- 博客(32)
- 收藏
- 关注
RSS订阅原创 网关Ping不通,交换机受到ARP报文攻击
发现攻击源的MAC地址为0000-0000-00db,位于GigabitEthernet2/0/22端口。Switch为网关,Switch_1(框式交换机)经常脱管,且Switch_1下用户存在上网掉线,Ping网关存在时延、不通等现象,而Switch_2下联业务正常,Ping网关正常。//针对来自特定用户恶意报文的攻击,设备通过ACL把符合特定特征的用户纳入到黑名单中,被纳入黑名单的用户所发的报文到达设备后均会被丢弃。//报文达30pps即被识别为攻击,若攻击源较多可调低该值。
2024-12-30 12:52:10
624
原创 防火墙单出口接入Internet
所示,某企业在网络边界处部署了FW作为安全网关,并从运营商处购买了宽带上网服务,实现内部网络接入Internet的需求。设备使用静态IPv4地址接入Internet,并为内部网络提供网络访问服务。内部网络中的PC使用私网网段192.168.1.0/24实现互通,。内部网络中的PC可以访问Internet。
2024-12-30 12:48:54
463
原创 设备之间部署BGP/MPLS IP V-P-N实现互通
通常情况下,CE“感知”不到VPN的存在,也不需要支持MPLS。是服务提供商网络的边缘设备,与CE直接相连。在MPLS网络中,对VPN的所有处理都发生在PE上,对PE性能要求较高。公司要求通过部署BGP/MPLS IP VPN,实现总部和分支机构的安全互通,同时要求研发区和非研发区间数据隔离。服务提供商网络中的骨干设备,不与CE直接相连。一台CE设备也可以连接属于相同或不同服务提供商的多台PE设备。CE2连接公司总部非研发区、CE4连接分支机构非研发区,CE2和CE4属于vpnb。
2024-12-30 12:46:09
1502
原创 通过IPSEC实现广域网互联
encryption-algorithm aes-cbc-128 //V200R008及之后的版本,aes-cbc-128参数修改为aes-128。encryption-algorithm aes-cbc-128 //V200R008及之后的版本,aes-cbc-128参数修改为aes-128。interface G0/0/0 //配置外网接口。Interface G0/0/2 //配置私网接口。interface G0/0/1 //配置外网接口。interface G0/0/2 //配置私网接口。
2024-12-30 12:44:57
934
原创 NQA for IPv4静态路由
所示,RouterA通过接口GE0/0/0连接RouterB到RouterD作为主链路,RouterA通过接口GE0/0/1连接RouterC到RouterD作为备份链路。在RouterA上配置NQA ICMP测试例,以检测主链路的网络状况。当主链路出现故障时,从RouterA发送到RouterD的报文就会切换到备份链路进行转发。通过配置NQA for IPv4静态路由可以快速检测到网络的故障,控制静态路由的发布。
2024-12-30 12:44:23
507
原创 配置DHCP Server,分配IP
Router的两个以太网接口GE0/0/0和GE0/0/1的IP地址分别为10.10.1.1/25和10.10.1.129/25。10.10.1.0/25网段内的地址租用期限为10天12小时,域名为huawei.com,DNS服务器地址为10.10.1.2,NetBIOS服务器地址为10.10.1.4,网关地址为10.10.1.1,其中企业管理者的办公PC(PC_AD)由于业务需要,希望使用固定IP地址为10.10.1.5。domain-name huawei.com //配置域名为huawei.com。
2024-12-30 12:43:48
536
原创 VLAN聚合(Super Vlan)
可以在Switch上部署VLAN聚合,实现VLAN2和VLAN3二层隔离、三层互通,同时VLAN2和VLAN3采用同一个子网网段,节省了IP地址。如图所示,某公司拥有多个部门且位于同一网段,为了提升业务安全性,将不同部门的用户划分到不同VLAN中。把Switch接口加入到相应的sub-VLAN中,实现不同sub-VLAN间的二层隔离。配置super-VLAN的Proxy ARP,实现sub-VLAN间的三层互通。VLAN2和VLAN3为不同部门,现需要实现不同VLAN间的用户可以互相访问。
2024-12-30 12:42:30
278
原创 RIP与动态BFD联动
值得注意的是PC1要求是屏蔽192.168.6.0/24 网段的信息,并且AR1、AR2分别处于RIP 100 RIP 200中,需要RIP引入和策略控制。如图所示,AR1和AR2、AR3为非直连设备,通过配置RIP互通。用户希望可以实现对设备间链路故障的快速检测和切换。
