jiecy-CSDN博客

原创 MPLS LDP浅析及应用场景举例

1、在egress的路由器上，发现新的路由（32位主机路由），为始发的FEC分配3的标签，并给上游发Label Mapping消息，包含FEC和自己分发的标签。3、Ingress，收到Label Mapping消息，检查是否是下一跳，是则存储、分配标签、发送给上游，上游检查，发现路由不可达，自由保留并在前边打星号。华为ldp是mpls动态的标签分发、存储、控制协议，工作时在2.5层;1、R3也起IBGP，全域IBGP互联，同样能获取到R5的路由，用路由传递（或者R3起路由反射器，也能获取到R5的路由）;

2024-04-24 10:49:29 464

原创 win10系统自带的md5文件校验用法

开始--运行，回车。

2024-04-16 17:24:56 174

原创 H3C交换机查看全部端口的速率|总流量

2024-04-12 17:05:27 400

原创静态MPLS配置命令

static-lsp ingress 2-4 destination 10.1.4.4 32 nexthop 10.1.23.3 out-label 100 #搭建lsp入标签通道。static-lsp egress 2-4 incoming-interface Serial4/0/0 in-label 200 ##搭建lsp出标签通道。dis mpls lsp [in-label | out-label ] [verbose] #查看lsp表单。

2024-04-03 15:07:53 363

原创双出口nat配置示例

局域网内两个网段，vlan10 和 vlan 20，分别实现 vlan10 可访问专网，vlan20 可访问互联网，且两个网段彼此不互通。1、S1起 vlan10、20，做 acl 配置网段禁止互访策略，上联口做 trunk口。2、网关起在 R1 上，R1 下联口做单臂路由。3、R1 两个出口分别做源 nat。

2024-03-30 10:04:06 207

原创用二层口实现三层口 IP 通信的一个实现方法

起一个 vlan x，配置 vlanif地址，然后二层口划分到 vlan x 下，对端做同样的配置。

2024-03-18 11:07:30 570

原创防火墙开局配置和技巧

网络中的流量错综复杂，安全策略的部署不可能一蹴而就，而任何错误的操作都可能影响组织的正常工作，所有的安全人员都对此提心吊胆。在把防火墙接入网络之前，防火墙管理员最大的困惑是，如何开始配置防火墙安全策略，才能不影响业务运行？这个部署方法既适用于防火墙首次接入网络时初始部署安全策略，也适用于安全策略的优化。如果当前部署的某个安全策略不够精确（如指定了Any作为匹配条件），你可以参照这个方法来确定更具体的匹配条件。通常情况下，安全策略中不指定用户、应用、URL分类、时间段是可以接受的。

2024-03-11 09:28:18 447 1

原创 arp 代理配置示例

当 R1 和 R3 配置静态路由下一跳为接口的时候，让 R2 充当 arp 代理，允许 R1、R3 互访。抓包验证是通的，更好的配置方式是将静态路由的下一跳改为 IP 地址。

2024-03-10 20:20:43 389

原创 IPV6 地址常用配置和 DHCPV6 配置

【代码】IPV6 地址常用配置和 DHCPV6 配置。

2024-03-01 23:40:36 455

原创锐捷交换机配置 vlan 隔离

【代码】锐捷交换机配置 vlan 隔离。

2024-02-26 11:05:32 353

原创一起不能上某几个网站的事件处理

一下子醒悟过来：上次把路由从核心移到 CE 路由器上了，在核心上路由就被转走了，于是在核心上重新加了条 32 位的长路由，把两个站加进去，专网应该没有这个地址，否则就只能不上这两个网站了。跟踪了一下 IP，发现路由走到专网防火墙去了 -- 走岔了，查了下 CE 路由器，发现这个大段的静态路由 42.0.0.0/8 指向专网防火墙，于是写了个长路由指向外网防火墙，奇怪的事情发生了，再次跟踪还是走专网防火墙去了！那安居客，也打不开？想到可能是缓存，于是启禁了一下网卡，故障依旧，换了台电脑，还是一样！

