qq_43008319的博客

众所周知，华为的ACL末尾是默认permit，思科的ACL末尾默认deny。实际操作过来并不是这样的。因为错误的认知，还造成了业务中断。例：业务出口处需要对两个源IP进行引流至防火墙，通过出口配置PBR。回包直接指静态到防火墙。ACL里加了2条匹配源地址，末尾加了一条rule deny ip，最终结果是，引流的IP正常。其他所有业务不通。咨询华为工程师后，回复末尾加rule deny ip导致的。最终通过模拟器测试得出以下结论。华为的ACL末尾机制：末尾加rule permit ip 相当于p

一个关于双网卡，单网关的奇怪问题例子：一台双网卡的电脑/服务器配置网卡1: ip192.168.1.1 netmask255.255.255.0 gateway192.168.1.100配置网卡2:ip 192.168.2.1 netmask255.255.255.0 网关不配置（实际网关为192.168.2.254）说明：192.168.1.100和192.168.2.254这两个关到192.168.3.0/24的路由均为可达状态。如不配置任何路由，默认走192.168.1.100，可以pin

同VLAN下，二层网络的环路会在三层口隔离如图所示模拟实际组网。核心交换机下分三个口的下联，都是同一个VLAN下的二层网络。每个口子下均有上百用户端，任意一个口下发生环路。则只影响该口下的用户。并不会影响到另外两口。难点：二层环路无法具体定位到哪个设备。在核心交换机日志里发现异常：Auto port-defend started.(SourceAttackInterface=GigabitEthernet0/0/0, AttackProtocol=ARP-REPLY)GE0/0/0有异常，导