m0_60797416的博客

1、HTTPHTTP 是一种用于获取 HTML 文档等资源的协议。它是网络数据交换的基础，也是一种客户端-服务器协议。2、HTTP/3HTTP/3 是 HTTP 的下一个重要修订版本。它在 QUIC 上运行。QUIC 是一种新的传输协议，专为移动互联网而设计。它依赖于 UDP 而不是 TCP，这使得网页响应速度更快。VR 应用程序需要更多带宽来迅速呈现虚拟场景的复杂细节，因此迁移到由 QUIC 支持的 HTTP/3 会从中受益。3、HTTPS。

华三的NQA可以拆分为三个部分来理解：NQA测试组、NQA服务器与客户端、NQA模板；这三者的最终目的都是用于探测某个协议是否可达，但使用场景不同，具体如下：NQA测试组：在NQA测试设备上做的单向NQA配置，称为NQA测试组。只需要单向配置，对端只负责回包，不需要配置NQA动作（这也意味着无法探测具备会话的连接，如TCP）；探测需要手动开启，要和其他模块联动需要使用Track模块；

在数据中心和企业核心网络中，和是刚需。传统的单机链路聚合（如LACP）只能防止单板或端口故障，而则能实现跨设备的链路聚合，将可靠性提升至设备级。华为的M-LAG方案在数据中心网络广泛应用，如，可提供等关键能力。本文将深入解析。M-LAG是一种，允许（如华为CE6850/CE6880）在逻辑上虚拟成一台设备，并与下游设备（服务器、交换机等）建立聚合链路（如LACP）。：下游设备只能感知到一个逻辑聚合组，无法识别M-LAG双活架构。：两台M-LAG设备同时转发流量，提升带宽利用率。

用户去了哪里？(URL/网站/IP/端口)用户用了什么？(应用/协议/文件类型)用户做了什么？(搜索内容、发布内容、聊天内容 - 需谨慎审计)用户何时做的？(时间策略)用户用了多少资源？(带宽/流量/会话数)用户是谁？(身份认证与基于身份的策略)这些行为是否安全合规？(恶意网站防护、数据防泄露、合规审计)实施上网行为管理的关键在于：安全、效率、合规、资源优化？侧重点不同策略也不同。明确告知员工哪些行为被监控、被限制、被记录，以及为什么（通常在员工手册或网络使用协议中规定）。

VXLAN（Virtual Extensible LAN）是一种网络虚拟化技术，用于扩展传统VLAN的规模限制。它通过将二层以太网帧封装在UDP报文中（三层IP网络传输），实现跨物理网络的逻辑大二层组网。核心有24位VXLAN ID，支持1600万虚拟网络，远超VLAN的4094个限制；基于UDP封装，默认使用4789端口，可穿越三层网络；使用VTEP设备用来负责封装/解封装报文，实现虚拟网络与物理网络的桥接。应用场景是在云计算、数据中心overlay网络，解决多租户隔离和虚拟机迁移问题。

‌ 时刻监控，发现小偷（攻击者）就拉响警报（告警），提醒保安（管理员）来处理，但它自己不会抓小偷。‌‌ 不仅识别出小偷（攻击者），还会自动触发门禁将其阻挡在外（阻断攻击），同时也会通知保安（告警）。‌在实际部署中，IPS 和 IDS 往往协同工作，IPS 负责第一道实时拦截，IDS 则在更深层提供监控和检测，共同构建动态防御体系。

组网说明：本案例采用ENSP模拟器来部署VRRP+MSTP，实现主备和网关冗余，其中LSW1作为MSTP的根桥和VRRP的主设备，LSW2作为MSTP的备用根桥和VRRP的备用设备。

当交换机读取到目的MAC是ARP的请求（全F），之前我们说的原理是从除了原接口以外的所有接口进行广播，这里呢多了一个参数，从除了原接口以外的所有属于VLAN 10的接口进行发送，这里就E0/0/3（PC1）所在的接口属于VLAN10，所以交换机只会发给E0/0/3，而E0/0/1没有任何配置，默认属于VLAN1，所以呢，不会进行发送。建议在测试之前，把设备的名字改了，比如办公区一的，改成bg1，办公区二的改成bg2，办公区三的改成bg3，核心交换机改成Core，该名字的命令是sysname。

