文件皆一印
文件皆一印

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线

一、 组网需求

       企业的两台FW的业务接口都工作在三层,使用路由模式进行部署,上下行分别连接交换机。上行交换机连接路由器,下行连接核心交换机。路由器连接二个运营商的接入点,运营商其一为企业提供专线业务,其分配的IP地址为202.100.99.55~56(用做内部web服务映射)。运营商其二为企业提供pppoe拨号。专线业务主要用于企业业务系统为外部提供访问,员工上网使用pppoe线路。通过在路由器上部署策略路由以实现业务和上网流量的分流。

       现在希望两台FW以主备备份方式工作。正常情况下,流量通过FW-1转发。当FW-1出现故障时,流量通过FW-2转发,保证业务不中断。内网核心网络通过VRRP+MSTP的组网方式将二台5700核心交换机与汇聚交换机建立具有冗余、负载的高可靠的网络。同时AC控制器也通过vrrp的形式与二台核心交换机建立连接,为内网用户提供无线访问业务。数据中心也采用VRRP的形式与二台防火墙建立连接,并且都放置在DMZ区域。在边界出口路由器上通过配置IP SEC VPN与分部网络中心建立连接,实现集团内资源共享和业务访问。在边界出口路由器上配置NAT SERVER将内网VLAN 100中的http服务和DMZ区域VLAN 201中的ftp服务发布到外网,并配置Easy-IP允许内网100和112的用户可以上网,113网段的用户不能上网(后期更改为100和201走专线,112和113走pppoe线路上网)。为了实现内网用户可以通过公网IP访问内网的http和ftp服务,在路由器上配置域内NAT。

二、网络拓扑

  ​ 综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第1张图片

其他说明:IP SEC VPN未完成。

三、AC无线网络规划

3.1 常规AC组网方式

(1)单节点(无冗余)

(2)双链路双机热备(AP同时与主备AC建立CAPWAP隧道,也需要通过HSB通道同步业务信息)

(3)VRRP双机热备(AC之间通过HSB同步业务信息和用户信息)

(4)特殊情况就是我这个网络拓扑,因为现网只有一个AC,且核心又做了VRRP,只能采用这种组网方式规划AC。(其实现在基本都在采用交换机虚拟机技术,VRRP在核心层的组网还是少了)

3.2 网络规划

(1)AC组网方式为三层组网,直接转发模式。

(2)AC:172.20.20.253,SWA:172.20.20.1,SWB:172.20.20.2。业务网段暂时与有线网段一样,分别为VALN100,VALN112和VALN113。

(3)VRRP组VID:88,虚拟网关地址为:172.20.20.254。SWA为主,SWB为备。

问题:(应该是ensp的bug,真机或者没有这个问题)

       默认情况下AC上STP功能是禁用的。在主SWA正常的情况下,AC上开启stp enable对无线业务无影响(如果不开启stp服务,网络会出现环路),AP能与AC建立CAPWAP隧道。但是假如主SWA的G0/0/2口出现故障或SWA与AC之间的链路出现故障,或者是SWA出现当机后。SWA和SWB之间的主备VRRP组能正常切换,但是当SWB成为主后,AP始终无法上线,从AP或SWB上无法ping通AC的172.20.20.253。同样从AC上无法ping通VRRP虚拟网关172.20.20.254。

       此种情况下,如果在AC上执行undo stp enable后(或者全局stp enable,然后在G0/0/2接口下执行stp disable),AP能与AC建立CAPWAP隧道,无线网络恢复正常,STA也能搜索到ssid并能连接上,且访问外网正常。如下:

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第2张图片

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第3张图片

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第4张图片

四、IP SEC VPN规划

未完成

五、IP地址规划

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第5张图片

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第6张图片

   综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第7张图片

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第8张图片

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第9张图片

六、配置思路

6.1 防火墙部署位置

      防火墙上连路由器,下连三层交换机。为了解决路由器接口不足问题,在防火墙和路由器之间接入一个二层汇聚交换机。上行VRRP虚拟网关地址 1.1.1.1/24 ,采用双链路双网关确保出口正常使用。下行VRRP虚拟网关地址 172.16.200.254/24,采用双链路双网关确保核心网络正常使用。

6.2 配置防火墙主备

      二台防火墙做主备备份,其中FW-1为主,FW-2为备。二台防火墙通过心跳线监测VRRP的状态和故障切换。FW-1上配置接口track,一旦发生接口故障或链路故障,Master和Backup角色将进行互换。FW-1上配置角色抢占功能(hrp preempt delay 20),当FW-1接口或链路故障恢复正常后,将在20秒后进行Master角色抢占。

6.3 配置安全策略

     在主FW-1上创建二条策略(会自动同步到FW-2上)。①允许trust区域到untrust区域的流量访问 ②允许hrp区域hrp区域的流量访问,此策略主要是为了让二台防火墙之间的vrrp心跳报文能正常传输。③允许从外网访问企业内部的web服务,指定外网可以访问目标服务器172.21.100.80和172.16.201.80。

6.4 策略路由

      规划核心业务系统(VLAN100 VLAN201网段)从专线出去,在R1上做策略路由并将配置下一跳的地址为202.100.99.2。普通上网流量走PPPOE拨号线路。在R1上配置一条默认路由,下一跳为Dialer1并调用NQA,同时配置一条到202.100.99.2的默认路由,优先级为65。

6.5 NAT策略

      在R1上做NAT Server上。同时为了能让内网用户通过公网IP访问HTTP服务器,在GE 0/0/1内网口做域内NAT+NAT Server(双向NAT),服务器映射关系如下:

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第10张图片

FW-1配置

#配置设备名称
sysname FW1
#配置HRP

hrp enable
 hrp interface GigabitEthernet1/0/6 remote 172.16.202.2
 hrp mirror session enable

 hrp adjust ospf-cost enable
 hrp standby config enable
 hrp track interface GigabitEthernet1/0/0
 hrp track interface GigabitEthernet1/0/2
 hrp track ip-link ppp0e

#配置防火墙安全防护

 firewall defend time-stamp enable
 firewall defend route-record enable
 firewall defend source-route enable
 firewall defend winnuke enable
 firewall defend fraggle enable
 firewall defend ping-of-death enable
 firewall defend smurf enable
 firewall defend land enable
 firewall defend action discard
#配置ip-link,监测上联口线路健康状态

ip-link check enable
ip-link name ppp0e
 destination 1.1.1.10 mode icmp
#配置Trust区域 接口IP和VRRP,允许ping服务
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 172.16.200.253 255.255.255.0
 vrrp vrid 200 virtual-ip 172.16.200.254 active
 service-manage ping permit
#配置Untrust区域 接口IP和VRRP,允许ping服务
interface GigabitEthernet1/0/2
 shutdown
 ip address 172.16.21.1 255.255.255.0
 vrrp vrid 16 virtual-ip 1.1.1.1 255.255.255.0 active
 service-manage ping permit
#配置心跳口IP,允许ping服务

interface GigabitEthernet1/0/6
 undo shutdown
 ip address 172.16.202.1 255.255.255.0
 service-manage ping permit
#配置环回口,用于ospf route-id

interface LoopBack1
 ip address 11.11.11.11 255.255.255.0
#将接口加入trust区域

firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/0
#将接口加入untrust区域
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/2
#将接口加入dmz区域
firewall zone dmz
 set priority 50

add interface GigabitEthernet1/0/1
#创建hrp区域,优先级为4(此值可随意设置) ,将接口加入该区域
firewall zone name hrp id 4
 add interface GigabitEthernet1/0/6
#配置OSPF动态路由,将直接路由发布到网络中
ospf 1 router-id 11.11.11.11
 default-route-advertise
 area 0.0.0.0
  network 172.16.21.0 0.0.0.255
  network 172.16.200.0 0.0.0.255
  network 172.16.201.0 0.0.0.255
  network 172.16.202.0 0.0.0.255
#配置默认静态路由,下一跳是1.1.1.10,并调用ip-link监测线路
ip route-static 0.0.0.0 0.0.0.0 1.1.1.10 track ip-link ppp0e
#配置安全策略

security-policy
 default action permit
 rule name hrp2hrp
  source-zone hrp
  destination-zone hrp
  action permit
 rule name trust2untrust
  source-zone trust
  destination-zone untrust
  action permit

 rule name untrust2trust
  source-zone untrust
  destination-zone trust dmz
  destination-address 172.21.100.80
  destination-address 172.16.201.80
  action permit
#

FW-2配置

#
sysname FW2
#
 hrp enable
 hrp interface GigabitEthernet1/0/6 remote 172.16.202.1
 hrp mirror session enable

 hrp adjust ospf-cost enable
 hrp standby config enable
#

 firewall defend time-stamp enable
 firewall defend route-record enable
 firewall defend source-route enable
 firewall defend winnuke enable
 firewall defend fraggle enable
 firewall defend ping-of-death enable
 firewall defend smurf enable
 firewall defend land enable
 firewall defend action discard
#

interface GigabitEthernet1/0/0
 undo shutdown
 ip address 172.16.200.252 255.255.255.0
 vrrp vrid 200 virtual-ip 172.16.200.254 standby
 service-manage ping permit
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 172.16.201.252 255.255.255.0
 vrrp vrid 201 virtual-ip 172.16.201.254 standby
 service-manage ping permit
#
interface GigabitEthernet1/0/2
 undo shutdown
 ip address 172.16.21.2 255.255.255.0
 vrrp vrid 16 virtual-ip 1.1.1.1 255.255.255.0 standby
 service-manage ping permit
 #

interface GigabitEthernet1/0/6
 undo shutdown
 ip address 172.16.202.2 255.255.255.0
#
interface Virtual-if0
#
interface LoopBack1
 ip address 12.12.12.12 255.255.255.0
#

firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/2

#将接口加入dmz区域
firewall zone dmz
 set priority 50

add interface GigabitEthernet1/0/1

#
firewall zone name hrp id 4
 add interface GigabitEthernet1/0/6
#
ospf 1 router-id 12.12.12.12
 default-route-advertise
 area 0.0.0.0
  network 172.16.21.0 0.0.0.255
  network 172.16.200.0 0.0.0.255
  network 172.16.201.0 0.0.0.255
  network 172.16.202.0 0.0.0.255
#配置默认静态路由,下一跳是1.1.1.10,备用墙不需要调用IP-LINK。
ip route-static 0.0.0.0 0.0.0.0 1.1.1.10
#

security-policy
 default action permit
 rule name hrp2hrp
  source-zone hrp
  destination-zone hrp
  action permit
 rule name trust2untrust
  source-zone trust
  destination-zone untrust
  action permit

 rule name untrust2trust
  source-zone untrust
  destination-zone trust dmz
  destination-address 172.21.100.80
  destination-address 172.16.201.80
  action permit
#

