Welcome To OpenClouds World !!!

原创 Zabbix 6.2版本一步一步教你安装（Rockylinux8.6）

Zabbix 6.2版本一步一步教你安装

原创 ＜飞塔防火墙＞手动CLI命令移动策略前后

若需调整多条策略顺序，建议在Web界面中通过拖拽批量操作，避免CLI命令频繁切换上下文。move 5 before 1 # 将策略10移动到策略1之前（顶部）命令将置顶策略移动到目标位置 （例如将策略ID为10的策略移动到顶部）调整顺序后，需确保高优先级策略（如允许关键业务的策略）位于列表上方。策略ID是系统自动生成的唯一标识符，无法手动修改或排序。移动策略仅改变其在列表中的位置，不影响策略ID本身。，一旦匹配到某条策略，则停止继续检查后续策略。若需移动到底部，使用。

原创 静态浮动路由BFD联动检测

2. **BFD参数配置**：`min-transmit-interval` 和 `min-receive-interval` 设置BFD报文的发送和接收间隔，`detect-multiplier` 设置检测倍数，用于计算故障检测时间。3. **静态路由配置**：主静态路由的优先级默认为60，备份静态路由的优先级设置为100。4. **查看BFD会话**：通过 `display bfd session` 命令可以查看BFD会话的状态，确认BFD会话是否正常建立。# 配置主静态路由，关联BFD会话。

原创 [飞塔防火墙]---HA高可用配置及HA独⽴管理接⼝单独管理

GUI是隐藏不可⻅的状态，让⽤户尽量较少的感受到此vdom的存在，意在简化⽤户对于独⽴管理⼝的使⽤和理解。2、从设备与主设备⼀样连接到⽹络，但不处理任何的数据包，从设备处于备⽤状态。2、.AA模式下，集群中的主设备负责对所有通信会话的处理，然后将部分负载分发到所有从设备上。可以对运⾏中的HA集群进⾏模式的修改，但会造成⼀定的延时，因为集群需要重新协商并选取新的主设备。HA高可用用可以保证设备冗余，HA独立管理，管理员可以直接登陆防火墙，对HA的主机和备机进⾏单独的管理。（主优先级，越大越优先）

原创 飞塔防火墙报错：FortiGate time is out of sync.

FortiGate time is out of sync

原创 交换机访问控制列表（ACL）和防火墙有什么区别？

ACL主要用于限制特定类型的流量通过设备，例如限制从特定网络或主机访问网络资源。防火墙可以实现更加复杂的安全策略，例如检测和阻止恶意软件、入侵检测和预防等。而ACL则只能限制特定类型的流量，无法检测和防止更复杂的网络威胁。防火墙通常是一种独立的安全设备，用于保护整个网络。器和交换机等网络设备上，用于限制网络流量的进出。防火墙具有更强的安全性，可以防止更多的。

原创 记录Zabbix监控飞塔防火墙HA状态异常

设备HA部署，当修改防火墙策略时，仅在一台设备上添加、删除或修改，该操作会导致防火墙HA短暂不同步，防火墙会自动将该配置发送到另一台设备，完成同步，在同步过程中，监控平台在获取防火墙信息，得到了HA不同步的状态，发出告警，属于正常现象；对于同步时间，防火墙的地址、路由、用户、策略增减，同步时间都很快（本次告警即在短时间同步期间捞取了防火墙状态）；对于像启用vdom、创建虚墙这类操作，防火墙同步时间可能会长一些。1、Zabbix监控飞塔HA状态值0为正常，1为异常。

原创 记录测试飞塔防火墙端口映射不通问题2024.9.3

B服务器公网IP：118.X.11.45 公网自定义端口：8080。B服务器：10.X.100.22 端口：443。外部自定义端口8080,不通，后续更换8888，端口映射服务正常。访问方式：B公网IP+端口 （以下所有IP均自定义）A客户端公网IP：183.X.210.88。B服务器需要通过B端公网IP映射端口让A客户端访问。A客户端PC：10.X.174.15。将外部自定义端口8080改成8888。

原创 交换机选型

端口速率： 1,000,000,000 bps / 8bit / (64+8+12) byte = 1,488,095 pps = 1.488 Mpps ( pps换算Mpps是百万分之一 )吞吐量的计算公式：满配置吞吐量 (Mpps)= 满配置 GE 端口数 * 1.488Mpps，可以自行查看防火墙的端口数来计算防火墙的吞吐量。包转发线速的衡量标准是以单位时间内发送64byte的数据包（最小包）的个数作为计算基准的。故一个线速的千兆以太网端口在转发64byte包时的包转发率为1.488Mpps。

