网络之路Blog-CSDN博客

原创【实战中提升自己完结篇】分支篇之分支之无线、内网安全与QOS部署（完结）

说明：在分支这种情况下，必须开启该功能，因为很有可能总部与分部的VPN断开连接了，那么会导致AC与分部AP失去联系，一旦失去联系后，CAPWAP的链路会断开，断开后，那么导致业务停止，而该功能开启后，就算失去联系后，还可以正常工作，而且接入新的用户。说明：分支无线用瘦AP部署，通过VPN直接注册到总部的AC上面，实现无线的业务提供，并且在AC上面部署一个当与AP与AC失去联系后，可以继续为客户提供服务，而不断开。说明：该接口启用了源IP，MAC地址检查，也就是只有有一个不匹配的话，就直接丢弃了。

2025-09-10 20:25:10 963

原创【实战中提升自己】分支篇之VPN部署（包括对接、双链路冗余、优化与分析、策略路由与NAT的影响）

（1）Loopback口建立。

2025-09-10 20:22:30 1075

原创【实战中提升自己】分支篇之底层互通（VLAN、三层交换机、出口路由器配置）

说明：跟总部一样，在每个交换机与路由器上面定义好IP地址，然后进行VLAN与接口的划分。1.1、二层交换机VLAN划分与接口模式部署。

2025-09-09 21:58:58 850

原创【实战中提升自己】总部项目实施全方面总结

（1）IP地址规划总结说明：在规划IP地址的时候，一定要考虑好连续性，比如192.168.2.X~10.X，一般情况下配合VLAN来规划，一个VLAN一个网段，当然具体的网段范围可以根据项目实际的需求决定，如果是小于200的话，则用24位的，如果大于200，接近254的话，那么则要考虑后后续为了方便扩展，最好是23位的，这样的话，当后续有客户加入或者人数增加，那么也不会导致需要重新修改IP 范围。保证灵活性，之前说过了一般情况下是跟VLAN 配合规划的，这样的话方便对VLAN 内或者VLAN间的做控制。

2025-09-09 21:52:33 996

原创【实战中提升自己】内网安全部署完结篇之无线用户隔离、MAC、dot1x域认证

说明：在之前部署过多个安全技术，并不一定全部需要部署的，因为部署安全机制会对设备来说是有性能影响的，因为要处理报文，要监控。如果只是想防止ARP与病毒攻击这些的话，那么只需要部署端口隔离技术即可，如果想客户只能通过DHCP 服务器获取地址，不能私自修改IP的话，那么需要部署DHCP Snooping+DAI+ip source guead功能。至于MAC地址认证与dot1x认证的话，可以有效的控制终端接入，只允许合法的用户进入到内网。

2025-09-08 21:33:06 1185

原创【实战中提升自己】内网安全部署之STP的安全技术部署

说明：为什么需要注意STP的安全呢，在二层中其实存在很多不安全的因素，物理上面的环路这点就得依靠STP来解决，如果STP被恶意破坏，或者不是按照管理员定义的进行运行，那么整个网络会出现很大的问题。说明：有时候用户不懂网络知识，习惯性的自己自己带的交换机连接进来，而且很有可能是环路的连接，这样的话就容易出现广播风暴，所以这时候需要杜绝该情况发生。我们都知道STP是有根跟备份根的，如果根的位置改变了的话，流量的引向是会发生变化的。所以我们需要部署根的保护机制，防止根被后续的影响。（1）STP根保护机制。

2025-09-08 21:02:24 382

原创【实战中提升自己】内网安全部署之dot1x部署本地与集成AD域的主流方式（附带MAC认证）

它能实现的效果是，当内部用户输入正常的用户名与密码后，可以正常访问内部的网络与外网，没任何限制，如果不是内部人员登陆电脑，输入不了正确的用户名密码，那么只给访问外网，到Guest VLAN。另外，路由器默认开启了NAT，所以从内部所有的流量都转换到WAN口的，也就是同一个IP地址，固定的MAC地址，所以端口安全或者其他技术都杜绝不了，当dot1x的功能的话，目前路由器这些还不支持，所以这次可以拒绝。说明：在有时候，在某些数据库中有用户名了，比如AD环境，可以利用本身有的用户数据可以直接调用访问。

