-
【转载】Route-map扩展(讲解+配置)
——Route-map扩展一般形式: Ip policy-list aaa per/deny Match …………(前缀列表/ACL....) Route-map bbb per 10//在Route-map bbb调用policy-list aaa Match policy-list aaa//满足条件 continue 20//满足上面条件跳转到 Route-map bbb per 20,执行下面行为: Set …….. ———嵌套调用 ——案列(1): ——案列(2): 正常route-map 下面可以同时match很多个条件在执行一个set语句 ———————————————— 版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 原文链接:https://blog.csdn.net/qq_62311779/article/details/123220276
SE_Ning 2024-10-29
24 0 0 -
【转载】CCNA初认识——ACL命令
访问控制列表:实现一个流量的访问控制,匹配一个数据包。 标准:1-99;源IP地址条件-->匹配一个数据包 扩展100-199:数据包的源IP和目的IP,协议:TCP,UDP等等,源端口,目的端口 动作:permit(允许;匹配) deny(拒绝;排除) 从上往下来匹配策略 思科中默认那些没有匹配的数据包都deny;华为相反。 思科: access-list 101 deny ip host 10.1.1.1 host 20.1.1.1 access-list 101 permit ip 10.1.1.0 0.0.0.255 host 20.1.1.1 access-list 101 per ip any any show access-list 101 5 deny ip 10.1.1.0 0.0.0.255 host 20.1.1.1 10 per ip host 10.1.1.1 host 20.1.1.1 ip access-list extended 101 4 per ip host 10.1.1.1 host 20.1.1.1 show access-list 101 4 per ip host 10.1.1.1 host 20.1.1.1 5 deny ip 10.1.1.0 0.0.0.255 host 20.1.1.1 10 per ip host 10.1.1.1 host 20.1.1.1 华为: access-list 101 permit ip 10.1.1.0 0.0.0.255 host 20.1.1.1 access-list 101 permit ip any any 命令access-list 100 deny ip host 1.1.1.1 host 5.5.5.5(扩展acl) int f1/0 ip access-group 100 in/out access-list 100 permit ip any any 添加acl: ip access-list extended 100 15 per icmp host 192.168.7.1 host 192.168.15.1 exit 命令access-list 107 deny ip host 1.1.1.1 host 5.5.5.5(扩展acl) int vlan 107 ip access-group in/out out:从外面来的, in:从我内部走的 exit 15 20 25 ip access-list extended 100 15 deny icmp host 192.168.7.1 host 192.168.15.1 per ip any any--放行没有匹配的流量 exit 1.学校: 不许高中生出校 允许所有学生出校 严格条件放在上面, 宽松的条件放下面 切记:路由器跟vlan调用acl相反 ———————————————— 版权声明:本文为博主原创文章,遵循 CC 4.0 BY-……
11 0 0 -
【转载】VLAN trunk实验
模拟器:Cisco Packet Tracer SW1配置: 注: Switch(config)#no ip domain-lookup(关闭域名解析,防止输错命令时域名解析) Switch(config-if)#switch mode trunk(原来设备默认封装了dot1q协议,所以就没有再封装) SW2配置: 实现各个VLAN之间PC的互通:
10 0 0 -
【转载】网络入门——企业组网介绍&网络基本知识
一、企业组网架构图: 二、常用设备介绍: ——常用设备图: ——AP和AC AP是无线接入点,通过无线广播WiFi信号来连接手机,笔记本电脑这些无线终端。 AC是接入控制器,用来控制AP。AC控制器负责把来自不同AP的数据进行汇聚并接入Internet,同时完成AP设备的配置管理、无线用户的认证、管理及宽带访问、安全等控制功能。 ——OA和ERP OA对内办公系统,ERP对外办公系统 ——核心交换机: ———————————————— 版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 原文链接:https://blog.csdn.net/qq_62311779/article/details/125828070
12 0 0 -
【转载】网络入门—家庭组网介绍&基本网络知识
