为公司省钱往往省不到自己身上

感觉本网站还不错的,请主动关闭浏览器的广告屏蔽功能再访问本站,谢谢支持。

28
2025
03

IPsec不同安全协议的报文封装结构对比

结合RFC2401(IPsec:RFC2401-互联网协议的安全架构)、RFC2402(AH:RFC2402-IP Authentication Header)、RFC2406(ESP:RFC2406-IP Encapsulating Security Payload)的相关说明:IPsec SA(Security Association,安全联盟)分为两种类型:传输模式和隧道模式。传输模式 SA 是两个主机之间的安全联盟。在 ESP 的情况下,传输模式 SA 仅为这些更高层协议提供安全服务,而
作者:hqy | 分类:网络实验室 | 浏览:64 | 评论:0
28
2025
03

为什么IPsec两端内网的网段能不能重复?分明可以实现

IPsec实验测试了两端不同子网的隧道打通,那能不能打通两端相同的子网呢?原则上是不行的,因为不同站点的网段在设计时就要求不能冲突,这样会影响报文的正常转发。当分支数量大于2个时,也会导致不同隧道的保护流量源目地址段重复,进而导致数据转发异常。但是,大二层网络技术都已经实现了,为什么IPsec不能用呢?我们来一步一步地分析一下具体原因和解决办法。组网需求和组网图和上个实验相同。在RT1和RT2之间建立一条IPsec隧道,对PCA(192.168.1.101/24)与PCB(192.168.1.1
作者:hqy | 分类:网络实验室 | 浏览:63 | 评论:0
28
2025
03

IKE主模式及预共享密钥认证配置

前面的文章中(IPsec:RFC2401-互联网协议的安全架构、IPsec小实验:手工方式建立保护IPv4报文的IPsec-ESP隧道、为什么IPsec两端内网的网段能不能重复?分明可以实现!、填坑:IPsec不同安全协议的报文封装结构对比、还能这么玩?Windows通过netsh命令配置IPsec、使用MMC和netsh两种方式配置Windows Server传输模式IPsec),我们用了很大篇幅来说明IPsec支持的两种封装模式:传输模式和隧道模式。传输模式SA是两个主机之间的安全联盟。在E
作者:hqy | 分类:网络实验室 | 浏览:68 | 评论:0
28
2025
03

SD-WAN网络中的IPsec流量是怎么转发的

实际应用场景中,如果和SD-WAN结合起来,很少会使用这种两端直连的场景(IKE主模式及预共享密钥认证配置)。或者说,两个子网的互通可能是通过第三台设备来实现的。举例说明一下,上次的实验中,RTB和RTC是直接建立的IPsec隧道,而实际应用中,有可能是RTA和RTB、RTC之间分别建立IPsec隧道,再实现RTB和RTC两台设备下挂子网的互通。组网需求某SD-WAN使用场景,组网使用3台路由器。图中RTA为总部设备,RTB、RTC为分支设备,RTA和RTB、RTC之间分别建立IPsec隧道,对
作者:hqy | 分类:网络实验室 | 浏览:52 | 评论:0
28
2025
03

超线程和VT-d开启与否对性能的影响大不大?

测试VPP的性能和性能调优时,我查阅了VPP官网的相关资料,其中有一条让我有点意外。对于虚拟化扩展功能,前面讲必须启用“英特尔虚拟化扩展”(用于VT-x)和VT-d(用于直接IO)以及DMA重新映射(DMAR)。VT-d启用PCIe直通所需的IOMMU虚拟化功能。此外,应启用中断重新映射,以便可以将硬件中断重新映射到VM以进行PCIe传递。但是后面又说“建议禁用VT-d一致性支持以获得更高的性能”。至于最后提到的Intel Sandy Bridge架构的CPU,如果需要高性能,则不建议使用San
作者:hqy | 分类:网络实验室 | 浏览:64 | 评论:0
28
2025
03

仅需一个公网IP地址,就能在互联网搞一张大二层网络

现在我们已经有了穿越NAT场景下的Full-Mesh组网(HPE VSR配置穿越NAT场景下的ADVPN案例),并且还知道了分支之间互访的Spoke-Spoke隧道的转发是不需要经过HUB节点的(ADVPN的S-S捷径到底有没有从总部绕转?)。我们也配置了基于IPsec VPN的VXLAN“专线”(一种基于IPsec的VXLAN“专线”解决方案),那把这几种整合起来,是不是就有了一张跨越在公网上的大二层网络交换机了呢?实验组网如下图所示:为了不受公网带宽影响,方便测试性能,3台设备我们都使用本地
作者:hqy | 分类:网络实验室 | 浏览:55 | 评论:0
28
2025
03

基于VPN虚链路的负载均衡测试成功!

