HQY 一个和谐有爱的空间

前面的文章中（IPsec：RFC2401-互联网协议的安全架构、IPsec小实验：手工方式建立保护IPv4报文的IPsec-ESP隧道、为什么IPsec两端内网的网段能不能重复？分明可以实现！、填坑：IPsec不同安全协议的报文封装结构对比、还能这么玩？Windows通过netsh命令配置IPsec、使用MMC和netsh两种方式配置Windows Server传输模式IPsec），我们用了很大篇幅来说明IPsec支持的两种封装模式：传输模式和隧道模式。传输模式SA是两个主机之间的安全联盟。在E

实际应用场景中，如果和SD-WAN结合起来，很少会使用这种两端直连的场景（IKE主模式及预共享密钥认证配置）。或者说，两个子网的互通可能是通过第三台设备来实现的。举例说明一下，上次的实验中，RTB和RTC是直接建立的IPsec隧道，而实际应用中，有可能是RTA和RTB、RTC之间分别建立IPsec隧道，再实现RTB和RTC两台设备下挂子网的互通。组网需求某SD-WAN使用场景，组网使用3台路由器。图中RTA为总部设备，RTB、RTC为分支设备，RTA和RTB、RTC之间分别建立IPsec隧道，对

测试VPP的性能和性能调优时，我查阅了VPP官网的相关资料，其中有一条让我有点意外。对于虚拟化扩展功能，前面讲必须启用“英特尔虚拟化扩展”（用于VT-x）和VT-d（用于直接IO）以及DMA重新映射（DMAR）。VT-d启用PCIe直通所需的IOMMU虚拟化功能。此外，应启用中断重新映射，以便可以将硬件中断重新映射到VM以进行PCIe传递。但是后面又说“建议禁用VT-d一致性支持以获得更高的性能”。至于最后提到的Intel Sandy Bridge架构的CPU，如果需要高性能，则不建议使用San

现在我们已经有了穿越NAT场景下的Full-Mesh组网（HPE VSR配置穿越NAT场景下的ADVPN案例），并且还知道了分支之间互访的Spoke-Spoke隧道的转发是不需要经过HUB节点的（ADVPN的S-S捷径到底有没有从总部绕转？）。我们也配置了基于IPsec VPN的VXLAN“专线”（一种基于IPsec的VXLAN“专线”解决方案），那把这几种整合起来，是不是就有了一张跨越在公网上的大二层网络交换机了呢？实验组网如下图所示：为了不受公网带宽影响，方便测试性能，3台设备我们都使用本地

我们在EVE-NG模拟器中，对基于VPN虚拟链路的负载分担进行了初步配置和简单测试，但是受限于EVE-NG模拟器的稳定性问题，最终没有实现既定的测试目标。所以，我又在VMWare中把实验环境重新部署了一遍，争取完成测试目标。实验组网组网拓扑和之前的基本相同，VSR2用于模拟公网环境，避免隧道两端直连；VSR1作为本地主机PC的网关设备，穿越VSR2设备，和VSR3建立GRE隧道，和VSR4建立L2TP隧道，和VSR5建立IPsec隧道。实验环境VMWare ESXi 6.7.0（ProLiant

某厂商分支组网场景下的SD-WAN方案，有很多同学问不就是手工配置IPsec嘛，为啥叫SD-WAN。有一篇很早的文章（来吧！听听我对SD-WAN的理解），里面大概介绍了，SDN架构的主要组成部分是三大平面（数据面、控制面和管理面）与两大接口（南向接口和北向接口）。标准场景下，网络硬件/数据转发层面的设备配置甚至流量转发都是由控制器直接控制的，但是我暂时还不具备手撸控制器的能力，所以只能手配了。所以与标准架构相比，我们缺少的主要还是控制器。回过头来看，SD-WAN的主要功能还是用比较低的成本实现分

