- 博客(68)
- 收藏
- 关注
RSS订阅原创 典型数据中心组网
在ping测试过程中,模拟spine4设备故障,发现丢了15个包,延迟非常大,导致这一现象的原因是leaf设备路由表未收敛,导致流量无法正确转发,ospf的hello dead时间是4倍的发送时间间隔,所以是40s才感知到邻居故障,所以可以通过优化OSPF邻居来缓解这一现象。在数据中心网络中,主要的设备有leaf、spine、border、防火墙、服务器,本次将完成的展示前三种,实现租户之间互通,并且能访问互联网。本实验中border也可以做路由逃生,之间拉一条三层链路,配置IP宣告在OSPF中即可。
2025-12-23 16:34:46
657
原创 双leaf独立部署以及常见故障
原因:通过在leaf设备上display l2vpn mac-address发现mac对应出接口学习异常,导致这种现象的原因是双leaf端出现环路,(leaf1将arp广播报文向tunnel隧道广播,spine收到后头部复制广播到leaf2和leaf3,这时候leaf2又会将报文发到接入交换机,进一步传递到leaf1,最终到导致leaf1--spine--leaf2--接入交换机-leaf1形成环路)所以,将双leaf都设置为非客户端即可实现leaf1和leaf2之间不建立vxlan隧道。
2025-12-22 14:13:10
364
原创 跨子网vxlan+M-lag+evpn分布式网关通信
在二层通信的前提下,接下来演示分布式网关实现三层通信,现实中百分之八十也才有分布式。此时通过display ip interface brief命令查看VSI三层接口处于down,所以需要将二层VSI与三层VSI接口绑定。解答:vxlan实现大二层互联,保证租户在迁移时是无感知的,所以即使从leaf1迁移到leaf3,该设备的网关以及网关MAC是一致的。RD无关紧要,重要的是RT,需要保障VTEP设备的RF一致,才能相互通信。创建三层VSI接口,绑定VPN实例,配置IP/MAC。3、将VSI与网关绑定。
2025-12-20 13:04:22
305
原创 VXLAN-EVPN-M-LAG
但如果M-LAG某台设备上行链路故障,下行设备会感知不到,导致流量仍然是负载分担的形式发到M-LAG系统,但由于设备B的上行口故障,已经不存在去玩目的VTEP的路由,即使peer-link会自动生成服务实例,但由于没有路由,导致流量中断。Peer-link接口是放行所有vlan的,所以可以通过创建某个VLAN,并且配置IP地址,宣告在OSPF中,这样两台M-LAG设备会形成OSPF邻居,设备A收到的路由也可以传递给设备B,保证了设备B存在目的VTEP设备路由。此时业务可以相互通信。
2025-12-17 13:28:10
900
原创 多级M-LAG组网BGP实验
汇聚交换机创建vlan10、vlan100,业务接口均是trunk,上行放行vlan100,下行放行vlan10,SW3在vlan10中配置252,SW4在vlan10中配置253,VRRP虚拟地址配置254;①事先在M-LAG设备上配置m-lag mad persistent 命令,这样使得备mad设置为down的接口始终处于down,需要通过命令手动恢复m-lag mad restore。接入交换机创建vlan 10,配置IP地址,上行聚合口配置trunk,放行vlan10。
2025-12-09 14:57:31
571
原创 路由器冗余模式的防火墙旁挂
所以可能会采用路由器 作为核心设备,那当路由器作为核心设备时,不能像交换机一样做堆叠,实现在逻辑上虚拟成一台设备,所以路由器冗余旁挂防火墙会相对复杂一些,为读者搭建良好的配置思路是本文的目的。SW1创建vlan 10、vlan 20,接口配置为trunk,放行对于vlan,三层vlanif接口均绑定vpn实例。SW2创建vlan 10,下行口配置access,放行vlan 10,上行口配置为trunk,放行vlan 10。FW1、FW2也是如此,创建子接口绑定vpn实例,配置IP地址。
2025-12-02 14:59:46
812
原创 M-LAG场景防火墙旁挂引流部署