原创 网络面试题

ARP(Address Resolution Protocol 地址解析协议)位于TCP/IP协议栈中数据链路层，负责将某个IP地址解析成对应的MAC地址.在每台主机中都有一张ARP表，它记录着主机的IP地址和MAC地址的对应关系1) 如果主机A想发送数据给主机B，主机A首先会检查自己的ARP缓存表，查看是否有主机B的IP地址和MAC地址的对应关系，如果有，则会将主机B的MAC地址作为源MAC地址封装到数据帧中。

原创 H3C交换机如何重置console口密码

1、Console线或者蓝牙Console连接好交换机和电脑，打开交换机电源，Xshell界面看到，“Press Ctrl+B to access EXTENDED BOOT MENU…0”出现时马上按Ctrl和B键（3秒内按），这样就可以进入启动菜单。Skip current system configuration 跳过当前系统配置,弹出确认重启时跳过当前配置，选。reboot重新启动交换机，启动后将不加载当前的configuration file配置文件，之前设置的密码会无效。

原创 路由优先级

以下是常见路由协议的管。和静态路由等机制的优先级，而策略路由（Policy-Based Routing, PBR）则允许管理员基于特定。在网络管理中，“路由策略”和“策略路由”是两种不同的概念。2、PBR的优先级高于传统路由表的优先级，因为策略路由是显式配置的，并会在常规路由查找之。在网络路由中，不同类型的路由策略和路由协议有不同的优先级。不可信的路由（Unknown/Untrusted Routes）：255（不可达）综合来看，策略路由在实际应用中通常具有最高优先级，因为它覆盖了传统的路由决策。

原创 交换机DHCP如何实现屏蔽某个MAC地址

这样就全局限制了 1C1B-0DE4-B9C5 这个MAC地址访问内网，进入黑洞后这个IP地址已经ping不通了。#设置需要禁止的MAC地址。#查看黑洞里的MAC地址。#解除黑洞里的MAC地址。

原创 思科、华为、华三、Juniper路由协议优先级汇总

转发来自。

原创 常用网络协议神图

原创 Linux安装Docker

yum-utils提供了yum-config-manager，并且device mapper存储驱动程序需要device-mapper-persistent-data和lvm2。进入容器：docker attach 容器ID或docker exec -it 容器ID /bin/bash，推荐使用后者。执行一下命令，安装最新版本的 Docker Engine-Community 和 containerd。Docker官方和国内daocloud都提供了一键安装的脚本，使得Docker的安装更加便捷。

原创 局域网案例PC访问某个网址不通分析

原创 Oxidized-Docker配置

--retries: 4prompt:!)$/vars: {}groups: {}models: {}crash:stats:input:ssh:ftp:output:file:source:sql:map:name: namevars_map:

原创 Docker容器时间与宿主机时间不一致

docker cp /usr/share/zoneinfo/Asia/Shanghai 容器名:/etc/localtime。中/etc/localtime软连接到宿主机/usr/share/zoneinfo/Asia/Shanghai。

原创 H3C- ACL规则 反掩码写法

CIDR 子网掩码 　　 反掩码。

原创 Zabbix监控飞塔HA防火墙设备

在HA环境下配置FortiGate的SNMP，并且通过HA成员的独⽴管理接⼝进⾏SNMP操作。需要在system snmp community下开启HA。

原创 STP保护机制

为了保护边缘端口，因为当一个边缘端口收到一个BPDU时，会状变为非边缘端口，会参与生成树的计算，如果频繁的UP/DOWN，就使网络一直处于生成树的计算。解决方法：在交换机的端口开启BPDU保护，当设置为BPDU保护的端口收到BPDU时，系统会将该端口变为down状态。

原创 H3C接入交换机收到大量上行口（连接汇聚交换机）TC报文该怎么处理?（排查思路及解决办法）

在部署STP时，建议配置TC保护功能，所有连接终端的接口配置成边缘端口，这样可以避免某些端口的状态变化引起整个STP网络震荡而重新收敛。

原创 BGP-OSPF防环机制

是一种可选非传递性属性，用于记录簇ID,就像AS-PATH记录AS号一样，当RR将来自客户的路由反射给给客户时，同时将其簇ID附加到cluster list中，如果cluster list为空，则RR将创建一个cluster list，RR接受到update消息后,就会检查cluster list，如果发现其簇ID位于簇列表中，则知道已经出现了路由环路，从而忽略该update消息。1.AS-PATH: 当收到的BGP路由信息中AS-PATH列表中包含自己的AS号，回丢弃该路由。

原创 二层交换机和三层交换机区别

三层交换机结合了二层交换机和路由器的功能，工作在OSI模型的网络层（第三层交换机结合了二层交换机和路由器的功能，能够在网络层（第三层）进行数据包转发和路由选择。如果交换机的MAC地址表中没有目标MAC地址的条目，它会通过广播的方式发送一个特殊的数据包，称为广播帧（broadcast frame）。交换机接收到回复后，将目标MAC地址与相应接口的信息存储在MAC地址表中，以便于以后的转发。如果交换机的MAC地址表中已有目标MAC地址的条目，它会将数据包直接转发到相应的接口。

原创 OSPF常见故障排除

display ospfinterface 查看接口收包和发包数量(V3R3及以后的版本)。dis ospf statistics 查看收包和发包数量。隐藏模式打开enableospf-lsa-dbg后。4、Hello Timer时间不匹配;2、Router-ID冲突;7、接口IP地址冲突；5、认证类型不匹配;6、接口类型不匹配；

原创 H3C- VRF/VPN-instance概念

在L3VPN中，不同VPN之间的路由隔离通过VPN实例（VPN-instance）实现，VPN实例又称为VRF（Virtual Routing and Forwarding，虚拟路由和转发）实例。对于多个连接到同一服务提供商网络的Site，通过制定策略，可以将它们划分为不同的集合（set），只有属于相同集合的Sites之间才能通过服务提供商网络互访，这种集合就是VPN。：将全局路由表隔离独立成单独的实例路由表，每一个实例都是一个单独的路由表，不同的VPN实例相互隔离。缺省情况下，不存在VPN实例。

原创 飞塔防火墙心跳口和监控口区别

心跳接口：集群里的防火墙，通过心跳接口进行连接，心跳接口不断地通信HA状态和同步信息，以确保集群正常运行。在只有两台防火墙做HA的情况下，只要用普通网线将防火墙的心跳接口直接连接就可以了。有的防火墙有专门的HA心跳接口。监控接口：HA会监控指定的接口，如果被监控的接口出现故障或网络断开连接，防火墙会进行切换。通常我们会用来监控内网和外网连接。由于一般会先配置HA，然后才配置内外网接口，因此，这里暂时不选择监控接口，后期再配置。心跳口是组HA集群用的 监控口是做HA切换用的。

原创 H3C交换机版本升级

H3C> tftp 192.168.1.2（TFTP服务器） get S5120HI-CMW520-R5101P02.bin //打开H3C的3CDaemon，配置TFTP -Server更新路径 E:\H3C-version\，把升级包放在此路径。注意：一定要选择正确的路径,目录不要太深,不要有中文或特殊字符,否则可能识别不了。2）、远程登录设备后，在用户视图（“< >”）从TFTP服务器下载要升级的文件。1）、在PC上搭建TFTP Sever服务器。4）指定上传的文件为系统加载主文件。

原创 H3C交换机恢复出厂设备

1、Console进设备后执行如下操作。2、等待重启后进入，恢复出厂设置OK.

原创 飞塔防火墙设置NTP时钟同步

3、设置ntp同步开启：set ntpsync enable。2、设置自定义ntp同步：set type custom。1、进入系统ntp：config system ntp。4、配置ntp：config ntpserver。6、设置ntp服务器地址：ntp.域名.com。5、新增条目1：edit 1。7、保存退出：end。

原创 BGP路由反射-数据中心IDC项目

反射器（Route Reflector）：反射器是一个特殊的BGP路由器，它可以接收来自客户端（Client）BGP路由器的路由信息，并将这些路由信息反射给其他客户端BGP路由器。但是收不到从R4过来的路由，初步判断应该是R1没有将R4学到的路由RR反射给R3。R1和R2可以收到来自AS100区域R4的EBGP路由，R3上面看没有BGP路由，原因是什么？R1,R2,R3在AS200区域内，R1和R2,R1和R3建立OSPF，宣告接口互联.查看R3的BGP路由表显示没有，说明问题出在R1和R3设备上面。