2025-04-20 19:30:33 1715

原创【实战中提升自己】内网安全部署之DHCP 防止恶意DHCP与IP冲突等

说明：有时候客户会私自定义IP地址，但是客户又不是非常懂，那么导致可能与网关或者其他PC的地址冲突了，所以我们这里必须杜绝该种情况出现，必须通过DHCP获取地址才能访问内网与外网。手动定义地址，进行访问。可以看到可以正常访问。4。

2025-04-20 19:28:52 1334

原创【实战中提升自己】内网安全部署之端口隔离与MAC地址认证

说明：该功能在如果在部署前已经登记了对应的MAC地址，这样的话部署起来比较方便，如果是后续需要实施该功能，需要通过一些工具批量查看MAC地址，继续记录了。说明：这里有几个地方不需要部署，就是需要访问的，比如打印机，上行链路不需要定义，因为该功能是2个接口都部署了端口隔离的时候，该2个接口就不能互访，这样的话就算一个接口下面的PC干扰了病毒，或者ARP攻击，也不会影响其他设备。说明：用户名密码就是MAC地址，中间不需要-，这是默认格式是这个，注意是小写。（5）是否需要部署MAC地址认证功能。

2025-04-20 19:27:29 768

原创【实战中提升自己】内网安全部署之为什么需要安全部署

3、通过DHCP Snooping技术，部署DAI、ip source gued技术，可以有效的防止ARP、病毒等攻击，同时也必须通过DHCP地址获取到的用户，才能访问公司外网与外网。2、防止其他“未授权”的DHCP服务存在，部署DHCP Snooping技术，这样保证用户获取到的地址都是正确与“合法”的。4、部署二层隔离技术【端口隔离】，PC之间不能互访，PC只能访问服务器与打印机、外网等，这样有效的防止了，当一个PC如果中毒或者装了恶意的软件，不会影响到其他用户。5、二层技术的问题，导致网络震荡。

2025-04-18 08:55:54 303

原创【实战中提升自己】统一管理设备，认证【本地用户名密码】

说明：这里定义了2个用户，第一个telnet-ssh，的意思是允许客户端Telnet或者SSH来管理设备，但是权限只给于2，2的意思是能配置大部分功能，但是不能重启设备，查看设备配置，私自定义用户等，当然这个可以根据自己需求定义。第二个用户则是管理员用户，可以通过Console、WEB等方式管理，而且权限为15，最为特殊需要的时候才使用。说明：为了方便管理设备，我们通常在内部会定义一个地址，然后通过该地址进行访问，并且定义了认证方式为本地的用户名密码进行验证，并且限制只允许特定的管理人员登陆。

2025-04-18 08:54:13 635

原创【实战中提升自己】防火墙完结篇之VPX部署–IPSEC VPX，包括与L2TP共存问题

说明：VPN的需求其实非常简单，就是与分部进行安全的访问，当然只允许财务部之间的互访【这个根据需求决定】，这路需要注意，除了这个以外，还有无线AP需要注册到总部来，这个需要通过VPN进行加密连接，但是这里总部是固定IP，而分部则是PPPOE拨号，这个只能通过动态策略模板来进行部署。修改方法很简单，把接口调用的IPSEC去掉，然后把L2TP的IPSEC相关的策略undo掉。说明：该策略之前已经定义好了，只需要增加一个GRE协议进去，另外也是允许访问1.1.1.1，因为要协商GRE。（1）升级版本到新版本。