二层交换机配置

#
sysname Huawei
#
undo info-center enable
#创建VLAN
vlan batch 10 16
#配置VLAN10 IP地址
interface Vlanif10
 ip address 10.1.1.1 255.255.255.0
#配置VLAN16 IP地址
interface Vlanif16
 ip address 1.1.1.10 255.255.255.0
#将接口加入VLAN 10
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 10
#将接口加入VLAN 16
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 16
#将接口加入VLAN 16
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 16
#配置静态路由,默认路由下一跳地址为路由品的内网接口。其他二个网段的下一跳为VRRP备份组16的虚拟IP地址
ip route-static 0.0.0.0 0.0.0.0 10.1.1.2
ip route-static 172.16.0.0 255.255.0.0 1.1.1.1
ip route-static 172.21.0.0 255.255.0.0 1.1.1.1
#

R1路由器配置

#
 sysname R1
#配置ACL

#

acl number 2000  ----------------定义用于进行策略路由的网段。即HTTP服务和数据中心的FTP服务器网段。

 description server-PBR

 rule 15 permit source 172.16.201.0 0.0.0.255

 rule 20 permit source 172.21.100.0 0.0.0.255

acl number 2001  ----------------定义允许通过PPPOE拨号线路上网的网段

 description permit-pcnat-pppoe

 rule 5 permit source 172.21.112.0 0.0.0.255

 rule 10 permit source 172.21.113.0 0.0.0.255

acl number 2002  ----------------用于内网做源NAT的网段,即所有内网的网段都可以通过公网IP地址访问HTTP服务器和FTP服务器

 description source-NAT

 rule 5 permit source 172.21.100.0 0.0.0.255

 rule 10 permit source 172.21.112.0 0.0.0.255

 rule 15 permit source 172.21.113.0 0.0.0.255

 rule 20 permit source 172.16.201.0 0.0.0.255

#

acl number 3002  ----------------定义从172.21.100.80172.16.201.80到内网口的IP访问的流量不做PBR转换。从而保证内网用户在能通过公网IP访问这二台服务器。

 description NO-PBR NAT

 rule 5 permit ip source 10.1.1.2 0 destination 172.16.201.80 0

 rule 6 permit ip source 10.1.1.2 0 destination 172.21.100.80 0

 rule 25 permit ip source 172.16.201.80 0 destination 10.1.1.2 0

 rule 27 permit ip source 172.21.100.80 0 destination 10.1.1.2 0

##配置NAT 地址池表
 nat address-group 1 202.100.99.55 202.100.99.56
#在外网口配置Easy-IP和NAT SERVER
interface GigabitEthernet0/0/0

 description ISP

 ip address 202.100.99.1 255.255.255.0

 nat server protocol tcp global 202.100.99.55 www inside 172.21.100.80 www

 nat server protocol tcp global 202.100.99.56 www inside 172.16.201.80 www

 nat outbound 2000

#在R1 G0/0/1内网口配置Easy-IP和NAT SERVER
#

interface GigabitEthernet0/0/1

 description SW2

 ip address 10.1.1.2 255.255.255.0

 traffic-policy server2-policy inbound------------应用流策略,方向为inbound

 nat server protocol tcp global 202.100.99.55 www inside 172.21.100.80 www

 nat server protocol tcp global 202.100.99.56 www inside 172.16.201.80 www

 nat outbound 2002---------------------------应用acl,允许内网做nat转化。

#

#配置策略路由

#

traffic classifier server-policy operator or

 if-match acl 2000

traffic classifier no-policy operator or

 if-match acl 3002

#

traffic behavior server-policy-b1

 redirect ip-nexthop 202.100.99.2 track nqa test 202----------指定下一跳的地址为202.100.99.2,并调用NQA。

traffic behavior no-policy-b1-----------默认动作是不执行策略转换

#

traffic policy server2-policy

 classifier no-policy behavior no-policy-b1-------不做策略路由转换的放在前面。调用流分类、流行为。

 classifier server-policy behavior server-policy-b1-------做策略路由转换的放在最后面。调用流分类、流行为。

#

#配置连接PPPOE的接口,调用拨号。

#

interface GigabitEthernet0/0/2

 pppoe-client dial-bundle-number 1

 description PPPOE-SERVER

#

#配置PPPOE客户端

dialer-rule

 dialer-rule 1 ip permit

interface Dialer1

 link-protocol ppp

 ppp chap user test

 ppp chap password cipher %$%$6VUfY9bEj7QM@BX#Y>72,7S#%$%$

 ip address ppp-negotiate

 dialer user test

 dialer bundle 1

 dialer-group 1

 nat outbound 2001

#配置NQA

nqa test-instance test 202

 test-type icmp

 destination-address ipv4 202.100.99.2

 frequency 10

interval seconds 5

 probe-count 2

 start now

nqa test-instance test dialer

 test-type icmp

 destination-address ipv4 8.8.8.8

 frequency 20-------这个时间要比interval和probe-count的高。

 interval seconds 5

 probe-count 2

 source-interface Dialer1-------指定源接口为Dialer1,不能写接口!

#


#配置环回口IP
interface LoopBack1
 ip address 10.10.10.10 255.255.255.0
#配置静态路由

ip route-static 0.0.0.0 0.0.0.0 Dialer1 track nqa test dialer

ip route-static 0.0.0.0 0.0.0.0 202.100.99.2 preference 65

ip route-static 1.1.1.0 255.255.255.0 10.1.1.1

ip route-static 172.16.0.0 255.255.0.0 10.1.1.1

ip route-static 172.21.0.0 255.255.0.0 10.1.1.1

#

验证:R1从PPPOE服务器获取到IP地址

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第11张图片

 实战分享:华为AR1220配置 PPPOE拨号

#创建拨号规则,名称为1,允许ip流量通过
dialer-rule                               
 dialer-rule 1 ip permit 
#创建拨号口Dialer 1
interface Dialer1                         
 link-protocol ppp                        
 ppp chap user [email protected]          
 ppp chap password cipher %^%#'&:3('MiOWZ/4W:*`IGY)m:I8{Y[91^Y0HJixo,2%^%#
 ppp ipcp dns admit-any                   
 ppp ipcp dns request                     
 tcp adjust-mss 1200                      
 ip address ppp-negotiate                 
 dialer user [email protected]            
 dialer bundle 1                          
 dialer number 1 autodial                 
 dialer-group 1                           
 nat outbound 3399                        
 ip accounting input-packets    #统计入流量数据所包          
 ip accounting output-packets   #统计出流量数据所包 
#将拨号Dialer 1应用到WAN口
interface GigabitEthernet0/0/9            
 pppoe-client dial-bundle-number 1        
 description connect_PPPOE  
#创建acl,允许内网用户上网
acl number 3399                           
 rule 5 permit ip  
#配置静态路由
ip route-static 0.0.0.0 0.0.0.0 Dialer1  
#调整负载均衡算法,配置基于源IP地址方式进行负载分担
ip load-balance hash src-ip
#启用http服务和修改默认端口,并将内网口配置为管理地址
 http secure-server port 8443             
 http secure-server ssl-policy default_policy
 http server enable                       
 http secure-server enable                
 http server permit interface GigabitEthernet0/0/0

(2)display ip interface brief查看获取到的动态公网IP

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第12张图片

(3)Web管理登录

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第13张图片

输入用户名和密码登录

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第14张图片

查看接口配置

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第15张图片

电信专线

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第16张图片

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第17张图片 PPPOE

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第18张图片

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第19张图片

 查看PPPOE接口详情

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第20张图片

源NAT(外网访问)

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第21张图片

目的NAT(内部服务发布到外网)

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第22张图片

查看路由表

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第23张图片

实战分享:AR配置智能选路(策略路由)

