潇峰的博客

IP PBX毫无疑问是CTI的又一次发展，它不再是两网简单的相加，而是彻底去掉了一套昂贵的PBX网络及两网连接设备，电话网络仅成为服务对象接入的一个手段，这种系统结构的设计使得呼叫中心的成本至少降低了30%，同时由于开放的IP PBX能够提供许多功能，使得呼叫中心的性能价格比得到极大提高。IP PBX是一种电信设备，IP PBX是一种专用交换机（企业内的电话交换系统），用于在本地线路上的VoIP（互联网协议语音或IP）用户之间切换呼叫，同时允许所有用户共享一定数量的外部电话线路。

我们都知道VoIP业务有着压倒性的优势。随着网络应用的多元化和低成本化发展，VoIP业务直接冲击着传统通信市场，那么目前VoIP协议目前常用的协议,如H.323、SIP、MEGACO和MGCP。

什么是SIP，这里讲的SIP是一种VoIP网络通信协议，SIP是一种应用层协议，全称叫，也是互联网上现代交互式通信（语音通话，视频通话等）的基础。SIP(SessionInitiationProtocol,会话发起协议）是由IETF推出的一种用于建立、修改和终止多媒体会话的应用层控制协议。这些多媒体会话包括Internet多媒体会议、远程教育、Internet电话等。

RIPng是一种较为简单的内部网关协议，是RIP在IPv6网络中的应用。RIPng主要用于规模较小的网络中，比如校园网以及结构较简单的地区性网络。由于RIPng的实现较为简单，在配置和维护管理方面也远比OSPFv3和IS-IS for IPv6容易，因此在实际组网中仍有广泛的应用。

RADIUS是一种分布式的、客户端/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了基于UDP（User Datagram Protocol）的RADIUS报文格式及其传输机制，并规定UDP端口1812、1813分别作为认证、计费端口。•RADIUS服务器：一般运行在中心计算机或工作站上，维护相关的用户认证和网络服务访问信息，负责接收用户连接请求并认证用户，然后给客户端返回所有需要的信息（如接受/拒绝认证请求）。

ACL分类：标准访问控制列表(调用在接近源设备上) 1-99只能对源进行控管扩展访问控制列表(调用在接近目标设备上) 100-199命名访问控制列表时间访问控制列表acl运行规则：一.依据序列号对ACL进行逐条匹配 （顺序性）二.匹配中ACL中的一条列表既结束ACL过滤动作 （匹配任意一条，就跳出ACL动作）三.列表尾部隐式拒绝所有 （ACL默认拒绝所有流量通过）

NAT是将IP数据报文头中的IP地址转换为另一个IP地址的过程，主要用于实现内部网络（私有IP地址）访问外部网络（公有IP地址）的功能。Basic NAT是实现一对一的IP地址转换，而NAPT可以实现多个私有IP地址映射到同一个公有IP地址上。

ZTP（Zero Touch Provisioning）开局是指新出厂或空配置设备上电启动时采用的一种自动加载开局文件（包括系统软件、配置文件、补丁文件等）的功能。

通过S-MLAG（Simple Multichassis Link Aggregation，简单跨设备链路聚合）功能将多台物理设备在聚合层面虚拟成一台设备实现简单的跨设备链路聚合，在服务器对接的场景中提供设备级冗余保护和流量负载分担。

虚拟系统VS（Virtual System）是指将一台物理设备PS（Physical System）虚拟成多个相互隔离的逻辑系统。每个VS独立工作，在业务功能上等同于一台独立的传统物理设备，如图2-1所示。

超级虚拟交换网技术SVF（Super Virtual Fabric）是指将多层网络设备纵向虚拟成一台设备，由控制设备统一管理和配置接入设备，从而达到简化管理与配置的目的，如图1所示。

PPPoE（PPP over Ethernet）协议是一种把PPP帧封装到以太网帧中的链路层协议。PPPoE可以使以太网网络中的多台主机连接到远端的宽带接入服务器。