2025-04-15 21:55:01 503

原创【实战中提升自己】防火墙篇之VPX部署–L2TP over IPSEC

说明：在VPX上面，我们希望与分部建立VPX，保证与分部的财务部正常通信，另外还提供L2TP Over ISPEC功能，方便远程接入访问内部服务器等。当然我们也可以做详细的控制，根据需求而定。可以看到路由表，所有的流量都是发送给192.168.24.2，VPx的流量都走防火墙了，这样造成VPx的流量与访问公网的流量都走公网了。由于不好截图，所以不能上图了，测试是没任何问题的。设置———-更多———-VPx——-创建一个L2TPover ipsec的———–密钥填写。可以看到可以访问对应的服务器。

2025-04-15 21:47:03 485

原创【实战中提升自己】防火墙篇之双ISP切换与VRRP切换对于用户的体验

某公司的网络架构，这样的架构在目前的网络中是在常见的，假设您接收一个这样的网络，应该如何部署，该实战系列，就是一步一步讲解，如何规划、设计、部署这样一个环境，这里会针对不同的情况给出不同的讲解，比如拓扑中有2个ISP，假设客户需求是，想实现主备的效果，又或者是想负载分担。1、正常情况下，PC经过高层人员交换机，然后通过与Core-B的流量转发给Core-B【这个过程是STP决定的，因为VLAN 20的根在Core-B上面，所以走这条链路，虽然上行链路down了，但是STP不会受到影响】

2025-02-24 21:56:39 854

原创【实战中提升自己】防火墙篇之NAT存在的问题（通过公网地址或者域名方式访问）

2、定义域内NAT说明：地址池的地址可以随意定义的，然后调用在域内NAT里面。如果是平时的话这里就可以结束了，可以正常访问了，但是在这个环境中还不行。3、在双ISP+策略路由的情况下特别需要注意的地方。（1）问题：双ISP绑定了Zone说明：上面那2个配置只适合没有绑定Zone的，也就是在输入时没有加入对应的Zone参数，没加的话属于任何一个Zone都可以，如果加了则只处理该Zone的数据包转换，而之前定义的都是绑定了出口ISP的，所以只能转换从2个ISP来的流量，而内部来的则不能正常转换。

2025-02-24 21:55:34 1058

原创【实战中提升自己】防火墙篇之路由部署根据需求不同，部署默认路由、浮动路由 NQA、IP-link，策略路由

说明：定义了2条默认路由，分别指向联通电信的下一跳，注意这里是关联了IP-LINk技术的。8。

2025-01-24 21:42:11 1522

原创【实战中提升自己】华为华三中小型企业网络架构搭建【防火墙篇之安全策略与NAT部署】

首先要明白，inbound与Outbound是针对优先级来说的，从高优先级的Zone去往低优先级的Zone的流量为Outbound的流量，比如Trust到Untrust的流量，也就是内网访问外网的流量。而低级别到高级别的流量成为inbound，也就是Untrust的流量到Trust，外网主动访问内网的流量。1、假设我们需要访问外网，而默认情况下Trust到ISP的Zone是deny的，那么我们需要放行Trust到ISP的Outbound的流量，这样就可以正常访问外网了（假设已经部署了Nat）

2025-01-24 21:38:22 981

原创【实战中提升自己】华为华三中小型企业网络架构搭建【无线架构之低速率限制与负载均衡】

某公司的网络架构，这样的架构在目前的网络中是在常见的，假设您接收一个这样的网络，应该如何部署，该实战系列，就是一步一步讲解，如何规划、设计、部署这样一个环境，这里会针对不同的情况给出不同的讲解，比如拓扑中有2个ISP，假设客户需求是，想实现主备的效果，又或者是想负载分担。1、基于会话的话，则是在定义的阀值上面，通过AC的负载均衡算法来判断该AP是否超过了该阀值，如果超过了，则通知客户端关联另外的AP接入。l 配置负载均衡时，所有需要配置负载均衡的AP都要配置在同一AP域内，与同一AC上面。