1.创建acl
#
acl name dianxin 3001  
 rule 5 permit ip source 192.168.10.0 0.0.0.255 
 rule 10 permit ip source 192.168.100.0 0.0.0.255 
 rule 15 permit ip source 172.10.10.0 0.0.0.255 
acl name pppoe 3002  
 rule 5 permit ip source 192.168.88.0 0.0.0.255 
 rule 10 permit ip source 192.168.87.0 0.0.0.255 
acl number 3388  
 rule 15 permit ip source 192.168.9.0 0.0.0.255 destination 172.10.10.1 0 
 rule 16 permit ip source 192.168.10.0 0.0.0.255 destination 172.10.10.1 0 
 rule 17 permit ip source 172.10.10.1 0 destination 192.168.10.0 0.0.0.255 
 rule 18 permit ip source 172.10.10.1 0 destination 192.168.9.0 0.0.0.255 
acl number 3399  
 rule 5 permit ip 
#
2.创建流分类   //将acl与流行为进行绑定
#
traffic classifier 10.0 
 if-match acl ip10.0
traffic classifier tc88 
 if-match acl 3002
traffic classifier tc1 
 if-match acl 3388
traffic classifier tc10 
 if-match acl 3001
#
3.创建流行为   //指定符合acl规则的数据下一跳出口地址
#
traffic behavior tb88   //创建流行为tb88,指定下一跳地址为Dialer1,并绑定nqa探测。
 redirect interface Dialer1 track nqa test adsl
traffic behavior 10.0
 statistic enable    //启用流量统计功能
 car cir 16384 pir 65536 cbs 32768 pbs 65536 mode color-blind green pass yellow pass red discard  //在流行为中配置限速功能,cir限速16384kbps/8=2028Kbps=2M,pir峰值最大65536kbps/8=8192Kbps=8M。
traffic behavior tb1   //创建流行为tb1 
traffic behavior tb10   //创建流行为tb10,指定下一跳地址为专线对端公网IP地址,并绑定nqa探测。
 redirect ip-nexthop 183.63.212.xxx track nqa test dianxin
#
4.创建流策略    //将流分类和流行为进行绑定
#
traffic policy tp1
 classifier tc1 behavior tb1 
traffic policy tp10
 classifier tc10 behavior tb10 
traffic policy ip10.0
 classifier 10.0 behavior 10.0 
traffic policy znsl
 classifier tc1 behavior tb1    //将不执行的数据放在流策略的最前面
 classifier tc10 behavior tb10 
 classifier tc88 behavior tb88 
#
5.在AR路由器的内网接口上应用流策略znsl
#
interface GigabitEthernet0/0/0
 undo portswitch
 description connect_LAN
 ip address 172.10.10.1 255.255.255.252
 nat server protocol tcp global interface GigabitEthernet 0/0/8 9999 inside 192.168.10.31 9999
 nat server protocol tcp global interface GigabitEthernet 0/0/8 8899 inside 192.168.10.35 8899
 nat outbound 3388 
 traffic-policy znsl inbound
 ip accounting input-packets   //启用接口流量统计
 ip accounting output-packets  //启用接口流量统计
#
6.创建nqa探测
#
nqa test-instance test adsl
 test-type icmp
 destination-address ipv4 114.114.114.114
 frequency 20
 interval seconds 5
 probe-count 2
 source-interface Dialer1
 start now
nqa test-instance test dianxin
 test-type icmp
 destination-address ipv4 183.63.212.xxx
 source-address ipv4 183.63.212.xxx
 frequency 20
 interval seconds 5
 probe-count 2
 start now
#
7.在默认路由中绑定nqa
#
ip route-static 0.0.0.0 0.0.0.0 183.63.212.xxx track nqa test dianxin
ip route-static 0.0.0.0 0.0.0.0 Dialer1 track nqa test adsl
#

ISP路由器(模拟专线)

#配置外网专线IP地址

interface GigabitEthernet0/0/0

 ip address 202.100.99.2 255.255.255.0

#配置

interface GigabitEthernet0/0/1

 ip address 23.1.1.1 255.255.255.0

#配置环回口IP地址

interface LoopBack1

 ip address 123.1.1.10 255.255.255.0

#配置静态路由

ip route-static 0.0.0.0 0.0.0.0 202.100.99.1

#

PPPOE路由器

#配置名称

 sysname pppoe-server

#为pppoe客户端创建地址池,指定获取的IP地址范围

ip pool server

 gateway-list 12.1.1.254

 network 12.1.1.0 mask 255.255.255.0

 dns-list 8.8.8.8 12.1.1.254

#创建虚拟接口模板,配置ppp认证模式为chap,远端地址服务IP为12.1.1.254

interface Virtual-Template1

 ppp authentication-mode chap

 remote address pool server-------指定远程地址池服务名称,为server。

 ip address 12.1.1.254 255.255.255.0 ---------配置虚拟接口模板IP地址

#配置与远端路由器客户端连接的接口,并绑定虚拟接口模板。前面要指定pppoe-server

interface GigabitEthernet0/0/0

 pppoe-server bind Virtual-Template 1

#配置环回口IP地址,用于测试。

interface LoopBack1

 ip address 8.8.8.8 255.255.255.0

#配置console口认证方式为password,不需要输入用户名。如需要用户名则将authentication-mode改为aaa。

user-interface con 0

 authentication-mode password //改为aaa,则调用aaa里创建的用户进行登录验证

 set authentication password cipher %$%$dOl1D^1~%NiqZ\It=rO0,Sk:<%xoQi2bTVr{8z0.

TvT5Sk=,%$%$ 密码:Huawei@123

user privilege level 15-------设置用户等级,15为最高

idle-timeout 15------设置超时15后自动退出

#

user-interface vty 0 4

 authentication-mode aaa

 protocol inbound all

#配置aaa认证  用户名、密码和服务类型、用户级别等。(用户名:huawei,密码:Huawei@123)

aaa

local-user huawei password cipher %$%$xuM(I4Sc)W$H^QGZ-b[SfD;y%$%$

 local-user huawei privilege level 15

 local-user huawei service-type telnet terminal ssh

#验证console口配置aaa认证效果

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第24张图片

查看地址池信息

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第25张图片

查看已从PPPOE服务器上获取到IP地址的用户

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第26张图片

SWA配置

//在真机环境中一般需要给每个设备配置管理IP。另外,需要启用arp攻击防护,如丢弃ARP免费报文,ARP表项严格学习等。时区和时钟也要进行设置,可在核心交换机上启用ntp服务,最好为核心交换机配置外网的NTP服务器,同时其他网络设备均使用核心交换机作为源NTP服务器。

(1)arp攻击防护配置

arp learning strict                                         
arp speed-limit source-ip 192.168.100.3 maximum 300    #对另一个分公司的汇聚交换机进行arp限速
arp anti-attack entry-check fixed-mac enable
arp gratuitous-arp send enable

(2)在用户视图下配置时间(有些设备可以在系统视图下配置)

clock datetime ?
  HH:MM:SS  Specify the time

clock datetime 14:33:30 ?
  YYYY-MM-DD  Specify the date from 2000 to 2037

clock datetime 14:33:30 2022-10-08

(3)配置时区及NTP服务

clock timezone BJ add 08:00:00                                  
ntp-service server disable        #开启ntp服务      
ntp-service ipv6 server disable   #开启ntp ipv6服务   
ntp-service refclock-master 3     #主时间服务器,使用本地时钟作为NTP主时钟,层数为3,这个按需配置,也可不配置     
ntp-service unicast-server 120.25.115.20  #阿里云ntp1
ntp-service unicast-server 203.107.6.88   #阿里云ntp2

——————————————————————————————————————————————————

1.给交换机命名
#
sysname SWA
#

2.创建vlan
#
vlan batch 88 100 112 to 113 200 to 201

3.配置stp实例主备,配置SWA为Instance 0主根,为Instance 1主根和为Instance 2备根
#
stp instance 0 root primary
stp instance 1 root primary
stp instance 2 root secondary
#
4.配置stp路径开销算法(现网可配可不配)
#
stp pathcost-standard legacy
#

5.配置MSTP,实例1承载VALN 100和VLAN 112的流量,实例2承载VLAN 113的流量
#
stp region-configuration
 region-name test
 instance 1 vlan 100 112
 instance 2 vlan 113
 active region-configuration
#
6.配置DHCP全局地址池表
#创建AP地址池,为AP分发管理IP。
ip pool ap
 gateway-list 172.20.20.254
 network 172.20.20.0 mask 255.255.255.0
 excluded-ip-address 172.20.20.1 172.20.20.2
 excluded-ip-address 172.20.20.253
 dns-list 114.114.114.114
 option 43 sub-option 3 ascii 199.10.10.1

7.创建VLAN100地址池
#
ip pool server
 gateway-list 172.21.100.254
 network 172.21.100.0 mask 255.255.255.0
 dns-list 114.114.114.114
#
创建VLAN112地址池
#
ip pool vlanif112
 gateway-list 172.21.112.254
 network 172.21.112.0 mask 255.255.255.0
 excluded-ip-address 172.21.112.253
 dns-list 114.114.114.114
#
创建VLAN113地址池
#
ip pool vlanif113
 gateway-list 172.21.113.254
 network 172.21.113.0 mask 255.255.255.0
 excluded-ip-address 172.21.113.253
 dns-list 114.114.114.114
#
8.配置Vlan88 IP地址和VRRP,此为与AC连接的主链路,所以优先级设置为120。
#
interface Vlanif88
 ip address 172.20.20.1 255.255.255.0
 vrrp vrid 88 virtual-ip 172.20.20.254
 vrrp vrid 88 priority 120
 vrrp vrid 88 preempt-mode timer delay 10
 vrrp vrid 88 track interface GigabitEthernet0/0/2 reduced 30
#
配置Vlanif100 IP地址和VRRP,启用DHCP全局模式
interface Vlanif100
 ip address 172.21.100.1 255.255.255.0
 vrrp vrid 100 virtual-ip 172.21.100.254
 vrrp vrid 100 priority 120
 vrrp vrid 100 track interface GigabitEthernet0/0/24 reduced 30
 vrrp vrid 100 track interface GigabitEthernet0/0/23 reduced 30
 vrrp vrid 100 track interface GigabitEthernet0/0/1 reduced 30
 dhcp select global
#
配置Vlanif112 IP地址和VRRP,启用DHCP全局模式
interface Vlanif112
 ip address 172.21.112.1 255.255.255.0
 vrrp vrid 112 virtual-ip 172.21.112.254
 vrrp vrid 112 priority 120
 vrrp vrid 112 track interface GigabitEthernet0/0/23 reduced 30
 vrrp vrid 112 track interface GigabitEthernet0/0/24 reduced 30
 vrrp vrid 112 track interface GigabitEthernet0/0/1 reduced 30
 dhcp select global
#
配置Vlanif113 IP地址和VRRP,启用DHCP全局模式
interface Vlanif113
 ip address 172.21.113.1 255.255.255.0
 vrrp vrid 113 virtual-ip 172.21.113.254
 dhcp select global
#
interface Eth-Trunk1
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
 mode lacp-static
 load-balance dst-ip
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 200
#允许88 100 112 113VLAN通过,这个是为了保证让AP能与AC通信。
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 88 100 112 to 113
#

