白话聊网络的博客

技术方向：vlan，mstp（单实例-主备），vrrp主备，ospf，nat，静态。

• 终端上线时，网络会在候选HAP中通过HASH算法选择一个AP作为上线终端的HAP，当终端发生三层漫游时，三层漫游流量会转发到该HAP。• 每个AP仅支持64个漫游迂回的用户，3层用户比较多时，会导致漫游失败，需要下线重新上线（实际部署中根据业务VLAN的规划，同楼层/同区域尽量部署二层漫游，减少三层漫游的发生）。• HAP（Home AP）：在终端初次接入网络时的上线AP的同一个二层漫游邻居范围内，通过Hash算法选择一个AP作为HAP用于转发该终端的三层漫游流量。

▫ 考虑到广播域范围及规划的简易程度，建议为每个业务地址段预留掩码为24位的IP地址段，如果业务终端超出200个，再为其顺延一个掩码为24位的IP地址段。1）出口网关设备：WAN侧接口的IP地址由运营商进行分配，可以通过静态IP地址、DHCP或者PPPoE方式分配，对于出口网关的IP地址需要提前与运营商沟通获取。IP地址规划需要参考网络业务、设备数量等因素进行设计，不但需要保持现网架构统一、IP地址清晰，还要考虑新增IP地址时保持网络架构和路由域的稳定。▫ 交换机、网关设备：推荐部署静态路由。

二层网络设备（如二层交换机和AP）无法直接创建三层接口，需要创建VLANIF来进行管理，这时需要定义管理VLAN，管理VLAN主要用于用户通过远端网管集中管理设备。在实际应用中，还可以根据多种原则进行组合，例如，按照地理区域划分不同的VLAN，同一地理区域又按照人员结构划分不同的VLAN。VLAN划分需要区分业务VLAN、管理VLAN和互联VLAN，中小型园区网络通常采用二层网络组网，不建议配置互联VLAN。VLAN规划时，VLAN编号建议连续分配，以保证VLAN资源合理利用。2）管理VLAN规划设计。

核心交换中值得注意的就是mqc模版是在内网口调用，这样匹配到的流量直接通过流动作就扔到了下一跳所在的防火墙上，通过防火墙的安全策略进行匹配和内网安全等进行流量清洗。丢一部分包，为什么丢包未知，当核心1中断后，sw3的stp状态已经切换，sw2的vrrp已经切换，不应该会不通，唯一的可能就是vrrp的重新发送免费arp的延迟导致。今天接了一个组网需求，课题是园区网络和通过MQC技术实现引流，那么一般来说，防火墙的防火墙引流都是通过上下行vrrp，交换机通过vpn实例来实现。最终流量经过防火墙2。

防火墙1为主墙，link-group组中包含（G1/0/0、G1/0/1、G1/0/3、G1/0/4），组内任意一个接口故障，整个组的接口全部失效，进行防火墙主备切换，防火墙的出口静态路由与ip-link进行联动，快速实现防火墙主备切换。1、进入防火墙1的web界面（防火墙如何web桥接请看我往期博客），创建用户名（关于ssl和l2tp的用户，ensp关闭一次，用户随之消失一次，所以每次打开前，需要进入防火墙中创建）汇聚1中实例1映射的vlanif为主网关，实例2映射的vlanif为备网关。

与上图相比，由于出口多了hub交换机，对于总部的主备防火墙、ipsec vpn隧道的切换，在模拟器场景中更加的丝滑流程，主墙故障，主备切换，对于ipsec的流量在ensp中只丢一个包。那么二层的技术，根以往一样，MSTP+VRRP+链路聚的形式（不是本次实验的测试重点），本次实验主要验证，总分都以防火墙双击热备的模式场景组网。本次实验结束，由此证明，总分结构中以双机热备的场景案例，完美实现无bug。总部中两台防火墙的hrp状态，为主备模式。分部中两台防火墙的hrp状态，为主备模式。此时总部防火墙主备关系。

防火墙一但启动认证后，用户就无法访问外网了，需要在浏览器中输入你想访问的ip，就会自动重定向到认证界面，任何弹窗全点是。web界面最简单，新建立一个用户，vlan10的用户，也就是每个员工的账号密码。实验效果：vlan10的用户访问互联网前需要认证，认证成功后可访问。一个非常简单的小拓扑，桥接虚拟作为内网用户。输出用户密码即可，用户密码就是你刚才创建的。最简单的配置，在防火墙默认域开启认证即可。安全策略记得要放，我这里是any-any。显示登录成功后，就可以访问外网了。

这里面防火墙并不是直连的， 他俩的网段不通，云彩后面藏着一台路由器，所以是两个网段，路由器的接口IP是1.1.3.2/24和1.1.5.2/24。防火墙用户名admin 密码huawei@123。防火墙接口配置-区域配置。ipsec 安全提议配置。ipsec 策略配置。

ARP请求报文中包含请求者的IP地址和MAC地址，以及目标设备的IP地址。2、Ø 使用DHCP自动下发Vlan10内主机地址，DHCP GW为DHCP服务器，地址池命名为考生自己姓名，配置成功后抓取DHCP报文，并使用Wireshark进行抓包分析（10分）当一个设备（称为请求者）需要向本地网络上的另一个设备（称为目标）发送数据，但只知道目标的IP地址时，它会生成一个ARP请求。网络上的所有设备都会收到ARP请求，但只有IP地址匹配请求中的目标IP地址的设备（目标设备）会处理该请求。

众所周知ensp的pc只有ping功能，ssh、telnet、ftp都无法实现，所以想实现需要更换为路由器。server的FTP配置就这些命令，主要的是路径，然后在网络可达的情况下就可以进行登录测试了。R1需要FTP到server的ftp服务。这就是通过路由器登录到ftp的界面。

PC1模拟公网主机，SwitchA模拟公网交换机，RouterA通过以太网接入到公网，RouterB通过两条背靠背串口线与RouterA互联，IP地址设置如图所示。要求将分校区的PC4，以一对一的地址映射方式分布到公网，让PC1、PC2、PC3可以访问。2）、主校区SwitchB上划分VLAN10、VLAN20两个VLAN，PC2、PC3分别接入到VLAN10、VLAN20；7）在RouteA上，通过OSPF的静态路由重分布，实现PC1能正常访问RouteB的Lookback地址123.6.6.6。