2025-01-22 10:26:39 642

原创【实战中提升自己】华为华三中小型企业网络架构搭建【无线架构之三层漫游】

对于三层漫游来说，与二层漫游的区别还是有点大的，注意的地方就是WLAN-ESS接口需要放行需要漫游接口的VLAN，各自的WLAN-ESS以自己VLAN为PVID，另外接入层到汇聚【核心】对应的接口都需要放行2个VLAN的流量，这是非常重要的，否则你漫游过来，没有放行该VLAN通过，那么导致流量不同。另外就是部署端口安全与一些机制，这些是需要注意的。

2025-01-21 10:56:54 1247

原创【实战中提升自己】华为华三中小型企业网络架构搭建【无线架构之二层漫游】

总结：可以看到漫游是有一定的规定的，比如SSID相同、安全策略需要相同，另外需要注意的地方就是交换机端口放行的流量，以及WLAN-eSS接口需要注意的问题，比如在二层漫游的情况下，因为只是跨越了AP，网段与VLAN是没有变化的，所以WLAn-eSS接口配置与之前一样，但是如果是三层漫游的话，比如VLAN19的用户漫游到了VLAN20的网段，这样的情况下，那么WLAN-ESS则需要untagged VLAN 19 20，并且下联接口的交换机都需要允许这些VLAN通过，否则用户漫游过去了，数据通信不了。

2025-01-21 10:52:34 964

原创【实战中提升自己】华为华三中小型企业网络架构搭建【无线架构之无线业务部署（无线架构之存在的问题】

可以看到信道调优是auto的，也就是当有多个AP在附件的情况下，AC会根据AP上报的信息，来自动划分AP之间的隧道，如果是2.4G的话，则会自动规划为A为1，B为6，C为11，这样互不干扰，而5G的话，则可以自动分配为149、153、157、161、165信道，当然自动调优是需要一定时间的，如果自己确定位置的话，则可以手动调优信道，规划如下。可以看到访问内部网络的20.1是无法通信的，而访问特点的服务器是OK的，当然访问Internet也是OK的，但是目前还没配置到防火墙那块，没打通Internet服务。

2025-01-19 10:53:42 1116

原创【实战中提升自己】华为华三中小型企业网络架构搭建【无线架构之无线业务部署（包括AP上线、业务配置、下发、业务测试）】

之前已经定义了DCHP地址池了，所以这里只需要创建作用域选项，其实像DNSDomain等参数都是选项，只是常用的功能被微软简化了操作。030f3139322e3136382E3130302E323534，这个值为二进制，怎么换算，可以看下面的说明03为固定值0f是十六进制，换成十进制为15，代表长度，表示192.168.100.254，加上小数点，从左往右数，正好15个长度十六进制31对应ASCII值是1，而39则为9，32为2，则是192，依次类推。

2025-01-19 10:52:04 1396

原创【实战中提升自己】华为华三中小型企业网络架构搭建【路由定义与分析、内网DHCP部署】

之前博客分享过，但是没汇总到公众号，这里在发布下，虽然早期写的实战文章，有些技术与设备现在更新了，但是对于常见的组网思路构建还是很有帮助的，希望对大家有帮助。（觉得有帮助可以点点赞、转发下）某公司的网络架构，这样的架构在目前的网络中是在常见的，假设您接收一个这样的网络，应该如何部署，该实战系列，就是一步一步讲解，如何规划、设计、部署这样一个环境，这里会针对不同的情况给出不同的讲解，比如拓扑中有2个ISP，假设客户需求是，想实现主备的效果，又或者是想负载分担。DHCP部署在防火墙上面或者是单独的服务器