9.将GigabitEthernet0/0/3和GigabitEthernet0/0/4加入Eth-trunk1组
interface GigabitEthernet0/0/3
 eth-trunk 1
#
interface GigabitEthernet0/0/4
 eth-trunk 1
#
10.配置下级联端口
interface GigabitEthernet0/0/23
 port link-type trunk
 port trunk allow-pass vlan 88 100 112 to 113
#
interface GigabitEthernet0/0/24
 port link-type trunk
 port trunk allow-pass vlan 88 100 112 to 113
#
11.创建圆环接口并配置IP地址
#
interface LoopBack1
 ip address 3.3.3.3 255.255.255.255
#
12.配置ospf路由
ospf 1 router-id 3.3.3.3
 silent-interface Vlanif100
 silent-interface Vlanif112
 silent-interface Vlanif113
 area 0.0.0.0
  network 172.21.100.0 0.0.0.255
  network 172.21.112.0 0.0.0.255
  network 172.21.113.0 0.0.0.255
  network 172.16.200.0 0.0.0.255
  network 172.16.201.0 0.0.0.255
#
13.创建一条指向AC环回口的静态路由(不配这条实验中STA无法连接上AP)
ip route-static 199.10.10.0 255.255.255.0 172.20.20.253
#

SWB配置 

1.给交换机命名
#
sysname SWB
#

2.创建vlan
#
vlan batch 88 100 112 to 113 200 to 201
#

3.配置stp实例主备
#
stp instance 0 root secondary
stp instance 1 root secondary
stp instance 2 root primary

4.配置stp路径开销算法(现网可配可不配)
#
stp pathcost-standard legacy
#
5.配置MSTP,实例1承载VALN 100和VLAN 112的流量,实例2承载VLAN 113的流量
stp region-configuration
 region-name test
 instance 1 vlan 100 112
 instance 2 vlan 113
 active region-configuration
#

6.配置DHCP全局地址池表
#创建AP地址池,为AP分发管理IP。
ip pool ap
 gateway-list 172.20.20.254
 network 172.20.20.0 mask 255.255.255.0
 dns-list 114.114.114.114 
 option 43 sub-option 3 ascii 199.10.10.1
#

7.创建VLAN100地址池
#
ip pool server
 gateway-list 172.21.100.254
 network 172.21.100.0 mask 255.255.255.0
 dns-list 114.114.114.114
#创建VLAN112地址池
ip pool vlanif112
 gateway-list 172.21.112.254
 network 172.21.112.0 mask 255.255.255.0
 dns-list 114.114.114.114
#创建VLAN113地址池
ip pool vlanif113
 gateway-list 172.21.113.254
 network 172.21.113.0 mask 255.255.255.0
 dns-list 114.114.114.114
#配置连接AC的备链路,VRRP优先级保持默认。
interface Vlanif88
 ip address 172.20.20.2 255.255.255.0
 vrrp vrid 88 virtual-ip 172.20.20.254
#配置Vlanif100 IP地址和VRRP,启用DHCP全局模式
interface Vlanif100
 ip address 172.21.100.2 255.255.255.0
 vrrp vrid 100 virtual-ip 172.21.100.254
 dhcp select global
#配置Vlanif112 IP地址和VRRP,启用DHCP全局模式
interface Vlanif112
 ip address 172.21.112.2 255.255.255.0
 vrrp vrid 112 virtual-ip 172.21.112.254
 dhcp select global
#配置Vlanif113 IP地址和VRRP,启用DHCP全局模式
interface Vlanif113
 ip address 172.21.113.2 255.255.255.0
 vrrp vrid 113 virtual-ip 172.21.113.254
 vrrp vrid 113 priority 120
 vrrp vrid 113 preempt-mode timer delay 10
 vrrp vrid 113 track interface GigabitEthernet0/0/1 reduced 30
 vrrp vrid 113 track interface GigabitEthernet0/0/24 reduced 30
 dhcp select global
#
interface Vlanif200
 ip address 172.16.200.2 255.255.255.0
#
interface Eth-Trunk1
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
 mode lacp-static
 load-balance dst-ip
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 200
#允许AP组VLAN88通过
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 88 100 112 to 113
#将端口加入Eth-trunk组中
interface GigabitEthernet0/0/3
 eth-trunk 1
#将端口加入Eth-trunk组中
interface GigabitEthernet0/0/4
 eth-trunk 1
#
interface GigabitEthernet0/0/23
 port link-type trunk
 port trunk allow-pass vlan 88 100 112 to 113
#
interface GigabitEthernet0/0/24
 port link-type trunk
 port trunk allow-pass vlan 88 100 112 to 113
 stp root-protection
#
interface LoopBack1
 ip address 13.13.13.13 255.255.255.255
#
8.配置ospf路由
ospf 1 router-id 13.13.13.13
 silent-interface Vlanif100         #在真机环境中发现将vlanif接口静默后,设备之间的ospf的邻居关系无法建立。
 silent-interface Vlanif112
 silent-interface Vlanif113
 area 0.0.0.0
  network 13.13.13.13 0.0.0.0       #在真机环境中,要把loopBack1也宣告进来
  network 172.21.100.0 0.0.0.255
  network 172.21.112.0 0.0.0.255
  network 172.21.113.0 0.0.0.255
  network 172.16.200.0 0.0.0.255
  network 172.16.201.0 0.0.0.255

9.创建一条指向AC环回口的静态路由(不配这条实验中STA无法连接上AP)
#
ip route-static 199.10.10.0 255.255.255.0 172.20.20.253
#

AC配置

一、网络配置

#

 sysname AC

#

vlan batch 88 100 112 to 113

#全局模式下启用stp,防止环路。

stp enable

#

dhcp enable

#

interface Vlanif88

 ip address 172.20.20.253 255.255.255.0

#

interface GigabitEthernet0/0/1

 port link-type trunk

 undo port trunk allow-pass vlan 1

 port trunk allow-pass vlan 88 100 112 to 113

#

interface GigabitEthernet0/0/2

 port link-type trunk

 undo port trunk allow-pass vlan 1

 port trunk allow-pass vlan 88 100 112 to 113

#

interface LoopBack0

 ip address 199.10.10.1 255.255.255.0

#配置默认路由,下一路地址为虚拟网关网址

ip route-static 0.0.0.0 0.0.0.0 172.20.20.254

#配置CAPWAP隧道为Loopback口地址

capwap source ip-address 199.10.10.1

二、WLAN配置

2.1 创建域管理模板

regulatory-domain-profile name huawei1

2.2 创建AP组

ap-group name BG-WIFI

ap-group name SH-WIFI

2.3 离线添加AP

a.配置AP上线认证方式(三种认证方式:不认证,MAC和SN序列号。默认为MAC地址认证)

[AC-wlan-view]ap auth-mode ?

  mac-auth  MAC authenticated mode, default authenticated mode

  no-auth   No authenticated mode

  sn-auth   SN authenticated mode

b.离线注册AP的方式由上面选择的认证方式决定

[AC-wlan-view]ap-mac ?

  ap-id    AP ID

  ap-sn    AP SN

  ap-type  AP type

  type-id  AP type ID

c.这里按默认的,选择MAC地址认证方式。

[AC-wlan-view]ap-mac 00e0-fcb3-6c70

d.为上线的AP修改一个名称(比较重要呀,如果公司里一堆AP,不知道是那个名称,真的搞死人,还有AP到POE交换机的线标也很重要)

[AC-wlan-view]ap-name ?

  STRING<1-31>  AP name

2.4 将AP加入AP组

[AC-wlan-view]ap-id 0  BG-WIFI

[AC-wlan-view]ap-id 1  SH-WIFI

2.5 配置安全模板

[AC-wlan-view]security-profile name huaweise

[AC-wlan-sec-prof-huaweise] security wpa-wpa2 psk pass-phrase %^%#&*J/OC~ah8*oMP:qhQ5#y%QrJ'SffByAx#)kO,Y4

%^%# aes

[AC-wlan-view]security-profile name huaweise1

[AC-wlan-sec-prof-huaweise1] security open

2.6 配置SSID模板

[AC-wlan-view]ssid-profile name huaweivap

[AC-wlan-ssid-prof-huaweivap]ssid bg-wifi

[AC-wlan-view]ssid-profile name huaweivap2

[AC-wlan-ssid-prof-huaweivap]ssid sh-wifi

2.7 配置VAP模板(引用安全模板和SSID模板)

[AC-wlan-view]vap-profile name vap1

[AC-wlan-vap-prof-vap1]service-vlan vlan-id 100

[AC-wlan-vap-prof-vap1]ssid-profile huaweivap2

[AC-wlan-vap-prof-vap1]security-profile huaweise

[AC-wlan-view]vap-profile name vap2

[AC-wlan-vap-prof-vap1]service-vlan vlan-id 113

[AC-wlan-vap-prof-vap1]ssid-profile huaweivap

[AC-wlan-vap-prof-vap1]security-profile huaweise1

2.8 在AP组中引用VAP模板和域安全管理模板

[AC-wlan-view]ap-group name BG-WIFI

[AC-wlan-ap-group-BG-WIFI] regulatory-domain-profile huawei1

[AC-wlan-ap-group-BG-WIFI]vap-profile vap2 wlan 1 radio all

[AC-wlan-view]ap-group name SH-WIFI

[AC-wlan-ap-group-BG-WIFI] regulatory-domain-profile huawei1

[AC-wlan-ap-group-BG-WIFI]vap-profile vap1 wlan 1 radio all

三、验证

查看STP

执行display ap all查看所有AP上线情况综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第27张图片