我们在EVE-NG模拟器中,对基于VPN虚拟链路的负载分担进行了初步配置和简单测试,但是受限于EVE-NG模拟器的稳定性问题,最终没有实现既定的测试目标。所以,我又在VMWare中把实验环境重新部署了一遍,争取完成测试目标。实验组网组网拓扑和之前的基本相同,VSR2用于模拟公网环境,避免隧道两端直连;VSR1作为本地主机PC的网关设备,穿越VSR2设备,和VSR3建立GRE隧道,和VSR4建立L2TP隧道,和VSR5建立IPsec隧道。实验环境VMWare ESXi 6.7.0(ProLiant
作者:hqy | 分类:网络实验室 | 浏览:48 | 评论:0
28
2025
03

一个“假”的“SD-WAN”入云操作案例

某厂商分支组网场景下的SD-WAN方案,有很多同学问不就是手工配置IPsec嘛,为啥叫SD-WAN。有一篇很早的文章(来吧!听听我对SD-WAN的理解),里面大概介绍了,SDN架构的主要组成部分是三大平面(数据面、控制面和管理面)与两大接口(南向接口和北向接口)。标准场景下,网络硬件/数据转发层面的设备配置甚至流量转发都是由控制器直接控制的,但是我暂时还不具备手撸控制器的能力,所以只能手配了。所以与标准架构相比,我们缺少的主要还是控制器。回过头来看,SD-WAN的主要功能还是用比较低的成本实现分
作者:hqy | 分类:网络实验室 | 浏览:55 | 评论:0
28
2025
03

如何手工配置传统网络到SD-WAN网络的改造实施

假设有这样一张网络,其中RTA和PCA表示某公司的A分支,通过中国电信CT路由器接入互联网ISP;RTB和PCB表示某公司的B分支,通过中国联通CU路由器接入互联网ISP。DNS(8.8.8.8)表示某互联网应用。为实现A分支私网192.168.2.0/24和B分支私网192.168.3.0/24的互通,现计划使用某厂商的SD-WAN方案进打通两个内网,像下图这样简单变更一下网络。图中POP为某厂商SD-WAN方案用户接入点设备,分支侧通过接入CPE设备进行互通。为不改变现有网络结构,将CPE设
作者:hqy | 分类:网络实验室 | 浏览:60 | 评论:0
28
2025
03

PPP MP:多链路协议

RFC1990:The PPP Multilink Protocol (MP),August 1996本备忘录的状态本文档为 Internet 社区指定了 Internet 标准跟踪协议,并请求讨论和改进建议。本协议的标准化状态和现状请参考当前版本的《互联网官方协议标准》(STD 1)。本备忘录的分发不受限制。梗概本文档提出了一种跨多个逻辑数据链路拆分、重组和排序数据报文的方法。这项工作最初的动机是希望利用 ISDN 中的多个承载通道,但同样适用
作者:hqy | 分类:网络实验室 | 浏览:65 | 评论:0
28
2025
03

基础实验:VSR配置链路聚合

关于链路捆绑的文档(PPP MP:多链路协议),文中详细介绍了多链路捆绑是如何工作的,实际上就是一种跨多个逻辑数据链路拆分、重组和排序数据报文的方法。尔后我又用了多篇文章来测试虚拟机或模拟器的性能,期待找到一个能测试链路聚合效果的模拟器,但是很失望,几乎所有设备的接口都不支持强制转发速率而且转发性能大打折扣。看来用低端的设备向上升速不容易,那就只能用高端的设备向下降速了。所以本次实验选用了VSR设备,首先看一下两台测试主机直连的转发带宽。测得带宽为10.1 Gbps,也就是万兆的转发性能,也就是
作者:hqy | 分类:网络实验室 | 浏览:69 | 评论:0
28
2025
03

一条100M宽带 + 一条200M宽带 = 300M,怎么就有人不信呢?

链路聚合实际上就是一种跨多个逻辑数据链路拆分、重组和排序数据报文的方法。结合前面的另一篇文章(在服务器集群中使用 IPv6 流标签进行负载均衡),文中介绍了负载均衡(Load Balance,LB)这种集群技术,它将特定的业务(网络服务、网络流量等)分担给多台网络设备(包括服务器、防火墙等)或多条链路,从而提高了业务处理能力,保证了业务的高可靠性。其实,负载分配是一个比负载均衡稍微更笼统的术语,但负载均衡更常用。负载均衡技术一般分为服务器负载均衡和链路负载均衡,如文章(在服务器集群中使用 IPv
作者:hqy | 分类:网络实验室 | 浏览:65 | 评论:0
28
2025
03

VRF路由泄露了!

