走马

如图，上海分公司与北京分公司内部都是使用的IPV6网络，而中间的互联网只可以运行IPV4协议。因为IPV6地址无法在IPV4网络上面跑，所以两边的通信成为了一个新的问题。为了解决这个问题，决定使用6VPE技术进行配置。

哈喽，我是ICT大龙。本期给大家更新一次使用华为防火墙实现SSL VPN的技术文章。本次实验只需要用到两个软件，分别是ENSP和VMware，本次实验中的所有文件都可以在文章的末尾获取。话不多说，教程开始。百度百科解释：虚拟专用网络(VPN)的功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。相信朋友们在工作或者学习中会碰到这样一个场景。

哈喽，我是ICT大龙。本次更新了使用ENSP仿真软件设计校园网实验。时间比较着急，可能会有错误，欢迎大家指出。获取本次工程文件方式在文章结束部分。如图，XYZ大学校园网设计分为3部分，分别是A校区、B校区与互联网区域A校区分为3个部门（教学楼、办公楼、图书馆）与一个服务器机房A校区的网络架构为接入层、汇聚层与核心层。终端设备上的网关设在接入层上面为了有效的隔离广播风暴，按照每个部门属于一个VLAN的方式进行划分。

如图，7.7.7.7的路由传递给R6时，首先R1把R7的路由引入到MP-BGP中，MP-BGP会为这个VRF实例分配一个内层标签会被VPNV4路由携带。这条路由被R1传递给MP-IBGP邻居R9（也就是反射器），因为反射器配置了不检查RT值功能，所以他可以接收这条路由，并把这条路由继续传递给R10设备，R10也是一台RR设备，它同时也配置了不检查RT值功能，所以他也可以收到这条路由，并把路由反射给了R6设备，R6设备根据内层标签将路由传递给了VRF实例。

现在路由就可以正常传递了，但是对于两边的PE设备来说，1.1.1.1和6.6.6.6都不是可达的。所以需要在中间设备R3与R4上面分别network 1.1.1.1和 6.6.6.6.现在虽然配置了建立邻居的BGP进程，但是因为双方是没有对方的路由的，所以无法建立。下一步需要R1与R9建立MP-IBGP邻居关系，R1把VPNV4路由传给R9。R6与R10建立MP-IBGP邻居关系，R6把VPNVR路由传给R10。之后R9与R10互相传递VPNVR路由，他们就能收到了。

此时数据包会依靠R4分配的标签进行跨域，跨域后会把策略标签弹出，封装LDP标签依靠隧道去找R6，此时会有两层标签，分别是LDP标签和内层标签，在R4的出口上面进行抓包。当数据包进入R3的端口时，LDP标签会被次末跳弹出，中间层标签会执行swap动作换为R4分配的标签，内层标签保持不变，此时会有两层标签携带。因为内层标签是R6分配的，所以访问目的地在R6的实例上面，迭代到去往6.6.6.6的隧道里面，封装标签为1024。此处会封装三层标签，分别是内层标签，以及R3分配的二层标签与LDP标签。

配置时，因为中间设备没有配置实例，也就不会有RT值，所以默认是不会接收VPN-V4路由的，如果要他可以接收VPN-V4路由，那么则需要关闭检查功能。华为设备如果在一个AS域传递到另一个AS域，会自动把从另一个AS域的EBGP邻居获取到的路由传递给IBGP，那么下一跳是可达的。由此可以验证，因为R3与R4之间启用了MPLS功能，用于传递内层标签，如果不开启，则无法传递内层标签。在此处进行抓包，预估会出现两个标签，分别是MPLS的标签与MP-BGP的标签。预估此处会把外层标签剥掉，只剩下内层标签。

如图，上海分公司与山东分公司之间为保证业务可以互通，需要使用MPLS VPN技术进行连接。中间R3与R4之间运行IGP，使用IGP传递路由，因为网络需要经过联通与移动两个AS域，所以使用MPLS VPN OptionA方案来进行配置。接收不到OSPF的时候,需要考虑是否是dn位的问题。由此可见,VPN可以正常转发数据包。