假设有这样一张网络，其中RTA和PCA表示某公司的A分支，通过中国电信CT路由器接入互联网ISP；RTB和PCB表示某公司的B分支，通过中国联通CU路由器接入互联网ISP。DNS（8.8.8.8）表示某互联网应用。为实现A分支私网192.168.2.0/24和B分支私网192.168.3.0/24的互通，现计划使用某厂商的SD-WAN方案进打通两个内网，像下图这样简单变更一下网络。图中POP为某厂商SD-WAN方案用户接入点设备，分支侧通过接入CPE设备进行互通。为不改变现有网络结构，将CPE设

Gartner的2019年防火墙魔力象限报告，才领悟到真的是山外有山，海外市场的技术和产品发展领先国内厂商太多，今天来向大家来简单宣传一下。（文末有个小调查，欢迎大家投票！）（Gartner Group公司成立于1979年，是第一家信息技术研究和分析的公司，目前已经成为了一家独立的咨询公司，服务主要是迎合中型公司或技术用户的需求。它希望使自己的业务覆盖到IT行业的所有领域，从而让自己成为每一位用户的一站式信息技术服务公司。）Gartner魔力四象限(Gartner Magic Quadrant）

SDWAN是一个大的网络趋势。至于什么是SDWAN，上次也没深入研究，现在有机会了，跟大伙掰扯掰扯。提到SDWAN，不得不先提一下SDN（Software Defined Network，软件定义网络）。SDN数据通信在过去数年里经历了爆炸式的增长，这种增长使传统数据网络的不足逐渐暴露出来。SDN软件定义网络就是在这种背景下，为了解决传统基于路由的网络部署或数据交换网络的瓶颈问题而发展起来的。SDN的核心思想是将控制层面和数据转发层面相分离，其设计需要遵循下面三个原则：1、把控制平面功能从交换专

RFC1990：The PPP Multilink Protocol (MP)，August 1996本备忘录的状态本文档为 Internet 社区指定了 Internet 标准跟踪协议，并请求讨论和改进建议。本协议的标准化状态和现状请参考当前版本的《互联网官方协议标准》（STD 1）。本备忘录的分发不受限制。梗概本文档提出了一种跨多个逻辑数据链路拆分、重组和排序数据报文的方法。这项工作最初的动机是希望利用 ISDN 中的多个承载通道，但同样适用

关于链路捆绑的文档（PPP MP：多链路协议），文中详细介绍了多链路捆绑是如何工作的，实际上就是一种跨多个逻辑数据链路拆分、重组和排序数据报文的方法。尔后我又用了多篇文章来测试虚拟机或模拟器的性能，期待找到一个能测试链路聚合效果的模拟器，但是很失望，几乎所有设备的接口都不支持强制转发速率而且转发性能大打折扣。看来用低端的设备向上升速不容易，那就只能用高端的设备向下降速了。所以本次实验选用了VSR设备，首先看一下两台测试主机直连的转发带宽。测得带宽为10.1 Gbps，也就是万兆的转发性能，也就是

链路聚合实际上就是一种跨多个逻辑数据链路拆分、重组和排序数据报文的方法。结合前面的另一篇文章（在服务器集群中使用 IPv6 流标签进行负载均衡），文中介绍了负载均衡（Load Balance，LB）这种集群技术，它将特定的业务（网络服务、网络流量等）分担给多台网络设备（包括服务器、防火墙等）或多条链路，从而提高了业务处理能力，保证了业务的高可靠性。其实，负载分配是一个比负载均衡稍微更笼统的术语，但负载均衡更常用。负载均衡技术一般分为服务器负载均衡和链路负载均衡，如文章（在服务器集群中使用 IPv

学网络的时候就总是听到有人说VRF什么的，因为华三的配置里面极少见到这个东西，一般都是说VPN实例，所以我一直以为只有思科才叫VRF。其实在MPLS L3VPN或其他场景中，不同VPN之间的路由隔离一般通过VPN实例（VPN-instance）实现，VPN实例又称为VRF（Virtual Routing and Forwarding，虚拟路由和转发）实例。设备上每个VPN实例都有相对独立的路由表和FIB（Forwarding Information Base，转发信息库），确保VPN数据的独立性