学网络的时候就总是听到有人说VRF什么的,因为华三的配置里面极少见到这个东西,一般都是说VPN实例,所以我一直以为只有思科才叫VRF。其实在MPLS L3VPN或其他场景中,不同VPN之间的路由隔离一般通过VPN实例(VPN-instance)实现,VPN实例又称为VRF(Virtual Routing and Forwarding,虚拟路由和转发)实例。设备上每个VPN实例都有相对独立的路由表和FIB(Forwarding Information Base,转发信息库),确保VPN数据的独立性
作者:hqy | 分类:网络实验室 | 浏览:56 | 评论:0
28
2025
03

eNSP如何吊打HCL

前面我们测了华三的模拟器HCL,设备性能一塌糊涂,提升设备配置都没什么效果。懂行的都说了,HCL也就是给小朋友玩的,凑合用吧。如此看来,是时候拿出华为的模拟器eNSP来操练一下了。设备的话,我们就直接上最高端的CE12800吧,而eNSP不能像HCL一样直接连接电脑的虚拟网卡,需要使用Cloud创建端口进行映射。配置Cloud1,要创建两个端口,端口类型都选择GE,一个绑定UDP,另一个绑定对应的虚拟网卡。然后在下方添加端口映射,入端口和出端口分别选择1和2,勾选双向通道就可以了。如果只添加一个
作者:hqy | 分类:网络实验室 | 浏览:69 | 评论:0
28
2025
03

VXLAN小实验:静态方式手工建立隧道

VXLAN隧道的建立方式分为手工创建和自动创建,放在华为设备上,配置方式可以分为静态方式和EVPN的方式。那今天就来敲一个静态方式手工建立VXLAN隧道的小实验。实验环境Windows7旗舰版(Xeon E5 v3@2.5GHz x16核心,32G内存)eNSP(V100R003C00SPC100)CE12800(V200R005C10SPC607B607)组网需求某公司有两个数据中心机房,A机房的服务器VM1属于VLAN 10,服务器VM2属于VLAN 20;B机房的服务器VM3属于VLAN
作者:hqy | 分类:网络实验室 | 浏览:75 | 评论:0
28
2025
03

Wireshark如何解密IPSec报文?

IPSec知识,列举常用的几个知识重点:包括AH和ESP两种安全协议,它们定义了对IP报文的封装格式以及可提供的安全服务。支持两种封装模式:传输模式和隧道模式。SA(Security Association,安全联盟)是IPsec的基础,也是IPsec的本质;IPsec在两个端点之间提供安全通信,这类端点被称为IPsec对等体。IPsec隧道实际上就是两个IPsec对等体之间建立的IPsec SA;IPsec SA是单向的,因此出方向的报文由出方向的SA保护,入方向的报文由入方向的SA来保护。用
作者:hqy | 分类:网络实验室 | 浏览:54 | 评论:0
28
2025
03

为什么“华系”设备用久了,用不了“美系”设备

为什么“华系”设备用久了,用不了“美系”设备简单回顾一下我之前做实验用到的设备:HCL模拟器及配套的虚拟设备(MSR3620、S5820V2、F1060等)、H3C NFV设备(VSR、vFW等)、eNSP模拟器等。简而言之,就是华三和华为的设备,再抽象一点,都是“华系”网络设备。最近遇到个小问题,需要给一台C9300交换机配置策略路由,本着负责任的态度,我想着从思科官网找个案例、然后在模拟器上测试一下,没问题了再指导客户进行配置。万万没想到,人生无常啊!第一步先要找配置文件。放开全英文文档不说
作者:hqy | 分类:网络实验室 | 浏览:62 | 评论:0
09
2023
01

用WireShark抓包解决StrongSwan和H3C对接失败的问题

作者:hqy | 分类:网络实验室 | 浏览:1879 | 评论:0
09
2023
01

VPP配置指南:NAT“三板斧”

作者:hqy | 分类:网络实验室 | 浏览:1401 | 评论:0
09
2023
01

使用H3C VPP时,如何配置实现两个相同网段私网的互访?

作者:hqy | 分类:网络实验室 | 浏览:1977 | 评论:0
‹‹ 1 2 3 4 ››

您的IP地址是: