凡人世界

   这个星期五参加了华为在上海的统一通信与协作渠道大会，我公司作为华为展会的协办方，我协助布置展会，参与了全过程，下面向大家展示下……所有图片都是手机照的，效果不是很好啊  这是展会地点 上海喜马拉雅酒店 很是气派地毯很漂亮 因为是上午 什么都还没弄好 

传统的企业通信都是通过电话网络来实现，而电话网络主要是通过程控交换机来实现，随着企业的需求越来越多，IP网络的普及，传统的电话网络已经不能满足企业的多元化需求，基于这种背景下，华为及多个厂家推出了统..

            我的软考历程（二）   记得5个月前，我曾在软考社区发布过"我的软考历程（一)",那时主要讲述如何去复习网络工程师，在那时我曾说过我要在下半年..

本文主要是为了方便那些不熟悉H3C命令的朋友，能够快速掌握H3C OSPF的配置，关于本文中所涉及的理论及OSPF的相关细节分析，请参考OSPF多区域数据流分析http://tangfangxiao.blog.51cto.com/2116646/632997&n..

WLAN网络优化之《独孤九剑》
江湖，腥风血雨！！   人人争夺的无线秘笈——《独孤九剑》重出江湖！！   夺此宝典者可夺天下！l 秘笈细述：1、 『总诀式』调整信道应用说..

   突然接到朋友的电话，我才发现今天是过年……公司是在20号放的年假，刚刚来到杭州工作也就一个多月，在来之前也回过家一次，加之车票难买，所以对于今年回家过年并不是很热切，这也是我第一次在外面..

补充：172.17.4.1与172.17.5.1的通信过程如果大家有仔细看文章的话，就知道172.17.4.1与172.17.5.1是没有通告到OSPF中的，它是被通告了BGP中，按正常的情况下，RT4与RT5都学到了对方发来的BGP路由，数据包封装是..

Super-vlan技术详解在传统的VLAN间路由中，我们需要每个VLAN配置一个IP地址，作为此VLAN的网关，以实现三层路由;此方法中，每个VLAN都是一个子网，子网号不能为主机所用，此子网需要分配一个IP地址作为网关，还有..

XX企业，总部在长沙，分布在衡阳、益阳等五个；总部有300台PC接入，分部各有50台PC左右接入，其中企业有生产部、办公部、财务部以及总经办。
l   总部的生产、办公不能相互访问且都不能访问各财务部PC，总经办可以访问所有PC。（总部网络生产业务走左平面，办公业务走右平面。）
l   由于公司规模较大，为方便管理，在总部设有AD服务器。为每位员工分配账户，在所有PC上都可以进行登录），用户通过DHCP自动获取IP地址。
l   总部部署FTP文件服务器，要求对员工访问FTP服务器上资源进入权限设置。（如生产部的员工只能访问生产资料，办公部的员工只能访问办公资料，总经办可以访问所有资源）
l   为了在网络宣传本公司，部署WEB服务器提供内外网访问，为了安全起见，将WEB服务器部署在防火墙的隔离区（DMZ），提供内外网访问。（内网必须使用域名进行访问）。
l   总部上网Internet采用以太网接入，申请公网地址（172.10.10.5-172.10.10.15），各分支是PPPOE接入公司地址动态分配。要使总部与分部互联，总部与分布之间做IPSec VPN；出差人员的PC访问内网使用远程EzVPN。

严格的说，Cos与Tos只是QoS的一种标记机制。
QoS范围太大，涉及到入口数据流的标记和分类及速率限制，网络骨干的拥塞避免和拥塞管理，网络出口的队列调度机制等等。
Cos是二层ISL或者802.1Q数据帧的优先级标记，3..

本人是一个热爱技术的人，找资料的过程中来到了51CTO，从此我深深的喜欢上了51CTO。三个月前我写下了第一篇博文，再收到了第一个评论，第一篇推荐博文，收到第一个奖品，直到今天的推荐博客，每一次都让我激动万..

