参考1：https://blog.csdn.net/qq_36119192/article/details/82079150参考2：http://www.nmap.com.cn/doc/manual.shtm功能：网络主机清单、管理服务升级调度、监控主机或服务运行状况。Nmap可以检测目标机是否在线、端口开放情况、侦测运行的服务类型及版本信息、侦测操作系统与设备类型等信息。常用命令：#查询ipping 网址#探测目标主机是否在线nmap -sn ip地址#简单扫描，默认扫描方式为TCP SYN（目标主机开放的端口号，以及端口号上运行的服务）nmap ip地址#全面扫描（目标主机开放的端口号，对应的服务，还较为详细的列出了服务的版本，其支持的命令,到达目标主机的每一跳路由等信息）1、nmap -A ip地址2、nmap -T4 -A -v xx.xx.xx.xx -A 选项用于使用进攻性方式扫描 -T4 指定扫描过程使用的时序，总有6个级别（0-5），级别越高，扫描速度越快，但也容易被防火墙或IDS检测并屏蔽掉，在网络通讯状况较好的情况下推荐使用T4 -v 表示显示冗余信息，在扫描过程中显示扫描的细节，从而让用户了解当前的扫描状态#端口扫描nmap -p num1-num2 ip地址#TCP SYN 扫描nmap -sS ip地址#TCP connent 扫描nmap -sT ip地址#UDP扫描nmap -sU ip地址#IP protocol 扫描（确定目标机支持的协议类型）nmap -sO ip地址#TCP ACK 扫描nmap -sA ip地址#TCP FIN/Xmas/NULL 扫描nmap -sN/-sF/-sX ip地址#端口运行服务版本检测nmap -sV ip地址#OS侦测（识别目标主机的操作系统和设备）nmap -O ip地址nmap -helpnmap –iflist : 查看本地主机的接口信息和路由信息-A ：选项用于使用进攻性方式扫描-T4： 指定扫描过程使用的时序，总有6个级别（0-5），级别越高，扫描速度越快，但也容易被防火墙或IDS检测并屏蔽掉，在网络通讯状况较好的情况下推荐使用T4-oX test.xml： 将扫描结果生成 test.xml 文件，如果中断，则结果打不开-oA test.xml: 将扫描结果生成 test.xml 文件，中断后，结果也可保存-oG test.txt: 将扫描结果生成 test.txt 文件-sn : 只进行主机发现，不进行端口扫描-O : 指定Nmap进行系统版本扫描-sV: 指定让Nmap进行服务版本扫描-p <port ranges>: 扫描指定的端口-sS/sT/sA/sW/sM:指定使用 TCP SYN/Connect()/ACK/Window/Maimon scans的方式来对目标主机进行扫描-sU: 指定使用UDP扫描方式确定目标主机的UDP端口状况-script <script name> : 指定扫描脚本-Pn ： 不进行ping扫描-sP : 用ping扫描判断主机是否存活，只有主机存活，nmap才会继续扫描，一般最好不加，因为有的主机会禁止ping-PI : 设置这个选项，让nmap使用真正的ping(ICMP echo请求)来扫描目标主机是否正在运行。-iL 1.txt : 批量扫描1.txt中的目标地址 -sL: List Scan 列表扫描，仅将指定的目标的IP列举出来，不进行主机发现-sY/sZ: 使用SCTP INIT/COOKIE-ECHO来扫描SCTP协议端口的开放的情况-sO: 使用IP protocol 扫描确定目标机支持的协议类型-PO : 使用IP协议包探测对方主机是否开启 -PE/PP/PM : 使用ICMP echo、 ICMP timestamp、ICMP netmask 请求包发现主机-PS/PA/PU/PY : 使用TCP SYN/TCP ACK或SCTP INIT/ECHO方式进行发现-sN/sF/sX: 指定使用TCP Null, FIN, and Xmas scans秘密扫描方式来协助探测对方的TCP端口状态-e eth0：指定使用eth0网卡进行探测-f : --mtu <val>: 指定使用分片、指定数据包的 MTU.-b <FTP relay host>: 使用FTP bounce scan扫描方式-g： 指定发送的端口号-r: 不进行端口随机打乱的操作（如无该参数，nmap会将要扫描的端口以随机顺序方式扫描，以让nmap的扫描不易被对方防火墙检测到）-v 表示显示冗余信息，在扫描过程中显示扫描的细节，从而让用户了解当前的扫描状态-n : 表示不进行DNS解析；-D <decoy1,decoy2[,ME],...>: 用一组 IP 地址掩盖真实地址，其中 ME 填入自己的 IP 地址-R ：表示总是进行DNS解析。 -F : 快速模式，仅扫描TOP 100的端口 -S <IP_Address>: 伪装成其他 IP 地址--ttl <val>: 设置 time-to-live 时间--badsum: 使用错误的 checksum 来发送数据包（正常情况下，该类数据包被抛弃，如果收到回复，说明回复来自防火墙或 IDS/IPS）--dns-servers : 指定DNS服务器--system-dns : 指定使用系统的DNS服务器 --traceroute : 追踪每个路由节点 --scanflags <flags>: 定制TCP包的flags--top-ports <number> :扫描开放概率最高的number个端口--port-ratio <ratio>: 扫描指定频率以上的端口。与上述--top-ports类似，这里以概率作为参数--version-trace: 显示出详细的版本侦测过程信息--osscan-limit: 限制Nmap只对确定的主机的进行OS探测（至少需确知该主机分别有一个open和closed的端口）--osscan-guess: 大胆猜测对方的主机的系统类型。由此准确性会下降不少，但会尽可能多为用户提供潜在的操作系统--data-length <num>: 填充随机数据让数据包长度达到 Num--ip-options <options>: 使用指定的 IP 选项来发送数据包--spoof-mac <mac address/prefix/vendor name> : 伪装 MAC 地址--version-intensity <level>: 指定版本侦测强度（0-9），默认为7。数值越高，探测出的服务越准确，但是运行时间会比较长。--version-light: 指定使用轻量侦测方式 (intensity 2)--version-all: 尝试使用所有的probes进行侦测 (intensity 9)--version-trace: 显示出详细的版本侦测过程信息作者：Hf1dw链接：https://www.jianshu.com/p/f0af5e9dc611来源：简书著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

通过内网访问带参数地址URL：http://mas.ecloud.10086.cn/app/http/authorize?ec_name=%E6%B3%B8%E5%B7%9E%E5%B8%82%E5%9B...&user_name.....看squid日志只显示TCP_MISS/200 538 GET http://mas.ecloud.10086.cn/app/http/authorize?ec_name...  squid是把&后面参数过滤掉了，需要怎么配置才能带完整参数访问,squid用的3.5.2，配置文件中加strip_query_terms off

RESTful架构需要遵循一些规范，包括： 1：客户端-服务器模型：客户端和服务器之间通过统一接口进行交互。 2：资源标识：每一个资源都需要有一个唯一的标识符URI，在使用HTTP协议时就是URL。 3：消息的自描述性：HTTP消息中应该包含足够的信息来描述消息的处理方法，以及对消息负载进行处理所需的相关信息。 4：资源的自描述性 / HATEOAS（超媒体引擎状态转移）：在消息中包含足够的信息，使得客户端能够通过阅读响应来获取对资源的进一步操作指示。 5：无状态：服务器不应保存请求者的任何状态，所有信息都应该在请求中传递，从而让服务更加可扩展。 6：统一接口：所有的资源通过相同的接口进行处理，降低了系统的复杂度，提高了灵活性和可扩展性。 统一接口后如何知道这个接口是增加还是删除？在RESTful架构中，每个资源都应该拥有一个唯一的URI（Uniform Resource Identifier），可以通过HTTP协议对其进行增删改查等操作。而这些操作的具体类型，则由HTTP请求方法（HTTP Request Method）来决定，常见的HTTP请求方法包括：GET、POST、PUT和DELETE。 在使用RESTful架构设计API时，通常会为每个资源定义一组标准的请求方法，以便客户端能够通过调用不同的请求方法，实现对资源的不同操作。举例来说，如果想要创建新的资源，可以使用HTTP POST方法，当需要修改已有资源时，可以使用HTTP PUT或PATCH方法，删除资源则可以使用HTTP DELETE方法。 为了使接口更加易于理解，建议在URI中使用动词短语来描述资源，例如，“/users”表示用户资源集合，“/users/123”表示用户ID为123的具体用户资源。通过这种方式命名URI，可以让客户端清楚地知道请求的目标是什么，并能根据不同的请求方法，实现相应的增删改查等操作 

1. ZigBee ZigBee简介Zigbee是IEEE 802．15．4协议的简称，它来源于蜜蜂的八字舞，蜜蜂(bee)是通过飞翔和“嗡嗡”(zig)抖动翅膀的“舞蹈”来与同伴传递花粉所在方位信息，而ZigBee协议的方式特点与其类似便更名为ZigBee。ZigBee主要适合用于自动控制和远程控制领域，可以嵌入各种设备，其特点是传播距离近、低功耗、低成本、低数据速率、可自组网、协议简单。ZigBee的主要优点如下：功耗低对比Bluetooth与WiFi，在相同的电量下（两节五号电池）可支持设备使用六个月至两年左右的时间，而Bluetooth只能工作几周，WiFi仅能工作几小时。成本低ZigBee专利费免收，传输速率较小且协议简单，大大降低了ZigBee设备的成本。掉线率低由于ZigBee的避免碰撞机制，且同时为通信业务的固定带宽预留了专用的时间空隙，使得在数据传输时不会发生竞争和冲突；可自组网的功能让其每个节点模块之间都能建立起联系，接收到的信息可通过每个节点模块间的线路进行传输，使得ZigBee传输信息的可靠性大大提高了，几乎可以认为是不会掉线的。组网能力强ZigBee的组网能力超群，建立的网络每个有60，000个节点。安全保密ZigBee提供了一套基于128位AES算法的安全类和软件，并集成了IEEE 802.15.4的安全元素。灵活的工作频段2.4 GHz，868 MHz及915 MHz的使用频段均为免执照频段。ZigBee的缺点如下： 传播距离近若在不适用功率放大器的情况下，一般ZigBee的有效传播距离一般在10m——75m，主要还是适用于一些小型的区域，例如家庭和办公场所。但若在牺牲掉其低掉线率的优点的前提下，以节点模块作为接收端也作为发射端，便可实现较长距离的信息传输。数据信息传输速率低处于2.4 GHz的频段时，ZigBee也只有250 Kb/s的传播速度，而且这单单是链路上的速率且不包含帧头开销、信道竞争、应答和重传，去除掉这些后实际可应用的速率会低于100 Kb/s，在多个节点运行多个应用时速率还要被他们分享掉。会有延时性ZigBee在随机接入MAC层的同时不支持时分复用的信道接入方式，因此在支持一些实时的应用时会因为发送多跳和冲突会产生延时。ZigBee的具体应用ZigBee的问世已经有很长一段时间，但是由于传输速率且目前电子设备中配置其模块的比例几乎为零，在2010年前几乎没有什么出名的具体应用。在LED火热的这几年，人们发现ZigBee适用于灯光照明系统，智能家居系统这种不需要传输速率很快的系统。最近还有应用在无线定位系统中并在具体的项目上得到了实施。2. Bluetooth（蓝牙协议）蓝牙简介蓝牙协议是由爱立信公司创造并于1999年5月20日与其他业界领先开发商一同制定了蓝牙技术标准，最终将此种无线通信技术命名为蓝牙。蓝牙技术是一种可使电子设备在10～100 m的空间范围内建立网络连接并进行数据传输或者语音通话的无线通信技术。蓝牙发展趋势蓝牙技术联盟(Bluetooth Special Interest Group，SIG)日前宣布蓝牙4.0版本正式问世，且制定了技术标准并开始了认证计划。蓝牙4.0在保持3.0+HS高速传输技术的基础上又加入了某开发商力推的Wibree低功耗传输技术。蓝牙4.0是IEEE 802．15．1传统蓝牙，IEEE 802．11物理层和MAC层以及Wibree三者的结合体，已和大家传统认识中只适用于WPAN的蓝牙有着天壤之别，在未来几年蓝牙会持续这几年的发展趋势进入一个应用狂潮。蓝牙4.0最大的突破和技术特点便是沿用Wibree的低功耗传输，它采用简单的GFSK调制因而有着极低的运行和待机功耗，即使只是一颗纽扣电池也可支持设备工作几年以上。蓝牙4.0的网络拓扑与ZigBee的星形拓扑相比来得简单且传输速率是ZigBee的几倍以上，在传输距离上相对NFC又有较大优势，加之其在手机与音频领域的广泛应用，作为一个问世不久的新技术，它对ZigBee和NFC的威胁力度却不容忽视，未来发展不可限量。蓝牙的优点如下：1. 功耗低且传输速率快蓝牙的短数据封包特性是其低功耗技术特点的根本，传输速率可达到1Mb/s，且所有连接均采用先进的嗅探性次额定功能模式以实现超低的负载循环。2. 建立连接的时间短蓝牙用应用程序打开到建立连接只需要短短的3ms，同时能以数毫秒的传输速度完成经认可的数据传递后并立即关闭连接。3. 稳定性好蓝牙低功耗技术使用24位的循环重复检环(CRC)，能确保所有封包在受干扰时的最大稳定度。4. 安全度高CCM的AES-128完全加密技术为数据封包提供高度加密性及认证度。蓝牙的缺点如下：1. 数据传输的大小受限高速跳频使得蓝牙传输信息时有极高的安全性但同时也限制了蓝牙传输过程中数据包不可能太大。