一、家庭网络规划: 二、网络设备知识: 1、网络设备接口介绍 : 光口:插光纤的接口 电口:插网线的接口 一般情况下:家庭级(华为/TPlink/华三....)路由器没有光口,只有电口(很多时候路由器/防火墙/无线路由器没有提供光口接入) 光纤不能直接插到路由器上,所以需要有中间转换器——光猫进行光电转换 2、并发连接数: 可以利用并发连接数作为判断硬件的指数,可以理解为一秒钟可以新建多少个TCP连接(小线程) 3、吞吐率(背板带宽) 该设备每秒可以处理/转发多少(M/G)的流量 ——所以可以利用并发连接数/吞吐率来衡量设备性能 4、光缆与尾纤: 三、网线分类: 四、家庭组网弊端: ①宽带业务:假带宽:用户接入英特网骨干网的速率远低于运营商宣传的速率。(光猫/路由器影响/网线.....)真实带宽=运营商带宽/8 ②使用时间过长的话会导致路由器性能下降,网速变慢,需断电重启 ③上下行速率不匹配:上传和下载速率不匹配 ④服务跟不上:故障恢复不及时 ⑤无线路由器不稳定,网络不稳定 ⑥室外光缆部分带宽共享——安全性不够(图二) ⑦ip地址必须为DHCP下发 ⑧无法针对所有的无线上网流量进行统一管理和监控 五、企业互联网专线与家庭组网的区别 ①无共享带宽,互联网专线安全性高 ②为真宽带 ③上网的话一般是固定一定的IP地址 ④价格比较昂贵 ⑤上下行速率一致 ⑥可以和运营商提供一些要求,服务周全 六:路由器的配置: ———————————————— 版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 原文链接:https://blog.csdn.net/qq_62311779/article/details/125816386
26 0 0 -
【转载】TCP中的2MSL详解
TCP中的2MSL时间 2MSL(Maximum Segment Lifetime)时间是TCP协议中一个非常重要的参数。MSL是一个TCP段在网络中可以存活的最长时间,2MSL就是两倍的这个时间。在TCP连接终止时,连接的两个端点需要等待2MSL时间,以确保所有在网络中可能滞留的重复数据段都已经消失。这一过程防止旧的重复段在新的连接中被误识别。 2MSL的计算 1、MSL的值:RFC 793规定的MSL是2分钟,但在实际应用中,常常设置为30秒、1分钟或2分钟,具体时间取决于系统的实现。 2、2MSL时间:根据MSL的值,2MSL时间通常是: 如果MSL为30秒,则2MSL为60秒。 如果MSL为1分钟,则2MSL为2分钟。 如果MSL为2分钟,则2MSL为4分钟。 2ML等待期的作用: 确保最后一个ACK报文段被正确接收:当客户端发送最后一个ACK报文段给服务器,并进入TIME_WAIT状态时,这个ACK可能会在网络中丢失。如果服务器没有收到这个ACK,它会重发FIN报文段。客户端在TIME_WAIT状态等待2MSL可以确保它能够重新发送这个ACK,以防服务器没有收到。 防止"老"数据包在网络中滞留:由于IP数据包可能在网络中滞留(由于路由循环或其他原因) , TIME_WAIT状态确保任何这样的老数据包(比如之前的FIN或ACK)在新的连接建立之前被丢弃。如果一个新的连接立即在原始连接关闭后建立,并且使用了相同的端口号,那么这些老数据包可能会干扰新连接。2MSL的等待期减少了这种可能性。 让网络中的TCP报文段自然消失:2MSL的时间足以让任何在网络中滞留的TCP报文段由于超时而被丢弃。这有助于避免“幽灵”连接或其他由于旧报文段引起的问题。 ———————————————— 版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 原文链接:https://blog.csdn.net/qq_62311779/article/details/140314343
24 0 0 -
【转载】网络故障排查思路
从TCP/IP五层模型的角度来排查网络故障,通常涉及从物理层到应用层的逐步检查。 1. 物理层(Physical Layer) 职责: 传输原始的比特流(如电缆、光纤、无线信号等)。 排查工具和步骤: 物理检查: 检查网线、电缆、光纤是否连接良好,是否存在断裂或损坏、光模块收发是否正确 测试工具: 使用线缆测试仪(如Fluke)来检测线缆问题 硬件自检: 检查网络设备的指示灯状态 2. 数据链路层(Data Link Layer) 职责: 数据帧的传输与接收,错误检测和修复(如MAC地址,交换机的工作) 故障类型: VLAN接口模式、VLAN tag是否正确、STP选举阻塞、LACP(链路聚合的协商)、bond等 排查工具和步骤: ifconfig/ip a命令: 查看网络接口的MAC地址,确认网卡正常工作。 ethtool: 检查网卡的物理连接状态和链路层属性。 cat /proc/net/bonding/bond0 查看Linux中的bond状态 3. 网络层(Network Layer) 职责: 数据包的路由与转发(如IP地址的管理、路由协议的运行)。 故障类型: IP地址冲突、不正确的路由表配置、子网划分错误、路由器故障、MTU值(VxLAN、GRE等网络) 排查工具和步骤: ifconfig/ping /tcping(windows)命令: 测试网络层的连通性,逐级ping目标设备,排查具体的网络问题。 traceroute/tracert(windows)命令: 跟踪数据包路径,确定在哪一跳出现了问题。 ip route/route命令: 查看和修改路由表,确保数据包的路由路径正确 nmcli工具查看网卡配置文件链接等 sysctl查看内核参数,路由转发是否开启。端口转发是否开启 4. 传输层(Transport Layer) 职责: 提供端到端的通信,保证数据传输的可靠性(如TCP/UDP)。 故障类型: 端口阻塞、防火墙规则错误、TCP连接超时、拥塞控制问题。 排查工具和步骤: netstat/ss命令: 查看当前系统的TCP/UDP连接状态,检查是否有异常连接。 telnet/nc (netcat)/……
22 0 0 -
【转载】网络虚拟化—如何理解Overlay和Underlay?