2024-12-30 12:41:55
898
原创 配置BFD多跳检测
配置完成后,在Router1和Router3上执行display bfd session all verbose命令,可以看到建立了一个BFD会话,且状态为Up。在Router1和Router3上分别配置BFD会话,实现Router1到Router3间多跳路径的检测。# Router3的配置与Router1类似,具体配置过程略,详见配置文件。# 在Router1上配置与Router3之间的BFD会话。# 在Router3上配置与Router1之间的BFD会话。2.配置多跳BFD检测。
2024-12-30 12:41:22
846
原创 BFD单跳检测二层链路
在RouterA和RouterB上分别配置BFD会话,实现RouterA和RouterB间链路的检测。命令,可以看到建立了一个单跳检测的BFD会话,且会话状态为Down。命令,可以看到建立了一个单跳检测的BFD会话,且会话状态为Up。# 配置完成后,在RouterA和RouterB上执行。# 配置完成后,在RouterA和RouterB上执行。# 使能RouterA上的BFD功能。# 配置RouterA上的BFD会话。# 使能RouterB上的BFD功能。# 配置RouterB上的BFD会话。
2024-12-30 12:40:17
984
原创 BFD配置单臂回声
在两台直接相连的设备中,其中一台设备支持BFD功能,另一台设备不支持BFD功能,只支持基本的网络层转发。为了能够快速的检测这两台设备之间的故障,可以在支持BFD功能的设备上创建单臂回声功能的BFD会话。支持BFD功能的设备主动发起回声请求功能,不支持BFD功能的设备接收到该报文后直接将其环回,从而实现转发链路的连通性检测功能。如图所示,RouterA和RouterB通过直连链路连通,RouterA支持BFD功能,RouterB不支持BFD功能。单臂回声功能是指通过BFD报文的环回操作检测转发链路的连通性。
2024-12-30 12:37:47
1227
原创 三层链路聚合
以太网类型和速率不同的接口不能加入同一个Eth-Trunk接口,例如GE类型接口和FE类型接口不能加入同一个Eth-Trunk接口,GE电接口和GE光接口不能加入同一个Eth-Trunk接口。interface GigabitEthernet0/0/0 //将三层接口GE0/0/0~GE0/0/2加入到Eth-Trunk 1中。# 在AR1和AR2上执行display eth-trunk命令,显示GE0/0/0~GE0/0/2加入到Eth-Trunk 1中。# AR1和AR2能互相Ping通。
2024-12-30 12:37:04
296
原创 华为和Cisco通过同步方式下Serial接口使网络互通
同步方式下的Serial接口Serial接口可以工作在数据终端设备DTE(Data Terminal Equipment)和数据通信设备DCE(Data Circuit-terminating Equipment)两种方式,在Serial接口插入DTE线缆的设备称为DTE设备,在Serial接口插入DCE线缆的设备称为DCE设备,一般情况下,设备作为DTE设备,接受DCE设备提供的时钟。已知RouterA侧的接口为DTE接口,RouterB侧的接口为DCE接口,用户希望通信两端能够网络互通。
2024-12-30 12:32:45
1909
原创 交换机端口隔离
在LSW1上执行命令display port-isolate group all查看端口隔离组的配置信息,可以看到端口G0/0/1、G0/0/2已经加入端口隔离组1。小区用户PC1、PC2分别与LSW1的端口G0/0/1、G0/0/2相连。现需要实现小区用户PC1和PC2之间二层报文不能互通,但可以和外部网络通信。port-isolate enable group 1 //使能端口隔离功能,默认加入的端口隔离组为1。PC1和PC2不能互相Ping通。图 配置端口隔离组网图。
2024-12-30 12:31:50
420
原创 ARP代理Proxy ARP实现远程同一网段互通
正因为如此,我们在实际工作的环境中对于ARP代理功能的应用需要慎重一些,尽量避免针对整个网段使用ARP代理功能,最好只针对需要使用ARP代理功能来实现某些特殊功能需求的少数IP开启。在开启ARP代理功能之后,很可能会导致地址冲突等类似故障的产生,如在下图的网络环境下,将会产生一系列的不稳定的故障现象产生。2,网关收到.1.1的ARP请求报文,由于网关开启了ARP代理的功能,因此网关代替2.1向1.1发送ARP响应数据报;3,网关向10.1.2.0/16网段发送10.1.1.1的ARP请求报文;
2024-12-30 12:30:51
