qq_43710889的博客

文章目录BGP对等体交互原则BGP与IGP交互BGP引入IGP路由IGP引入BGP路由BGP属性Origin属性AS-Path属性Next-Hop属性Local-pref属性Community属性MED属性汇总属性 atomic-aggregate、aggregaterIGP的汇总可分为三部分：BGP汇总默认不会继承明细的属性。华为BGP选路规则BGP反射器反射规则：Cluster_List属性Originator_ID属性备份RR：同级反射器：分级反射器：配置命令：BGP联盟：优点：联盟与反射器对比配置：

关于DHCP、VLAN、混杂模式解惑文章目录关于DHCP、VLAN、混杂模式解惑（1）遇到DHCPdiscover、offer翻滚却一直不出现ACK是什么情况？（2）不同网段之间访问在混杂模式都设置好的情况下，到底是直接广播到对应接口然后去除标签还是需要先找到自身的网关？（3）可不可以两个不同vlan进行通信时，不允许自己的vlan进入？混杂模式untaggedtaggedpvid华为vlan接口模式：一切的灵感和疑惑都是来源于对知识的不熟练，不掌握。（1）遇到DHCPdiscover、offer

文章目录Type1_LSA定义：Router LSA内容：传输报文：描述出有向图：路由器节点和Stub网段Transit网段P2P网段Type2_LSA定义：Network LSA内容：传输报文：描述出有向图：Type3_LSA定义：Summary LSA内容：图解3类LSAType4_LSA定义：Asbr-summary LSA内容：传输报文：图解4类LSAType5_LSA定义：AS-extenal LSA内容：传输报文：图解5类LSAType7_LSA定义：NSSA LSA内容：传输报文：图解7类LS

IPSec配置与实验IPSec缺省配置参数缺省配置IKE协商时的本端名称设备本地名称。发送NAT Keepalive报文时间间隔20秒。IKE安全提议系统缺省提供了一条优先级最低的IKE安全提议IPSec安全提议系统没有配置IPSec安全提议。SA触发方式自动触发方式。IKE SA硬生存周期86400秒。全局IPSec SA硬生存周期基于时间：3600秒。基于流量：1843200千字节（1800兆）。对解密报文进行ACL检查未

Trojan的兴起

文章目录VxLAN基本概述背景数据中心发展趋势VXLAN的价值VXLAN优点VXLAN基本概念VXLAN的简单理解（两次虚拟化）VXLAN接入业务模型VXLAN报文VXLAN运行机制报文识别基于VLAN识别报文所属的VXLAN基于报文流封装类型识别报文所属的VXLAN隧道建立VXLAN报文转发MAC地址学习同子网报文转发跨子网报文转发云DC中VXLAN相关概念的应用VXLAN三种Overlay组网方案VXLAN配置静态方式BGP EVPN方式VxLAN基本概述背景数据中心发展趋势VXLAN的价值

文章目录SDN基本概念SDN的概念与体系结构背景传统网络数据控制与转发传统网络结构体系传统网络缺点SDN概述SDN网络体系架构SDN架构下的接口SDN基本原理OpenFlow的思想和功能OpenFLow网络交换模型SDN价值网络业务快速创新简化网络网络设备白牌化业务自动化网络路径流量优化传统网络向SDN的演进方式1.仅交换网SDN化2.仅业务SDN化SDN基本概念SDN的概念与体系结构背景传统网络数据控制与转发传统网络是分布式控制的架构 ∶这里的分布式控制指在传统IP网络中，用于协议计算的控

文章目录MPLS TE可靠性Make-Before-Break背景实现过程RSVP Hello背景实现过程1.Hello握手机制2.检测邻居丢失CR-LSP备份相关概念实现过程1.规划2.备份CR-LSP创建3.备份CR-LSP的属性修改4.故障检测5.流量正切6.流量回切CR-LSP热备份dynamic-bandwidth保护机制CR-LSP热备份Overlap-path功能TE FRR（Fast ReRoute）背景相关概念实现过程1.主CR-LSP的建立2.绑定Bypass CR-LSP3.故障检测4

文章目录MPLS TE（MPLS Traffic Engineering，MPLS流量工程）MPLS TE基本概念LSP隧道（Label Switched Path，标签交换路径）MPLS TE隧道基本概念链路属性隧道属性基于约束的路由CR隧道带宽显式路径优先级和抢占路径锁定亲和属性MPLS TE实现过程MPLS TE信息发布信息发布内容信息发布OSPF TE信息发布时机信息发布结果MPLS TE路径计算CSPF算法的计算过程CSPF与SPF的区别RSVP-TE信令建立动态CR-LSP的原理RSVP消息类型

文章目录URL过滤技术URL过滤原理URL地址结构URL匹配方式URL过滤方式黑白名单URL自定义分类URL预定义分类查询URL过滤的控制动作URL过滤处理流程URL过滤配置思路URL故障处理思路URL过滤技术URL过滤原理URl过滤技术对用户的URL进行访问控制，允许或禁止用户访问某些网络资源，可以达到规范上网的目的。对于制定URRl分类的HTTP报文，NGFW可以修改报文中的DSCP（Differentiated Services Code Point），是对网络设备进行流量分类的依据。URL

防火墙概述防火墙特征逻辑区域过滤器隐藏内网网络结构自身安全保障主动防御攻击现代的防火墙体系不应该只是-一个“入口的屏障”，防火墙应该是几个网络的接入控制点，所有进出被防火墙保护的网络的数据流都应该首先经过防火墙，形成一个信息进出的关口，因此防火墙不但可以保护内部网络在Internet中的安全，同时可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络内部中，所有的计算机之间是被认为“可信任的”，它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间，必须按照防火墙规定的“

MPLS BGP VPN跨域

BFD原理与配置

文章目录SSL VPN技术IPSec缺陷SSL VPN功能技术虚拟网关WEB代理文件共享端口转发网络扩展终端安全主机检查缓存清理完善的日志功能认证授权证书匿名认证证书挑战认证SSL VPN应用场景SSL VPN单臂组网模式应用场景分析SSLVPN双臂组网模式应用场景分析SSL VPN配置步骤1.配置接口2.配置安全策略3.配置VPNDB4.虚拟网关配置5.业务选择SSL VPN技术SSl协议支队通信双方传输的应用数据进行加密，而不是对从一个主机到另一个主机的所有数据进行加密。IPSec缺陷由于IP

Qos产生的背景传统端到端网络通信存在的问题传统的IP网络无区别对待所有报文，网络设备处理报文采用的策略是先进先出FIFO，它依据报文到达时间的先后顺序分配转发所需要的资源。所有报文共享网络和设备的带宽等资源。所以这样就会导致网络发生拥塞时，一些关键业务的通信质量就得不到保障，进而影响客户体验。影响网络通信质量的因素流量类型带宽时延抖动丢包率语音低高高低视频高高高低FTP中，高低低高电子邮件、http网页浏览低低低中、高

文章目录SSL协议原理SSL协议结构SSL原理（握手协议）SSL握手协议第一阶段客户端Client Hello数据包服务端server Hello数据包SSL握手协议第二阶段**Certificate消息数据包**Server Key Exchange消息数据包ServerHello Done数据包SSL握手协议第三阶段Client Key exchange数据包SSL握手协议第四阶段SSL会话恢复SSL原理（记录协议）SSL协议原理SSL（Security Socket Layer）是一个安全协议，为

DSVPN简介动态智能VPN（Dynamic Smart Virtual Private Network），是一种在HUB-SPOKE组网方式下为公网地址动态变化的分支之间建立VPN隧道的解决方案。背景越来越多的企业希望建立Hub-Spoke方式的IPSec VPN网络将企业总部（Hub）与地理位置不同的多个分支（Spoke）相连，从而加强企业的通信安全、降低通信成本。当企业总部采用静态的公网地址接入Internet，分支机构采用动态的公网地址接入Internet时，使用传统的IPSec、GRE ov