需求分析：由于IPSec不支持对多播和广播数据包的加密，这样的话，使用IPSec的隧道中，动态路由协议等依靠多播和广播的协议就不能进行正常通告，所以，这时候要配合GRE隧道，GRE隧道会将多播和广播数据包封装到单..

一.用户配置: 
<H3C>system-view 
[H3C]super password H3C     设置用户分级密码 
[H3C]undo super password     删除用户分级密码
[H3C]localus..

工作原理：
1.发现路由：首先运行RIP进程，发现自己的路由信息（收集直连网段信息）
2.通告路由：将自己知道的路由信息通告给其它邻居（request、respose）
3.计算路由：基于距离矢量算法，计算最优路由添加到全局路由表（跳数）
4.路由收敛：当网络拓扑发生变化时，能重新计算出最优路由（触发更新）

 需求分析:
由于IPSec不支持对多播和广播数据包的加密，这样的话，使用IPSec的隧道中，动态路由协议等依靠多播和广播的协议就不能进行正常通告，所以，这时候要配合GRE隧道，GRE隧道会将多播和广播数据包封..

RT3#show crypto isakmp sa
dst         src         state       conn-id slot status
172.1.1.2     172.1.3.2     QM_IDLE         1   0 ACTIVE
IPSEC SA（两个单向，inbound和outbound，第二阶段完成建立）
RT3#show crypto ipsec sa
inbound esp sas:
    spi: 0x88A9E91(143302289)　　　//安全参数索引
    transform: esp-aes esp-md5-hmac ,//IPSEC协商参数
    in use settings ={Tunnel, }
    conn id: 2001, flow_id: SW:1, crypto map: RT3　//应用的加密图
    sa timing: remaining key lifetime (k/sec): (4528168/1384)
    IV size: 16 bytes
    replay detection support: Y
    Status: ACTIVE　　//SA为活跃状态
outbound esp sas:
    spi: 0xB2979D58(2996280664)　　//安全参数索引
    transform: esp-aes esp-md5-hmac ,//IPSEC协商参数
    in use settings ={Tunnel, }
    conn id: 2002, flow_id: SW:2, crypto map: RT3　//应用的加密图
    sa timing: remaining key lifetime (k/sec): (4528168/1374)
    IV size: 16 bytes
    replay detection support: Y
    Status: ACTIVE　　//SA为活跃状态

IPSEC构建站点到站点连接的基本过程对于站点到站点的会话，构建连接的基本过程如下：一个VPN网关对等体发起了到另外一个远程的VPN网关对等体的会话（触发流量）如果没有存在VPN的连接，那么ISAKMP/IKE阶段1开始，..

如上图，该园区用户统一使用PPPOE拨号接入，并在PPPOE服务器上进行本地认证或外部服务器认证（ACS）
基本配置如上图（略）
PPPOE SERVER RT5上配置如下：
username user1 password cisco1 //添加用户名与密码
username user2 password cisco2
ip local pool pppoe1 172.16.20.2 172.16.20.254//建立本地址池
vpdn enable //开启PPPOE
vpdn-group 1 //建立PPPOE的拨号组
accept-dialin //接受拨号
protocol pppoe //协议为PPPOE
virtual-template 1 //创建虚拟模板
interface Virtual-Template1
ip address 172.16.20.1 255.255.255.0
peer default ip address pool pppoe //指定对端IP从地址池PPPOE获取
ppp authentication pap chap //使用PAP或CHAP认证
interface FastEthernet2/0.20
encapsulation dot1Q 20
pppoe enable //开启PPPOE
interface FastEthernet2/0.21
encapsulation dot1Q 21
pppoe enable //开启PPPOE