查看AP获取IP地址信息综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第28张图片

通过抓包查看AP与AC建立CAPWAP隧道综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第29张图片

三、使用ap-id更改AP名称

[AC-wlan-view]ap-id 0---------------通过dis ap all确认AP的ID号

[AC-wlan-ap-0]ap-name 2F#201综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第30张图片

四、STA连接AP,测试网络

Sh-wifi采用WPA/WPA2 PSK认证方式,这里输入设置的密码Huawei@123进行连接

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第31张图片

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第32张图片

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第33张图片

Bg-wifi使用Open认证方式,不需要密码验证,直接双击就可以连接

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第34张图片

模拟SWA核心当机后,STA客户端仍然能正常访问外网。

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第35张图片

查看SWB上VRRP信息:

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第36张图片

STA客户端测试:

STA1和STA2都能正常访问外网。说明在SWA出现当机情况下,SWB能快速进行VRRP切换,并承载起内网的业务访问需求。

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第37张图片

汇聚层交换机HUIJ01配置

注:在真机环境中一般需要给每个设备配置管理IP,所以汇聚层设备也要配置ospf路由,否则会无法对设备进行管理,这个实验中我没有对设备配置管理IP,故这里没有配置任何路由,直接二层透转三层转发(经核心)。

#
sysname HUIJ01
#

vlan batch 88 100 112 to 113
#

stp pathcost-standard legacy

#

stp region-configuration
 region-name test
 instance 1 vlan 100 112
 instance 2 vlan 113
 active region-configuration
#

interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 112
 stp edged-port enable
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
 stp edged-port enable
#
interface GigabitEthernet0/0/3
 port link-type access
 port default vlan 112
 stp edged-port enable
#

interface GigabitEthernet0/0/23
 port link-type trunk
 port trunk allow-pass vlan 88 100 112 to 113
 stp instance 1 cost 20000
#
interface GigabitEthernet0/0/24
 port link-type trunk
 port trunk allow-pass vlan 88 100 112 to 113
 stp instance 2 cost 20000
#

汇聚层交换机HUIJ02配置

注:在真机环境中一般需要给每个设备配置管理IP,所以汇聚层设备也要配置ospf路由,否则会无法对设备进行管理,这个实验中我没有对设备配置管理IP,故这里没有配置任何路由,直接二层透转三层转发(经核心)。

#
sysname HUIJ02
#

vlan batch 88 100 112 to 113

#

stp pathcost-standard legacy

#

stp region-configuration
 region-name test
 instance 1 vlan 100 112
 instance 2 vlan 113
 active region-configuration
#

interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 113
 stp edged-port enable
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 113
 stp edged-port enable
#

interface GigabitEthernet0/0/3
 port link-type trunk
 port trunk pvid vlan 88
 port trunk allow-pass vlan 88 113
 port-isolate enable

#

interface GigabitEthernet0/0/23
 port link-type trunk
 port trunk allow-pass vlan 88 100 112 to 113
 stp instance 2 cost 20000
#
interface GigabitEthernet0/0/24
interface GigabitEthernet0/0/24
 port link-type trunk
 port trunk allow-pass vlan 88 100 112 to 113
 stp instance 1 cost 20000
#

接入层交换机配置

注:在真机环境中一般需要给每个设备配置管理IP,所以接入层设备要配置一条默认路由到核心交换机,否则会无法对设备进行管理。

另外一点,如果需要禁止用户私接小路由器,可以通过在全局视图下启用dhcp snooping enable功能,并且在业务vlan视图下启用dhcp snooping enable功能。当启用了dhcp snooping功能后,一定要在设备的上级联接口下执行dhcp snooping trust,否则客户端将无法通过dhcp获取到IP地址。

在实际环境中,如果出于对企业的网络安全管理需要,要禁止用户私自更改IP。当在设备上启用dhcp snooping功能后,我们可以通过启用IPSG功能来实现该需求,可以有效防止恶意主机盗用合法主机的IP地址仿冒合法主机非法访问网络。IPSG支持静态绑定表和动态绑定表,动态绑定表需要结合dhcp snooping功能的开启来使用,适用网络内主机比较多的环境使用。当然,开启IPSG会消耗设备的CPU和内存资源,请结合实际需求进行灵活部署。

ntp时钟同步

ntp-service server disable                
ntp-service ipv6 server disable           
ntp-service unicast-server 192.168.100.254

#
sysname SW1
#

vlan batch 88 100
#

interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 100
 stp edged-port enable
 port-isolate enable group 1     #真机环境下,不是出于安全管理需要,不需要这个。
#
interface GigabitEthernet0/0/2
 port link-type access
 port default vlan 100
 stp edged-port enable
 port-isolate enable group 1     #真机环境下,不是出于安全管理需要,不需要这个。
#

interface GigabitEthernet0/0/3
 port link-type trunk
 port trunk pvid vlan 88
 port trunk allow-pass vlan 88 100
 port-isolate enable group1
#

interface GigabitEthernet0/0/4
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#在接入层交换机绑定终端的MAC地址、接口和VLAN ,测试用

mac-address static 5489-9810-380d GigabitEthernet0/0/1 vlan 100
#

一  测试外网和内网用户访问HTTP服务器

1.外网web用户访问

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第38张图片

查看nat会话日志

display nat session all
  NAT Session Table Information:

     Protocol          : TCP(6)
     SrcAddr  Port Vpn : 23.1.1.2        264                                  
     DestAddr Port Vpn : 202.100.99.55   20480                                
     NAT-Info
       New SrcAddr     : ----
       New SrcPort     : ----
       New DestAddr    : 172.21.100.80  
       New DestPort    : 20480

  Total : 1

2.测试内网web112用户访问HTTP服务器

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第39张图片

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第40张图片

查看nat会话记录

display nat session all
  NAT Session Table Information:

     Protocol          : TCP(6)
     SrcAddr  Port Vpn : 172.21.112.22   264                                  
     DestAddr Port Vpn : 202.100.99.55   20480                                
     NAT-Info
       New SrcAddr     : 10.1.1.2       
       New SrcPort     : 10240
       New DestAddr    : 172.21.100.80  
       New DestPort    : 20480

     Protocol          : TCP(6)
     SrcAddr  Port Vpn : 23.1.1.2        520                                  
     DestAddr Port Vpn : 202.100.99.55   20480                                
     NAT-Info
       New SrcAddr     : ----
       New SrcPort     : ----
       New DestAddr    : 172.21.100.80  
       New DestPort    : 20480

  Total : 2

 3.测试PC113用户能否上网

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第41张图片

查看能否通过dhcp获取到IP地址

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第42张图片

 测试PC113用户能不能访问外网web用户(IP地址:23.1.1.2)

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第43张图片

测试PC112用户能否访问

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第44张图片

3.测试web113用户能否访问内部HTTP服务器。在路由器上只允许内网的100和112网段可以访问。现在来验证一下结果。

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第45张图片

通过查看nat会话得知,并没有做内网的域内NAT转换

display nat session all
  NAT Session Table Information:

     Protocol          : TCP(6)
     SrcAddr  Port Vpn : 172.21.113.22   520                                  
     DestAddr Port Vpn : 202.100.99.55   20480                                
     NAT-Info
       New SrcAddr     : ----
       New SrcPort     : ----
       New DestAddr    : 172.21.100.80  
       New DestPort    : 20480

  Total : 1

二 防火墙主备故障测试

检测到主墙FW-1的上行链路出现的时候,所有流量是否都切换到备墙上,从而保障网络和业务的正常运行。

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第46张图片

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第47张图片

 查看FW-1 VRRP切换

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第48张图片

查看FW-2 VRRP切换

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第49张图片

查看FW-1 OSPF路由   注:由于上联口故障或链路故障,导致FW-1发生主备切换。由于配置了hrp adjust ospf-cost,当HRP监测到主vrrrp设备出现故障时,将把所有ospf cost值加上65500。

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第50张图片

查看FW-2  OSPF

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第51张图片

查看SWA OSPF

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第52张图片

查看SWB OSPF

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第53张图片

查看SWA VRRP  注:由于SWA的上联口并没有出现故障,所以这里不会发生VRRP主备切换。但由于FW-1的上行口down掉或链路故障,导致FW-1发生了主备切换。所以所有本往GE 0/0/1口走的流量都通过Eth-Trunk1 到达SWB ,然后从备墙FW-2出去。

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第54张图片

查看SWB VRRP

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第55张图片

 抓包查看数据流量走向

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第56张图片

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第57张图片

 现在再试一下内网web112和外网web用户还能不能访问HTTP服务器

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第58张图片 ​外网web用户访问

综合组网实例配置 双出口双墙主备+三层核心VRRP+MSTP+NAT+NAT SERVER+AC+IPsec+广域网PPPOE+专线_第59张图片

问题:防火墙频繁自动切换MASTER和SLAVE角色

Nov 13 2021 06:04:31 FW2 HRPI/1/CORE_STATE:1.3.6.1.4.1.2011.6.122.51.2.2.1 The H

RP core state changed due to "Unknown". (old_state=normal,new_state=abnormal(act

ive), local_priority=44998, peer_priority=44996)

Nov 13 2021 06:04:31 FW2 %%01HRPI/4/CORE_STATE(l)[46]:The HRP core state changed

 due to "Unknown". (old_state=normal, new_state=abnormal(active), local_priority

=44998, peer_priority=44996)

