第四十六-MPLS

• 资料下载：
• 链接：点击这里
  提取码：jayr

MPLS介绍

MPLS协议从各种链路层协议（如PPP、ATM、帧中继、以太网等）得到链路层服务，又为网络层提供面向连接的服务。MPLS能从IP路由协议和控制协议中得到支持，路由功能强大、灵活，可以满足各种新应用对网络的要求。

MPLS基本网络结构

LSP（Label Switched Path）：标签交换路径，即到达同一目的地址的报文在MPLS网络中经过的路径。
FEC（Forwarding Equivalent Class）：一般指具有相同转发处理方式的报文。在MPLS网络中，到达同一目的地址的所有报文就是一个FEC。

MPLS数据报文结构

标签（Label）是一个短而定长的、只有本地意义的标识，用于唯一标识去往同一目的地址的报文分组。

MPLS标签的长度为4个字节，共分4个字段：
Label：20bit，标值；
Exp：3bit，用于扩展。现在通常用做CoS （ Class of Service），当设备发生阻塞时，优先发送优先级高的报文；
S：1bit，栈底标识。MPLS支持多层标签，即标签嵌套。S值为1时表明为最底层标签；
TTL：8bit，和IP文中的TTL（Time To Live）意义相同。

标签个数：2^20=1百万
标签空间是指标签的取值范围。标签空间划分如下：
0~15：特殊标签。如标签3，称为隐式空标签，用于倒数第二跳弹出；
16～1023：静态LSP和静态CR-LSP（Constraint-based Routed Label SwitchedPath）共享的标签空间；
1024及以上：LDP、 RSVP-TE（ Resource Reservation Protocol-Traffic Engineering）、MP-BGP（ MultiProtocol Border Gateway Protocol）等动态信令协议的标签空间。

LSP建立方式

建立LSP的方式有两种：
静态LSP：用户通过手工方式为各个转发等价类分配标签建立转发隧道；
动态LSP：通过标签发布协议动态建立转发隧道。

静态LSP


静态LSP的特点：
不使用标签发布协议，不需要交互控制报文，资源消耗比较小；
通过静态方式建立的LSP不能根据网络拓扑变化动态调整，需要管理员干预。
静态LSP适用于拓扑结构简单并且稳定的网络。

静态LSP
在MPLS域的所有节点与相应的接口上开启MPLS协议。
配置命令：
mpls lsr-id 1.1.1.1
mpls
interface GigabitEthernet0/0/0
mpls
R1:static-lsp ingress pc2 destination 192.168.6.0 24 nexthop
12.1.1.2 out-label 100
R2:static-lsp transit PC2 incoming-interface GigabitEthernet0/0/0
in-label 100 nexthop 23.1.1.3 out-label 200
R3:static-lsp transit pc2 incoming-interface GigabitEthernet0/0/0
in-label 200 nexthop 34.1.1.4 out-label 300
R4:static-lsp egress pc2 incoming-interface GigabitEthernet0/0/0
in-label 300


LDP邻居建立

动态LSP通过LDP协议实现对FEC的分类、标签的分配及LSP的建立和维护等操作。
动态LSP的特点：
组网配置简单，易于管理和维护；
支持基于路由动态建立LSP，网络拓扑发生变化时，能及时反映网络状况。

LDP协议主要使用四类消息：
发现（Discovery）消息：用于通告和维护网络中邻居的存在，如Hello消息。
会话（Session）消息：用于建立、维护和终止LDP对等体之间的会话，如Initialization消息、Keepalive消息。
通告（Advertisement）消息：用于创建、改变和删除FEC的标签映射，如Address消息、Label Mapping消息。
通知（Notification）消息：用于提供建议性的消息和差错通知。

LDP邻居建立过程如图所示：
两个LSR之间互相发送Hello消息。
Hello消息中携带传输地址，双方使用传输地址建立LDP会话。
传输地址较大的一方作为主动方，发起TCP连接。
如图所示，RTB作为主动方发起TCP连接，RTA作为被动方等待对方发起连接。
TCP连接建立成功后，由主动方RTB发送初始化消息，协商建立LDP会话的相关参数。
LDP会话的相关参数包括LDP协议版本、标签分发方式、Keepalive保持定时器的值、最大PDU长度和标签空间等。