现在在接口上配置802.1x认证：
SW3：
SW3（config）#
dot1x system-auth-control //开启802.1x认证
aaa authentication dot1x default group radius //认证使用radius服务器的默认组
int f1/3
SW3(config-if)#
dot1x port-control auto //开启端口认证，认证通过为授权状态
//dot1x port-control force-authorized //端口始终处于授权状态（不需认证）
//dot1x port-control force-unauthorized //端口始终于处于非授权状态（不允许用户认证，不提供认证服务）
//dot1x host-mode single-host|multi-host //默认为single-host在该接口下，只有1台主机能通过认证和访问网络 multi-host在该接口下，只需1台主机通过认证，所有主机能访问网络
在启用802.1x认证后接口会变成down
*Mar 1 00:26:57.887: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/3, changed state to down
在通过认证后，接口协协为up
*Mar 1 00:29:27.695: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/3, changed state to up
在接入设备上启用dot1x计费：
SW3(config-if)#

10. 如果认证通过，用户通过标准的DHCP协议 (可以是DHCP Relay) ，通过接入设备获取规划的IP地址;
11.如果认证通过，接入设备发起计费开始请求给RADIUS用户认证服务器;
12.RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕

STP算法总结
步骤一：选举跟网桥
选择网桥ID最小的
步骤二：选择根端口
1.选择端口到根网桥路径开销最小的
2.选择发送方网桥ID最小的
3.选择发送方端口ID最小的
步骤三：选择指定端口
1.选择网桥到根网桥路径开销最小的
2.选择发送方网桥ID最小的
3.选择发送方端口ID最小的
步骤四：阻塞其它端口      形成无环拓扑

1.各路由器基本信息配置
2.OSPF规范配置，修改网络类型为点对点，配置被动接口
3.MPLS骨干网运行OSPF，标签分发协议为LDP
4.RT1、RT2、RT3、RT4和RT5运行MP_IPGP，RT1为MP_IPGP RR，RT2、RT3、RT4和RT5分别与RR建立MP_IBGP邻居
5.RT4的S0/1和E3/0划分到VRF SC，S0/2、E3/1划分到VRF BG，E3/2划分到VRF HUB，RT5的S0/1和E3/0划分到VRF SC，S0/2、E3/1划分到VRF BG，E3/2划分到VRF HUB
6.RT4 VRF SC与RT6运行RIP、RT4 VRF BG 与RT7配置静态路由、RT5 VRF SC与RT8运行OSPF，RT5 VRF BG与RT9运行EBGP

1.各路由器基本信息配置
2.OSPF规范配置，修改网络类型为点对点，配置被动接口
3.MPLS骨干网运行OSPF，标签分发协议为LDP
4.RT4和RT5运行MP_IPGP，利用MPLS VPN实现生产与办公业务分流
5.RT4 VRF SC与RT6运行RIP、RT4 VRF BG 与RT7配置静态路由、RT5 VRF SC与RT8运行OSPF，RT5 VRF BG与RT9运行EBGP

1.CE与PE VRF私网路由的传播
  CE全局路由表中的IPV4路由,经过PE-CE间的路由协议(可以是RIP、OSPF、EIGRP、BGP等)传播到PE相应的VRF路由表中。在PE上，与CE进行路由交换的路由协议（路由协议进程或路由协议实例）都需要绑定到相应的VRF；在绑定的VRF的接口上，只能启动本VRF的路由协议；因此 ，在PE上，CE通告过来的路由信息将交给相应的VRF路由进程或路由实例处理，并将计算出来的IPV4路由加入到该进程或该实例相对应的VRF路由表中。

组网需求：
1.各路由器基本信息配置
2.OSPF规范配置，修改网络类型为点对点
3.所有路由器运行OSPF，RT4 E3/0、RT5 E3/0 network至OSPF中，RT1E3/0重发布直连到OSPF中
4.所有路由器运行MPLS，标签分发协议为LDP
5.RT4和RT5运行IBGP，并将E3/1发布至BGP中