228
原创 透明网桥实现远程同一网段互通
LAN 1和LAN 2中的PC终端可以通过桥接通信,不需要进行IP路由,从而达到透过广域网,进行网上邻居的直接访问和其他应用。bridge 1 //接口加入网桥组,作为虚拟网桥的接口。bridge 1 //创建网桥组,生成虚拟网桥。
2024-12-14 12:16:13
156
原创 华为-单臂路由
交换机通过Trunk类型接口和Router的Eth4/0/0相连,通过Access类型接口和PC相连,PC1加入VLAN 10,PC2加入VLAN 20。路由器的Eth4/0/0上创建两个子接口,分别配置IP作为两个VLAN的网关地址,封装采用802.1Q方式,实现VLAN间互通。//接口可以处理ARP广播报文,V200R003C01及之后版本缺省情况下已使能ARP广播功能。dot1q termination vid 10 //处理VLAN ID为10的报文。
2024-12-14 12:15:38
310
原创 配置简单NAT实例
/发布内网PC服务器到公网,将192.168.1.10发布到公网使用ip地址12.1.1.100。nat outbound 2000 //在出接口上使用PAT端口复用。//配置nat转换用的公网地址池1,地址范围12.1.1.10~12.1.1.18。nat static enable //启用nat功能(全局或者接口都可以配置)//使用acl匹配需要进行转换的内网ip地址(1.1-1.8这8个ip地址)//在接口出方向上使用动态NAT,不做PAT端口复用。
2024-12-14 12:14:44
1786
原创 DHCP中继配置
DHCP Relay:interface GigabitEthernet0/0/0ip address 192.168.2.2 255.255.255.0interface GigabitEthernet0/0/2ip address 192.168.1.1 255.255.255.0dhcp select relaydhcp relay server-ip 192.168.2.1interface LoopBack0ip address 1.1.1.1 255.255.255.255ip route-st
2024-12-14 12:13:15
426
原创 MUX VLAN 和super VLAN
ACL是主要基于三层(ip、协议、端口)的流量控制手段,也可以基于二层mac地址来控制,但是应用的不多。②、小组vlan:vlan内部可以通讯,vlan间不能通讯,但是都能和主vlan通讯。(超级vlan、聚合vlan),目的就是节省ip地址 比较适合用于运营商IDC(互联网数据中心)①、隔离vlan:vlan内部之间不能通讯,只能和主vlan通讯。(二层做控制) :混合型VLAN (基于二层vlan编号的流量控制手段)端口安全:不允许私自更改接入交换机端口的设备。主vlan:可以和任何vlan通讯。
2024-12-14 12:12:29
534
原创 Eth-Trunk
接口LACP的优先级取值范围是0~65535,数值越小优先级越大,用命令lacp priority priority<0~65535>可配置接口的LACP优先级。● 图中设置活跃链路为2条,即2条处于转发状态,1条链路处于备份状态,不转发数据,只有当活跃链路故障时,备份链路才进行转发。● LACP模式也成为M:N模式,其中M条链路处于活动状态转发数据,N条链路处于非活动状态作为备份链路。● 在手工负载分担模式下,加入Eth-Trunk的链路都进行数据转发。******关于接口的LACP优先级******
2024-12-14 12:11:38
500
原创 IS-IS渗透实验
网络中的6台路由器的配置了ISIS路由协议,AR1,AR2,作为Level-1路由器,AR3,AR4,作为Level-1-2路由器,属于Area10.。要求将Leve2区域中的路由信息渗透到Leve|-1区域,使得 AR1到 Router的路由为最优路由。(2)配置 AR1、 AR2作为Leve-1路由器, AR3,AR4作为Leve1-2路由器,都属于Area10。(4)配置将Leve-2区域中的路由信息渗透到 Level-1区域,使得AR1到 AR6的路由为最优路由。
2024-12-14 12:09:51
531
原创 IS-IS邻接关系
本实验模拟了一个企业网络场景R1、R2、R3 为公司部A 的路由器,R5 和 R6为公司部门 B 的路由器,R4 为连接公司部门A和部门B的骨干路由器,全网运行IS-IS。R1 和 R2 的 Loopback 0 接口模拟了部门A的内部网络,R6的Loopback0 接口模拟了部门B 的内部网络。网络需求是:全网互通,并需要通过修改路由器的级别以及接口级别来减少路由器的资源开销及减少网络中不必要的流量,实现优化整个网络的目的。is-level level-1//在区域10内不需要维护level2的路由表。