被动方RTA收到初始化消息后，如果RTA接受相关参数，则发送初始化消息，同时发送Keepalive消息给主动方RTB。
如果被动方RTA不能接受相关参数，则发送Notification消息终止LDP会话的建立。
主动方RTB收到初始化消息后，接受相关参数，则发送Keepalive消息给被动方RTA。
如果主动方RTB不能接受相关参数，则发送Notification消息给被动方RTA终止LDP会话的建立。
当双方都收到对端的Keepalive消息后，LDP会话建立成功。LDP会话建立成功后，进行FEC的创建与标签的分发。

标签的发布方式：

DU（Downstream Unsolicited，下游自主方式）：对于一个到达同一目地址报文的分组，LSR无需从上游获得标签请求消息即可进行标签分配与分发
DoD（Downstream on Demand，下游按需方式）：对于一个到达同一目的地址报文的分组，LSR获得标签请求消息之后才进行标签分配与分发。

华为设备默认采用DU的方式发布标签。
DU无需等待上游的请求消息，可以直接向邻居分配标签。在网络拓扑发生变化时，采用DU方式可以快速反应为新的拓扑分发标签，收敛时间相对于DoD方式较短。

MPLS数据转发过程

在MPLS网络中，数据包在每台路由器上根据已分配的标签进行标签的封装和转发
分析数据包到达Egress节点RTD上怎么处理？如果MPLS网络中业务量很大，
Egress节点的处理方式有何不妥？

如图所示拓扑，MPLS数据转发过程如下：
。RTA上收到访问100.1.1.1/32的数据包，如果数据包为普通的IP报文，则查找FIB表，因为Tunnel ID为非0x0，封装已分配的标签1027进行MPLS转发；如果数据包为带标签的报文，查找LFIB表，封装已分配的标签1027进行MPLS转发；
RTB收到RTA发送的带标签1027的报文，查找LFIB表，封装已分配的出标签1026进行MPLS转发给RTC；
RTC收到RTB发送的带标签1026的报文，查找LFIB表，封装已分配的出标签1025进行MPLS转发给RTD；
RTD收到RTC发送的带标签1025的报文，查找LFIB表，出标签为Null，表明数据包已经到达Egress节点，所以路由器将数据包的标签信息去掉，并对数据包进行三层处理，查找IP路由表发现100.1.1.1/32的路由为自己本地的路由，根据IP路由表中的出接口进行IP数据的封装并转发。

如果MPLS网络中的业务量很大，则每次数据包在Egress节点都要进行两次处理才能进行正确的路由转发，这样会导致Egress节点的处理压力增加，路由器的处理性能降低。我们希望在Egress节点上只处理一次就能将数据包正确转发，以提高Egress的转发性能，所以提出了PHP技术。

PHP（Penultimate Hop Popping，倒数第二跳弹出），具体过程如下：
RTC收到RTB发送的带标签1026的报文，查找LFIB表，发现分配的出标签为隐式空标签3，于是执行弹出标签的动作，并将IP数据包转发给下游路由器RTD；
RTD收到RTC发送的IP报文，直接查找自己的FIB表，根据FIB表中的出接口进行IP数据的封装并转发。

The post 第四十六-MPLS appeared first on 韩阁主-小韩.