MAC地址（Media Access Control Address）是网卡的唯一物理标识，类似于人的身份证号。：即默认网关（Default Gateway），是设备访问外网的出口IP（通常是路由器的内网IP，如。：通过VLAN（虚拟局域网），将同一交换机的端口划分到不同逻辑网络，广播仅在VLAN内传播。请告诉我你的MAC地址！：虽然可通过软件临时伪装（MAC克隆），但硬件层面的MAC地址固化在网卡中。：若目标MAC地址不在表中，向所有端口广播（除来源端口），直到目标设备回应。

FTP，也就是 File Transfer Protocol，是最早的网络文件传输协议之一，诞生于 20 世纪 70 年代。- 兼容性好：在 Windows 系统中是默认文件共享协议，也有很多第三方软件支持，可在不同系统间实现文件共享。SMB，即 Server Message Block，主要用于在计算机之间共享文件、打印机和其他资源。- 跨平台性有局限：虽然也有版本可在其他系统运行，但在 Windows 上的支持相对较弱。- 高效传输：对于大型文件的传输效率极高，采用缓存机制，减少网络传输次数。

SW 1 的 E0/0/2 接口，只允许通过 VLAN 2 ， PC 1 又需要访问 VLAN 10 ，但是无法识别 VLAN 标签信息，因此配置 Hybrid 的 PVID 为 VLAN 2 ，同时放通 VLAN 2 和 VLAN 10。SW 2 的 E0/0/10 接口，只允许通过 VLAN 10 ， Server 1 又需要放通 VLAN 2 和 VLAN 3 的流量，因此配置 Hybrid 的 PVID 为 VLAN 10 ，同时放通 VLAN 2 、 VLAN 3 和 VLAN 10。

（Tim Paterson）的24岁程序员，花了四个月的时间，写了一个QDOS系统（Quick and Dirty Operating System，快速和肮脏的操作系统，后来觉得名字不太好听，改成86-DOS）。为了应对这一趋势，1993年11月，微软正式发布了Windows for Workgroups 3.11，重点加强了对网络的支持——包括支持以太网和热门的Novell netware，并利用对等网络的概念构建 Windows工作组网络。Windows 95的成功，是显而易见的。

说明：有3个VLAN，VLAN2与VLAN3是用户VLAN，而VLAN 88则是DHCP服务器的VLAN，在实验演示一中，DHCP服务器不会使用，因为实验一是演示的，部署在交换机上面，DHCP服务器则在后续中继的过程中使用到。VLAN 2：20.1.1.0/24，网关20.1.1.254，DNS 88.1.1.253VLAN 3：30.1.1.0/24，网关30.1.1.254，DNS 88.1.1.253。

1、OSPF协议概述1)为什么需要动态路由协议？静态路由是由工程师手动配置和维护的路由条目，命令行简单明确，适用于小型或稳定的网络。静态路由有以下问题：a)无法适应规模较大的网络：随着设备数量增加，配置量急剧增加。b)无法动态响应网络变化：网络发生变化，无法自动收敛网络，需要工程师手动修改。2)动态路由协议的分类3)距离矢量路由协议运行距离矢量路由协议的路由器周期性的泛洪自己的路由表。通过路由的交互，每台路由器都从相邻的路由器学习到路由，并且加载进自己的路由表中。

LACP模式支持配置最大活动接口数目，当成员接口数目超过最大活动接口数目时会通过比较接口优先级、接口号选举出较优的接口成为活动接口，其余的则成为备份端口（非活动接口），同时对应的链路分别成为活动链路、非活动链路。正常情况下所有链路都是活动链路，该模式下所有活动链路都参与数据的转发，平均分担流量，如果某条活动链路故障，链路聚合组自动在剩余的活动链路中平均分担流量。SW1在本端通过比较接口优先级、接口编号选举出活动接口，其中1、2号接口在相同的接口优先级下拥有更小的接口编号，成为活动接口。

R2作为DHCPv6服务器给R3的GE0/0/0分配全球单播地址。R2作为DHCPv6服务器给R3的GE0/0/0分配全球单播地址。R2作为DHCPv6服务器给R3的GE0/0/0分配全球单播地址。R4的GE0/0/0接口通过R2的RA进行无状态地址自动配置。R4的GE0/0/0接口通过R2的RA进行无状态地址自动配置。R4的GE0/0/0接口通过R2的RA进行无状态地址自动配置。R4的GE0/0/0接口通过R2的RA进行无状态地址自动配置。2.在R1、R2相应接口配置静态IPv6全球单播地址。