分析:主备频繁切换与FW1上配置的track关联的ip-link项有关。因设备与对端的IP出现短暂连接中断,从而引发主备路由自动切换,然后又迅速恢复原因导致。

你可能感兴趣的:(运维,服务器,网络)

  • 理解Gunicorn:Python WSGI服务器的基石 范范0825 ipythonlinux运维
    理解Gunicorn:PythonWSGI服务器的基石介绍Gunicorn,全称GreenUnicorn,是一个为PythonWSGI(WebServerGatewayInterface)应用设计的高效、轻量级HTTP服务器。作为PythonWeb应用部署的常用工具,Gunicorn以其高性能和易用性著称。本文将介绍Gunicorn的基本概念、安装和配置,帮助初学者快速上手。1.什么是Gunico
  • swagger访问路径 igotyback swagger
    Swagger2.x版本访问地址:http://{ip}:{port}/{context-path}/swagger-ui.html{ip}是你的服务器IP地址。{port}是你的应用服务端口,通常为8080。{context-path}是你的应用上下文路径,如果应用部署在根路径下,则为空。Swagger3.x版本对于Swagger3.x版本(也称为OpenAPI3)访问地址:http://{ip
  • 高级编程--XML+socket练习题 masa010 java开发语言
    1.北京华北2114.8万人上海华东2,500万人广州华南1292.68万人成都华西1417万人(1)使用dom4j将信息存入xml中(2)读取信息,并打印控制台(3)添加一个city节点与子节点(4)使用socketTCP协议编写服务端与客户端,客户端输入城市ID,服务器响应相应城市信息(5)使用socketTCP协议编写服务端与客户端,客户端要求用户输入city对象,服务端接收并使用dom4j
  • PHP环境搭建详细教程 好看资源平台 前端php
    PHP是一个流行的服务器端脚本语言,广泛用于Web开发。为了使PHP能够在本地或服务器上运行,我们需要搭建一个合适的PHP环境。本教程将结合最新资料,介绍在不同操作系统上搭建PHP开发环境的多种方法,包括Windows、macOS和Linux系统的安装步骤,以及本地和Docker环境的配置。1.PHP环境搭建概述PHP环境的搭建主要分为以下几类:集成开发环境:例如XAMPP、WAMP、MAMP,这
  • 基于社交网络算法优化的二维最大熵图像分割 智能算法研学社(Jack旭) 智能优化算法应用图像分割算法php开发语言
    智能优化算法应用:基于社交网络优化的二维最大熵图像阈值分割-附代码文章目录智能优化算法应用:基于社交网络优化的二维最大熵图像阈值分割-附代码1.前言2.二维最大熵阈值分割原理3.基于社交网络优化的多阈值分割4.算法结果:5.参考文献:6.Matlab代码摘要:本文介绍基于最大熵的图像分割,并且应用社交网络算法进行阈值寻优。1.前言阅读此文章前,请阅读《图像分割:直方图区域划分及信息统计介绍》htt
  • 使用 FinalShell 进行远程连接(ssh 远程连接 Linux 服务器) 编程经验分享 开发工具服务器sshlinux
    目录前言基本使用教程新建远程连接连接主机自定义命令路由追踪前言后端开发,必然需要和服务器打交道,部署应用,排查问题,查看运行日志等等。一般服务器都是集中部署在机房中,也有一些直接是云服务器,总而言之,程序员不可能直接和服务器直接操作,一般都是通过ssh连接来登录服务器。刚接触远程连接时,使用的是XSHELL来远程连接服务器,连接上就能够操作远程服务器了,但是仅用XSHELL并没有上传下载文件的功能
  • 2023-04-17|篮球女孩 长一木
    1小学抑或初中阶段,在课外书了解到她的故事。“篮球女孩”。当时佩服她的顽强,也对生命多了一丝敬畏。今天刚好在公众号看到,长大后的“篮球女孩”。佩服之余又满是心疼。网络侵删祝那素未蒙面的女孩,未来一切顺遂。
  • 在一台Ubuntu计算机上构建Hyperledger Fabric网络 落叶无声9 区块链超级账本Hyperledgerfabric区块链ubuntu构建hyperledgerfabric
    在一台Ubuntu计算机上构建HyperledgerFabric网络Hyperledgerfabric是一个开源的区块链应用程序平台,为开发基于区块链的应用程序提供了一个起点。当我们提到HyperledgerFabric网络时,我们指的是使用HyperledgerFabric的正在运行的系统。即使只使用最少数量的组件,部署Fabric网络也不是一件容易的事。Fabric社区创建了一个名为Cello
  • git - Webhook让部署自动化 大猪大猪
    我们现在有一个需求,将项目打包上传到gitlab或者github后,程序能自动部署,不用手动地去服务器中进行项目更新并运行,如何做到?这里我们可以使用gitlab与github的挂钩,挂钩的原理就是,每当我们有请求到gitlab与github服务器时,这时他俩会根据我们配置的挂钩地扯进行访问,webhook挂钩程序会一直监听着某个端口请求,一但收到他们发过来的请求,这时就知道用户有请求提交了,这时
  • 【华为OD技术面试真题 - 技术面】-测试八股文真题题库(1) 算法大师 华为od面试python算法前端
    华为OD面试真题精选专栏:华为OD面试真题精选目录:2024华为OD面试手撕代码真题目录以及八股文真题目录文章目录华为OD面试真题精选1.黑盒测试和白盒测试的区别2.假设我们公司现在开发一个类似于微信的软件1.0版本,现在要你测试这个功能:打开聊天窗口,输入文本,限制字数在200字以内。问你怎么提取测试点。功能测试性能测试安全性测试可用性测试跨平台兼容性测试网络环境测试3.接口测试的工具你了解哪些
  • 《在战“疫”中成长致敬生活》观后感 梅子刘的刀
    (作者:周晨)今天上午,我看了“我是接班人”网络大课堂《在战役中成长致敬生活》。有很多人拿出自己攒下的钱,默默地捐给了武汉,有几千块钱的、有几万块钱的,也有十几万块钱的。连小朋友也把自己的压岁钱捐给了武汉。有名环卫工人把自己五年的积蓄全部捐给了武汉。有名外卖小哥为医护人员买鞋子送吃的。还有已经治愈出院的新型肺炎病人捐了400毫升的血浆。还有位叫大树的叔叔,虽然他没有钱,但是他地里有蔬菜,捐了几大卡
  • 中原焦点团队网络初中级30期阴丽丽坚持分享第三百八十八次2022.10.18分享 约练次数(74) 咨询师(6) 来访者(53) 观察者(15) 阴丽丽
    今天是忙碌的一天,一早起来,总想着找点把事情弄完,可总也弄不完。就这样弄着吧!孩子的事,自己的事都在那里搁置着,不想做,有点欧!今天总体还不错,只是在下午起床时走神了俩小时,也算是给自己的放松吧!今日难得1.儿子乖巧、听话,努力配合,一天下来也是忙忙碌碌,这真的很难得!2.儿子今天录的视频被班主任认可,这真的很难得3.我今天早上做核酸时,自己把教案整了一下,这真的很难得
  • 网络编程基础 记得开心一点啊 网络
    目录♫什么是网络编程♫Socket套接字♪什么是Socket套接字♪数据报套接字♪流套接字♫数据报套接字通信模型♪数据报套接字通讯模型♪DatagramSocket♪DatagramPacket♪实现UDP的服务端代码♪实现UDP的客户端代码♫流套接字通信模型♪流套接字通讯模型♪ServerSocket♪Socket♪实现TCP的服务端代码♪实现TCP的客户端代码♫什么是网络编程网络编程,指网络上
  • 多子女家庭问题 3e5c5362403c
    杨宁宁焦点解决网络初17中19坚持分享589天(2021.3.20)本周约练我1次,总计166次,读书打卡第256天案例督导收获:【家有老大篇】被爱与高期待下的独舞家里的第一个孩子往往集万千宠爱于一身。爸爸妈妈、爷爷奶奶、姥姥姥爷的目光都聚焦在他的身上。在这种光环下长大的孩子,就如小皇帝一般,衣来伸手、饭来张口。拥有爱的同时,也意味着拥有了更高的被期待,父母会花血本给你报各种各样的早教班,给你买各
  • 父母教育孩子的方式,将影响孩子一生 树英教育
    为什么有些孩子总是充满自信与快乐?独立、有主见又坚强?而有些孩子却自卑、胆怯,软弱又过度依赖父母?为什么有些孩子总是健康、阳光又富于创造力?而有些孩子却悲观、孤僻又思想空乏?一个孩子的行为取决于孩子的思想,思想取决于环境和自己的认知,认知取决于教育。父母是孩子人生中的第一位教育者,父母养育孩子的方式,将决定他们人生的高度,影响他们的一生。网络图,侵权即删优秀的父母就像园丁,既要浇水施肥,又要修剪杂
  • 2024.9.6 Python,华为笔试题总结,字符串格式化,字符串操作,广度优先搜索解决公司组织绩效互评问题,无向图 RaidenQ python华为leetcode算法力扣广度优先无向图
    1.字符串格式化name="Alice"age=30formatted_string="Name:{},Age:{}".format(name,age)print(formatted_string)或者name="Alice"age=30formatted_string=f"Name:{name},Age:{age}"print(formatted_string)2.网络健康检查第一行有两个整数m
  • 戴容容 中原焦点团队.网络初级第33期,坚持分享第19天 2022年3月9日 TessDai
    《每个人眼中的世界都是不同的》“一千个人眼里有一千个哈姆雷特”世界是多元的,每个人都有自己的道理,人人按照自己的理解去看待这个世界的人和物.我们如此,其他人也是如此.因此,任何事情,我们要放下自己以为的真理,去理解他人认为的真理,只有同频方能共振.孩子在慢慢长大的过程中慢慢学会独立,甚至对抗.尤其当孩子处于青春期的时候,他们开始有很多自己独立的想法,和一些特立独行的做法,家长常常会觉得不可思议,觉
  • 第1步win10宿主机与虚拟机通过NAT共享上网互通 学习3人组 大数据大数据
    VM的CentOS采用NAT共用宿主机网卡宿主机器无法连接到虚拟CentOS要实现宿主机与虚拟机通信,原理就是给宿主机的网卡配置一个与虚拟机网关相同网段的IP地址,实现可以互通。1、查看虚拟机的IP地址2、编辑虚拟机的虚拟网络的NAT和DHCP的配置,设置虚拟机的网卡选择NAT共享模式3、宿主机的IP配置,确保vnet8的IPV4属性与虚拟机在同一网段4、ping测试连通性[root@localh
  • 网络通信流程 记得开心一点啊 服务器网络运维
    目录♫IP地址♫子网掩码♫MAC地址♫相关设备♫ARP寻址♫网络通信流程♫IP地址我们已经知道IP地址由网络号+主机号组成,根据IP地址的不同可以有5钟划分网络号和主机号的方案:其中,各类地址的表示范围是:分类范围适用网络网络数量主机最大连接数A类0.0.0.0~127.255.255.255大型网络12616777214【(2^24)-2】B类128.0.0.0~191.255.255.255中
  • Java爬虫框架(一)--架构设计 狼图腾-狼之传说 java框架java任务html解析器存储电子商务
    一、架构图那里搜网络爬虫框架主要针对电子商务网站进行数据爬取,分析,存储,索引。爬虫:爬虫负责爬取,解析,处理电子商务网站的网页的内容数据库:存储商品信息索引:商品的全文搜索索引Task队列:需要爬取的网页列表Visited表:已经爬取过的网页列表爬虫监控平台:web平台可以启动,停止爬虫,管理爬虫,task队列,visited表。二、爬虫1.流程1)Scheduler启动爬虫器,TaskMast
  • Linux查看服务器日志 TPBoreas 运维linux运维
    一、tail这个是我最常用的一种查看方式用法如下:tail-n10test.log查询日志尾部最后10行的日志;tail-n+10test.log查询10行之后的所有日志;tail-fn10test.log循环实时查看最后1000行记录(最常用的)一般还会配合着grep用,(实时抓包)例如:tail-fn1000test.log|grep'关键字'(动态抓包)tail-fn1000test.log
  • 计算机木马详细编写思路 小熊同学哦 php开发语言木马木马思路
    导语:计算机木马(ComputerTrojan)是一种恶意软件,通过欺骗用户从而获取系统控制权限,给黑客打开系统后门的一种手段。虽然木马的存在给用户和系统带来严重的安全风险,但是了解它的工作原理与编写思路,对于我们提高防范意识、构建更健壮的网络安全体系具有重要意义。本篇博客将深入剖析计算机木马的详细编写思路,以及如何复杂化挑战,以期提高读者对计算机木马的认识和对抗能力。计算机木马的基本原理计算机木
  • Mongodb Error: queryTxt ETIMEOUT xxxx.wwwdz.mongodb.net 佛一脚 errorreactmongodb数据库
    背景每天都能遇到奇怪的问题,做个记录,以便有缘人能得到帮助!换了一台电脑开发nextjs程序。需要连接mongodb数据,对数据进行增删改查。上一台电脑好好的程序,新电脑死活连不上mongodb数据库。同一套代码,没任何修改,搞得我怀疑人生了,打开浏览器进入mongodb官网毫无问题,也能进入线上系统查看数据,网络应该是没问题。于是我尝试了一下手机热点,这次代码能正常跑起来,连接数据库了!!!是不
  • 高考后该不该给孩子买电脑,什么情况能买?什么情况不能买? 寻求改变
    我知道家长们很担心,怕买了电脑小孩沉迷游戏,耽误了学业,也不利于身体健康。对于准大学生来说,基本上在18岁左右,也不算小了,但在很多父母眼里,依旧是个小孩子。数据显示,这种情况是有发生的,大学生约70%的电脑主要被用于玩网络游戏,如果没有养成一个用良好的习惯,对孩子影响是非常大的。我总结为三买,三不买。最近有看到群里很多家长再问,小孩上大学该不该给他买电脑,要买和不买两种观点的家长都有,那么哪种情
  • Python多线程实现大规模数据集高效转移 sand&wich 网络python服务器
    背景在处理大规模数据集时,通常需要在不同存储设备、不同服务器或文件夹之间高效地传输数据。如果采用单线程传输方式,当数据量非常大时,整个过程会非常耗时。因此,通过多线程并行处理可以大幅提升数据传输效率。本文将分享一个基于Python多线程实现的高效数据传输工具,通过遍历源文件夹中的所有文件,将它们移动到目标文件夹。工具和库这个数据集转移工具主要依赖于以下Python标准库:os:用于文件系统操作,如
  • 笋丁网页自动回复机器人V3.0.0免授权版源码 希希分享 软希网58soho_cn源码资源笋丁网页自动回复机器人
    笋丁网页机器人一款可设置自动回复,默认消息,调用自定义api接口的网页机器人。此程序后端语言使用Golang,内存占用最高不超过30MB,1H1G服务器流畅运行。仅支持Linux服务器部署,不支持虚拟主机,请悉知!使用自定义api功能需要有一定的建站基础。源码下载:https://download.csdn.net/download/m0_66047725/89754250更多资源下载:关注我。安
  • ESP32-C3入门教程 网络篇⑩——基于esp_https_ota和MQTT实现开机主动升级和被动触发升级的OTA功能 小康师兄 ESP32-C3入门教程https服务器esp32OTAMQTT
    文章目录一、前言二、软件流程三、部分源码四、运行演示一、前言本文基于VSCodeIDE进行编程、编译、下载、运行等操作基础入门章节请查阅:ESP32-C3入门教程基础篇①——基于VSCode构建HelloWorld教程目录大纲请查阅:ESP32-C3入门教程——导读ESP32-C3入门教程网络篇⑨——基于esp_https_ota实现史上最简单的ESP32OTA远程固件升级功能二、软件流程
  • 中国广电永久9元流量套餐!性价比最高流量卡套餐介绍! 优惠攻略官
    中国广电是中国最大的传媒集团之一,其推出的流量套餐备受消费者青睐。中国广电最实惠的流量套餐不仅价格亲民,而且提供了优质的网络体验。首先,中国广电的流量套餐价格实惠,适合不同消费者的需求。无论是短期的日租卡还是长期有效的月租卡,用户都可以根据自己的实际情况选择适合自己的套餐。而且,流量的价格相对于其他运营商的套餐来说更加合理,给用户提供了更大的选择空间。☞大流量卡套餐「→点这免费申请办理」或者截图扫
  • WebMagic:强大的Java爬虫框架解析与实战 Aaron_945 Javajava爬虫开发语言
    文章目录引言官网链接WebMagic原理概述基础使用1.添加依赖2.编写PageProcessor高级使用1.自定义Pipeline2.分布式抓取优点结论引言在大数据时代,网络爬虫作为数据收集的重要工具,扮演着不可或缺的角色。Java作为一门广泛使用的编程语言,在爬虫开发领域也有其独特的优势。WebMagic是一个开源的Java爬虫框架,它提供了简单灵活的API,支持多线程、分布式抓取,以及丰富的
  • 4 大低成本娱乐方式: 小说, 音乐, 视频, 电子游戏 穷人小水滴 娱乐音视频低成本小说游戏
    穷人如何获得快乐?小说,音乐,视频,游戏,本文简单盘点一下这4大低成本(安全)娱乐方式.这里是穷人小水滴,专注于穷人友好型低成本技术.(本文为58号作品.)目录1娱乐方式1.1小说(网络小说)1.2音乐1.3视频(b站)1.4游戏(电子游戏/计算机软件)2低成本:一只手机即可3总结与展望1娱乐方式这几种,也可以说是艺术的具体形式.更专业的说,(娱乐)是劳动力再生产的重要组成部分.使人放松,获得快乐
  • ASM系列六 利用TreeApi 添加和移除类成员 lijingyao8206 jvm动态代理ASM字节码技术TreeAPI
        同生成的做法一样,添加和移除类成员只要去修改fields和methods中的元素即可。这里我们拿一个简单的类做例子,下面这个Task类,我们来移除isNeedRemove方法,并且添加一个int 类型的addedField属性。   package asm.core; /** * Created by yunshen.ljy on 2015/6/
  • Springmvc-权限设计 bee1314 springWebjsp
    万丈高楼平地起。 权限管理对于管理系统而言已经是标配中的标配了吧,对于我等俗人更是不能免俗。同时就目前的项目状况而言,我们还不需要那么高大上的开源的解决方案,如Spring Security,Shiro。小伙伴一致决定我们还是从基本的功能迭代起来吧。 目标: 1.实现权限的管理(CRUD) 2.实现部门管理 (CRUD) 3.实现人员的管理 (CRUD) 4.实现部门和权限
  • 算法竞赛入门经典(第二版)第2章习题 CrazyMizzz c算法
    2.4.1 输出技巧 #include <stdio.h> int main() { int i, n; scanf("%d", &n); for (i = 1; i <= n; i++) printf("%d\n", i); return 0; } 习题2-2 水仙花数(daffodil
  • struts2中jsp自动跳转到Action 麦田的设计者 jspwebxmlstruts2自动跳转
    1、在struts2的开发中,经常需要用户点击网页后就直接跳转到一个Action,执行Action里面的方法,利用mvc分层思想执行相应操作在界面上得到动态数据。毕竟用户不可能在地址栏里输入一个Action(不是专业人士)   2、<jsp:forward page="xxx.action" /> ,这个标签可以实现跳转,page的路径是相对地址,不同与jsp和j
  • php 操作webservice实例 IT独行者 PHPwebservice
    首先大家要简单了解了何谓webservice,接下来就做两个非常简单的例子,webservice还是逃不开server端与client端。我测试的环境为:apache2.2.11 php5.2.10做这个测试之前,要确认你的php配置文件中已经将soap扩展打开,即extension=php_soap.dll; OK 现在我们来体验webservice //server端 serve
  • Windows下使用Vagrant安装linux系统 _wy_ windowsvagrant
    准备工作: 下载安装 VirtualBox :https://www.virtualbox.org/ 下载安装 Vagrant :http://www.vagrantup.com/ 下载需要使用的 box : 官方提供的范例:http://files.vagrantup.com/precise32.box 还可以在 http://www.vagrantbox.es/ 
  • 更改linux的文件拥有者及用户组(chown和chgrp) 无量 clinuxchgrpchown
    本文(转) http://blog.163.com/yanenshun@126/blog/static/128388169201203011157308/ http://ydlmlh.iteye.com/blog/1435157 一、基本使用: 使用chown命令可以修改文件或目录所属的用户:        命令
  • linux下抓包工具 矮蛋蛋 linux
    原文地址: http://blog.chinaunix.net/uid-23670869-id-2610683.html tcpdump -nn -vv -X udp port 8888 上面命令是抓取udp包、端口为8888 netstat -tln 命令是用来查看linux的端口使用情况 13 . 列出所有的网络连接 lsof -i 14. 列出所有tcp 网络连接信息 l
  • 我觉得mybatis是垃圾!:“每一个用mybatis的男纸,你伤不起” alafqq mybatis
