专研计算机网络，数据通信，网络安全，系统集成

华为自研网络设备通用操作系统平台；适用于路由器、交换机、网关等设备；提供统一用户界面、模块化设计，支持路由、安全、无线、交换等组件；屏蔽链路层差异，实现控制面与转发面分离。创建目录 test → 删除 test；重命名、复制、移动文件 → 删除 → 恢复。VRP 是华为设备的核心操作系统，结构清晰、权限管理严格；命令视图体系化，配置命令结构规范；掌握CLI使用、文件系统管理、远程登录方式是工程师基本能力；熟练掌握“保存—加载—回退”机制，是保障设备稳定运行关键。

核心技术说明加密算法认证机制Nonce、防重放攻击、数字签名报文完整性哈希算法、MAC、数字签名密钥管理KDC、CA、证书链网络安全措施防火墙、IDS、ACL、分组过滤实践协议攻击防御窃听、重放、IP欺骗、DoS及其防范措施。

计算机网络体系结构采用。

组网图形配置WLAN跨VLAN的三层漫游示例组网图。

组网图形配置手工负载分担模式链路聚合组网图。

通过配置安全策略，实现基于IP地址、时间段以及服务（端口）的访问控制。

举例说明当FW作为旁路检测设备时，如何通过配置发送干扰报文（Reset报文），对流量进行干扰。

所示，FW部署在内网出口处，企业内网部署了Web服务器。经检测，Web服务器经常受到SYN Flood、UDP Flood和HTTP Flood攻击，为了保障Web服务器的正常运行，需要在FW上开启攻击防范功能，用来防范以上三种类型的DDoS攻击。在FW上开启SYN Flood、UDP Flood和HTTP Flood攻击防范功能。各攻击防范对应的阈值先采用默认值，待阈值学习功能完成阈值学习后系统会自动应用学习结果。为了合理设置DDoS攻击防范的阈值，需要在FW上开启阈值学习功能。

使FW与eSight之间能够互通，配置FW接口GigabitEthernet 0/0/2的IP地址、将接口加入DMZ安全区域、并配置接口访问管理功能允许SNMP协议通过。使eSight能够管理FW并接收FW的告警，配置FW的SNMP参数和Trap告警功能，在eSight上配置与FW一致的SNMP参数并添加FW。eSight侧的安全名、鉴权协议密码、私有协议密码分别和FW侧的安全名、认证密码、加密密码保持一致。配置FW的SNMP参数，并配置将FW产生的告警发送到eSight。

财经部门和行政部门的管理员分别使用管理员账号“admin@@vsysb”和“admin@@vsysc”登录设备，为虚拟系统vsysb、vsysc配置IP地址、安全区域及策略。从研发部门的内网选择一台允许访问Internet的主机，和一台不允许访问Internet的主机，如果访问结果符合预期，说明IP地址和vsysa的安全策略的配置正确。需要分别配置不同的安全策略。从行政部门的内网主动访问Internet，如果能够访问成功，说明IP地址、vsysc的安全策略以及根系统NAT策略配置正确。

作为大型企业园区办公区域的接入网关，对区域内网络提供安全防护。区域内存在多个业务部门，管理员为不同的部门分配不同的虚拟系统，以实现对不同部门网络的区分管理。

通常，同一网段内的所有主机上都存在一条相同的、以网关为下一跳的缺省路由。主机发往其他网段的报文将通过缺省路由发往网关，再由网关进行转发，从而实现主机与外部网络的通信。当网关发生故障时，本网段内所有以网关为缺省路由的主机将无法与外部网络通信。增加出口网关是提高系统可靠性的常见方法，此时如何在多个出口之间进行选路就成为需要解决的问题。VRRP的出现很好的解决了这个问题。VRRP能够在不改变组网的情况下，采用将多台路由设备组成一个虚拟路由器，通过配置虚拟路由器的IP地址为默认网关，实现默认网关的备份。

为了减小设备故障对业务的影响，提高网络的可靠性，网络设备需要能够尽快检测到与相邻设备间的通信故障，以便及时采取措施，保证业务继续进行。在现有网络中，有些链路通常通过硬件检测信号，如SDH告警，检测链路故障，但并不是所有的介质都能够提供硬件检测。此时，应用就要依靠上层协议自身的Hello报文机制来进行故障检测。上层协议的检测时间都在1秒以上，这样的故障检测时间对某些应用来说是不能容忍的。在三层网络中，Hello报文检测机制无法针对所有路由来检测故障，如：静态路由。这对系统间互联互通定位故障造成困难。

