迷逝

此时在防火墙FW1上可以ping通PC1、PC2、PC3,但PC1仍然无法和PC2、PC3通信。防火墙的默认区域(zone)：一般可分为local、trust、untrust、dmz，每个区域都有各自的优先级。DMZ区域一般都是对外提供服务，拥有固定IP地址，所以无需配置NAT。如果没有固定IP则和上面的NAT配置相同。那是因为防火墙的默认规则。优先级代表着可信程度，优先级越高表示越信任，即数字越大越信任。策略2：允许内网用户访问DMZ区域。策略2：允许DMZ区域访问外网。策略3：允许外网访问DMZ区域。

VRRP报文通告是通过组播来通告的，组播地址：224.0.0.18，组播 MAC：01-00-5e-00-00-12，VRRP是三层协议，通过 IP协议承载，协议号112。同时 IP 包中的 TTL 值为 255。VRRP 需要通过VRRP报文来选举 Master 和 Backup，只有 Master 才能装发数据，而 backup 不装发数据，收到数据帧后丢弃。虚拟路由冗余协议VRRP（Virtual Router Redundancy Protocol）通过。

wireshark过滤器分为两种：捕获过滤器、应用显示过滤器。

注意：做此实验的前提是路由器最少必须三条线，两条。检测PC1和PC2连通性。

WAN模式：用于上连交换机或SDH、OTN等设备。此时数据速率一般固定为9553Mbit/s。GE是Gigabit Ethernet千兆以太网，因此GE接口指的是千兆以太网接口。LAN模式：用于连接以太网。此时端口速率一般为10000Mbit/s。XGE端口是以太网光接口。GE接口和XGE接口的区别。

我所在的岗位是网络运维，路由与交换用的比较多，外网技术比较少。所以把经常用的写的比较详细。大家多多包涵。

#创建acl匹配源IP地址acl number 2000 rule 5 permit source 10.5.1.0 0.0.0.255#配置流分类traffic classifier c1 operator and if-match acl 2000 if-match protocol ip if-match any#配置流行为traffic behavior 10m permit car cir 10240 pir 10240 cbs 1250000 pbs 1250000 g

以下面的组网为例，假设部门1的用户均属于VLAN10，部门2的用户均属于VLAN20，用户希望为部门1提供8Mbit/s的带宽，为部门2提供6Mbit/s的带宽。此处省略接口和VLAN等基本配置。

此配置只适合分配好VLAN的各项业务，例如：vlan10是视频业务，vlan20是语音业务等。

对数据报文的限速为4000Kbps，4000kbps=4096000bit/s，设置报文速率为4096000bit/s，通过测试仪发送到GE0/0/20接口。主要验证速率介于CIR和PIR之间会是什么效果，我们先查看下配置，如下图所示，配置信息显示，对于标记为***的报文流（即其速率大于CIR而小于等于PIR），默认是允许通过的。也就是说，设备将按照配置的PIR值进行限速。速率小于CIR和大于PIR的情况我们不再验证，结果可以想到，速率小于CIR，所有报文允许通过，速率大于PIR就会有报文丢弃。

QoS 技术可以对网络中报文进行分类处理，根据优先级提供不同的差分服务，如何实现这种差分服务呢？我们有一种强大的配置方法 - 模块化 QoS 命令行 MQC（Modular QoS Command-Line）。下面就来介绍一下 MQC。

QoS 的各个组成部分与 QoS 的度量指标并不是一一对应的。也就是说，并不是一个 QoS 组成就能保证一项 QoS 指标。实际上，QoS 的各个组成部分是通过相互结合使用来保证服务质量的。例如，报文分类和标记是实现差分服务的前提和基础。流量监管、流量整形、接口限速、拥塞管理和拥塞避免是根据分类或标记结果，从不同方面对网络流量及其分配的资源实施控制，是提供差分服务的具体体现。下一期，我们将详细介绍实现 QoS 差分服务的一种工具—MQC。

堆叠是指将多台交换机设备通过线缆连接后组合在一起，虚拟化成一台设备。堆叠作为一种，将多台设备在逻辑上虚拟成一台设备，可以。同时，结合跨设备链路聚合技术，不仅可以实现设备及链路的高可靠性备份，而且可以。相对传统的STP破环保护，逻辑拓扑更加清晰、链路利用更加高效。有人也把他成称之为“”，它是一种，避免了单点故障。

工作于IP层之上，IP协议号为89以组播地址224.0.0.5发送协议包基本思想：每个路由器将其已知的链路状态信息告诉邻居，收敛以后，网络上每个路由器对全网的链路状态有相同的认识。然后，每台路由器根据了解到的全网链路状态，独立计算路由。如下图：R1和R2之间运行了OSPF。