第四十五-VPN章节-IPsec（下）

• 资料下载：
• 链接：点击这里
  提取码：d80u

IPSec VPN置步骤

IPSec VPN配置

IPSec VPN对等体配置的安全提议参数必须一致。

安全策略将要保护的数据流和安全提议进行绑定。

ipsec policy policy-name seq-number命令用来创建一条IPSec策略，并进入IPSec策略视图。安全策略是由policy-name和seq-number共同来确定的，多个具有相同policy-name的安全策略组成一个安全策略组。在一个安全策略组中最多可以设置16条安全策略，而seq-number越小的安全策略，优先级越高。在一个接口上应用了一个安全策略组，实际上是同时应用了安全策略组中所有的安全策略，这样能够对不同的数据流采用不同的安全策略进行保护。

IPSec策略除了指定策略的名称和序号外，还需要指定SA的建立方式。如果使用的是IKE协商，需要执行ipsec-policy-template命令配置指定参数。如果使用的是手工建立方式，所有参数都需要手工配置。本示例采用的是手工建立方式。

security acl acl-number命令用来指定IPSec策略所引用的访问控制列表。

proposal proposal-name命令用来指定IPSec策略所引用的提议。

tunnel local { ip-address | binding-interface }命令用来配置安全隧道的本端地址。

tunnel remote ip-address命令用来设置安全隧道的对端地址。

sa spi { inbound | outbound } { ah | esp } spi-number命令用来设置安全联盟的安全参数索引SPI。在配置安全联盟时，入方向和出方向安全联盟的安全参数索引都必须设置，并且本端的入方向安全联盟的SPI值必须和对端的出方向安全联盟的SPI值相同，而本端的出方向安全联盟的SPI值必须和对端的入方向安全联盟的SPI值相同。

sa string-key { inbound | outbound } { ah | esp } { simple | cipher } string-key命令用来设置安全联盟的认证密钥。入方向和出方向安全联盟的认证密钥都必须设置，并且本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥相同；同时，本端的出方向安全联盟密钥必须和对端的入方向安全联盟的密钥相同。

mipsec policy policy-name命令用来在接口上应用指定的安全策略组。手工方式配置的安全策略只能应用到一个接口。

IPSec VPN 策略配置方式

acl number 3001 
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.5.0 0.0.0.255 
#
ipsec proposal 5

ipsec policy nanjing 10 manual
security acl 3001
proposal 5
tunnel local 23.1.1.1
tunnel remote 45.1.1.1
sa spi inbound esp 12345
sa string-key inbound esp simple huawei
sa spi outbound esp 12345
sa string-key outbound esp simple huawei

interface GigabitEthernet0/0/0
ip address 23.1.1.1 255.255.255.252 
ipsec policy nanjing

ip route-static 10.1.5.0 255.255.255.0 45.1.1.1

The post 第四十五-VPN章节-IPsec（下） appeared first on 韩阁主-小韩.

第四十五-VPN章节-IPsec

• 资料下载：
• 链接：点击这里
  提取码：d80u

IPsec介绍

mIPSec（Internet Protocol Security）是一种开放标准的安全框架结构，可以用来保证IP数据报文在网络上传输的机密性、完整性和防重放。

mIPSec不是一个单独的协议，它通过AH和ESP这两个安全协议来实现IP数据报文的安全传送。

mIKE协议提供密钥协商，建立和维护安全联盟SA等服务。

mIPSec VPN体系结构主要由AH（ Authentication Header）、ESP （ Encapsulating Security Payload）和IKE （ Internet Key Exchange）协议套件组成。

mAH协议：主要提供的功能有数据源验证、数据完整性校验和防报文重放功能。然而，AH并不加密所保护的数据报。

mESP协议：提供AH协议的所有功能外（但其数据完整性校验不包括IP头），还可提供对IP报文的加密功能。

mIKE协议：用于自动协商AH和ESP所使用的密码算法。

m安全联盟定义了IPSec对等体间将使用的数据封装模式、认证和加密算法、密钥等参数。

m安全联盟是单向的，两个对等体之间的双向通信，至少需要两个SA。

SA（Security Association）安联盟定义了IPSec通信对等体间将使用的数据封装模式、认证和加密算法、秘钥等参数。SA是单向的，两个对等体之间的双向通信，至少需要两个SA。如果两个对等体希望同时使用AH和ESP安全协议来进行通信，则对等体针对每一种安全协议都需要协商一对SA。