2024-12-14 12:08:54
769
原创 IS-IS基础配置
因此,IS-IS 路由器在默认情况下都是 Level-1-2 路由器。根据IS-IS 协议的设计思想,Level-1 路由器部署在 IS-IS 区域内,Level-2 路由器部署在IS-IS 区域之间,Level-1-2路由器部署在 Level-1 路由器与 Lvel-2 路由器之间。一般来说,将 Level-1 路由器部署在非骨干区域,Level-2 路由器和 Level-1-2 路由器部署在骨干区域。每一个非骨干区域都通过 Level-1-2 路由器与骨干区域相连。并且在每台三层设备上引入直联路由。
2024-12-14 12:08:06
828
原创 OSPF缺省路由
第二种是在Stub区域或Totally Stub区域以及NSSA区域中,由ABR自动注入缺省路由,也就是ABR向该区域泛洪表示缺省路由的Type-3 LSA或Type-7 LSA,该区域内的路由器通过Type-3LSA(由区域边界路由ABR产生,描述区域内某个网段的路由,并通告给其他区域)或Type-7LSA(由NSSA区域的ASBR产生,描述到AS外部的路由,仅在NSSA区域内传播)所表示的缺省路由来访问该区域以外的任何目的地。现在企业内部可互通,但无法访问外网,原因是缺少去往外部网络的路由.
2024-12-14 12:07:00
626
原创 OSPF虚链路
实验拓扑图如下,本实验模拟一个企业网络场景,全网运行OSPF,路由器R1、R2为总部公司路由器,R3为新建分公司接入路由器,R4为分公司下面的分支机构的接入路由器。由于网络升级尚未完成,所以目前的区域划分是:R1与R2之间的链路位于区域0,R3与R1、R3与R2之间的链路位于区域1,R3与R4之间的链路位于区域2。网络需求是:使用虚链路技术,使得分支机构所属的区域2能够访问总部网络,且优先使用路径R4-R3-R1,并以R4-R3-R2作为备份路。另外,为了提高安全性,对于所使用的虚链路进行认证功能配置。
2024-12-14 12:03:23
949
原创 OSPF基本配置
实验拓扑图如下,本实验模拟了一个企业网路场景,AR1为企业总部路由,AR2为地区分支总部A的路由器,AR3为地区分支总部B的路由器,AR4和AR5分别为分支机构1和2 的路由器。整个网络运行OSPF,其中AR1和AR2和AR3之间的链路位于区域0中,AR2于AR3之间的链路作为备份冗余链路也位于区域0中,AR2于AR4之间的链路在区域1中,AR3于AR5位于区域2中。在DR/BDR选举过程中,首先比较的是路由器接口的DR优先级,优先级高的将被选做DR次之为BDR其余为DRother。
2024-12-14 12:02:00
714
原创 RIP路由发布和引入
本实验通过一个简单的场景,介绍如何使用Filter-Policy和ACL来控制RIP路由发布,以及如何使用Router-Policy和ACL对引到RIP中的路由进行过滤。AR2上用Filer-policy和ACL禁止向AR1发布10.0.1.1/32和10.0.3.2.0/24 网段。1、基本配置(略),AR1、AR2配置RIP协议引入直连路由。可以看到AR1学到了AR2的路由。
2024-12-14 12:00:43
126
原创 基本的路由策略
网络管理员希望通过配置路由策略来实现R3去往192.168.1.0/24网段和192.168.3.0/24网段的流量经由路径R3-R2-R1,而去往192.168.2.0/24网段和192.168.4.0/24网段的流量经由路径R3-R4-R1,并且这两条路径互为备份。要求:从R3去往192.168.1.0和192.168.3.0这两个网段的流量经由路径R3-R2-R1,同时还要求这两个网段的路由在R2上被引入进OSPF时的cost值为20,cost type为type-1。
2024-12-14 11:59:28
615
原创 访问控制列表
本实验模拟了一个简单的公司网络,基本组成:一台Ftp-server,一台Web-server,一台HR部门的终端PC-1,一台SALES部门的终端PC-2,一台IT部门的终端PC-3,一台路由器AR1(AP1220)和一台交换机LSW1(S3700)。要求:IT部门的用户可以随时访问Ftp-server,但只能在每天的14:00至16:00才能访问Web-server,另外IT部门的用户能够随时ping通Ftp-server和Web-server。发现无法访问web服务器。非军事化区:2--12。
2024-12-14 11:57:29
811
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人