①SW1、SW2创建vlan 100 200 101 102,SW3创建vlan100,AF1、AF2创建vlan101 vlan102。④SW1、SW2对vlan 100、101、102、200均创建VRRP虚拟地址,调整优先级SW1作为主设备(虚拟地址使用252)①SW1、SW2起两个ospf进程,ospf 1 属于实例a、ospf 2 属于实例b,将对应实例的网段宣告进ospf。vlan102加入到untrust区域。3、SW配置vlan以及互联vlan接口,SW1、SW2的vlan绑定VRF。
2025-12-01 21:56:05
737
原创 网络割接之部署双机热备防火墙引流
SW1作为核心交换机,终端网关部署在SW1的2口;上行链路连接R1,R1的loopback接口模拟互联网;SW2作为接入交换机,透传vlan核心交换机与R1运行ospf,业务网段宣告在区域0,互联网段宣告在区域1;实现client能访问互联网(6.6.6.6)
2025-11-29 23:35:12
943
原创 企业防火墙内外部署场景下内网Client访问web业务解析
通过tracert www.abc.com命令发现路由到达接入交换机后中断,按道理此时流量应该交付给防火墙,但流量并未到达防火墙,在接入交换机连接防火墙的接口做端口镜像抓包发现,没有收到防火墙回复的报文,初步判断为内网防火墙导致。由于访问的是域名,所以PC需要请求DNS解析,PC测试ping 服务器,但无法通行,进一步在内网防火墙上只看到一条PC到untrust的策略,说明防火墙并未放行PC到server的策略。解析时候经过了内网防火墙,内网防火墙中又对应记录,所以内网防火墙能识别域名组。
2025-11-29 16:53:07
635
原创 配置旁挂二层组网隧道转发
2、核心交换机创建管理vlan和业务vlan,下行接口配置trunk,放行管理vlan,连接AC的接口配置trunk,放行管理vlan和业务vlan;AC创建创建管理vlan和业务vlan,连接核心交换机的接口配置trunk,放行管理vlan和业务vlan。下行口配置trunk,pvid设置为管理vlan,放行管理vlan;上行接口配置trunk,pvid默认,放行管理vlan(隧道模式可以配置为access,效果一致)4、在AC上创建AP组,可以将相同配置的AP都加在同一个AP组,简化配置。
2025-09-25 17:42:49
555
原创 通过EVPN实现互通
3、leaf1、leaf2、border创建vpn实例,并且配置实例的RD,以及ipv4地址族的RT和evpn地址族的RT。2、border开启l2vpn,取消vxlan隧道的mac、arp学习功能[border]l2vpn enable。6、在border出接口绑定实例,配置静态路由引入到bgp的evpn地址族中。5、在leaf1、leaf2、border创建用于vxlan隧道的三层接口。5、在leaf1、leaf2、border创建用于vxlan隧道的三层接口。此时,同vxlan的二层通信完成。
2025-08-24 21:22:08
323
原创 VXLAN的的两种组网方式
①核心网络配置ospf打通(互联网段、环回口)②VTEP和border设备开启l2vpn,并配置tunnel③创建VSI,并且绑定vxlan和tunnel④VTEP对应接口绑定AC链路⑤在网关设备(border)上创建VSI三层虚拟接口⑥在VSI中绑定VSI三层虚拟接口。
2025-03-27 22:42:31
532
原创 二层vxlan实验
①虚拟网卡划分好对应vlan(交换机与PC之间access,交换机之间trunk)四、VTEP设备配置tunnel,选择vxlan模式,源目地址是双方环回口地址。④VTEP设备配置tunnel(模式vxlan;只需要配置源目地址)六、配置二层的AC(服务实例),该接口可能会接受到多个vxlan流量。五、创建对应的VSI实例,并绑定vxlan和tunnel。二、打通公网,使用ospf,宣告互联地址和环回口。三、VTEP设备开启L2VPN enable。⑤创建VSI,绑定tunnel、vxlan。
2025-03-27 22:40:12
586
原创 BGP MPLS VPN 跨域 optionB配置
1、跨域环境基础配置①配置iP地址,mpls承载网使用IGP协议互通②mpls承载网配置ldp,在接口使能MPLS标签分发功能③PE创建vpn实例,绑定接口,配置RD和RT④CE和PE之间运行IGP协议实现互通2、PE与ASBR之间配置MP-BGP邻居3、ASBR与ASBR之间建立MP-EBGP邻居4、vpn4地址族视图下配置不对接收的VPNV4路由进行RT过滤5、在ASBR之间的接口上使能MPLS标签交换功能。