即使在所谓的高保真蓝牙耳机中高低频部分也是会被严重压缩的。2. 设备连接数量少相对于Wifi与ZigBee，蓝牙连接设备能力确实较差，理论上可连接8台设备，实际上也就只能做到6——7个设备连接。3. 蓝牙设备的单一连接性假设我用A手机连接了一个蓝牙设备，那么B手机是连接不上它的，一定要我与此蓝牙设备之间的握手协议断开B手机才能连接上它。蓝牙应用从最初的蓝牙传输数据使得蓝牙技术在手机上广泛运用，再到后来蓝牙耳机和蓝牙无线鼠标的风靡，再到时下最流行的蓝牙智能家居系统，蓝牙对人们生活产生的便利不言而喻。凭借着其在电子产品中的高配置比，人们对蓝牙新产品的接受程度会高于ZigBee，NFC等产品。电子窗帘，吸尘器机器人，抽油烟机，智能穿戴产品，低功耗的蓝牙4.0将有更大的应用市场。3. WiFiWiFi技术简介WiFi(Wireless Fidelity，无线保真技术)是IEEE 802．11的简称，是一种可支持数据，图像，语音和多媒体且输出速率高达54Mb/s的短程无线传输技术，在几百米的范围内可让互联网接入者接收到无线电信号。WiFi的首版于1997年问世，当时其中定义了物理层和介质访问接入控制层(MAC层)并在规定了无线局域网的基本传输介质和网络结构的同时规范了介质访问层(MAC)的特性和物理层（PHY），其中物理层采用的是FSSS(调频扩频)技术、红外技术和DSSS(直接序列扩频)技术。在1999年又新增了IEEE 802．11g和IEEE 802．11a标准进行完善。WiFi技术特点1. 传输范围广WiFi的电波覆盖范围半径高达100 m，甚至连整栋大楼都可以覆盖，相对于半径只有15m蓝牙，优势相当明显。2. 传输速度快高达54Mb/s的传输速率使得WiFi的用户可以随时随地接收网络，并可快速地享受到类似于网络游戏、视频点播(VOD)、远程教育、网上证券、远程医疗、视频会议等一系列宽带信息增值服务。在这飞速发展的信息时代，速度还在不断提升的WiFi必能满足社会与个人信息化发展的需求。3. 健康安全WiFi设备在IEEE 802．11的规定下发射功率不能超过100 mW，而实际的发射功率可能也就在60～70 mW。与类似的通信设备相比，手机发射功率约在200 mW～1 W，而手持式对讲机更是高达5 W。相对于这两者WiFi产品的辐射更小。4. 普及应用度高现今配置WiFi的电子设备越来越多，手机、笔记本电脑、平板电脑、MP4几乎都将WiFi列入了他们的主流标准配置。WiFi发展趋势前段时间WiFi技术联盟推出了WiFi Direct标准，这也表示着WiFi在上网本、智能手机、电视机、机顶盒和其他设备中的采用率不断上升的同时也开始要涉及蓝牙传统的WPAN领域。据市场调查公司In-Stat的调查数据，预计到2013年全球将新增2.16亿个配置WiFi模块的电子设备。传统标配中较热门的蓝牙与红外目前只剩下蓝牙，新增的配置包括重力感应，GPS及WiFi，当中已WiFi配置比例最高。WiFi已经几乎已成为目前手机及其他类似电子设备中的标配。目前市面上的平板，笔记本电脑及智能手机几乎全部配置有WiFi模块。

一、开始之前需要添加三个指令MA5800-X17>enable：从普通用户模式进入特权模式，即可执行系统基本操作。MA5800-X17#config：从特权模式进入全局配置模式，即可全局配置模式下配置数据。MA5800-X17(config)#undo idle-timeout：通常执行此命令确保终端不会短时间内退出，不用反复登录。二、ONT上线流程可总结如下：DBA模板配置线路模板配置业务模板配置ONT上线DBA模板配置ONT通过分光器与OLT连接，每个ONT绑定一个DBA模板，上行通过查询DBA模板，动态分配带宽； 配置命令：MA5800-X17(config)#dba-profile add profile-id 31 profile-name VOIP type1 fix 2048 bandwidth_compensate noMA5800-X17(config)#dba-profile add profile-id 32 profile-name DATA type2 assure 1095680MA5800-X17(config)#dba-profile add profile-id 33 profile-name MANA type2 assure 2048MA5800-X17(config)#dba-profile add profile-id 34 profile-name HAHA type3 assure 1024 max 2048profile-name：定义DBA模板名称profile-id：定义DBA模板ID值type：在DBA中通过不同type规定ONT占用的带宽信息type1 配置类型为固定带宽的DBA模板。