2025-01-19 10:50:01 712

原创【实战中提升自己】华为华三中小型企业网络架构搭建【MSTP、链路聚合、VRRP部署】

VRRP与MSTP配合：我们之前分析过MSTP是保证链路的有效分担利用的，可以把VLAN的流量分摊到不同链路上去，然后在上行设备上面定义不同实例的根，定义根的作用是，对应的实例内的VLAN会把流量引向根的方向，而根也分为主根与备份根，这个跟VRRP的主备相似，所以我们在定义VRRP与MSTP的时候，要保持主备统一，比如VLAN 10、20、30的根在A设备上面，那么对应的网关 VRRP，则A为主，B为备用，而VLAN 40 、50 、60的根在B设备上面，那么对应的网关VRRP，则B为主，A为备用。

2025-01-18 11:03:22 1265

原创【实战中提升自己】华为华三中小型企业网络架构搭建【ip地址规划、VLAN划分以及基础配置】

总结：至此整个VLAN的部署已经接口划分完毕，这里注意的地方就是Trunk，默认情况下只允许VLAN 1的流量通过，而其余流量是不允许的，所以需要允许需要的流量通过，如果不确定哪些VLAN的流量要通过，可以直接 permit all。配置IP地址难度并不大，需要结合后续的技术考虑一些因素进去，比如后续要部署VRRP，我们必须让它网关均匀的分配到2台核心交换机上面，使得它们分担整个网络的流量，如果都往一个交换机上面跑，则另外一台没有利用起来，而且这一台压力也大。

2025-01-18 09:40:00 979

原创华为路由器交换机如果系统丢失怎么恢复（强烈建议收藏）

AR150系列设备的Ethernet 0/0/3，AR200系列设备的Ethernet 0/0/6，AR1200系列和AR2220设备主控板GE0/0/0，AR2240设备前面板GE0/0/2，AR3200系列设备主控板GE0/0/2）直接相连并保证两者能在同一网段内互通。华为企业网 https://e.huawei.com/cn/ （技术支持---产品支持---软件下载--找到设备型号--下载，需要权限，可以用设备的ESN提升权限。（一定要接在对应的口，否则不亮，其他型号可以查看官方文档）

2025-01-16 10:14:17 683

原创华三路由器交换机如果系统丢失怎么恢复

华三企业网 https://www.h3c.com/cn/ （支持---文档与软件---软件下载---找到设备型号---下载，帐号权限需要注册一个绑定SN。那么在实际中，路由器设备，把电脑接0口，交换机设备则可以接任意的接口（如果交换机设备带管理口的情况下，建议接管理口尝试，如果不行在接业务口）这一篇来讲讲实际中容易出现的一个问题，就是如果设备的系统由于某些原因丢失了，这个时候怎么恢复。准备TFTP/FTP软件，建议3CDaemon，支持FTP，设置好固件路径。确定好型号，官方找对应型号。

2025-01-16 10:10:13 440

原创华三HCL模拟器桥接真实网络，让体验更加真实

出接口修改[MSR3600]interface g0/1[MSR3600-GigabitEthernet0/1]ip address dhcp-alloc。这个时候就获取到到地址了，因为G0/1默认就是DHCP client的。把VMnet2绑定VirtualBox，记得把主机的DHCP之类的关掉。在虚拟机里面---编辑---虚拟网络编辑器---添加网络。华三桥接是一样，把互联网的去掉，拖一个Host。测试下就可以了，后续打造一个实战环境就方便了。在从接入接一根线到VirtualBox的网卡。

2025-01-12 10:38:02 437 1

原创华为eNSP模拟器桥接真实网络，让体验更加真实

就是把eNSP桥接进真实的网络，利用我们的物理网卡通过实体路由器可以Ping通真实的外网，相当于我们实体网络就当成运营商网络，已经搭建好了的，只需要你去对接。大家还记得23篇的时候，桥接Windows DHCP的案例么，用的vmware虚拟机，我们还可以把这个桥接到交换机，让他通过这套eNSP出去上网，这里网卡用的VMnet1。比如这个图，之前自己搭建的运营商模拟的，访问只能访问61.128.1.1，局限性有点大，下面我们通过桥接到真实网络里面。内网访问也没任何问题，我们可以省去模拟运营商的问题。