FW作为大型企业园区办公区域的接入网关，对区域内网络提供安全防护。区域内存在多个业务部门，管理员为不同的部门分配不同的虚拟系统，以实现对不同部门网络的区分管理。

如所示，企业的两台FW的业务接口都工作在三层，上下行分别连接路由器。FW与上下行路由器之间运行OSPF协议。上行接口连接同一个ISP。现在希望两台FW以负载分担方式工作。正常情况下，部门A的用户发出的流量通过FW_A转发，部门B的用户发出的流量通过FW_B转发。当其中一台FW出现故障时，流量全部通过另一台FW转发，保证业务不中断。本例以上下行均连接路由器的负载分担组网为例，实际上下行设备和接口根据实际场景判断是否需要配置OSPF，源NAT配置没有差异。本例不适用上行接口连接两个不同的ISP的场景。

介绍公网用户通过双向NAT访问内部服务器。

配置智能无损网络综合示例适用产品和版本安装了P系列单板的CE16800、CE6866、CE6866K、CE8851-32CQ8DQ-P、CE8851K系列交换机V300R020C00或更高版本。安装了SAN系列单板的CE16800、CE6860-SAN、CE8850-SAN系列交换机V300R020C10或更高版本。CE6860-HAM、CE8850-HAM系列交换机V300R022C00或更高版本。

所示，Host1、Host2通过Client1、Client2接入网络，为了能更好的管理接入的主机，现在Reflector1、Reflector2、Client1和Client2上面配置iNOF功能，并指定Reflector1和Reflector2为iNOF反射器，Client1和Client2为iNOF客户端。本例中interface1、interface2和interface3代表100GE1/0/1、100GE1/0/2和100GE1/0/3。配置带反射器的iNOF功能示例。

组网图形配置AP静态上线业务示例组网图。

组网图形通过Ethernet over GRE实现AC与无线网关之间的二层互通的组网图。

配置基于URL分类的URL过滤功能，可以实现对用户访问的某一类网站的控制。既可以是FW自带的预定义分类，也可以是管理员配置的自定义分类。

所示，企业有三台Web服务器Server1、Server2和Server3，且这三台服务器的硬件性能顺次降低，Server1性能是Server2的两倍、Server2性能是Server3的两倍。通过配置负载均衡，让这三台服务器联合对外提供HTTP服务，且三台服务器承载业务的多少与服务器硬件性能的高低匹配。通过配置健康检测实时监控这三台服务器是否可达。本举例介绍了如何配置HTTP服务器的负载均衡。配置HTTP服务器的负载均衡组网图。

组网图形配置人员和资产管理示例组网图。

华为配置mDNS网关示例（AP与AC间二层转发）组网图形配置mDNS网关组网图。

举例说明当FW作为旁路检测设备时，如何通过配置发送干扰报文（Reset报文），对流量进行干扰。

当FW工作在双机热备场景下，需要在Agile Controller服务器上进行两次“上网行为管理设备配置”，此处的“IP地址”需要分别配置为与Agile Controller服务器连接的主备设备接口的实IP地址。企业的网络管理员希望利用FW提供的用户管理与认证机制，将内部网络中的IP地址识别为不同接入方式和不同终端设备类型的用户，并通过配置安全策略，实现基于用户接入方式和终端设备类型的访问控制。选择“系统 > 服务器配置 > 上网行为管理设备配置”，单击“增加”，按如下参数配置。完成后单击“确定”。

QinQ（802.1Q-in-802.1Q）技术是一项扩展VLAN空间的技术，通过在802.1Q标签报文的基础上再增加一层802.1Q的Tag来达到扩展VLAN空间的功能，可以使私网VLAN透传公网网络。基本QinQ又称为QinQ二层隧道，是基于接口方式实现的。开启接口的基本QinQ功能后，当该接口接收到报文，设备会为该报文打上本接口缺省VLAN的VLAN Tag。如果接收到的是已经带有VLAN Tag的报文，该报文就成为双Tag的报文；

组网图形配置敏捷分布式SFN漫游示例组网图。

配置射频调优示例组网图形图1配置AP射频调优组网图射频调优简介 配置注意事项 组网需求 数据规划 配置思路 操作步骤 配置文件射频调优简介射频调优的主要功能就是动态调整AP的信道和功率，可以使同一AC管理的各AP的信道和功率保持相对平衡，保证AP工作在最佳状态。WLAN网络中，AP的工作状态会受到周围环境的影响。例如，一个AC管理下的多个AP，如果相邻AP的工作信道存在重叠频段，或者某个AP的功率过大会对相邻AP造成信号干扰，此时就

WLAN漫游是指STA在同属于一个ESS内的AP之间移动且保持用户业务不中断。同一业务VLAN的AP间漫游是指STA漫游前后的AP对应同一业务VLAN。根据用户是否支持快速漫游，可以将同一业务VLAN的AP间漫游分为快速漫游和非快速漫游两种方式。当用户使用的安全策略不是WPA2-802.1X、WPA3-802.1X时，用户的漫游都属于非快速漫游。

企业内部进行子网划分时，可能会出现两个子网网络属于同一网段，但是却不属于同一物理网络的情况，两个子网网络间被交换机分隔。这时可以通过修改网络内主机的路由信息，使发往其它子网的数据先发送到连接不同子网的网关设备上，再由网关设备转发此数据报文。但是这种解决方案需要配置子网中所有主机的路由，并不便于管理和维护。在网关上部署路由式Proxy ARP功能，可以有效解决子网划分带来的管理和维护方面的问题。

静态ARP表项是指网络管理员手工建立IP地址和MAC地址之间固定的映射关系。正常情况下网络中设备可以通过ARP协议进行ARP表项的动态学习，生成的动态ARP表项可以被老化，可以被更新。但是当网络中存在ARP攻击时，设备中动态ARP表项可能会被更新成错误的ARP表项，或者被老化，造成合法用户通信异常。静态ARP表项不会被老化，也不会被动态ARP表项覆盖，可以保证网络通信的安全性。

配置MQC实现流量统计后，设备将对符合流分类规则的报文进行报文数和字节数的统计，可以帮助用户了解应用流策略后流量通过和被丢弃的情况，由此分析和判断流策略的应用是否合理，也有助于进行相关的故障诊断与排查。入方向与出方向的统计属于并列关系，用户可以根据需要同时配置，也可以单独配置，流量分开统计，互不影响。

报文进入设备之后，设备会根据相应的规则分配或修改报文各种优先级的值，并根据重新分配或修改的优先级为队列调度提供服务。优先级重标记功能将进入设备的报文优先级重新进行设置，通过手工设置或修改报文的优先级，可以有效控制报文调度能力，全面提升报文的转发能力。

在AC上离线导入AP，并将AP加入AP组“ap-group1”中。V200R021C00版本开始，配置CAPWAP源接口或源地址时，会检查和安全相关的配置是否已存在，包括DTLS加密的PSK、AC间DTLS加密的PSK、登录AP的用户名和密码、全局离线管理VAP的登录密码，均已存在才能成功配置，否则会提示用户先完成相关的配置。开启该功能，添加AP时AP会上线失败，此时需要先开启CAPWAP DTLS不认证方式让AP上线，以便AP获取安全凭证，AP上线后应及时关闭该功能，避免未授权AP上线。

在AC上离线导入AP，并将AP加入AP组“ap-group1”中。V200R021C00版本开始，配置CAPWAP源接口或源地址时，会检查和安全相关的配置是否已存在，包括DTLS加密的PSK、AC间DTLS加密的PSK、登录AP的用户名和密码、全局离线管理VAP的登录密码，均已存在才能成功配置，否则会提示用户先完成相关的配置。开启该功能，添加AP时AP会上线失败，此时需要先开启CAPWAP DTLS不认证方式让AP上线，以便AP获取安全凭证，AP上线后应及时关闭该功能，避免未授权AP上线。

介绍了集群设备，上下行连接路由器的配置举例。

介绍了设备上行连接路由器，下行连接交换机的集群配置举例。

ARP（Address Resolution Protocol）安全是针对ARP攻击的一种安全特性，它通过一系列对ARP表项学习和ARP报文处理的限制、检查等措施来保证网络设备的安全性。ARP安全特性不仅能够防范针对ARP协议的攻击，还可以防范网段扫描攻击等基于ARP协议的攻击。网络中针对ARP的攻击层出不穷，中间人攻击是常见的一种ARP欺骗攻击方式。通过中间人攻击窃取合法用户的数据。为了防御中间人攻击，可以在设备上部署动态ARP检测DAI（Dynamic ARP Inspection）功能。

ARP（Address Resolution Protocol）安全是针对ARP攻击的一种安全特性，它通过一系列对ARP表项学习和ARP报文处理的限制、检查等措施来保证网络设备的安全性。ARP安全特性不仅能够防范针对ARP协议的攻击，还可以防范网段扫描攻击等基于ARP协议的攻击。常见的ARP攻击如下：用户主机直接接入网关，攻击者将伪造网关的ARP报文发送给用户主机，使用户主机误以为攻击者即为网关。