overlay实现: 隧道技术(利用报文的封装与解封装,建立点到点之间的虚拟通信) 常见隧道技术:ipsec、mpls、gre、l2tp、VxLAN、SSL、PPPoE(广播链路上的隧道技术) Overlay和Underlay特点: Overlay:私有,隔离;Overlay协议只有特定的设备运行;针对特定用户 Underlay:共有,共享;Underlay协议所有设备都会运行;用户公用,不针对 通过一张underlay的网络构建出多张overlay的网络,实现一网多用 Overlay和Underlay典型场景及路由协议: 专线MPLS VPN:underlay协议(OSPF、ISIS、MPLS LDP)、Overlay协议(MP-BGP) VPN:underlay协议(公网)、Overlay协议(IPsec、L2TP、SSL、GRE) VxLAN:underlay协议(OSPF、BGP)、Overlay协议(VxLAN、EVPN) 常见应用场景中的Overlay名称: MPLS和VPN中:企业私网 VxLAN EVPN:租户 Overlay类型: 主机Overlay:服务器主机建立隧道 网络Overlay:网络设备建立隧道 混合Overlay:网络+主机混合 Overlay和Underlay常见组网: VPN: VxLAN: VxLAN EVPN中Overlay的隔离: 转发层:VxLAN ID(VNI) 控制层:VRF ———————————————— 版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 原文链接:https://blog.csdn.net/qq_62311779/article/details/141469670
23 0 0 -
【转载】华为设备BGP选路规则总结
当到达同一个目的网段存在多条路由时,BGP通过如下的次序进行路由优选: (丢弃下一跳不可达的路由。) 1、优选Preferred-Value属性值最大的路由。 2、优选Local_Preference属性值最大的路由。 -----------------------------------------------------------取值越大越优 ↑ 1、本地始发的BGP路由优于从其他对等体学习到的路由,本地始发的路由优先级:优选手动聚合>自动聚合>network>import>从对等体学到的。 2、优选AS_Path属性值最短的路由。 3、优选Origin属性最优的路由。Origin属性值按优先级从高到低的排列是:IGP、EGP及Incomplete。 4、优选MED属性值最小的路由。 5、优选从EBGP对等体学来的路由(EBGP路由优先级高于IBGP路由)。 6、优选到Next_Hop的IGP度量值最小的路由。 7、优选Cluster_List最短的路由。 8、优选Router ID(Orginator_ID)最小的设备通告的路由。 9、优选具有最小IP地址的对等体通告的路由。 ---------------------------------------------------------取值越小越优 ↓ ———————————————— 版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 原文链接:https://blog.csdn.net/qq_62311779/article/details/141538119
13 0 0 -
【转载】OSPF与BGP防环机制总结
1)OSPF防环机制: LSA1类优于3类 area 0的3类优于其他非骨干区域3类 骨干区域不能分割 OSPF非骨干区域必须和骨干区域相连,区域间路由必须经过区域0中转 LSA-3 -- MPLS中DN bit位 ;LSA-5/7 --DN bit位和route tag ----- MPLS场景下 转发地址防环(LSA-5/LSA-7)------普通场景 2)BGP的防环: AS内: IBGP水平分割机制:从IBGP邻居得到的路由不会传递给其他IBGP邻居 反射器架构中: Originator_ID:RR将一条BGP路由进行反射时会在反射出去的路由中增加Originator_ID,其值为本地AS中通告该路由的BGP路由器Router ID,当BGP路由器收到一条携带Originator_ID属性的IBGP路由,并且Originator_ID属性值与自身的Router ID相同,则它会忽略关于该条路由的更新 Cluster_ID和cluster_list:当一条路由被反射器反射后,该RR(该簇)的Cluster_ID就会被添加至路由的Cluster_list属性中。;当RR收到一条携带Cluster_list属性的BGP路由,且该属性值中包含该簇的Cluster_ID时,RR认为该条路由存在环路,因此将忽略关于该条路由的更新。 AS间: EBGP水平分割机制(AS-Path):当从EBGP邻居得到BGP路由时,如果该路由的AS_PATH中携带自身的 As号,则拒绝接受该路由 BGP联盟内: 接收联盟EBGP: AS-PATH 不能有联盟AS号,可以有成员AS号 接收成员EBGP:AS-PATH可以有联盟AS,不能有成员AS ———————————————— 版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 原文链接:https://blog.csdn.net/qq_62311779/article/details/141538058
15 0 0
路由器