2024-02-21 11:36:59 393

原创 H3C 交换机固件用 ftp 方式升级

因为交换机太老了，有的命令不支持，有时会莫名其妙地断网，经查要么是mac飘移，要么是接收到的 BPDU 包格式不支持，所以不得不决定升级固件。

2024-02-19 17:32:40 485

原创 BGP 双归不同运营商并且客户之间互为主备的部署实验

5、对于要求3（优选入方向线路）：在客户 AS 上，如 R1，抓取结尾为 AS200 的路由，并赋予团体属性 200：200，并引用到与 ISP 的出方向路由策略中；4、对于要求2（优选出方向线路）：在客户端如 R1 的连线上，抓取对角端 AS400 结尾的路由，赋予更大的 preference-value（默认100），并引用到对 ISP AS300 的入方向路由策略中，这样流量出去时，优先走 AS300，而不走同为客户的 AS200，实现出方向优选路由，然后 R2 同样做镜像配置。

2024-02-08 20:11:10 426

原创双归同一运营商的 BGP 部署实验

5、对于要求2，流量出方向，对引入的路由，用正则匹配到 AS200、300 ，并赋予不同的 Local-preference，越大越优，应用到路由策略入方向，满足出方向选路。3、对于 AS100 的业务流量入方向，遵循最优原则，来自 AS200 和 300 的流量，优先选择 Line-1，而来自 AS400 的流量，优先走 Line-2；2、对于 AS100 的业务流量出方向，所有到 AS200 和 300 的流量，优先选择 Line-1，而到 AS400 的流量，优先走 Line-2;

2024-02-07 18:13:13 408

原创路由反射器 RR 配置实验

Cluster：集群，RR 及其客户机的集合，Cluster_List 用来集群间防环（RR 和它的客户机组成一个集群 Cluster，使用AS内唯一的Cluster ID 做为标识，当RR收到一条更新路由时，会检查Cluster List，如果列表中已经有本地的 Cluster ID ，则丢弃该路由，如果没有，则将其加入 Cluster List，然后反射该路由）；在 R4 上配置路由反射，R3 为反射客户端，在 R3 上查看 BGP 路由表，发现有 R6 的路由了，测试可 Ping 通；

2024-01-30 15:46:40 499

原创 Win10 双网卡实现同时上内外网

打开 Windows PowerShell，输入：route print -4，发现有两个 0.0.0.0 的默认网关，一个指向内网网关，一个指向外网网关，但电脑同时只会走一个网关，所以你就不知道电脑会选择哪个网关了。因为内网的网关地址是：172.1.1.1，需要上的内网地址是 10.0.0.0/8，人工做了汇聚呵呵，我们现在就删除那个 172.1.1.1 的内网默认网关。因为需要同时上内网和外网，但公司做了网络隔离，不能同时上内网和外网，所以多加了个无线网卡，配置双网关实现同时上内外网，互不影响。

2024-01-29 10:46:02 903

原创 BGP MED 属性选路配置实验

6、在 R1、R3 上分别配置路由策略，将要通过对方的 ip-prefix 路由抓取后，将 MED 值赋予 100，这样本端要通过的 IP-Prefix MED 就还是默认为 0，优先让符合条件的地址走本端出去。* 默认情况下，路由器只会比较同一个 AS 来的路由的 MED 属性，不会比较来自不同 AS 的路由 MED，这里需要用 compare-different-as-med 来让它们做比较。4、查看 R4 的 BGP 路由表，发现通往 R2 的地址都走了 R1 ，原因是 R1 的路由 ID 更小。

2024-01-28 14:32:33 433

原创 QinQ 配置试验

QinQ（802.1Q in 802.1Q），也叫 VLAN VPN，用于扩展VLAN的资源，并加强网络的安全性。由于 IEEE802.1Q 中定义的VLAN Tag域只有12个比特，所以交换机最多可以支持 4k 个 VLAN。在实际应用中，尤其是在城域网中，需要大量的VLAN来隔离用户，4k个 VLAN 远远不能满足需求。

2024-01-25 10:18:33 1096

原创 BGP Local-preference 、AS-Path、 Origin 综合选路实验

Local-preference：本地优先级，公认任意，，默认值 100，越大越优。用于离开本 AS ，在 IBGP 的入、出方向都可使用，和作用在 EBGP 的入方向；想要精细控制，可以对某个路由配置local-preference；出方向有定时器30s，入方向立刻生效。

2024-01-22 18:57:00 525

原创 BGP AS-Path 选路试验

3、R1、R2、R3 配置 BGP，将 R1 创建的 Loop 100.1.1.1 的环回口在 IBGP 内声明（这里注意边界的 IBGP 路由器向边界内要声明 next-hop-local）7、再次查看 R5 的 BGP 路由表，发现从R4过来的 100.1.1.1 已经变为最佳，原因是 AS-Path。5、查看 R5 的 BGP 路由表，发现正常情况下：100.1.1.1 的路由从 R3 过来的为最优。4、配置 EBGP：R2 和 R4、R4 和 R5、R3 和 R5。