2024-12-10 20:18:49
1313
原创 BGP MPLS VPN配置
1. MPLS承载网通过IGP协议打通2. MPLS承载网配置LDP和MPLS标签交换功能3. PE配置VRF,设置RT和RD,绑定至连接CE的接口4. PE与CE之间跑路由协议学习私网路由5. PE与PE之间建立MP-BGP邻居6. PE上OSPF和BGP做双向路由引入。
2024-12-10 14:43:13
1455
原创 IPsec over GRE配置
1、配置ip地址2、公网互通IPSec配置(双方都配置)3、配置高级ACL匹配双方私网地址5、ike keychain(地址用对方的tunnel地址标识)6、ike profile(主模式;用双方tunnel地址标识身份)8、ipsec polity(remote是对方tunnel接口地址)GRE配置(双方均配置)9、配置隧道模式;ip地址;源目IP(公网地址)10、在tunnel下应用ipsec polity动态路由协议配置(双方均配置)11、创建ospf,宣告私网网段和隧道网段。
2024-12-06 17:12:24
1040
原创 GRE over IPsec VPN配置
1. 按照图示配置IP地址2. R2作为DHCP Server,向分支动态分配公网地址3. 配置GRE Over IPsec VPN,IKE采用野蛮模式4. 总部通过策略模板的方式配置IPsec Policy基础配置:1、配置ip地址,分部地址公网等待dhcp分配2、dhcp配置分配分部公网地址3、实现公网互通GRE配置:4、GRE隧道配置IPsec配置(ike模式为野蛮模式):5、在分支上配置感兴趣流(因为野蛮模式是公网地址不固定的一方发起隧道连接,所以总部不需要配置感兴趣流)
2024-12-06 14:09:42
1344
原创 IPsec配置
七、创建IPsec策略,关联五六,绑定ACL,指定IPsec封装的目标地址,在接口调用。3.3 IPsec SA采用ESP安全协议,加密算法为MD5,验证算法为DES。五、创建IKE profile,将上述两个关联并选择IKE工作方式和标识身份。3.2 IKE采用预共享密钥的方式协商IKE SA,验证算法为MD5。六、配置IPsec SA,设置工作模式,安全协议的加密算法和验证算法。三、在R1和R3上均创建IKE提议并设置验证方式和验证算法。一、配置IP地址,配置ACL匹配两个私网网段。
2024-12-06 14:08:46
929
原创 GRE配置
1. 按照图示配置IP地址2. 公网通过静态缺省路由互通3. 配置GRE VPN,通过OSPF传递双方私网路由使其互通4. 配置Keepalive用于探测Tunnel接口的状态。
2024-11-28 16:37:12
1370
原创 IRF基础配置
1、SW1、SW2配置IRF堆叠,SW1为master2、SW3与堆叠配置链路聚合、R4与堆叠配置链路聚合(两种方式)3、具体ip地址,vlan配置、动态路由协议如图4、实现PC能访问1.1.1.1/32①将SW1和SW2进行堆叠②SW3与堆叠正常进行链路聚合③R4与堆叠正常进行链路聚合④将PC的网关配置在堆叠上。
2024-11-21 20:15:18
903
原创 VRRP双备份和MSTP综合实验
1、ip地址、设备名配置如图2、SW1~SW3运行MSTP,按照如图配置MSTP3、SW1和SW2运行VRRP,按照如图配置VRRP,配置主备根桥4、VRRP设备监视上行接口,如果故障优先级降低30实现主备切换5、SW1、SW2、R3运行ospf。
2024-11-20 18:02:20
706
原创 MSTP配置
①创建vlan,配置交换机接口为trunk并允许vlan通过②全局开启stp并修改模式位mstp③创建MST域,配置三要素域名、等级、实例与vlan映射④激活MST域配置此时基本MSTP配置已经完成要求:修改instance 1的MSTI域根为SW3修改instance 2的MSTI域根为SW2⑤在对应的MSTI实例里面修改交换机的优先级。
2024-11-20 14:49:49
462
原创 Private vlan基本配置