SA由一个三元组来唯一标识，这个三元组包括安全参数索引SPI（Security Parameter Index）、目的IP地址、安全协议（AH或ESP）。

建立SA的方式有以下两种：

手工方式：安全联盟所需的全部信息都必须手工配置。手工方式建立安全联盟比较复杂，

m但优点是可以不依赖IKE而单独实现IPSec功能。当对等体设备数量较少时，或是在小型静态环境中，手工配置SA是可行的。

IKE动态协商方式：只需要通信对等体间配置好IKE协商参数，由IKE自动协商来创建和维护SA。动态协商方式建立安全联盟相对简单些。对于中、大型的动态网络环境中，推荐使用

IKE协商建立SA。

IPSec传输模式

在传输模式下，AH或ESP报头位于IP报头和传输层报头之间。

在隧道模式下，IPSec会另外生成一个新的IP报头，并封装在AH或ESP之前

IPSec VPN置步骤

IPSec VPN配置

IPSec VPN对等体配置的安全提议参数必须一致。

安全策略将要保护的数据流和安全提议进行绑定。

ipsec policy policy-name seq-number命令用来创建一条IPSec策略，并进入IPSec策略视图。安全策略是由policy-name和seq-number共同来确定的，多个具有相同policy-name的安全策略组成一个安全策略组。在一个安全策略组中最多可以设置16条安全策略，而seq-number越小的安全策略，优先级越高。在一个接口上应用了一个安全策略组，实际上是同时应用了安全策略组中所有的安全策略，这样能够对不同的数据流采用不同的安全策略进行保护。

IPSec策略除了指定策略的名称和序号外，还需要指定SA的建立方式。如果使用的是IKE协商，需要执行ipsec-policy-template命令配置指定参数。如果使用的是手工建立方式，所有参数都需要手工配置。本示例采用的是手工建立方式。

security acl acl-number命令用来指定IPSec策略所引用的访问控制列表。

proposal proposal-name命令用来指定IPSec策略所引用的提议。

tunnel local { ip-address | binding-interface }命令用来配置安全隧道的本端地址。

tunnel remote ip-address命令用来设置安全隧道的对端地址。

sa spi { inbound | outbound } { ah | esp } spi-number命令用来设置安全联盟的安全参数索引SPI。在配置安全联盟时，入方向和出方向安全联盟的安全参数索引都必须设置，并且本端的入方向安全联盟的SPI值必须和对端的出方向安全联盟的SPI值相同，而本端的出方向安全联盟的SPI值必须和对端的入方向安全联盟的SPI值相同。

sa string-key { inbound | outbound } { ah | esp } { simple | cipher } string-key命令用来设置安全联盟的认证密钥。入方向和出方向安全联盟的认证密钥都必须设置，并且本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥相同；同时，本端的出方向安全联盟密钥必须和对端的入方向安全联盟的密钥相同。

mipsec policy policy-name命令用来在接口上应用指定的安全策略组。手工方式配置的安全策略只能应用到一个接口。

IPSec VPN Ike 动态协商配置

m默认封装方式：

m默认采用esp模式的隧道封装

m相应esp认证算法：MD5-HMAC-96

mesp加密算法：DES

ipsec proposal aa 创建安全提议aa
# 
ike proposal 5
# 
ike peer ShangHai v2
pre-shared-key cipher huawei
ike-proposal 5
ipsec profile TO_ShangHai
ike-peer ShangHai
proposal aa

interface Tunnel0/0/0
ip address 192.168.13.3 255.255.255.0
tunnel-protocol gre
source GigabitEthernet0/0/0
destination 12.1.1.1
ipsec profile TO_ShangHai

The post 第四十五-VPN章节-IPsec appeared first on 韩阁主-小韩.

第四十四-VPN章节-GRE

• 资料下载：
• 链接：点击这里
  提取码：6oiw

VPN介绍

vpn：virtual private network 虚拟专用网络

专线：DDN PTN SDH MSTP 成本高，通信质量好

VPN：IPsec 、SSL MPLS-vpn、L2TP 、PPTP 、GRE 、

DSVPN（DMVPN）等等只需要有固定公网ip地址即可，价

格便宜，通信质量稍差

用途：

① 总部和分支之间对联 site-to-site

② 远程出差人员，通过vpn拨号的方式访问企业内网

目前常用vpn：IPsec vpn SSLvpn mplsvpn

GRE配置

GRE：generic routing encapsulation 通用路由封装

GRE vpn 配置：公网地址可达

interface Tunnel0/0/0
tunnel-protocol gre
source 12.1.1.1
destination 23.1.1.3
ip add 192.168.13.1 24

The post 第四十四-VPN章节-GRE appeared first on 韩阁主-小韩.