BFD 用于检查链路的故障，可与各的议进行联合使用，从而达到网络的快速收敛。NQA主要用于检查上层协议的服务是否可用，可与各种协议联动，当然它也可以通过与ICMP协议的联动，从而检测链路是否可用，这个方式比BFD速度会慢一些。华为的新设备上已经弃用了BFD，大部分使用的是NQA。BFD两端都需要启动，NQA可以只在一边测试。BFD更看重连通性，而NQA更看重网络质量。BFD毫秒级，NQA秒级；

OSPF能够在自己的链路状态数据库内表示整个网络，这极大地减少了收敛时间，并且支持大型异构网络的互联，提供了一个异构网络间通过同一种协议交换网络信息的途径，并且不容易出现错误的路由信息。RIP的算法简单，但在路径较多时收敛速度慢，广播路由信息时占用的带宽资源较多，它适用于网络拓扑结构相对简单且数据链路故障率极低的小型网络中，在大型网络中，一般不使用RIP。BGP路由选择方法是基于距离向量路由选择，与传统的距离向量（1个单独的度量，如跳数）协议不同，BGP将AS外部路径的度量复杂化。

现在要求在RouterA上通过配置基于智能应用控制SAC（Smart Application Control）的流分类，禁止企业用户进行BT下载。如图下图所示，企业内用户通过交换机连接到RouterA的Eth2/0/0，并通过RouterA的GE0/0/1接口连接到WAN侧网络。命令，检查Eth2/0/0和GE0/0/1接口上查看基于不同SA应用协议的报文统计信息。注意：限速的接口必须是物理接口。，所以需要实体机上操作。RouterA的配置。

SW核心交换机上配置DHCP中继。

公司刚刚搬家，前期时间比较紧急，没时间把IP地址分配做好，利用“”将就。可是后来问题就来了，出现了一些IP冲突的问题。于是就准备找一台windows作为局域网的DHCP服务器。于是乎就有了本次实验。

华为交换机配置端口模式时报错：[500Mdaikuan-GigabitEthernet0/0/1]port link-type access Error: Please renew the default configurations.[500Mdaikuan-GigabitEthernet0/0/1]dis th[V300R019C10SPC300]#interface GigabitEthernet0/0/1 undo port hybrid vlan 1 #多了这一条#

配置禁止P2P软件下载的示例企业内用户通过交换机连接到RouterA的接口Eth2/0/0，并通过RouterA的接口GE1/0/0连接到WAN侧网络。为了保障企业网络带宽资源的合理利用，企业希望能够禁止内部用户使用P2P软件BT、迅雷或电驴进行下载。图1 配置禁止P2P下载的组网图。

一、SW1划分vlan1、VLAN划分un in envlan batch 10 20 30 99qinterface GigabitEthernet0/0/1 port link-type access port default vlan 10qinterface GigabitEthernet0/0/2 port link-type access port default vlan 20qinterface GigabitEthernet0/0/3 port link-ty.

在终端界面上输入字符，如果设备可以响应串口输入字符，但是忘记密码无法登录。这种情况下可以通过其他登录方式配置Console口登录或者通过BootROM菜单清除Console口登录密码，尝试重新登录。1.通过其他登入方式配置console口登入前提：用户拥有STelnet/Telnet账号并且具有管理员的权限。以下涉及的命令行及回显信息以STelnet登录设备修改Console口密码为例。用户通过STelnet账号登录设备以登录用户界面的认证方式为Password认证，密码为Huawei@123为例，

上面的配置是本实验的核心，配置完成之后必须检查。10段的主机和30段的服务器，访问外网走R1。20段的主机，访问外网走R2。

下载地址https://iperf.fr/download/windows/iperf-3.1.3-win64.ziphttps://iperf.fr/download/windows/iperf-3.1.3-win32.zip下载完成后解压得到：cygwin1.dll和iperf3.exe文件运行CMD，进入解压的目录运行：iperf3.exe 就会看到下面的命令详解。PS C:\Users\Anita\Desktop\iperf\64> .\iperf3.exeiperf3: pa

VRRP是一种容错协议，它保证当主机的下一跳路由器出现故障时，由另一台路由器来代替出现故障的路由器进行工作，从而保持网络通信的连续性和可靠性。MSTP：多生成树协议，通过生成多个生成树，来解决以太网环路问题。

策略路由典型配置：通过流策略实现策略路由（即重定向到不同的下一跳）

VRRP是一种容错协议，它保证当主机的下一跳路由器出现故障时，由另一台路由器来代替出现故障的路由器进行工作，从而保持网络通信的连续性和可靠性。MSTP：多生成树协议，通过生成多个生成树，来解决以太网环路问题。....................................

