更改这个问题是什么意思呢?如果我们要访问nat server公布出来的外网地址,那么我们的第一步肯定是进行arp操作,如果我们没有进行其他的操作和修改,那么当arp请求报文发送两台防火墙上的时候,防火墙会发现这个arp请..原创 2022-03-25 19:28:30 · 4254 阅读 · 0 评论 -
双机热备的相关命令
firewall session link-state check //开启状态检测hrp mirror session enable //会话快速同步hrp standby config enable //配置备份设备也能进行备份命令的配置hrp sync config //手工触发批量备份hrp configuration auto-check enable //配置自动进行一致性检查hrp configuration auto-check interval xxx //配置一致性检查的周期.原创 2022-03-23 20:55:31 · 1334 阅读 · 0 评论 -
华为双机热备目前的总结
双机热备一个小小的词牵扯出一大块的内容和协议,总的来说还是比较杂和乱的,所以在这里先总结目前学习到的内容。概述双机热备总共涉及的协议有VRRP,VGMP,HRP,VRRP主要的应用场景是防火墙处于三层模式下所做的一个双机热备。传统的vrrp的缺点就是vrrp组之间都是独立的,没有办法将这些vrrp组进行集中的管理和控制,这就使得了vrrp组错误的流量引导的发生。所以就出现了VGMP,VGMP的主要思想就是将一台设备上的vrrp组全部都视为同一个VGMP组,通过控制VGMP组来对独立的vrrp组进原创 2022-03-23 17:53:24 · 1867 阅读 · 0 评论 -
华为防火墙链路检测工具(IP-LINK,BFD)
IP-LINK三个检测周期15s后未收到响应报文则认为故障收到三次响应后才认为故障消除ip-link xxx //创建ip-linkdestination 1.1.1.1 interface xxx mode xx next-hop 2.2.2.2ip-link check enable //开启ip-link检查tx-interval xx //设置发送间隔times xx //设置超时次数display ip-link//显示iplinkIP-link作为一个链路测试工具,...原创 2022-03-21 11:49:27 · 10874 阅读 · 0 评论 -
华为防火墙SLB
例子拓扑与要求配置命令解释slb enable //开启SLB服务器负载均衡功能创建实服务器组group xxx //创建一个实服务器组实服务器组:实服务器组指的就是内网需要进行服务器负载的服务器的集合,如上图,右边的服务器群就是实服务器组metric xxx //负载均衡的算法,这个可以看我的另一篇博客rserver rip 192.168.0.1 [status inactive] port xx [max-connection] [description xxx]原创 2022-03-19 18:15:06 · 792 阅读 · 0 评论 -
华为防火墙SLB算法
1、简单轮询算法顾名思义,简单轮询就是针对每个流进行顺序的分配,比如四台主机1,2,3,4,那么防火墙就会根据数据流进行针对四台主机的顺序分配且不断地重复循环。在防火墙里它们是以五元组确定一条流地。这种简单轮询算法主要地适用场景在于那些服务器的性能差不多,且相关服务不会产生诸多额外的会话和流的情况。如若会话和流被算法分配后,主机与先前主机的会话被打乱后,将会对相关服务造成影响。比如FTP,如果它的数据会话和控制会话分别作用在两台服务器上,那么FTP的工作决定会出现异常。2、加权轮询算法加权轮..原创 2022-03-19 15:04:00 · 749 阅读 · 0 评论 -
smart NAT和full-coneNAT的配置以及应用场景
smart NATsmart NAT的主要配置是在nat地址池的视图下进行的,总共有两种模式:smart-fullconesmart-noPATsmartNAT的核心思想就是,先进行no-PAT,或者先进行fullcone的NAT,等到noPAT或者fullcone的NAT的相关地址都消耗完了之后,再利用smartNAT保留的一个地址做NAPT.相关配置如下nat address-group 1 //创建地址池mode full-cone或者mode no-pat //表..原创 2022-03-19 11:09:52 · 2623 阅读 · 0 评论 -
华为链路聚合的条件
链路聚合/端口聚合/端口绑定的实现条件:1、 每个Eth-Trunk接口下最多可以包含8个成员接口。2、 成员接口不能配置任何业务和静态MAC地址。3、 成员接口加入Eth-Trunk时,必须为缺省的hybrid类型接口。4、 Eth-Trunk接口不能嵌套,即成员接口不能是Eth-Trunk。5、 一个Eth-Trunk接口中的成员接口必须是同一类型,例如:FE口和GE口不能加入同一个Eth-Trunk接口。6、 一个以太网接口只能加入到一个Eth-Trunk接口,如果需要加入其它Eth-Tr转载 2022-03-05 14:26:47 · 1464 阅读 · 0 评论