2025-01-12 10:30:25 670

原创华为路由器、交换机、AC、新版本开局远程登录那些坑（Telnet、SSH/HTTP避坑指南）

在V200R019C10以及之前的版本呢，都习惯的按照上面的去开启对应的http、telnet、ssh服务，剩下的只要用户名服务类型对了，等级对了，VTY允许了就没任何问题，但是华为设备新版本V2R20以及以后的，这个系列要注意。可以看到这个版本是V200R021版本，http的服务都是没问题的，但怎么都打不开WEB，通过display tcp status一看，没有侦听对应的端口号。不单单HTTP、Telnet、SSH需要定义，SNMP、FTP、radius也需要，多看看手册说明。

2025-01-08 09:57:19 787

原创经典案例系列分享：VPX特殊案例、Cisco与H3C建立“Gre Over IPsec“

解决办法：我们可以在双方各自建立一个环回口，然后tunnel 的源和目的都是各自的环回口，然后感兴趣流量就是匹配这个gre的流量，运行动态路由协议，这样就变相的形成了gre over ipsec，因为动态路由协议会发送hello包，就触发了VPX的建立，其实还是Branch先行发起。PS：Center是cisco的设备，有固定的IP，但是Branch端是H3C的设备，没有固定IP，是通过ADSL上网的，而他们需要实现无论什么时候都能访问双方的资源，因为存在VOIP电话。

2025-01-08 09:54:08 1066

原创（故障案例）来自国外的IPSEC攻击导致爱快路由器带宽被占用满

对于这次故障，起始算是爱快上面的一个小BUG，正常情况下，如果没有配置IPSEC的情况下，那么对应的IPSEC响应机制应该是不会被启动的，而爱快的没配置IPSEC的配置，但是还是响应了对方的报文，导致了这种情况，另外抓包是个好东西，大部分设备都带这样的功能，要多多利用，我们学习知识点就是学的协议本身，了解了，出现故障才能好好的分析，所以大家在学习的时候一定要从技术本身去了解它，不单单是是学会配置就行了，配置任何人都会，但难就在出现问题如何解决了。

2024-12-31 08:59:10 696

原创 DDNS使用公云（3322）的兄弟们注意了

从周六开始就出现陆续解析不了f3322.net的域名，但是新建的xf3322.net的则没问题，到周一官方发布公告才知道被限制了，所以如果华为、华三等设备上面动态公网IP关联了公云（3322）DDNS的朋友，删除之前的域名新注册x3322.net的就可以继续使用了。（按官方的意思目前f3322.net处于整顿状态，多久开放未知）输入想要创建的前缀，现在免费的只有.x3322.net了，点击查询后，显示未创建则是可以使用，选择创建域名即可，如果显示已被创建，则需要重新输入新的前缀。（目前免费的只有7天时间）

2024-12-31 08:55:12 1955

原创 wireshark常见使用操作讲解以及几个故障解决案例分享

关于wireshark一直群里都让我出一个专题课，其实这个并不好出，因为wireshark本身是一个协议抓包工具，前提你得对各种协议本身比较了解，能够看得懂，你才能从抓包的内容中得到需要的内容，而网络协议实在是太多太多了，并不能说全部介绍到的，也可以发现博主的课程里面，在讲解某一个协议技术的时候，都会抓包分析以及讲解包的结构，这个就是为了能够更好的理解这个协议，也是抓包真的遇到的时候，能够看得懂。服务器端由于某种原因，应用进程奔溃了，无法正常建立三次握手，所以在收到SYN的时候直接回应RST、ACK。

2024-12-29 21:23:29 1456

原创【华三路由器实战】如何同时映射100个以上的端口号（命令加WEB全方面操作）

在实际中，还有这样一种需求，有些业务开发端口号有点多，比如同时要求开放10120~10300的范围，像这么大的范围，如果一个一个去敲那肯定得输入大半天了，而且只有一个地址的情况下单纯做一对一影响太大，这里就讲讲可用解方案。选择外网接口，直接输入端口号范围即可，在华三上面内外端口号不需要一一对应，比如外网10001~10300，内网可以10101~10400。注意，这个是新版本界面的操作，有可能实际中遇到的是老点的版本，不一定可以支持。1、在删除某个映射的时候，只需要undo到外网信息这块，比如要删除。

2024-12-29 21:18:28 480

原创【华为路由器实战】如何同时映射100个以上的端口号（命令加WEB全方面操作）

在实际中，还有这样一种需求，有些业务开发端口号有点多，比如同时要求开放10120~10300的范围，像这么大的范围，如果一个一个去敲那肯定得输入大半天了，而且只有一个地址的情况下单纯做一对一影响太大，这里就讲讲可用解方案。添加，提示不行，在WEB端这个映射多个，它的意思是同时映射给内网192.168.255.6~192.168.255.X的范围，这个范围大小根据端口号来决定，如果映射100个，那就是100地址，可以试下。在华为的WEB操作里面，并不支持多端口号批量映射的功能，只能命令行，可以看下为什么。

2024-12-29 21:15:02 1426

原创外网对接出现故障时排错方法与步骤（实战篇）

外网对接其实是整个容易被忽略的地方，然后就成为一个故障点，三种对接方式其实都会遇到各种各样的问题，多利用替换法、对比法测试，最终来定位到问题，并且养成一个测试外网的好习惯，把一个网络对接通后，在出口设备上面去ping/tracer下223.5.5.5、114.114.114.114或者baidu.com，可以提供工作效率，避免故障点的出现。（这里强烈建议养成一个习惯，测试外网连通性！华为有提示的，可以明确区分是帐号信息错误，直接再次对应即可，也可以用PC测试下拨号，如果都提示错误，打运营商电话核对。

2024-12-27 22:34:04 1007

原创华三设备上面的端口映射与一对一映射

如果做了，那192.168.255.1:23，可能被转换成202.100.1.1:1588，那自然这个会话就中断了，因为测试设备那发起的是202.100.1.1:23的，你返回的是202.100.1.1:1588，基于这样的情况，路由器必须要生成一条动态的nat会话表，来记录当前的转换信息，当这个会话返回的时候，路由器一看，哦，这里有对应的信息，就直接按照。对应的nat 会话表内容转换了，就不会出现上面提到的"误伤"，包括在华为里面也是这样处理的，上面没提到是因为它转换的端口号显示不对，介绍起来会很乱。

2024-12-27 22:30:58 1544

原创 NAT server之服务器映射（端口映射）--华为篇

上面提到过服务器属于内网里面，本身地址是私网的，是无法被公网访问到，那这个时候公网的访问端能够访问的就是出口路由器的公网IP，服务器映射（端口映射）它的功能就是把出口公网IP地址对应的某个端口号，映射到内网某个地址的端口号上面来，这样当公网终端访出口路由器的公网IP某个端口号的时候，出口路由器就会把它转发给内网服务器，实现资源的访问，这里顺便说一下，不同路由器厂商对于技术的称呼不太一样，有叫端口映射的，有叫服务器映射的，指的都是这个功能。

2024-12-15 23:21:37 1303

原创运营商分配过来的是私网地址，它是如何完成上网的？

在实际中，比如图上面最简单的家庭网络，不知道大家发现没有，接光猫下面分配的是192.168.1.0或者192.168.2.0/24的地址，或者拨号分配的是100.100.X.X、10.10.X.X的地址，这些地址可都是私网IP的，在前面提到过，私网IP是无法进入公网的，那它是如何上网的呢？猫处于路由模式下，它相当于是做三层转发的同时还需要做NAPT处理，这个是消耗CPU的，企业办公环境与家用不一样，终端数大，会话多，流量大，对于猫的性能是一个考验，有的地区的猫性能相对较差，导致网络很卡的情况出现。

2024-12-14 22:54:52 829

空空如也

空空如也