总部与子公司之间的组网实例一、SW-hexin交换机的配置VLAN配置IP检查结果二、purui-route路由器配置开启DHCP加入回执路由创建各个vlan的地址池三、配置DHCP中继四、保留部分IP地址五、客户端测试六、配置外网七、配置GRE隧道八、给隧道配置静态路由一、SW-hexin交换机的配置vlan batch 10 20 30 99int g0/0/1port link-type access port default vlan 10qint g0/0/2port lin

IPSec加密GRE通道由于GRE隧道不提供安全性保障，使用ipsec加密gre隧道是现网中比较常用的VPN部署，它的加密方式分为两种：可以使用IPsec来加密隧道进行传输，叫做IPsec over GRE；加密数据流后从隧道传输，称为GRE over IPsec。下面将配置一个简单的IPsec over GRE实验。一、搭建模拟环境首先我们先搭建环境，先根据拓扑图把基本的IP地址配好，然后分别在AR1、AR3加两条静态路由，使得两个公网互通。[AR1]in g0/0/0[AR

其实生成过程中，搭建ipset都是购买硬件设备来实现，而且功能强大，用路由器做实属有点low.建议配置好一端之后复制粘贴，粘贴时改掉源地址和目标地址。

（目标地址），很容易敲错。

ExStart状态是使用类型2的数据库描述（DBD，DataBase Description）分组建立的，两个路由器用Hello分组协商在它们之间的关系谁是“主”，谁是“从”（具有最高OSPF路由器ID的路由器将胜出并变成“主”）。单播形式发送DD报文和LSR报文。因为在MA网络中所有DRothers是和DR建立邻居的，如果新加入的路由器抢占DR位置，会导致其他所有路由器断掉现在的邻居，和新加入的路由器建立邻居，由于需要重新选举DR、建立邻居、传递更新计算路由，会导致短时间的断网现象，会导致网络的不稳定。

OSPF在企业中的应用。

虚连接相当于在两个ABR之间形成了一个点到点的连接，因此，虚连接的两端和物理接口一样可以配置接口的各参数，如发送Hello报文间隔等。根据RFC 2328，在部署OSPF时，要求所有的非骨干区域与骨干区域相连，否则会出现有的区域不可达的问题。但是在实际应用中，可能会因为各方面条件的限制，无法满足所有非骨干区域与骨干区域保持连通的要求，此时可以通过配置OSPF虚连接来解决这个问题。通过虚连接，两台ABR之间直接传递OSPF报文信息，两者之间的OSPF设备只是起到一个转发报文的作用。

在OSPF协议中，使用LSA来传递路由信息和拓扑信息，因此了解不同的LSA的内容和其功能，对了解OSPF协议的路由形成有很大帮助。这里的OSPF是v2版本，只针对IPv4来讲。描述一条LSA的三要素： ADV Router产生者路由器、link-ID 链路标识符、LSA类型。

配置好OSPF之后，发现默认走的是上面。我们现在来通过修改COST值让他走下面。

在一个大型网络中，OSPF 路由器通常需要同时维护由域内路由、域间路由、外部路由构成的数据库。当网络规模不断扩大时，LSDB 规模也不断增长。如果某区域不需要为其他区域提供流量中转服务，那么该区域内的路由器就没有必要维护本区域外的链路状态信息。OSPF 通过划分区域可以减小区域内路由器 LSDB 的规模，对于那些位于自治系统 (AS）边界的非骨干区域的低端路由器来说仍然无法承受，通过 OSPF 的特殊区域特性可以进一步减少 LSA 数量和路由表规模。

1、点到点（P2P）：在一个网段内只能存在两个节点，即便强制连接第三节点，最终也无法正常的通讯。串行链路上，二层封装技术为ppp（华为默认）或hdlc（思科默认），也就是说没有物理寻址。2、MA（multi-access）多路访问，在一个网段内的节点数量不限制。3.BMA：（BROADCAST）广播型多路访问技术，在一个MA网络中同时存在广播机制。二层封装技术为以太网4.NBMA：非广播型多路访问技术，在一个MA网络中没有广播机制。二层封装技术为帧中继（也使用的串行链路）、MGRE使用的是伪广播机

先安装拓扑图把IP配置好，后面我们在进行OSPF的配置。为了测试效果，我们给每个路由器上面再配置一个