2024-01-22 11:26:50 421

原创 BGP Origin 属性控制选路试验

2、配置 IGP，我们这里用了静态，互相宣告了对端接口和 Loopback 0。详细看下为什么 12.1.1.1 没有被优选，因为来源属性为 incomplete。

2024-01-20 20:18:14 367

原创 BGP 联盟和团体属性配置实验

在联盟中， AS_Path 增加了两个类型：AS-Confed-Sequence、As-Confed-set，默认联盟将成员的 AS 号以 AS-confed-Sequence 的形式在AS_Path 中列出；在一个 AS 中，如果 IBGP 会话数量较多，管理起来会困难，尤其是受到水平分割的影响（ BGP 路由器从 IBGP 收到的路由，不会传递给其他 IBGP 邻居），为了解决该问题，除了使用路由反射器之外，还可以使用联盟 Confederation。2、R2、R3、R4 配置 IGP。

2024-01-18 16:04:18 443

原创 BGP 路由汇总试验

5、R1 上的环回口配置 4 个 IP 地址：10.1.0.1、10.1.1.1 sub、10.1.2.1 sub、10.1.2.1 sub，并用network 宣告到 BGP 内；10、为了防环，路由汇总时加上 as-set 参数，只要发现 as-path 里有自己的 AS 号，就丢弃该聚合路由：aggregate 10.1.0.0 22。观察到 R3 上除了明细路由，还多了一条汇总路由。8、用路由前缀表来匹配可以进入汇总范围的路由，再加入路由策略汇聚： aggregate 10.1.0.0 22。

2024-01-17 15:27:09 328

原创基本BGP配置试验：配置 IBGP 和 EBGP

6、在 R1 上，将 OSPF 引入到 BGP 100，实际是将 IGP 路由引入到 IBGP ，由于默认是 internet 属性，所以R2 传递给 EBGP 的 R3，这时，在 R3 上看 BGP 路由表，就发现多了 12.1.1.0 的路由，下一跳为 R2，说明了。现在 ping 3.3.3.3 无法 ping 通，原因是 R2 转发了 icmp 包，但 R3 上没有 R1的路由，无法回包。没有精妙的算法，但能承载大量的路由，它不生产路由，它是路由的搬运工。

2024-01-15 21:26:19 634

原创 GRE隧道（初级VPN）配置步骤

5、这时观察隧道，发现接口起来，但协议未起来，原因是未指定隧道地址的路由，通过默认路由出去了，但公网上没有隧道地址。3、R1、R2 配置默认出口路由G0/0/0，这一步做完，PC1和PC2就可以通过代理上网了，测试一下。4、R1、R2 配置GRE隧道，配置 IP 地址，指定隧道协议，指定源目地址。2、R1、R2 配置nat，代理内网地址通过G0/0/0口上外网。在两端的 PC 上 ping 对方的 IP，发现通的。

2024-01-14 13:03:12 808

原创 H3C在交换机上查找一个IP + 限速

发现有4个接口，记住这几个接口，让终端拨了网线，发现一个接口灯灭了，于是配置这个接口为vlan 70（wifi专用隔离网段）如果未带测线仪，那么拨网线观察接口指示灯状态比较快哟！如果有人配合的话，Good Luck 朋友们！一台wifi，在防火墙上有此IP的安全告警，需要查找到这个端口，并改到其他的隔离网段上网。然后到到终端重新给wan口配置了地址，可以上了。

2024-01-13 18:13:35 910

原创多区域isis配置实验

IS-IS区域内采用骨干与非骨干区域两级的分层结构，Level-1在非骨干区，Level-2和Level-1-2部署在骨干区域，每一个非骨干区域都通过Level-1-2路由器与骨干区域相连，默认为 Level-1-2。3、查看各路由表的状态、路由，发现R1上，没有R4和R5的路由，但有一条来自R3的默认路由，为 IS-IS Level-1-2自动下发给 Level-1 的默认路由。默认情况下，Level-1的路由会传给Level-2区域，但Level-2区域内的路由不会传给Level-1。