很多书籍或者视频里面会把互联网用很多设备来进行模拟，但是实际中，我们通常作为企业网的部署与搭建，从运营商那边购买了宽带线路，不管是用PPPOE、DHCP、专线哪种对接方式，运营商都会把数据打通，至于他们是如何打通以及内网怎么运作的，作为我们来说是不需要去关心的，同样的，运营商那边把宽带拉到对应点位后，测试没问题，他们安排的师傅就会跟企业的IT负责人验收好，然后就走人了，他们也不会去关心你企业网内部是如何运作的，这个就是现实中的情况。（实际中我们打开网页就是需要DNS，这里模拟的更加真实）

只拿了个10开头的网络号出来当内网IP就能表示1600w+个主机号，其余的100+个A类网络号都拿来当公网地址。按上面提到算法去进行个相乘，就类似于快递上填的收件地址和发件地址一样，有了它，路由器就可以开始充当快递员的角色，在这个纷繁复杂的网络世界里找到该由谁来接收这个数据包。这是因为在公司内网里，需要的IP数量会更大，172和10开头的IP能表示的主机更多，比如10开头的能表示1600w+个。，一个局域网里的N多台机器都可以共用一个广域网IP，从而达到了"做乘法"的效果，大大增加了"可用IP数量"，

大型园区网络可能是覆盖多幢建筑的网络，也可能是通过WAN连接一个城市内的多个园区的网络。中型网络引入了按功能进行分区的理念，也就是模块化的设计思路，但功能模块相对较少。根据人员结构划分，分为访客VLAN，研发部VLAN，市场部VLAN，行政部VLAN。通过网络优化，能够整体提升网络的可靠性、健壮性，更好的支撑企业业务的发展。当网络达到一定规模，可以采用网络管理软件进行管理和运维，提升效率。覆盖范围广，用户数量多，网络需求复杂，功能模块全，网络层次丰富。用户数量较少，仅单个地点，网络无层次性，网络需求简单。

现场客户使用MSR5660设备替换客户处原有华为的设备，之前华为的设备做了GTS流量整形和WFQ的带宽保证，需求见下面图片描述。（3）配置QOS策略，将类和行为关联，将相应的802.1P优先级标记为本地优先级值。

公司具有202.38.160.100/24至202.38.160.105/24六个合法的IP地址。选用202.38.160.100作为公司对外的IP地址，WWW服务器2对外采用8080端口。内部网络中IP地址为10.110.10.0/24的用户可以访问Internet，其它网段的用户则不能访问Internet。外部的PC可以访问内部的服务器。NAT典型配置组网图。

对于三层核心交换机而言，若欲实现网络的无阻塞传输，这个速率能≤标称二层包转发速率和速率能≤标称三层包转发速率，那么交换机在做第二层和第三层交换的时候可以做到线速。对于千兆以太网来说，计算方法如下：1，000，000，000bps/8bit/(64+8+12)byte=1,488,095pps 说明：当以太网帧为64byte时，需考虑 8byte的帧头和12byte的帧间隙的固定开销。不过背板带宽是可以相信厂家的宣传的，可吞吐量是无法相信厂家的宣传的，因为后者是个设计值，测试很困难的并且意义不是很大。

最后经由R2进行ISIS扩散，将路由进行扩散更新到了R1的路由表中，由于ISIS的默认优先级为15，高于静态路由，所以在R1上查看路由表时，会发现下一跳会变成错误的连接isis区域的接口设备。组网中需要在R1和R3上，分别将各自的isis路由引入到ospf进程中，同时将ospf路由引入到isis进程中。则需要将静态路由引入到isis进程中去即可，不需要再配置路由策略过滤（由于路由协议水平分割，R1引入isis的路由条目不会由R2发布回来）。//R1上对引入ISIS的静态路由条目，匹配前缀，打tag200。

拓扑配置步骤第一步：配置。

刚工作那会，有一次，上游调用我服务的老哥说，你的服务报"502错误了，快去看看是为什么吧"。当时那个服务里正好有个调用日志，平时会记录各种200,4xx状态码的信息。于是我跑到服务日志里去搜索了一下502这个数字，毫无发现。于是跟老哥说，"服务日志里并没有502的记录，你是不是搞错啦？"现在想来，多少有些不好意思。转存失败重新上传取消不知道有多少老哥是跟当时的我是一样的，这篇文章，就来聊聊错误是什么？我们从状态码是什么开始聊起。我们平时在浏览器里逛的某宝和某度，其实都是一个个前端网页。一般来说，前端并不存储

如果我们想要访问某度，你可以在浏览器上的搜索栏里输入这个IP地址，直达页面。通过IP访问网页这样的行为，合法，但有病。大部分人，连自己对象的电话号码都记不住，又怎么可能记得住这么一串IP地址呢。哦，不好意思，伤害到兄弟们了，你们没对象。但我假设你们有。回想一下，虽然你记不住对象的电话号码，但却不影响你给她打电话。你的操作过程是不是打开通讯录，输入"富婆"，然后就弹出一个电话号码。点击即拨打。在计算机领域，你大概率也记不住IP，所以也需要有类似的通讯录的功能。比如，你只需要输入，它就能帮你找到对应的 ，然后进

如果AP数量只有几个，可以采用简单的、手工指定AC的方式，就是登陆AP，并在AP上敲入指定AC的命令。如果AP数量多，手工指定AC的方式，操作复制，工作量大，就不适用了，得用批量指定AC的方式，即通过DHCP option 43字段，指定AC IP地址，实现AP批量上线。以Linux ISC DHCP服务器为例，配置option 43和option 60，思科AC IP地址是192.168.247.5，华为AC IP地址是192.168.247.55。AP和AC路由可达，确保AP能跟AC交互报文。

本案例采用H3C HCL模拟器的F1060防火墙来模拟防火墙的透明模式典型组网配置1。为了实现PC之间相互PING通，因此需要在SW1、R1之间通过路由指向来实现路由可达。F1060处在R1、SW1之间，所以将F1060配置为透明模式，采用access的方式为R1、SW1透传业务。温馨提示：如果要实现防火墙的远程登陆管理，建议新增一条链路连接到交换机或者路由器，做带外管理即可。将F1060防火墙配置为透明模式，采用access的方式为R1、SW1透传业务。R1与SW1之间运行ospf路由协议。

DNS客户端向指定的DNS服务器查询网际网路上某台主机名称，当DNS服务器在该资料记录找不到用户所指定的名称时，会转向该服务器的快取缓存区找寻是否有该资料 ，当快取缓存区也找不到时，会向最接近的名称服务器去要求帮忙找寻该名称的IP地址 ，在另一台服务器上也有相同的动作的查询，当查询到后会回复原本要求查询的服务器，该DNS服务器在接收到另一台DNS服务器查询的结果后，先将所查询到的主机名称及对应IP地址记录到快取缓存区中 ，最后在将所查询到的结果回复给客户端。而当地的DNS先会查自己的资料库。

分组的分片传输：在分组的传输通路上，分片操作只能出现在两个MTU 不同的网络的交界处，也就是出现在路由器上；进入一个新网络时，若新网络的MTU 小于原有网络的MTU，则可能需要进行分片；一、在很多物理网络中，都对数据帧的长度有限制，而且这个限制大都比IP 数据包长度的限制小。3、当一个IP数据包从MTU大的网络发往MTU小的网络时，IP数据包往往就在路由器。4、IP数据包的分片可能在IP数据包的源主机和网络路由器上发生，但重组只能在。– 在小MTU 的网络上将较大分组分割后进行传输称为IP包分片。

从而ito策略里面拒绝标签100，打标签300；oti策略里面拒绝标签400，打标签200。从而oti策略里面拒绝标签300，打标签100；ito策略里面拒绝标签200，打标签400。在R1上，OSPF中把300标签的路由优先级调整为150，其余的外部路由优先级调整为10。在R3上，OSPF中把400标签的路由优先级调整为150，其余的外部路由优先级调整为10。R1上：OSPF到ISIS打标签100；R3上：ISIS到OSPF打标签300；所以关键点在于路由引入的时候带上标签，以及合理规划路由的优先级。

interface GigabitEthernet1/0/19 //配置trunk链路放通业务vlan。interface GigabitEthernet1/0/1 //配置acces接口，放通业务vlan。/ //配置trunk链路放通业务vlan。//配置acces接口，放通业务vlan。//配置trunk链路放通业务vlan。//配置trunk链路放通业务vlan。//配置trunk链路放通业务vlan。//配置trunk链路放通业务vlan。//配置两个实例，并配置激活。

为实现分别属于不同VLAN的的流量能够进行负载均衡，可采用MSTP来实现，VLAN1~10为一组， VLAN11~20为二组；要求SWA成为组一的根，组二备份的根，SWB成为组二的根，组一备份的根， vlan1-10走SWC-SWA；vlan11-20走SWD-SWB；