文章目录防火墙安全策略实验实验拓扑图实验目的：实验配置：测试：防火墙NAT Server & 源NAT实验源NAT实验实验拓扑端口地址和区域划分1.配置安全区域2.配置安全策略3.配置NAT地址池4.配置NAT策略测试：NAT Server2.配置安全策略3.配置NAT地址池4.配置NAT策略5.配置服务器映射6.服务器配置7.客户端配置测试：防火墙安全策略实验实验拓扑图实验目的：使得PC1能ping通PC2实验配置：1.配置基本的IP地址和所属安全区域。2.配置域间安全策略。

防火墙双机热备技术文章目录防火墙双机热备技术双机热备技术产生的原因VRRP在防火墙的缺陷VGMP（VRRP Group Management Protocol）VGMP基本原理VGMP组管理VGMP报文VGMP状态机HRP（Huawei Redundancy protocol）HRP报文HRP心跳接口心跳接口状态双机热备的备份方式自动备份手动批量备份会话快速备份设备重启后主备FW的配置自动同步双机热备基本组网与配置拓扑图实验要求端口地址和区域划分双机热备技术产生的原因USG防火墙作为安全设备，一般

MPLS VP Hub and Spoke实验

加密与解密原理加密技术的作用机密性：通过数据加密实现。提供只允许特定用户访问和阅读信息，任何非授权用户对信息都不可理解的服务。这是使用加密的普遍原因。通过小心使用数学方程式，可以保证只有对应接收人才能查看它。完整性：通过数据加密、散列或数字签名来实现，提供确保数据在存储和传输过程中不被未授权修改（篡改、删除、插入和重放等）的服务。对安全级别需求较高的用户来说，仅仅数据加密是不够的，数据仍能够被非法破解并修改。鉴别性：通过数据加密，数据散列或数字签名来实现，提供与数据和身份识别有关的服务，即认证

IPSec的IKEv1和IKEv2协议IKE介绍文章目录IPSec的IKEv1和IKEv2协议IKE介绍IKE与IPSec的关系IKEv1的三个模式主模式和野蛮模式野蛮模式与主模式对比野蛮模式使用场景快速模式IKEv2密钥协商和交换初始交换：IKE安全机制身份认证DH（Diffie-Hellman）密钥交换算法完善的前向安全性PFS（Perfect Forward Secrecy）IKE是一个复合协议。因特网密钥交换IKE（Internet Key Exchange）协议建立在Internet安全联

文章目录IPSec基础知识IPSec特性IPSec组成部分IPSec对等体IPSec隧道安全联盟（Security Association）AH安全协议AH包结构ESP安全协议ESP包结构AH和ESP比较封装模式传输模式隧道模式IPSec基础知识IPSec (Internet 协议安全)是一个工业标准网络安全协议，为IP 网络通信提供透明的安全服务，保护TCP/IP 通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。IPSec通过在IPSec对等体间建立双向安全联盟，形成一个安全互通的IPS.

MPLS VPN实验配置和抓包文章目录MPLS VPN实验配置和抓包实验需求：实验拓扑图：配置思路：配置公网地址、公网启用ospf，配置MPLS域配置PE与PE间MP-BPG邻居关系（MG-BGP用于传递RT值）配置MPLS VPN将BGP和OSPF进行双向重发布实验需求：R1,R3为IBGP关系;R2不配BGP。（MPLS）R6可以与R4相通；R7可以与R5相通。实验拓扑图：配置思路：1.配置公网地址2.公网启用ospf3.配置MPLS域4.配置 配置PE与PE间MP-BPG邻居关系

MPLS协议与配置

MPLS VPN原理与配置

BGP路由策略配置实例

BGP属性即选路规则BGP属性

OSPF双点双规与双归属实验

OSPF邻居故障以及区域防环措施

ensp三层架构实验

RSTP（快速生成树协议）快速生成树协议RSTP（Rapid Spanning Tree Protocol）在STP基础上实现快速收敛，并增加了边缘端口的概念和保护功能。STP的缺点1.STP从初始状态到完全收敛至少需要经过30s2.SWC与SWA的直连链路down掉，其BP端口切换成RP端口并进入转发状态至少需要经过30s3.交换机无BP端口，RP端口down掉场景SWB与SWA的直连链路down掉，则SWC的BP电控切换成DP口并进入转发状态大约需要50s4.运行STP的交换机连接用