①SW1创建多个从vlan和一个主vlan②在主vlan视图下声明自己是主vlan,并指明从vlan③连接主机的接口设置为access并修改模式为host(修改模式后配置会发生变化)④上行端口设置为私有vlan并声明主vlan为10模式为promiscuous(修改模式后配置会发生变化)⑤此时对于SW2而言,只会从SW1收到没到标签的帧,类似于SW1是一个主机在SW1上创建任意vlan作为网关即可⑥PC1和PC2互访只需要在网关设备开启本地ARP代理即可。
2024-11-18 17:38:01
770
原创 灵活QinQ配置
①SWA:创建私网vlan连接PC的口使用access口;连接PE使用trunk口放行私网vlan②PE:创建公网、私网vlan连接SWA的口使用bybrid口;tagged放行私网vlan,untagged放行公网vlan连接SWA的口做vlan mapping 映射公网与私网的对应连接P的口使用trunk口,放行公网vlan③P:创建公网vlan所有接口设置为trunk,放行公网vlan。
2024-11-18 14:15:13
384
原创 基本QinQ配置
CE思路:①创建私网vlan②连接终端用access③连接PE用trunk,放行私网vlanPE思路①创建公网vlan②接口全配置trunk,连接CE放行公网vlan,连接PE放行所有公网vlan③连接CE的端口设置默认vlan为公网vlan④连接CE的端口开启Qinq功能P思路①创建所有公网vlan②接口全配置trunk,放行所有公网vlan。
2024-11-17 22:06:51
604
原创 Super vlan配置
1、按照如图配置ip地址,设备名2、PC2在vlan3,PC1在vlan2,sub vlan为2、3,super vlan为vlan 103、SWA和SW2建立三层连接(两种方式)
2024-11-17 19:20:09
660
原创 VRRP基础配置
通过shutdownR1的上行端口迫使可有走R2发现R2会直接转发给主机,因为如果通过ospf给R1的话,优先级为10,直连为0,所以优先直接给主机,说明从外访问内是不受VRRP影响的。问题1:此时R3去往192.168.1.10有两条等价路由,如果默认走R2下来,则具体路径是什么样的。Undo掉R1的上行接口,发现R2变成了Master,并且广播免费ARP。此时,R1和R2上有三个邻居,需要再他们的g0/1接口使能静默接口。一、基础配置(设备名,ip地址配置)二、R1、R2配置VRRP。
2024-11-16 18:18:50
458
原创 大规模路由实验
某企业总公司和分公司运行 BGP 实现路由互通,另外还有办事处运行isis。总公司和分公司之间通过两条线路相连。企业内有 A 流和 B 流两种流量,如图所示按照图示配置 IP 地址,除 R7 外,所有路由配置 Loopback0 口 IP 地址用于 OSPF 的 Router-id 和 IBGP 建立邻居,地址格式为X.X.X.X/32,X 为设备编号总公司和分公司内部配置 OSPF,仅用于实现 BGP 的 TCP 可达,不允许宣告业务网段办事处和总公司之间配置 RIPv2。
2024-11-16 11:56:13
648
原创 IPv6学习配置(静态和OSPFv3)
将PC的网关改为R1的链路本地地址即可实现PC1和PC2的互通。在PC上dis IPv6 in b查看地址。
2024-11-14 20:35:29
1064
原创 BGP路由反射实验
按照图示配置 IP 地址,R2,R3,R4,R5 配置 Loopback0口作为 OPSF 的 Router-id 和 IBGP 邻居地址,地址格式为X.X.X.X/32,X 为设备编号。R1,R3,R5 各自配置 2 个 Loopback 口模拟业务网段AS 200 内部配置 OSPF,仅用于实现 BGP 的 TCP 可达,不允许宣告业务网段R1 和 R2 建立 EBGP 邻居,R2 使用对等体组与 R3/R4/R5 建立 IBGP 邻居。
2024-11-13 20:50:08
686
原创 BGP 路由控制排错实验
按照图示配置 IP 地址,R2,R3,R4 配置 Loopback0 口作为 OSPF 的 Router-id 和建立 IBGP 邻居,R1,R5 配置 Loopback0 口模拟业务网段,R4 配置 Loopback1 口模拟业务网段AS 200 配置 OSPF ,仅用于实现 BGP 的 TCP 可达,不允许宣告业务网段配置 BGP,R1 和 R2/R3 建立 EBGP 邻居,R4 和 R2/R3 建立 IBGP 邻居,R4 和 R5 建立 EBGP 邻居R1,R4,R5 把业务网段宣告进 BGP。
