weixin_42334426的博客

正常端口映射：只在端口下配置：nat server protocol tcp global 1.1.1.3 50000 inside 192.168.1.1 50000当1.1.1.2访问1.1.1.3 50000端口，转换成功，192.168.1.1的回包也根据会话进行转化回复。若在端口下配置：nat server protocol tcp global 1.1.1.3 50000 inside 192.168.1.1 50000 reversible。

拓扑：FW1和FW2配置RBM，G1/0/0作为RBM控制通道和数据通道，下联二层交换机，然后与同网段PC通信，G1/0/1接口配置VRRP，FW1为主，FW2为备。

本地策略路由：对设备本身产生的报文（比如本地发出的ping报文）起作用，指导其发送。（ip local policy-based-routepolicy-name）转发策略路由：对接口接收的报文起作用，指导其转发。（interfaceinterface-type interface-number#ip policy-based-routepolicy-name）VXLAN隧道接口出方向策略路由：对接口发送的报文起作用，指导报文通过某一条特定路径到达目的设备。

route-replicate from vpn-instance internal protocol direct //路由复制，将其他VRF实例的路由复制到本VRF内，可以选择复制的协议（直连、静态或动态），还可以用route-policy控制引入哪些路由。route-replicate from vpn-instance external protocol direct //也不要忘记引入回程路由噢。若一台设备上本地VRF之间互通，可以采用路由复制的方式。一台设备上VRF间路由问题。

sw1和sw2互联的两条链路加入统一聚合口1，配置为动态聚合具体debug信息见文章最后SW1和SW21、默认情况下lacp为长超时，disp link-agg ver bri 1 本端和对端的flags “B”都没有置位（表示默认为长超时），debugging lacp(debugging link-aggregation lacp all)报文情况来看，sw1和sw2 的send和receive 方向lacp报文都是30秒发送一次。

R1向R3发起UDP连接（目的端口为不常用的端口），TTL=1, R2收到后，TTL=0,向R1回复一个ICMP超时消息（携带R1发送的ip头+UPP信息），r1收到后，发送TTL=2的UDP报文，R3收到后，TTL=0,但是自己为报文目的地，所以不回复超时，拆开包，发现UDP端口自己没开（不常用端口，通常30000以上），向R1回复ICMP端口不可达（同样携带R1发的ip头+ UDP）r1收到后，认为通了。

查询模式:设备周期性发送BFD控制报文，但是对端(缺省为异步模式)会停止周期性发送BFD控制报文。实验：一边查询模式，一边异步模式。正常情况下两边BFD都为UP，但是异步模式不会发送BFD报文，且异步模式端若端口DOWN，查询模式端BFD会话还是UP。被动模式:在建立会话前不会主动发送BFD控制报文，直到收到对端发送来的控制报文通信双方至少要有一方运行在主动模式才能成功建立起BFD会话。异步模式:设备周期性发送BFD控制报文，如果在检测时间内没有收到对端发送的BFD控制报文，则认为会话down。

VPN的应用：site-to-site VPN，用于两个局域网之间的连接，可采用：IPSec、L2TP、L2TP over IPSec、GRE over IPSec、IPSec over GRE。client-to-site VPN，用于客户端与企业内网之间建立连接，可采用：SSL、IPSec、L2TP、L2TP over IPSec。