第四十三章节-NAS系统（安装篇）

• 资料下载：
• 链接：点击这里
  提取码：k3bm

The post 第四十三章节-NAS系统（安装篇） appeared first on 韩阁主-小韩.

PVE硬件方面要求最低64位CPU，内存1GB以上，附加分配给客户机所需的内存，CPU虚拟化技术不是必须的，但是最好有。J3455主板加个千兆网卡跑软路由和黑群晖是够用的，内网能跑满千兆。

• CPU: 64bit (Intel EMT64 or AMD64)
• Intel VT/AMD-V capable CPU/Mainboard for KVM full virtualization support
• RAM: 1 GB RAM, plus additional RAM used for guests

二、下载PVE ISO文件

官方网站下载地址：https://www.proxmox.com/en/downloads，选择BT下载会快很多。

三、PVE安装U盘制作

下载PVE的镜像文件（iso结尾文件）留着使用

下载软牒通后再将PVE镜像文件拖到ultraiso中，制作U盘启动盘，软件下载页面有详细的介绍，我就不多说了，制作好的U盘插到主机上

开机启动后是安装界面，按照上面的提示一步一步的来，我这里也详细介绍一下：

进入自检画面，等待几秒：

选择要安装的硬盘，单击“Options”可以选择硬盘格式或者安装到zfs RAID硬盘阵列，要提前准备好多块硬盘，完成后单击“Next”进入下一步。

PVE可以选择安装到U盘上，PVE安装完后也会利用U盘自动生成存储空间，不像EXSi需要自己创建。我主力机上用的是闪迪酷豆，体积小巧速度也很快，PVE管理界面都很流畅。

接下来就是选择国家，地区，和使用键盘的样式

其它默认，只要将国家选择成China，如果没有可以手动填写，填完就下一步：

输入root密码和电子邮件地址（随意填，邮箱格式就行），单击“Next”。

（和电脑获取IP一样），你也可以指定IP或者网关，一般默认就好了。（如果有域名填写真实的域名，没有套件格式随便填一个也行，比如pve.xxx.com）

根据硬件性能，一般几分种到十分钟不等。

安装完成，单击“Reboot”，记得拔掉PVE安装U盘并更改启动项。

一般是从第一个启动，启动画面如下：

启动完成，下面红框就算PVE的管理地址。

用浏览器访问PVE的管理地址，这里Url要做到“一字不差”地输入到浏览器，输入root用户名和密码，单击“登录”。

语言有中文可选，PVE汉化支持很好。

进入PVE的管理界面。大功告成！

The post Proxmox VE（PVE）安装教程 appeared first on 韩阁主-小韩.

• 资料下载：
• 链接：点击这里
  提取码：k3bm

创建虚拟机

登录PVE管理页面，创建虚拟机——填写虚拟机名称——高级——开机自启动——下一步。

类别——Linux——版本——5.x-2.6kemel——不使用任何介质

CPU核心数量——2

内存大于256MB，一般不用超高2GB——下一步

PVE虚拟机可选网卡模型（虚拟网卡）——默认的VirtIO（半虚拟化）

确认设置和参数——完成。

创建硬盘

选择刚刚创建的“Openwrt”虚拟机——硬件——硬盘(scsi0) ——分离

选中未使用的磁盘0——删除，再用同样的方法删除不用的光驱。

上传镜像

打开cmd 用scp上传镜像

scp ./bleach-plus-20221012-openwrt-x86-64-generic-squashfs-combined-efi.img root@10.10.1.200:~/test/

pve——shell——输入命令导入镜像qm importdisk 100 /openwrt.img local-lvm

qm importdisk是命令

创建硬盘

pve——openwrt(100)——硬件——未使用的磁盘——编辑

添加

pve——openwrt(100)——硬件——硬盘——调整磁盘大小

容量随便选，我选择了富裕的8g

引导顺序

pve——openwrt（100）——选项——引导顺序

勾选scsi0,并拖拽之最上方——ok

The post PVE安装Openwrt appeared first on 韩阁主-小韩.