帧中继工作在OSI参考模型的数据链路层，是数据链路层使用简化的方法传送和交换数据单元的一种方式。帧中继的重要特点之一是将X.25分组交换网中分组节点的差错控制、确认重传、流量控制、拥塞避免等处理过程进行简化，缩短了处理时间，这对有效利用高速数字传输信道十分关键。帧中继主要应用在广域网中，支持多种数据型业务。主要解决以下问题：•帧中继在初期运用时非常容易在原有的X.25的接口上进行软件升级来实现。

PPP协议是一种点到点链路层协议，主要用于在全双工的同异步链路上进行点到点的数据传输。PPP既支持同步传输又支持异步传输，而X.25、FR（Frame Relay）等数据链路层协议仅支持同步传输，SLIP仅支持异步传输。PPP协议具有很好的扩展性，例如，当需要在以太网链路上承载PPP协议时，PPP可以扩展为PPPoE。PPP提供了LCP（Link Control Protocol）协议，用于各种链路层参数的协商。

GARP（Generic Attribute Registration Protocol）协议主要用于建立一种属性传递扩散的机制，以保证协议实体能够注册和注销该属性。GARP作为一个属性注册协议的载体，可以用来传播属性。将GARP协议报文的内容映射成不同的属性即可支持不同上层协议应用。GVRP（GARP VLAN Registration Protocol）是GARP的一种应用，用于注册和注销VLAN属性。GARP协议通过目的MAC地址区分不同的应用。

将网络在逻辑上分为不同的区域：接入、汇聚、核心区域，数据中心区域，DMZ区域，企业边缘，网络管理区域等。此网络使用了一个三层的网络架构，包括核心层，汇聚层，接入层。在网络中使用冗余架构，可以尽可能地保证无论任何设备或链路发生故障，用户业务都不会被影响。但冗余不能过度使用，因为太多的冗余节点难以维护，并且增加了整体开销。能够支持各种应用对网络的需求，包括高密度的用户接入，移动办公，VoIP，视频会议和视频监控的使用等，满足了客户对于可扩展性，可靠性，安全性，可管理性的需求。

CLOS Networking 是指使用 Clos 网络拓扑结构（Clos Network Topology）进行网络设计的一种方法。该方法是由贝尔实验室的工程师 Charles Clos 在1950年代提出的，以解决电路交换网络的可扩展性和性能问题。随着现代计算和网络技术的发展，Clos 网络拓扑被广泛应用于数据中心网络架构，特别是在大规模数据中心中。

最初的VXLAN方案（RFC7348）中没有定义控制平面，是手工配置VXLAN隧道，然后通过流量泛洪的方式进行主机地址的学习。这种方式实现上较为简单，但是会导致网络中存在很多泛洪流量、网络扩展起来困难。为了解决上述问题，VXLAN引入了EVPN（Ethernet VPN）作为VXLAN的控制平面。EVPN参考了BGP/MPLS IP VPN的机制，通过扩展BGP协议新定义了几种BGP EVPN路由，通过在网络中发布路由来实现VTEP的自动发现、主机地址学习。

Overlay网络是将已有的物理网络（Underlay网络）作为基础，在其上建立叠加的逻辑网络，实现网络资源的虚拟化。传统网络带来了以下一些问题：● 虚拟机规模受网络规格限制在传统二层网络环境下，数据报文是通过查询MAC地址表进行二层转发，而网络设备MAC地址表的容量限制了虚拟机的数量。● 网络隔离能力限制当前主流的网络隔离技术是VLAN，由于IEEE 802.1Q中定义的VLAN ID只有12比特，仅能表示4096个VLAN，无法满足大二层网络中标识大量租户或租户群的需求。

IP Fabric指的是在IP网络基础上建立起来的Overlay隧道技术。即为基于胖树的Spine+Leaf拓扑结构的IP Fabric组网图。在这种组网方式中，任何两台服务器间的通信不超过3台设备，每个Spine和Leaf节点全互连，可以方便地通过扩展Spine节点来实现网络规模的弹性扩展。只要遍历一定数量的交换机，可以在几乎所有数据中心结构体系中的服务器节点之间传输流量，该架构由多条高带宽的直接路径组成，消除了网络瓶颈带来的潜在传输速度下降，从而实现极高的转发效率和低延迟。