2024-01-13 16:08:13 856

原创路由黑洞和黑洞路由的区别

比如说默认路由出口汇总了 10.1.0.0/23，计算起来是包括了10.1.0.0、1.0、2.0、3.0 共四个网段的，但实际上内网只有10.1.0.0和 1.0网段这两段，那么这时如果有数据包发向 2.0 和3.0 网段，则会产生路由黑洞，根据最长匹配原则，找不到对应的路由，只能根据默认路由又回到原来的路由器，这就形成了环路，造成网络堵塞，带宽占用，直到TTL值超时才被丢弃。我们可以用它做为防御ddos攻击的手段，也可以用它来配置到一些不希望被访问的目的地址上，类似ACL的deny的作用。

2024-01-10 17:28:26 939

原创 SSH端口转发

SSH：Secure Shell，是一种在不安全网络中提供安全连接的协议，通过加密隧道，提供了对远程计算机的访问。可不仅是一个远程工具，还有多种功能，比如说端口转发，主要分为以下三种类型：本地端口转发远程端口转发动态端口转发。

2024-01-07 14:44:42 421

原创 mpls vpn配置步骤

BGP/MPLS IP VPN网络一般由运营商搭建，VPN用户购买VPN服务来实现用户网络之间的路由传递、数据互通等。MPLS VPN使用BGP在运营商骨干网上发布VPN路由，使用MPLS在运营商骨干网上转发VPN报文。BGP/MPLS IP VPN又被简称为MPLS VPN，是一种常见的Layer 3 VPN技术MPLS vpn应用场景：LDP广泛应用在VPN服务器上，具有组网简单、配置简单、支持基于路由动态建立 LSP、支持大容量LSP等优点。

2024-01-06 21:23:44 639

原创一个H3C交换机周期性断网并自动恢复的排查案例

就是上游锐捷交换机一开启stp，一台下游的老的H3C（V5版本）的trunk口就down掉了，因为日志里有这样一条：bpdu格式错误，后来在H3C的trunk口设置了stp compliance dot1s //表示端口只发送标准格式（符合802.1s协议）的MSTP报文，网络就正常了。，因为公司内网有思科，华为，H3C，迈普等等交换机，因此stp用的是PVST，而H3C默认的是MSTP，导致以上配置配完还是有大量TC。，于是到下联的trunk端口开了环路检测，结果没有查到环路。

2024-01-06 20:06:12 1686

原创 mpls测试抓包，为什么来回走得路径不一致？去包走mpls，回包走路由？

没错，次末跳弹出的问题，从右向左ping，到R2就把标签弹出了，所以到R1走路由了；从左向右ping，先压标签，去包就是mpls，回包时照样被R2次末跳弹出标签，就走路由啦！我们看抓的包，来一个包走路由，回一个包走mpls，不代表整个路径都是这样，这只是一个 “点” 而已！如果我们从R4 ping R1，在第一个圈圈处抓包，那么显示去包就是路由，回包就是mpls，同理，我们在R2后边的圈圈处抓包，就觉得来回就都是走mpls啦！如果从R1 ping R4，那么去包就是mpls，回包就走路由。

2024-01-06 13:09:25 395

原创 MPLS动态协议LDP配置示例

值为3：隐式空标签，LER不需要看的空标签，次末跳，倒数第二跳，PHP（pemultimate hop popping）次末跳弹出，置换给它一个3标签，让出站的LER直接剥离MPLS头部，即不再查LFIB（Label Forwarding Imformation Base）表，直接剥离LSP，直接进入IP转发或者下一层标签转发（减少最后一跳的负担，减少查表次数）MPLS是一种根据报文中携带的标签来转发数据的技术，两台LSR必须在它们之间转的数据的标签使用上“达成共识”。

2023-12-29 20:05:04 1141

原创 ensp中的云无法与公网通信的一例解决方法

想到进入ensp时，有个提示：要放开防火墙，于是检查了下防火墙，看到应用程序里有几条ensp允许的配置，突然想到，原来C盘空间不足，我重装到D盘了，会不会是ensp在安装时，检测到防火墙里有自己的选项，就不再通知系统放行了呢？问了东天大佬，说防火墙没放icmp，看了防火墙，果然是我太小心了，ping都不给别人ping的，因为都是本机，所以才忽略了只要过网卡，就要过墙。，配个地址当网关，在云里用udp和这个环回卡建立连接，也可以的，这样virtualbox不行了，也可以了。

2023-12-27 16:26:58 766