第四十二章节-NAS系统（番外篇）

系统配置

m主板》B560I AORUS PRO AX (rev. 1.0)

mCPU》I5-10400

m存储》影驰512G固态（NVME（m.2））

m内存》威刚-万紫千红-16G（DDR4\3200MHz）

m机箱》星际蜗牛(高190x宽220x深242)/mm

m网卡》intel x540 四口千兆

CPU：I5-10400

CPU主频：2.9GHz

最高睿频：4.3GHz

核心数量：六核心

线程数：十二线程

存储：影驰512G固态


接口类型：M.2 PCIe接口

存储容量：512GB

读取速度：2500MB/s

写入速度：1600MB/s

机箱：星际蜗牛

intel x540 四口千兆

网络拓扑

The post 第四十二章节-NAS系统（番外篇） appeared first on 韩阁主-小韩.

第四十一章节-前缀列表 IP-Prefix List

• 资料下载：
• 链接：点击这里
  提取码：etok

IP-Prefix List

前缀列表用于对路由的匹配和过滤，既能限制前缀的范围，又能限制掩码的范围。

前缀列表特征

ip-Prefix List能够同时匹配IP地址前缀及掩码长度。

ip-Prefix List不能用于IP报文的过滤，只能用于路由信息的过滤。

ip ip-prefix aa index 5 permit 1.1.1.0 24 greater-equal 24 less-equal 26
ip ip-prefix bb index 10 permit 1.1.1.0 24 greater-equal 26 less-equal 26


#rip 调用ip-prefix
<Huawei> system-view
[Huawei] rip 1
[Huawei-rip-100] filter-policy ip-prefix aa export rip 1

#路由策略调用ip-prefix
<Huawei> system-view
[Huawei] route-policy policy permit node 10
[Huawei-route-policy] if-match ip-prefix bb

#ospf调用路由策略
ospf 1
 import-route rip 1 route-policy aa

The post 第四十一章节-前缀列表 IP-Prefix List appeared first on 韩阁主-小韩.

第四十章节-Windows 11和mac OS

• 资料下载：
• 链接：点击这里
  提取码：kwmd

Windows 11 系统要求

系统盘不少于12G

BIOS，全称”Basic Input Output System”，中文名称”基本输入输出系统”。

UEFI，全称”Unified Extensible Firmware Interface”，中文名称”统一的可扩展固件接口”。

GPT分区，全称”GUID Partition Table”，中文名称”全局唯一标识磁盘分区表”。

MBR分区，全称”Master Boot Record”，中文名称”主引导记录”。

MBR分区：最大支持2TB磁盘，最多4个主分区，理论支持安装windows所有版本的系统。

GPT分区：允许每个磁盘有多达128个主分区，支持超过2TB的磁盘，理论仅支持win8以上的操作系统。

BIOS+MBR模式：（Legacy+MBR）

1、这种启动模式兼容性较好

2、可以安装32位和64位系统

3、硬盘分区最大支持支持2TB

4、理论支持安装Windows所有版本的系统

UEFI+GPT模式：

1、只能安装64位系统

2、硬盘分区最大支持18EB，基本上算是无限大

3、启动速度更快

4、为用户提供更高级的图形界面

5、支持鼠标使用

6、安全启动，防止在启动前环境中运行的恶意软件和rootkit

7、提供独立于CPU架构的模块化接口，也为基于EFI驱动程序（称为EBC-EFI字节码）的应用和设备提供模块化接口

8、能够与BIOS并行运行

9、理论仅支持win8以上的操作系统

The post 第四十章节-Windows 11和mac OS appeared first on 韩阁主-小韩.