    最近看了  每一个用mybatis的男纸,你伤不起 原文地址 :http://www.iteye.com/topic/1073938 发表一下个人看法。欢迎大神拍砖; 个人一直使用的是Ibatis框架,公司对其进行过小小的改良; 最近换了公司,要使用新的框架。听说mybatis不错;就对其进行了部分的研究; 发现多了一个mapper层;个人感觉就是个dao;
  • 解决java数据交换之谜 百合不是茶 数据交换
    交换两个数字的方法有以下三种 ,其中第一种最常用   /* 输出最小的一个数 */ public class jiaohuan1 { public static void main(String[] args) { int a =4; int b = 3; if(a<b){ // 第一种交换方式 int tmep =
  • 渐变显示 bijian1013 JavaScript
    <style type="text/css"> #wxf { FILTER: progid:DXImageTransform.Microsoft.Gradient(GradientType=0, StartColorStr=#ffffff, EndColorStr=#97FF98); height: 25px; } </style>
  • 探索JUnit4扩展:断言语法assertThat bijian1013 java单元测试assertThat
    一.概述         JUnit 设计的目的就是有效地抓住编程人员写代码的意图,然后快速检查他们的代码是否与他们的意图相匹配。 JUnit 发展至今,版本不停的翻新,但是所有版本都一致致力于解决一个问题,那就是如何发现编程人员的代码意图,并且如何使得编程人员更加容易地表达他们的代码意图。JUnit 4.4 也是为了如何能够
  • 【Gson三】Gson解析{"data":{"IM":["MSN","QQ","Gtalk"]}} bit1129 gson
      如何把如下简单的JSON字符串反序列化为Java的POJO对象? {"data":{"IM":["MSN","QQ","Gtalk"]}}   下面的POJO类Model无法完成正确的解析:   import com.google.gson.Gson;
  • 【Kafka九】Kafka High Level API vs. Low Level API bit1129 kafka
    1. Kafka提供了两种Consumer API High Level Consumer API Low Level Consumer API(Kafka诡异的称之为Simple Consumer API,实际上非常复杂) 在选用哪种Consumer API时,首先要弄清楚这两种API的工作原理,能做什么不能做什么,能做的话怎么做的以及用的时候,有哪些可能的问题  
  • 在nginx中集成lua脚本:添加自定义Http头,封IP等 ronin47 nginx lua
    Lua是一个可以嵌入到Nginx配置文件中的动态脚本语言,从而可以在Nginx请求处理的任何阶段执行各种Lua代码。刚开始我们只是用Lua 把请求路由到后端服务器,但是它对我们架构的作用超出了我们的预期。下面就讲讲我们所做的工作。 强制搜索引擎只索引mixlr.com Google把子域名当作完全独立的网站,我们不希望爬虫抓取子域名的页面,降低我们的Page rank。 location /{
  • java-归并排序 bylijinnan java
    import java.util.Arrays; public class MergeSort { public static void main(String[] args) { int[] a={20,1,3,8,5,9,4,25}; mergeSort(a,0,a.length-1); System.out.println(Arrays.to
  • Netty源码学习-CompositeChannelBuffer bylijinnan javanetty
    CompositeChannelBuffer体现了Netty的“Transparent Zero Copy” 查看API( http://docs.jboss.org/netty/3.2/api/org/jboss/netty/buffer/package-summary.html#package_description) 可以看到,所谓“Transparent Zero Copy”是通
  • Android中给Activity添加返回键 hotsunshine Activity
    // this need android:minSdkVersion="11" getActionBar().setDisplayHomeAsUpEnabled(true); @Override public boolean onOptionsItemSelected(MenuItem item) {
  • 静态页面传参 ctrain 静态
    $(document).ready(function () { var request = { QueryString : function (val) { var uri = window.location.search; var re = new RegExp("" + val + "=([^&?]*)", &
  • Windows中查找某个目录下的所有文件中包含某个字符串的命令 daizj windows查找某个目录下的所有文件包含某个字符串
    findstr可以完成这个工作。   [html]  view plain copy   >findstr /s /i "string" *.*   上面的命令表示,当前目录以及当前目录的所有子目录下的所有文件中查找"string&qu
  • 改善程序代码质量的一些技巧 dcj3sjt126com 编程PHP重构
    有很多理由都能说明为什么我们应该写出清晰、可读性好的程序。最重要的一点,程序你只写一次,但以后会无数次的阅读。当你第二天回头来看你的代码 时,你就要开始阅读它了。当你把代码拿给其他人看时,他必须阅读你的代码。因此,在编写时多花一点时间,你会在阅读它时节省大量的时间。让我们看一些基本的编程技巧:    尽量保持方法简短    尽管很多人都遵
  • SharedPreferences对数据的存储 dcj3sjt126com
    SharedPreferences简介:                                                   &nbs
  • linux复习笔记之bash shell (2) bash基础 eksliang bashbash shell
    转载请出自出处: http://eksliang.iteye.com/blog/2104329 1.影响显示结果的语系变量(locale)  1.1locale这个命令就是查看当前系统支持多少种语系,命令使用如下: [root@localhost shell]# locale LANG=en_US.UTF-8 LC_CTYPE="en_US.UTF-8"
  • Android零碎知识总结 gqdy365 android
    1、CopyOnWriteArrayList add(E) 和remove(int index)都是对新的数组进行修改和新增。所以在多线程操作时不会出现java.util.ConcurrentModificationException错误。 所以最后得出结论:CopyOnWriteArrayList适合使用在读操作远远大于写操作的场景里,比如缓存。发生修改时候做copy,新老版本分离,保证读的高
  • HoverTree.Model.ArticleSelect类的作用 hvt Web.netC#hovertreeasp.net
    ArticleSelect类在命名空间HoverTree.Model中可以认为是文章查询条件类,用于存放查询文章时的条件,例如HvtId就是文章的id。HvtIsShow就是文章的显示属性,当为-1是,该条件不产生作用,当为0时,查询不公开显示的文章,当为1时查询公开显示的文章。HvtIsHome则为是否在首页显示。HoverTree系统源码完全开放,开发环境为Visual Studio 2013
  • PHP 判断是否使用代理 PHP Proxy Detector 天梯梦 proxy
    1. php 类 I found this class looking for something else actually but I remembered I needed some while ago something similar and I never found one. I'm sure it will help a lot of developers who try to
  • apache的math库中的回归——regression(翻译) lvdccyb Mathapache
    这个Math库,虽然不向weka那样专业的ML库,但是用户友好,易用。 多元线性回归,协方差和相关性(皮尔逊和斯皮尔曼),分布测试(假设检验,t,卡方,G),统计。   数学库中还包含,Cholesky,LU,SVD,QR,特征根分解,真不错。   基本覆盖了:线代,统计,矩阵, 最优化理论 曲线拟合 常微分方程 遗传算法(GA), 还有3维的运算。。。
  • 基础数据结构和算法十三:Undirected Graphs (2) sunwinner Algorithm
      Design pattern for graph processing. Since we consider a large number of graph-processing algorithms, our initial design goal is to decouple our implementations from the graph representation
  • 云计算平台最重要的五项技术 sumapp 云计算云平台智城云
    云计算平台最重要的五项技术 1、云服务器 云服务器提供简单高效,处理能力可弹性伸缩的计算服务,支持国内领先的云计算技术和大规模分布存储技术,使您的系统更稳定、数据更安全、传输更快速、部署更灵活。 特性 机型丰富 通过高性能服务器虚拟化为云服务器,提供丰富配置类型虚拟机,极大简化数据存储、数据库搭建、web服务器搭建等工作; 仅需要几分钟,根据CP
  • 《京东技术解密》有奖试读获奖名单公布 ITeye管理员 活动
    ITeye携手博文视点举办的12月技术图书有奖试读活动已圆满结束,非常感谢广大用户对本次活动的关注与参与。  12月试读活动回顾: http://webmaster.iteye.com/blog/2164754 本次技术图书试读活动获奖名单及相应作品如下: 一等奖(两名) Microhardest:http://microhardest.ite
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他