TCP为了实现可靠性，引入了重传机制、流量控制、滑动窗口、拥塞控制、分段以及乱序重排机制。而UDP则没有实现，因此一般来说TCP比UDP慢。TCP是面向连接的协议，而UDP是无连接的协议。这里的"连接"其实是，操作系统内核在两端代码里维护的一套复杂状态机。大部分项目，会在基于UDP的基础上，模仿TCP，实现不同程度的可靠性机制。比如王者农药用的KCP其实就在基于UDP在应用层里实现了一套重传机制。对于UDP+重传的场景，如果要传超大数据包，并且没有实现分段机制。

本案例采用H3C HCL模拟器的F1060防火墙来模拟防火墙的透明模式典型组网配置1。为了实现PC之间相互PING通，因此需要在SW1、R1之间通过路由指向来实现路由可达。F1060处在R1、SW1之间，所以将F1060配置为透明模式，采用access的方式为R1、SW1透传业务。温馨提示：如果要实现防火墙的远程登陆管理，建议新增一条链路连接到交换机或者路由器，做带外管理即可。将F1060防火墙配置为透明模式，采用access的方式为R1、SW1透传业务。R1与SW1之间运行ospf路由协议。

注意事项：如果华三的系统视图下password-recovery enable，该功能被关闭，那么就无法跳过认证了，就只能选择6，跳过不加载配置，然后通过导出进行修改文本，然后在导入。（V5版本也是只能跳过不加载配置，然后到处进行修改文本，然后倒入加载，没有直接跳过认证的功能）华三设备相对来情况要好些，因为设备没有强制console认证，所以通常可以通过console线进去重置密码。如果设备确实有console认证信息，WEB密码也忘记了，这个时候就得恢复了。登录不进去了，需要重启设备，注意看提示。

本文主要介绍接入层交换机、汇聚层交换机以及核心层交换机的区别，在了解它们的区别之前，先来了解下这三种交换机的名称是不是交换机的分类以及接入层、汇聚层以及核心层，这样更方便于您了解这三种交换机之间的区别。汇聚层也被称为分布层，它是网络接入层和核心层的“中介”，相当于公司的中层管理，用来连接核心层和接入层，处于中间位置，它在工作站接入核心层前先做汇聚，以减轻核心层设备的负荷。核心层可以提供最优的区间传输， 汇聚层可以提供基于策略的连接 ，而接入层可以为多业务应用和其他的网络应用提供用户到网络的接入。

办公区三交换机又从核心交换机方向E0/0/1口收到PC2的ARP请求包，这个时候办公区三交换机不会丢弃，它继续执行二层转发操作，把原有MAC表中PC2的记录，从原来的E0/0/4改成E0/0/1，并且发现目的MAC是全F，又泛洪，从除了该VLAN内的除源接口以外所有接口发出，这个时候E0/0/3接的服务器又会收到ARP请求，同时E0/0/4也会发出去，该接口属于trunk，透传。把环境简化下，办公区二暂时不看，中间接了一根线路（注意，配置还是引用的之前VLAN间互通的，注意，server记得开启服务）

通过上面的图就可以看出来，虽然第二个包服务端也就回复了SYN与ACK，但是服务端并不能确认这个包是否抵达了客户端，假设只有两次握手，当客户端的SYN请求发送出去了，但是由于网络问题被丢弃或者服务器回应的ACK没有收到，会重新发送SYN，由于没有第三次的握手存在，服务端不清楚客户端是否收到自己的ACK确认了，导致的情况是每收到一个SYN就建立一个连接，这样会导致服务端建立多个无效的连接，占用了设备的资源，更容易被恶意攻击。对于这些应用，目前了解下端口号以及作用，会随着知识点的深入，慢慢的都接触到。

Debug 网络质量的时候，我们一般会关注两个因素：延迟和吞吐量（带宽）。延迟比较好验证，Ping 一下或者 mtr[1] 一下就能看出来。这篇文章分享一个 debug 吞吐量的办法。看重吞吐量的场景一般是所谓的长肥管道(Long Fat Networks, LFN, rfc7323[2]). 比如下载大文件。吞吐量没有达到网络的上限，主要可能受 3 个方面的影响：发送端出现了瓶颈接收端出现了瓶颈中间的网络层出现了瓶颈。