在前面的几个章节里，我们详细讨论了在构造数据中心网络时位置如何摆放、机框如何布线以及流量收敛比的计算，相信你已经对华为CE系列数据中心交换机的物理架构有了一个很好的了解。接下来将要介绍的是CE系列交换机提供的不同的逻辑体系架构，说到逻辑架构，很多人肯定觉得，逻辑层面的设计不外乎就是那些破环协议算法、IP寻址以及二三层转发机制（二层VLAN+xSTP、三层路由），都是一些老生常谈的成熟技术了。所以在开始之前，我们首先得明确的一点就是，数据中心网络相较于园区网络有什么不同？

根据有无屏蔽层，网线又可分为屏蔽双绞线（Shielded Twisted Pair，STP）和非屏蔽双绞线（Unshielded Twisted Pair，UTP）。屏蔽双绞线可减少辐射，防止信息被窃听，也可阻止外部电磁干扰的进入。与同类的非屏蔽双绞线相比具有更高的传输速率，但是价格也相对更高，且安装时也更困难。非屏蔽双绞线的优点在于：成本低、重量轻、易弯曲等，且其性能对于一般网络来说影响不大，所以应用相对更为广泛。

TOR（Top of Rack）指的是在每个服务器机柜上部署1～2台交换机，服务器直接接入到本机柜的交换机上，实现服务器与交换机在机柜内的互联。虽然从字面上看，Top of Rack指的是“机柜顶部”，但实际TOR的核心在于将交换机部署在服务器机柜内，既可以部署在机柜顶部，也可以部署在机柜的中部（Middle of Rack）或底部（Bottom of Rack）。通常而言，将交换机部署在机柜顶部是最有利于走线的，因此这种架构应用最多。TOR架构最大的优点就是简化了服务器到交换机之间的连线。

VXLAN全称Virtual eXtensible LAN，是一种覆盖网络技术或隧道技术。与GRE一样，封装、转发2层报文，物理上的三层通信，虚拟上的二层通信。原始2层包+（1.vni id 2.组播地址）+udp报送+ip报头。使用VXLAN网络模式，它会将主机发出的数据包封装在UDP中（vxlan建立的隧道都是无状态的了，这个做的好处是不用占用大量连接），并使用物理网络的IP/MAC在头部进行封装，然后在物理IP网上传输，到达目的地后由隧道终结点解封并将数据发送给目标主机。

如果不合法，则停止SSL/TLS握手，如果合法，则会获取客户端的公钥。当客户端返回一个ACK包时，TCP服务器根据包头信息计算Cookie，与客户端返回的确认序列号（初始序列号+1）进行对比，如果相同，则TCP服务器会将本次连接视为一个正常连接，然后分资源，建立连接。动态业务主要是接口类型服务，如认证、鉴权、播放控制、统计等，这些服务类型较多、功能相对复杂，但多数流量较小，如果想要完全下沉到边缘，则需要在边缘点重新部署每个动态服务，所以动态服务一般会通过在边缘点设置代理并通过网络加速的方式访问源站。

远程端口镜像当源设备与数据监测设备不直接相连时，与数据监测设备直接相连的设备作为目的设备，源设备需要将镜像报文复制一份至目的设备，然后由目的设备将镜像报文转发至数据监测设备，这种方式实现的端口镜像称为远程端口镜像。对于远程端口镜像，镜像源和镜像目的分属于不同设备上的不同镜像组：镜像源所在的镜像组称为远程源镜像组，镜像目的所在的镜像组称为远程目的镜像组，而位于源设备与目的设备之间的设备则统称为中间设备。对于本地端口镜像，镜像源和镜像目的属于同一台设备上的同一个镜像组，该镜像组称为本地镜像组。

(11)优选迭代深度值小的路由；(12)如果当前的最优路由为EBGP路由，则BGP路由器收到来自不同的EBGP邻居的路由后，不会改变最优路由；路由更新时，BGP只发送更新的路由，大大减少了BGP传播路由所占用的带宽，适用于在Internet上传播大量的路由信息。如果使用了联盟，则不能被发布到联盟之外，但可以发布给联盟中的其他子ASNO_ADVERTISE：具有此属性的路由被接收后，不能被通告给任何其他的BGP对等体。将具有相同特征的路由归为一组，称为一个团体，通过在路由中携带团体属性标识路由所属的团体。