现有财务部，研发部与服务器区域。所有到达区域的流量都需要经过杀毒检测区域检测流量是否安全合法才可进入区域，又因资金有限所以杀毒检测区域只有一台服务器，现需要合理配置FW实现为3个区域的流量进行检测。交换机的实例B与FW的实例B通过OSPF建立邻居，FW的实例B又与交换机的全局建立邻居关系，现在就可以实现交换机实例A发往全局的流量需要经过FW。SW的全局与FW的B实例建立邻居关系，FW的B实例与SW的B实例建立邻居关系，这样就相当于SW的B实例与全局也建立了邻居，流量在B实例访问全局时，也会实现经过FW。

集团网络中接入层网络正常经过R2访问互联网，如果R2设备失效后，应立即换到备用路由器R3以保证业务正常，且不能出现重新计算路由而耗时的情况。如图，R1与R2之间运行了BFD协议，将OSPF于BFD进行联动一旦BFD检测到链路断开就立刻告知OSPF协议，OSPF协议马上切换到之间使用FRR计算出的备用路径进行转发流量。3.因此要配置OSPF与BGP联动，实现OSPF协议恢复后不会立马切回到R2设备，而是要等待BGP邻居正常建立成功且能收到BGP路由时再进行切换，从而实现切换后流量能够正常转发。

【代码】MPLS VPN Hub&Spole理论及实验配置。

新增路由器收到DIS的CSNP后（DIS会每隔10s周期性发送CSNP信息），根据比较自身的LSDB，发送相应的PSNP，DIS接收PSNP后，发送相应的LSP，新增路由器接收到之后，添加到自身的LSDB，不会发送PSNP确认这些LSP，同步过程结束，并向其他链路泛洪。非DIS路由器收到新增路由器的LSP后，如果是新的LSP，添加到自身的LSDB中，不会发送PSNP确认此LSP，并向其他链路上邻居泛洪这些LSP。如果接口配置了从IP，那么只要双发有某个IP在同一网段，就能建立邻接，不一定要IP相同。

【代码】【神州数码】无线配置步骤。

本实验拓扑图中有 3 台路由器，路由器在区域 0 和区域 1 中，路由器 B 在区域 0 和区域 30，需要基于本拓扑图实现 OSPF 多区域的配置，并理解 OSPF 实现层次型网络的优点。配置 OSPF 多区域，理解 OSPF 层次型网络的特点。实验 11 OSPF 多区域配置 ·10·实验 11 OSPF 多区域配置 ·11·实验 11 OSPF 多区域配置 ·12·实验 11 OSPF 多区域配置 ·7·实验 11 OSPF 多区域配置 ·8·实验 11 OSPF 多区域配置 ·9·

SwitchB的配置如下：​​​​​​​。SwitchC的配置如下：​​​​​​​。RouteD的配置如下：​​​​​​​。

R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 //将公网地址池里的地址和内网关联并进行端口转换。[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat//将公网地址池里的地址和内网关联。[R1-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255 //定义内网需要转换的地址。

对于STP而言，最重要的工作就是在交换网络中计算出一个无环拓扑。在拓扑计算的过程中，一个非常重要的内容就是配置BPDU的比较。在配置BPDU中，有四个字段非常关键，它们是“根桥ID”、“根路径开销”、“网桥ID”以及“接口ID”，这四个字段便是交换机进行配置BPDU比较的关键内容。在这四条原则中（每条原则都对应配置BPDU中的相应字段），第一条原则主要用于在网络中选举根桥，后面的原则主要用于选举根接口及指定接口。先比优先级，优先级越小越优先，如果优先级相同，则比MAC地址，MAC地址越小越优先。

发数据帧时看是否在允许列表中，不在则丢弃，在允许列表则看是否需要带tag,需要带tag则tag,不需要则untag。是否剥离不是由pvid和接口pvid是否相同决定，而是由tag还是untag决定。Trunk接口也会有一个pvid,默认pvid是1。

路由中包含以下信息：目的网络：标识目的网段掩码：与目的地址共同标识一个网段出接口：数据包被路由后离开本路由器的接口下一跳：路由器转发到达目的网段的数据包所使用的下一跳地址路由可以通过直连路由，静态路由和动态路由协议产生一个接口双up之后会产生三条路由分别是：192.168.1.0/24 第一条表示接口所在的网络地址192.168.1.1/32 第二条表示接口的ip地址192.168.1.255/32 第三条表示接口所在的网络的广播地址。

