qq_44933518的博客

配置步骤：配置网络可达–配置ACL识别兴趣流–创建安全提议–创建安全策略–应用安全策略配置网络可达–配置ACL识别兴趣流–创建ike提议–创建ike对等体–创建ipsec提议–创建ipsec策略–应用安全策略...

1.实验拓扑2.需求r2作为DHCP server，给r3和r4分配ip路由器上的环回口地址作为业务地址，总部分别和分部r3、分部r4建立vpn隧道，采用ipsec vpn的野蛮模式3.分析由于R3和R4的ip不是固定的，所以只能使用ipsec 的野蛮模式，无法使用ipsec的主模式注：这个实验，我只注重配置IPSec vpn，没有配置NAT，所以...

1.实验拓扑：2.需求1.总公司和分公司通过IPSec VPN连接2.总公司和分公司都能访问外网3.需求分析1.这个实验既要实现vpn连接，也要实现外网的连接，则需要写两条acl，分别作为ipsec的感兴趣流和外网流量的匹配2.这个实验的难点在于IPSec VPN的配置，IPSec VPN的配置复杂，而且VPN两边参数不一致，会导致VPN无法建立4.配置步骤注：这个步骤主要讲解IPSec VPN的配置，我这里演示的只有IPSec VPN的其中一种方法，而且为了配置简单，有些参数就直接使用了

1.拓扑图如下：2.需求1.位于trust区域的client 1能访问位于dmz区域的Server 1，通过80端口访问2.位于trust区域的client 1能访问位于untrust区域的Server 23.位于untrust区域的clinet 2能够访问dmz的Server 1，通过8080端口访问注：这个实验中，trust区域和dmz区域模拟内网，untrust区域模拟外网，防火墙作为内网连接外网的设备3.分析1.实现需求一，则需要放行trust区域到dmz区域的安全策略2.要想cl

1.华三设备命令：network [ip-address | interface ]作用：宣告直连网段使用：当想宣告10.1.1.0/24网段时，写法有很多种，例如：network 10.0.0.0、network 10.1.0.0、network 10.1.1.0、network 10.1.2.0等等。注意，这里说的华三设备，不是华为设备，关于华为设备的，下面会说。有些小伙伴就觉得奇怪，为什么可以有这么多种写法？原因：当时输入network 命令后，华三设备会将network后面的ip地

network-admin：具有最高权限bai，可操作系统所有功能和资源du(除安全日志文件管理zhi相关命令外)，配置此dao权限默认会给network-operator权限。network-operator：可执行系统所有功能和资源的相关display命令（除安全日志等查看命令外，具体大家可以自行查看）...

1.问题描述当使用"password hash 123"命令为某个用户设置密码时，出现如下错误：2.错误原因所在句子翻译：密文密码无效寻找原因：提示”密文密码无效“，也就是说输入的密码格式不对，通过查询资料，找到了命令的解释，如下：原命令为： password { hash | simple } passwordhash：表示以哈希方式设置用户密码simple：表示以明文方式设置用户密码问题总结：hash后面跟的参数应该为密码的哈希值，如果像我一开始设置的密码123是不符合格式的

R1的配置[H3C]int g0/0[H3C-GigabitEthernet0/0]ip add 1.1.1.1 24[H3C-GigabitEthernet0/0]int g0/1[H3C-GigabitEthernet0/1]ip add 1.1.2.1 24[H3C-GigabitEthernet0/1]bgp 100[H3C-bgp-default]peer 1.1.1.2 as-number 200[H3C-bgp-default]peer 1.1.2.3 as-number 20.

SW1的配置[H3C-GigabitEthernet1/0/1]vlan 10[H3C-vlan10]port g1/0/1[H3C-vlan10]vlan 20[H3C-vlan20]port g1/0/2[H3C-vlan20][H3C-vlan20][H3C-vlan20]vlan 30[H3C-vlan30][H3C-vlan30]port g1/0/3[H3C-vlan30][H3C-vlan30][H3C-vlan30][H3C-vlan30]int vlan[H3.

问题：在hcl中，直接使用tracert命令，是不行的，要想使用，要在所有路由器上执行两条命令，如下ip unreachables enableip ttl-expires enable大功告成

1

拓扑图如下：要求：1.所有vlan都能通过链路2.SW4下，vlan10、vlan20组成的实例一中，g1/0/1作为master端口，vlan30、vlan40组成的实例二中，g1/0/2作为master端口4.实例1和实例2分别在Vlan100和Vlan200内发送和接收Flush报文3.设置主端口自动抢占角色4.SW2和SW3上设置monitor-linkSW4的配置顺序：1）配置trunk口，允许所有vlan通过2）进入stp区域配置，将vlan10，vlan20映射到实例1，将

实验拓扑：要求1：配置动态链路聚合SW1的配置：[SW1]int Bridge-Aggregation 1 //创建聚合组，创建这个聚合组时，我经常以为是int link之类的命令[SW1-Bridge-Aggregation1]ink-aggregation mode dynamic //设置为动态聚合[SW1-Bridge-Aggregation1]quit[SW1]int g1/0/1[SW1-GigabitEthernet1/0/1]port link-aggregation