取0时，该字段的值为全0。基于报文流封装类型接入业务：在VTEP连接下行业务的物理接口上创建二层子接口，并配置不同的流封装类型，使得不同的接口接入不同的数据报文。但是，构建物理上的大二层，难免需要对原来的网络做较大的改动，并且大二层网络的范围依然会受到种种条件的限制，然而VXLAN技术能够很好地解决上述问题。为了实现虚拟机的大范围甚至跨地域的动态迁移，就要求将虚拟机动态迁移可能涉及的服务器都纳入同一个二层网络，形成一个更大范围的二层网络，这样才能实现虚拟机的大范围无障碍的迁移，这种二层网络称为大二层网络。

【代码】sophos和华为的BGP+BFD。

备注DRNI双活网关组网，用双活虚地址为源ping下联服务器时，会出现部分地址ping不通的情况,正常现象。DR系统的两端的端口LAG模式都为static。

节约地址。

与UDP数据包的关系假设我们在防火墙主机上用firefox诮用程序浏览网页(通过域名方式)，而浏览网页的动作需要DNS服务器的帮助才能完成，因些firefox会送出一个udp数据包给DNSSERVER，以请求名称解析服务，如果这个数据包能够成功的穿越防火墙，那么接下来的dnsserver与firefox之间的所有数据包的状态都是ESTABLISHED.delete要删除配置条目，请使用该命令，此操作还会删除您在命令中指定的当前级别下的所有子级别。通过此命令，您将可以访问可从操作模式访问的所有内容。...

操作步骤方式一在接口视图下配置静态映射interface-typeinterface-number.subnumberglobal-addressinterface-typeinterface-numbersubnumberglobal-portglobal-port2vrrpidhost-addresshost-address2host-portvpn-instance-namemaskacl-numberdescriptionprotocol-numberglobal-addressinterface。

此时 ：traffic-filter vlan 10 inbound acl 3000 配置失效 vlan10 和vlan 30 可以相互访问

ip pool vlan208gateway-list 172.16.208.254network 172.16.208.0 mask 255.255.255.0lease day 0 hour 8 minute 0dns-list 172.16.10.136next-server 172.16.12.249option 66 ip-address 172.16.12.249...

文章作者: lxf 文章连结: /archives/osi-qi-ceng 版权声明: 本部落格所有文章除特别声明外，均採用 CC BY-NC-SA 4.0 许可协议。转载请註明来自 lxf！ ...

TCP报文1、端口号：用来标识同一台计算机的不同的应用进程。1)源端口：源端口和IP地址的作用是标识报文的返回地址。2)目的端口：端口指明接收方计算机上的应用程序接口。2、序号和确认号：是TCP可靠传输的关键部分。序号是本报文段发送的数据组的第一个字节的序号。在TCP传送的流中，每一个字节一个序号。e.g.一个报文段的序号为300，此报文段数据部分共有100字节，则下一个报文段...

最大跳：定义一个有限的跳数来防止环路。RIP最多15跳，16跳为无穷大；IGRP默认为100跳，但可配置到255跳。水平分割：决不把从一个来源处所学到的路由再回送给这个来源路由毒化：路由器把无效路由的费用设置成无穷大抑制定时器：路由器收到一条路由不可达的消息后，会在路由表中将这条路由冻结，在冻结时间内，不接受其他路由器告诉它可达的消息，相反在这段时间内将这条消息通知给网络中的其他路由器，最终达成全...

DC01 sysname DC01#interface GigabitEthernet0/0/0 ip address 20.1.0.1 255.255.255.252 #interface GigabitEthernet0/0/1 ip address 10.0.0.1 255.255.255.252 ospf cost 500#interface GigabitEthernet0/0/2 ip address 10.1.0.1 255.255.255.0 #interfac.

GRE over IPSec即 IPSec 在最外层(或称最底层)。意思是先在 R1 与 R2 之间建立 IPSec Tunnel，把里面的 GRE Tunnel 整个进行加密，Routing Protocol 在 GRE Tunnel 里面完成 Route 交换，最后 Data 在 GRE Tunnel 里面传送。从下图所见，因整个 GRE Tunnel 被加密，所以里面的 Routing Protocol 及 Data 都会被加密。GRE over IPSec隧道示例配置思路采用如下思路配置虚