原创 十款好用又简洁的工具-推荐

2、文件快速搜素 Everything。5、网络抓包工具 Wireshark。6、网络远程工具 MobaXterm。7、Linux远程工具 Xshell。8、文本编辑器 Notepad++1、截图工具 Snipaste。10、解压缩工具 7-Zip。9、文本编辑器 Typora。3、远程工具 Todesk。4、 录屏工具 EV录屏。

原创 H3C网络设备交换机风扇亮黄灯故障处理

检查交换机风扇配置信息发现交换机风扇的实际气流方向为：Airflow Direction: Port-to-power；而配置用户下看到风扇模块的优选气流方向为：Prefer Airflow Direction: Power-to-port，两者不一致（交换机风扇反转），导致交换机风扇状态为：FanDirectionFault，风扇信号灯告警，交换机SYS信号灯告警。Prefer Airflow Direction: Port-to-power //优选气流方向。H3C出现：如下报错信息，

原创 华三网络设备/模拟器上使用tracert命令无法显示？

ICMP差错报文的发送虽然方便了网络的控制管理，但是也存在缺限：发送大量的ICMP报文，增大网络流量；如果有用户发送ICMP差错报文进行恶意攻击，会导致设备性能下降或影响正常工作。为了避免上述现象发生，可以关闭设备的ICMP差错报文发送功能，从而减少网络流量、防止遭到恶意攻击。但是你会发现使用这个命令时，设备上显示的是******，不是路径的地址。默认华三网络设备是关闭ICMP报文。缺省情况下，ICMP目的不可达报文发送功能处于关闭状态。缺省情况下，ICMP超时报文发送功能处于关闭状态。

原创 链路聚合-静态和动态区别

一般静态聚合组要和端口匹配方式为自适应相配套，因为：如果端口匹配方式为强制模式，那么当单纤芯发生故障时，接收正常的端口是处于UP状态的，设备会继续往该端口发出数据流，但实际上对端接收不到，导致单通情况出现。一般来说：动态聚合要同端口匹配方式为强制相配套使用，因为：如果端口匹配方式为自适应，那么当物理链路质量不好时，可能端口状态频繁出现变化，相应的聚合组状态也会频繁出现up、down故障。缺点：单根纤芯发生故障时，可能出现收端正常的一方端口处于UP，而出现单通，所以这种情况一般要求端口匹配状态为自适应状态。

原创 ACL-VLANIF的Inbound和Outbound区别

ACL是由一系列permit（允许）或deny（拒绝）语句组成的有序规则的列表，它单独是无法使用的，需要应用在业务模块中才能生效，如在NAT中调用、在防火墙的策略部署中被调用、在路由策略中被调用和用来通过流量过滤。2、ACL分类（1）基本ACL：ACL编号2000-2999，只能用报文的源IP地址、分片时间和生效时间段来定义规则；（2）高级ACL：ACL编号3000-3999，可以使用报文的源IP地址、目的IP地址、协议类型、源端口号、目的端口号、生效时间来定义规则；

原创 交换机性能参数计算公式

11个千兆端口跑满单包1536byte占用的包转发率： 18,285,000,000 bps(18.285 Gbps) * 11 个 / 8bit / (1500+20+12+4) byte = 16,368,408 pps ≈ 16.368 Mpps。交换机标称背板带宽跑满单包1536byte占用的包转发率： 216,000,000,000 bps(216 Gbps) / 8bit / (1500+20+12+4) byte = 17,578,125 pps ≈ 17.578 Mpps。

原创 为什么网络互联地址设置为30位地址

RFC 3021]文档指出，也可为点对点链路分配/31地址块，这样包含2个地址：最小地址（原本作为网络地址），最大地址（原本作为广播地址）。但是，并不是所有厂商的设备都支持这种情况。对于点对点链路，为了节约IPv4地址，一般为其分配/30地址块，这样包含4个地址：最小地址作为网络地址，最大地址作为广播地址，剩余两个可分配地址，分配给链路两端的接口，这是最普遍的方法，例如下图所示。

原创 H3C交换机接口流量速率命令查询

2.查看接口出方向的使用率:dis counter rate outbound interface。1.查看接口进方向的使用率:dis counter rate inbound interface。4.查看接口历史使用率及出入方向的字节:dis int | inc sec。3.查看接口历史使用率:dis int | inc rate。