1.MVRP是什么？MVRP是多VLAN注册技术，用以交换机之间动态学习VLAN信息2.三种端口注册模式Normal模式：MVRP实体允许进行动态VLAN的注册或注销。可传递和动态学习所有VLAN 端口，MVRP默认模式是Normal模式Fixed模式：MVRP实体禁止进行动态VLAN的注销，收到的MVRP报文会被丢弃。只传递VLAN1和静态VLAN，不动态学习VLANForbidden模式：MVRP实体禁止进行动态VLAN的注册，收到的MVRP报文会被丢弃。只传递VLAN1。3

1.实现不同vlan的通信的方法之一：单臂路由，通过二层交换机配合路由器来实现路由转发。这个实验利用单臂路由，使得处于vlan 2的PC1 能和处于vlan 3的PC2能通信实验前须知：dot1q是IEEE 802.1q协议的缩写，dot是点的意思dot1q termination vid 2的意思是：该子接口在收到带有vlan tag（此处是vlan 2）的报文时，将剥离tag进行三层转...

配置所有的路由器都处于同一个ospf区域内，验证AR3的lsdb中有4条Router-LSA和3条Network-LSAAR 1的配置：<Huawei>sys[Huawei]int g0/0/0[Huawei-GigabitEthernet0/0/0]ip add 1.1.1.2 24[Huawei-GigabitEthernet0/0/0]int g0/0/1[Huaw...

1.配置SW1的e0/0/1为全双工，SW2的e0/0/1为半双工。实验前须知：1.该交换机默认自协商，若想把端口改为全双工或半双工，则需执行undo negotiation auto 命令2.关闭自协商后，端口默认变为全双工。证明：关闭自协调后，执行duplex full ，再执行dis th会发现不存在duplex full这条命令。SW1的配置[Huawei-Ethernet0/...

在三台路由器配置ripAR1的配置：[Huawei]sys AR1[AR1]int g0/0/0[AR1-GigabitEthernet0/0/0]ip add 1.1.1.1 24[AR1-GigabitEthernet0/0/0]rip 1[AR1-rip-1]version 2[AR1-rip-1]net 1.0.0.0[AR1-rip-1]q[AR1]dis rip 1...

在对AR 1进行RIP v2配置时，想宣告网络时，即使用命令network 1.1.1.0，却出现了错误：Error: The network address is invalid, and the specified address must be major-net address without any subnets.解决方法：宣告网络，即指定运行RIP的接口，只需要输入接口的主类网...

实现属于同一个vlan 的主机能够相互通信，并配置MSTP使得SW1成为vlan 1的主根，vlan 2的备份根；使得SW2成为vlan 1的备份根，vlan 2的主根实验前须知：active region-configuration //该命令用来激活在MST域的配置，否则配置无法生效SW1 的配置：[Huawei]sys SW1[SW1]vlan batch 2 to 3[SW...

静态NAT1.在AR1的g0/0/1上配置静态NAT，使得私网的PC1能和公网的PC 2通信步骤：AR1：1）配置g0/0/0的ip，并在该端口开启dhcp接口地址池2）配置g0/0/1的ip，并在接口视图下开启静态NAT功能，然后配置静态NATAR2：1）配置g0/0/0的ip2）配置g0/0/1的ip，并在该端口开启dhcp接口地址池实验须知：⦁ 必须要在接口视图开启...

DHCP支持配置两种地址池，包括全局地址池和接口地址池。wireshark中，在过滤项中是没有DHCP的，是用bootp来过滤dhcp包1.使用S5700交换机作为DHCP服务器，进行DHCP接口地址池配置，并把PC1和PC2 分别划分在vlan 10和vlan20步骤：SW1：1）创建vlan 10和vlan 202）配置e0/0/1和e0/0/2端口为access，配置e0/0/...

1.实验一，在两台路由器的串口上配置ppp，并且串口租用环回接口的ip地址AR1的配置：[Huawei]sys AR1[AR1]int loopback0 //进入环回接口0[AR1-LoopBack0]ip add 192.168.0.1 24 //给环回接口配置ip[AR1-LoopBack0]int s2/0/0[AR1-Serial2/0/0]link-protocol pp...

拓扑图如下：方法1（使用全局配置开启边缘端口，再启动BPDU保护，不过后面要关闭g 0/0/1和g 0/0/2的边缘端口）[Huawei]stp edged-port default //开启交换机上的边缘端口，作用域为所有接口[Huawei]stp bpdu-protection //实施BPDU保护，对边缘端口生效//以下出现了问题，g0/0/1 和g 0/0/2关闭了，因为上面两条...

1.配置VRRP，使得SW 1和SW 2共同组成一台虚拟设备​ 1）划分好vlan​ 2）配置好端口类型​ 3）给三层交换机的vlanif 配置ip​ 4）实施vrrp命令SW 1的配置[Huawei]vlan batch 2 to 4[Huawei]int g0/0/2[Huawei-GigabitEthernet0/0/2]port link-t...