单纯的想有一台随时能使用的性能够用的测试设备，要求很过分吗？自己服务器上装的VSR出了大门就不好访问了，出门也不能随身带着一台MSR810路由器，那怎么办呢？要不在公有云上部署一台VSR？正好现在腾讯云和阿里云上都有资源，为什么不整一台呢？整！现在就整！！其实阿里云和腾讯云的操作差不多，而且两个我都操作过了。但是阿里云在操作的时候涉及一个对象存储的RAM访问权限问题，配置稍微有点复杂，逻辑有点怪，一时半会我也讲不明白；而且阿里云在操作对象存储的时候会产生费用，虽然不多，但是不会像腾讯云一样会赠送

前面我们测了华三的模拟器HCL，设备性能一塌糊涂，提升设备配置都没什么效果。懂行的都说了，HCL也就是给小朋友玩的，凑合用吧。如此看来，是时候拿出华为的模拟器eNSP来操练一下了。设备的话，我们就直接上最高端的CE12800吧，而eNSP不能像HCL一样直接连接电脑的虚拟网卡，需要使用Cloud创建端口进行映射。配置Cloud1，要创建两个端口，端口类型都选择GE，一个绑定UDP，另一个绑定对应的虚拟网卡。然后在下方添加端口映射，入端口和出端口分别选择1和2，勾选双向通道就可以了。如果只添加一个

本文档描述了虚拟可扩展局域网 (Virtual eXtensible Local Area Network，VXLAN)，该网络用于解决在容纳多租户的虚拟化数据中心内对overlay网络的需求。该方案及相关协议可用于云服务提供商和企业数据中心的网络。本备忘录记录了已部署的 VXLAN 协议，以造福 Internet 社区。本备忘录的状态本文档不是 Internet Standards Track 规范；它是为了信息目的而发布的。这是对 RFC 系列的贡献，独立于任何其他RFC流。RFC编辑器选择

VXLAN隧道的建立方式分为手工创建和自动创建，放在华为设备上，配置方式可以分为静态方式和EVPN的方式。那今天就来敲一个静态方式手工建立VXLAN隧道的小实验。实验环境Windows7旗舰版（Xeon E5 v3@2.5GHz x16核心，32G内存）eNSP（V100R003C00SPC100）CE12800（V200R005C10SPC607B607）组网需求某公司有两个数据中心机房，A机房的服务器VM1属于VLAN 10，服务器VM2属于VLAN 20；B机房的服务器VM3属于VLAN

今天给大家推荐的是QtScrcpy和极限投屏软件，两款软件都出自于同一作者，极限投屏相当于是QtScrcpy的专业版或者加强版。1. QtScrcpyQtScrcpy可以通过 USB / 网络连接Android设备，并进行实时显示手机屏幕和控制手机，手机无需root权限。只需要在电脑上安装QtScrcpy，手机上无法安装任何软件，只需要开启USB调试功能，如果需要使用网络连接，需要设置手机可以远程调试，文中我会在Windows中进行演示截图。QtScrcpy不仅可以在Windows中安装，在Li

之前也听说过WireGuard，身边也有不少亲戚朋友在用，听说是一种极其简单但快速且现代的 VPN。它的目标是比IPsec更快、更简单、更精简、更有用，比 OpenVPN 性能更高。WireGuard利用先进的加密技术，并且覆盖了几乎所有的常见的操作系统，可以广泛部署。据说目前被认为是业内最安全、最容易使用和最简单的 VPN 解决方案。之前讲IPsec（IPsec系列）的时候就有小伙伴让介绍一下WireGuard，终于安排上了。官网用了一段2分25秒的无剪辑、无倍速的视频介绍了如何快速部署Wir

通过前面几次的巩固（Wireguard配置文件详解、配置Wireguard的几个进阶玩法），我们现在已经数量掌握了Wireguard的配置要领，那么我们就来更新一下Wireguard的组网案例。首先介绍一下HUB-SPOKE组网模型，分别用3台主机代表3个站点，PCA为HUB角色，PCB和PCC为SPOKE角色，配置PCB和PCC需要穿越NAT设备来访问PCA。每个主机配置一个虚拟接口veth，模拟本地网络。组网示意图如下：首先使用3条命令完成标准内核下的Wireguard安装，即使用ELRep