- 博客(12)
- 收藏
- 关注
RSS订阅原创 双向转发检测(BFD)技术及简单实验
bfd all-interfaces min-rx-interval 100 min-tx-interval 100 detect-multiplier 3 //开启bfd,最小间隔,最大间隔均设置为100,认证次数设置为3。实验目标:在FWA上配置bfd会话1,配置对端ip地址,并设定本地、远端标识符,并绑定在ospf协议上进行测试。和ip-link的区别在于,ip-link只需在一台设备上配置,而BFD需要在两个设备上同时配置。bfd //取消bfd配置,确认,并重新开启bfd功能。
2024-07-11 15:34:00
358
原创 Nat环境实验
源Nat之所以能够实现私网ip和公网ip的转换,就是利用了源port的不同,将不同的内网ip对应到公网的port上。5元组 源、目的ip,源、目的port和协议,确定唯一一条ipv4的流量。源端口不一定是严格意义上的传输层端口号,也可能是进程的端口号,最大范围是65535(2进制16位)(此处可以用mode改模式,如pat,no-pat,full-cone(三元组))会话可以看到ip转换的过程,两个内网地址均使用了1.1.1.100这个公网地址。源地址nat测试,配置nat规则(可以不配置目的地址、协议)
2024-06-27 08:48:45
231
原创 智能选路ip-link配置实验
策略路由状态正常,disp firewall session table ve也可以看到策略路由的检查报文。实验目标:完成智能选路环境下的ip-link、策略路由的配置流程。ar1抓包抓到20.1.1.1到192.168.1.3的探索报文。pc2长ping走的是ar2的线路。第一步:ip、安全区域配置。都是up,没有故障。
2024-06-16 14:19:08
542
原创 GRE over ipsec组网实验
实验理由:在vpn加密的过程中,之所以要建立GRE over IPsec,是因为ipsec是不能抓去组播流量的(如视频流等),需要用到gre封装。IPSec(Internet Protocol Security)是一种由多种协议组成的协议栈,在建立IPSec链接前,会先使用IKE协议来进行密钥的交换和认证,建立安全关联(SA)。GRE(通用路由封装)是一种封装协议,它允许一种协议的报文封装在另一种协议的数据包中,VPN(虚拟专用网络)是一个在公共网络上建立起一个逻辑的、专用的隧道的技术。
2024-06-12 22:11:06
777
1
原创 Ipsec vpn实验环境
调用ike peer、感兴趣流(acl)和proposal,ike的proposal已经封装在peer里了,无需重复封装。(pp是策略名,10是优先级序列号,isakmp是策略的方式(manual是手动配置)在应用到出接口的流量后,匹配acl的流量就会交给ipsec隧道的封装。2.感兴趣流:(一般用高级acl,写源、目的端口)3.ike协商,命名为10,采用默认协商。FW2://和FW1一样,配置是对称的。1.fw1、fw2的ip、区域配置。//配置来回区间的ike协议协商。//配置来回区域和ip的业务。
2024-06-05 11:19:08
885
原创 双机热备负载均衡
而pc3的网关是fw1,导致pc3从fw2接到ping包后,丢给fw1,而fw1没有对应路由,因此丢弃。Pc2 ping 往pc3,可以在fw2的g1/0/0口抓包成功,但没有回包。Fw1防火墙g1/0/0口抓包,pc1 ping往pc3,成功抓包。开始配置安全策略:(因为已经开启了hrp,因此只需在fw1上配置即可,安全策略会同步)抓到ping包,且fw2中,vrrp配置均变成了master,链路未受影响。长ping开始,抓包fw2的g1/0/0端口,目前是没有信号的。配置完成后开始hrp配置。
2024-05-21 16:02:07
527
1
原创 双机热备-技术原理和组网实验
(防火墙在配置VRRP的时候,会在参数后面加上ACTIVE或者STANDBY的参数,如果是ACTIVE,就直接会是MASTER,反之则是BACKUP)当防火墙上的VGMP为ACTIVE/STANDBY的时候,组内的所有VRRP备份组的状态统一为ACTIVE/STANDBY状态。开启VGMP,并将所有的备份组都加入VGMP后,只要有一个备份组进行主备切换,就会将剩下的备份组联动一起切换。自动备份:默认开启,可以备份会话表信息、配置命令的信息,会话10秒备份一次,配置实时备份。会话快速备份:负载均衡的场景。
2024-05-21 09:59:30
1146
原创 Ospf stub、nssa实验
开启stub no-summary后,3类lsa被屏蔽,只省一个缺省3类lsa。区域0内1类lsa2个(两个路由器),2类lsa1个(一个dr),三类lsa1个(一个外部链路)关闭stub后,两台交换机重新变full,由此可见stub是每个交换机都得打。关闭stub,在R1上添加4个loop口,并引入,看看会不会有5类lsa。明白故障原因,之前改了stub后,两台路由器需要重新变成full。在R1上创立4个loopback口,并引入。区域1内的lsa如上,和区域0的差距不大。抓包,看到了5类lsa。
2024-05-20 15:03:25
124
1
原创 Ospf 虚链接实验记录
这里2又向1申请了,怀疑是对时间点11.65600的这个1的dd报文的回复,因为1的宣告和2的申请几乎是同时进行的,2当时没有收到1的宣告。首先配置r1,2,3,开启区域0,1,2,由此应该可以抓到的包:hello,dd,lsr,lsu里lsa1,2,3类,lsack的报文。抓到3类路由了,就是2路由器的23端口,这个端口我在1区域宣告的,因此对于区域0来说是域外路由。区域0应该有:2个1类lsa,1个2类lsa,1个3类lsa。区域1应该有:2个1类lsa,1个2类lsa,1个3类lsa。
2024-05-20 15:01:38
307
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人