IP地址在网络中用于标识一个节点（或者网络设备的接口）IP地址用于IP报文在网络中的寻址在IP网络上，如果用户要将一台计算机连接到Internet上，就需要申请一个IP地址。IP地址就像现实中的地址，可以标识网络中的一个节点，数据就是通过它来找到目的地的。即我们通过IP地址实现全球范围内的网络通信。IP地址是网络设备接口的属性，不是网络设备本身的属性。当我们说给某台设备分配一个IP地址时，实质上是指给这台设备的某个接口分配一个IP地址。如果设备有多个接口，通常每个接口都至少需要一个IP地址。

Source port(16)：源端口Destination port(16)：目的端口Sequence number(32)：序列号，发出来的数据的编号Acknowledgement number(32)：确认号，收到了第几个报文（表示下一个报文应该从哪个序列号开始发送。Header length(4)：头部长度，解封装时可以根据头部长度来确定TCP头部的范围是从哪里到的哪里Reserved(6)：保留字段,没有开发，没有什么用。

不论是OSI参考模型还是TCP/IP参考模型，都采用了分层的设计理念。▫各个层次之间分工、界限明确，有助于各个部件的开发、设计和故障排除▫通过定义在模型的每一层实现什么功能，鼓励产业的标准化▫通过提供接口的方式，使得各种类型的网络硬件和软件能够相互通信，提高兼容性数据的产生与传递，需要各模块之间相互协作，同时每个模块又需要“各司其职”。

双绞线双绞线是一种传输介质，有两根具有绝缘保护层的铜导线组成的。把两根绝缘的铜导线按一定密度互相绞在一起，每一根导线在传输中辐射出来的电波会被另一根线上发出的电波抵消，有效降低信号干扰的程度。 双绞线有四根用于发送和接收数据，另外四根是备用网线，用来传输数据的是 1,2,3,6线，对应颜色分别是橙白，橙，绿白，绿。冲突域在以太网中，如果某个CSMA/CD网络上的两台计算机在同时通信时会发生冲突，那么这个CSMA/CD网络就是一个冲突域。 交换机的一个端口是一个冲突域 集线器的所有端口是一个冲

路由器配置单臂路由三层交换机配置单臂路由常用配置命令浮动静态路由配置手工路由汇总低速接口配置rip触发更新，不需要等待30秒的自动更新向rip中注入默认路由配置命令查看命令配置命令DR/BDR的选举HELLO和DEAD命令默认路由的传播先到这里！！！

在动态 NAT 中，每个私有 IP 地址都会被映射成唯一的公共 IP 地址，并且映射关系是动态的，随着数据包的变化而变化。PAT：是一种特殊的动态 NAT，它可以将多个局域网主机映射到一个公网 IP 地址上，实现多对一的地址转换。静态 NAT 是固定将一个内部网络中的私有 IP 地址映射成为一个公网 IP 地址，一般用于需要固定映射关系的场景，比如需要将某个服务器暴露给公网访问时使用。在动态 NAT 中，每个私有 IP 地址都会被映射成唯一的公共 IP 地址，并且映射关系是动态的，随着数据包的变化而变化。

那么由此可以算出子网1的网络地址为192.168.1.0/25，第一个可用地址就是网络地址加1就是192.168.1.1/25，最后一个地址就是网络地址加可用主机位数=192.168.1.0+126，那么最后一个可用地址就是192.168.1.126/25，广播地址则为最后一个可用地址加1，那么广播地址就是192.168.1.127/25。子网1需要划分80台主机，子网2需要划分40台主机，子网3需要划分20台主机，子网4、子网5和子网6每个子网需要划分2台主机(因为在WAN链路上面)。

禁止转载一、AC二层设计1、vlan设计管理vlan:vlan1:192.168.1.100业务vlan:vlan10:192.168.10.100vlan batch 1 102、并将G/0/0/1接口(连接ap的口)上设为trunk接口，再trunk接口上允许vlan通过int g0/0/0/1port link-type trunkport trunk allow-pass vlan all3、检查配置（vlan、trunk、接口模式）dis port vlan二、设计三层