2024-11-13 16:40:05
914
原创 BGP的路由过滤
1、R3与R1和R2通过BGP对等体组IGBP建立IGBP邻居1、R3与R4通过BGP对等体组EGBP建立EGBP邻居略至此,R1~R3的IBGP对等体建立成功至此,R3与R4的IBGP对等体建立成功。
2024-11-12 17:49:37
739
原创 控制BGP路由实验
控制BGP路由拓扑实验需求1、按照如上图修改设备名,配置ip地址2、R2~R4在as200,运行OSPF,R1在AS1003、R1与R2和R3使用直连接口建立EBGP邻居,R4与R2和R3使用环回口建立IBGP邻居4、R1将业务网段1.1.1.1/32宣告到BGP中,R4将4.4.4.4/32宣告到BGP中,使用引入直连的方式引入44.44.44.44/325、在R1上修改本地首选值将R3改为去往4.4.4.4的下一跳6、在R3上修改本地优先级将R4去往1.1.1.1是下
2024-11-12 10:40:26
579
原创 BGP基础排错实验
1、按照图示配置 IP 地址,R1 使用 Loopback0 口模拟业务网段,R2,R3,R4 使用 Loopback0 口地址建立 IBGP 邻居,R4 使用 Loopback1 口模拟业务网段2、AS 200 运行 OSPF,使内部路由互通3、所有路由器运行 BGP,R1 分别和 R2/R3 建立 EBGP 邻居,R4 分别和 R2/R3 建立 IBGP 邻居。要求 EBGP 邻居使用直连地址建立,IBGP 邻居使用环回口地址建立4、R1 和 R4 把业务网段宣告进 BGP,要求业务网段能够互通。
2024-11-11 19:12:18
630
原创 BGP基础实验
1、按照如图配置ip地址,修改设备名2、AS65002自治系统运行OSPF协议3、RT1与RT2建立EBGP邻居,RT4与RT5建立EBGP邻居,使用直连接口建立;RT2与RT3建立IBGP邻居,使用环回口建立4、R1和R5将业务网段宣告进BGP5、AS65002配置全IBGP避免黑洞路由6、实现R1和R5业务网段互通。
2024-11-11 12:22:12
316
原创 PBR实验
1、设备ip配置,设备名配置如图2、全网通过ospf互通3、通过PBR,使PC3去往PC5走12.1.1.0/24这条链路4、通过PBR,使PC4去往PC5走21.1.1.0/24这条链路5、打开tracert查看。
2024-11-10 15:30:46
480
原创 路由引入与路由策略
此时在R4的lsdb以及路由表都有172.16.0.1的信息,但R3只有lsdb有信息,路由表中是通过ospf学习到的172.16.0.1,因为ospf优先级10,isis优先级15,所以ospf为active路由。此时,R4、R2都收到的这条引入的路由,并且lsdb中和路由表中均存在,因为优先级为15,比ospf的150更加优,导致了R2出现了次优路径。2、RT1~RT3运行ospf,R2~R4运行isis,R1的l0宣告在ospf中。5、在R2将isis引入到ospf时候拒绝掉tag为10的路由引入。
2024-11-10 12:35:19
1206
原创 Route-polity搭配路由引入
四、配置acl2000匹配12.1.1.0/30,用route-polity匹配,在引入调用rout-polity。二、在R1上用prefix-list匹配到2.2.2.2的路由,用acl匹配到3.3.3.3的路由。2、左边允许isis 1,右边允许ospf 1,1.1.1.1宣告在ospf中。5、用acl2001匹配12.1.1.0,然后引入到isis。三、创建route-polity,并配置匹配和apply。1、ip地址,设备名,路由协议配置如上。#默认都为拒绝,所以不需要配置空拒绝。
2024-11-09 21:06:29
412
网络安全基于DNS解析的企业级防火墙策略配置:多区域VLAN隔离下的Web访问控制方案设计
2025-11-29
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人