MSTP（多区域生成树协议）多生成树协议MSTP（Multiple Spanning Tree Protocol）是IEEE802.1s中定义的生成树协议，通过生成多个生成树，来解决以太网环路问题。STP/RSTP的缺点：1.部分VLAN路径不通如图所示,网络中有SWA、SWB、 SWC三台交换机。配置VLAN2通过两条上行链路,配置VLAN3只通过一条上行链路。为了解决VLAN2的环路问题,需要运行生成树。在运行单个生成树的情况下,假设SWC与SWB相连的端口成为预备端口( Discardin

VRRP（虚拟路由冗余协议）

VLAN知识总结华为VLAN部分的接口模式讲解：1、 只要流量进入华为的设备将马上打上标签；-- 华为设备内部转发的流量均存在标签2、 华为设备交换机上所有的接口存在转发允许列表，只有被转发允许列表允许的流量，才能从该接口进入或转出；3、 从某个接口转出时，除查看允许列表外，还需要定义是否标记；4、 若某个流量从交换机某个接口进入时，没有标签，将被标记上该接口pvlan id；5、 若某个流量从交换机的某个接口进入时，存在标签，将匹配该接口的允许列表，若被允许可以进入，若未被允许将被丢弃；6、

Eth-Trunk（链路聚合）以太网链路聚合Eth-Trunk简称链路聚合,它通过将多条以太网物理链路捆绑在一起成为一条逻辑链路,从而实现增加链路带宽的目的。同时,这些捆绑在一起的链路通过相互间的动态备份,可以有效地提高链路的可靠性。Trunk接口连接的链路可以看成是一条点到点的直连链路 ,在一个Trunk内 ,可以实现流量负载分担,同时也提供了更高的连接可靠性和更大的带宽。用户通过对逻辑口进行配置，实现各种路由协议以及其它业务部署。三个优势增加带宽： 链路聚合接口的最大带宽可以达到各成员接

文章目录MAC地址1.组成2.分类3.常见MAC地址4.MAC地址表MAC地址表分类2.端口安全安全MAC地址分类端口安全保护动作配置端口安全经常使用的场景MAC地址偏移出现场景如何避免MAC地址漂移检测MAC地址MAC（Media Access Control Address）地址：网络中每台设备都有一个唯一的网络标识。1.组成MAC地址为48位（6字节）前24bit是通过向IETF等机构申请用来表示厂商的代码，后24bit是厂商分配给产品的唯一数值。2.分类物理MAC地址：MAC地址的

背景为了解决生成树所存在的问题：（1）收敛慢，RSTP也有30S的收敛——第一次初始化以及根变更其余的1S内；（2）无法实现ECMP——负载均衡；（3）拓扑变更会造成网络动荡。大网络大需求会使缺点越来越严重。三个改进方向思路：1）链路聚合2）堆叠与虚拟化——减少网络复杂度（华为叫集群，不叫虚拟化）3）trill——算法；不用生成树，SPF算法，普适性比较差，一般用到数据中心里。典型园区组网：CSS+Eth-Trunk+iStack其主要有简单、高效、可靠的特点。简单——各层设备均使

STP（Spanning Tree Protocol）STP背景：冗余拓扑（备份）优点：解决单点故障问题。导致的问题：广播风暴：交换机是一种基于MAC识别，完成封装转发数据包功能的网络设备。学习到MAC地址，并将其存放在内部地址表中。多帧复制：MAC地址表翻滚：采用STP解决环路生成树：在一个二层交换网络中，生成一颗树形结构，逻辑的堵塞部分接口，从而使得从根到所有的节点仅存在唯一的路径；当最佳路径故障时，自动打开部分阻塞端口来实现线路备份的作用。一、802.1DBPDU（桥协议

需求：拓扑图配置IP地址（严重怀疑6to4需要划分地址）R1还需要访问R3环回所以使用IPv4和IPv6共存，R1R2R3在R3上域只需要配置IPv4在R1R2R3上运行RIPNG协议在R4-R8之间运行ospfv3协议在R4-8之间使用BGP在R6上配置反射器在R4，R5，R7，R8上宣告环回地址。BGP表在R1上访问R3环回但是没有实现两个域互相访问...