固定带宽是完全预留给特定ONU或者ONU的特定业务，即使在ONU没有上行业务流的情况下，这部分带宽也不能为其他ONU使用。固定带宽主要用于对业务质量非常敏感的业务，如：TDM、VoIP等。type2配置类型为保证带宽的DBA模板。保证带宽就是保证在ONU需要使用带宽时可获得的带宽。当ONU的实际业务流量未达到保证带宽时，设备的DBA机制应能够将其剩余带宽分配给其他ONU的业务。由于需要DBA机制控制分配，其实时性比固定带宽要差。type3 配置类型为保证带宽+最大带宽的DBA模板。type3类型为带宽组合类型，在保证用户有一定带宽的同时，还允许用户有一定带宽的抢占，但总和是不会超过用户配置的最大带宽。此带宽类型主要应用于VoIP、IPTV业务。type4 配置类型为最大带宽的DBA模板。最大带宽是在ONU使用带宽时可获得的带宽上限值，最大程度地满足ONU使用的带宽资源。最大带宽类型常用于普通上网等业务。type5 配置类型为固定带宽+保证带宽+最大带宽的DBA模板。type5类型为带宽组合类型，既给用户预留其他用户不能抢占的固定带宽资源，又确保在需要使用带宽时可获得的保证带宽，同时允许用户有一定带宽的抢占，但总和是不会超过用户配置的最大带宽。缺省情况下，GPON的T-CONT默认是绑定模板编号为1的DBA模板，可使用tcont命令绑定T-CONT与DBA模板。缺省情况下，系统有10个DBA模板，模板编号为0-9。这些模板给出了典型的流量参数值，可以使用display dba-profile命令查询各模板的相关参数。用户可以对缺省的DBA模板进行查询和修改，但是不能删除。不同带宽类型的优先级是不同的。单板在分配带宽时先分配固定带宽，然后是保证带宽，这两个带宽是可以保证的。如果系统中有剩余带宽则分配其它带宽。在增加DBA模板时输入的带宽值会做整形，向下整形为64的倍数。例如：如果输入的带宽值为1022Kbit/s，则实际的带宽值   会为960Kbit/s。2.线路模板配置GEM（GPON Encapsulation Mode）帧是GPON技术中最小的业务承载单元，是最基本的数据结构。所有的业务都要封装在GEM帧中在GPON线路上传输，通过GEM Port标识。T-CONT（Transmission Container）是GPON上行方向承载业务的载体，所有的GEM Port都要映射到T-CONT中，由OLT通      过DBA（Dynamic Bandwidth Assignment ）调度的方式上行。T-CONT是DBA实现的基础，通过ONU对T-CONT的带宽申请、OLT对T-CONT的授权，实现整个GPON系统上  行业务流的DBA。T-CONT是GPON系统中上行带宽最基本的控制单元。每个T-CONT由Alloc-ID[x(1] 来唯一标识。Alloc-ID由OLT每个GPON端口分配，即OLT同一GPON端口下的ONU不存在Alloc-ID相同的T-CONT。一个GPON口可以配置多个T-CONT，每一个T-CONT可以有很多个GEM口（GEMPORT），其中每一个GEMPORT可以绑定不同的VLAN口，每个tcont都有一个相应的DBA模板。创建线路模板MA5800-X17(config)#ont-lineprofile gpon profile-id 30 profile-name RWBSMA5800-X17(config-gpon-lineprofile-30)#omcc encrypt off[x(2] 给tcont分配设置好的DBA模板MA5800-X17(config-gpon-lineprofile-30)#tcont 1 dba-profile-id 31MA5800-X17(config-gpon-lineprofile-30)#tcont 2 dba-profile-id 32MA5800-X17(config-gpon-lineprofile-30)#tcont 3 dba-profile-id 33将GEMportID，也就是gem-index加入到刚建好的tcont中（第一个1对应gem-index，第二个1对应tcont-id）MA5800-X17(config-gpon-lineprofile-30)#gem add[x(3]  1 eth tcont 1 encrypt offMA5800-X17(config-gpon-lineprofile-30)#gem add 2 eth tcont 2 encrypt off[x(4] MA5800-X17(config-gpon-lineprofile-30)#gem add 3 eth tcont 3 encrypt off使用的是二层转发，所以需要用到VLAN；将指定VLAN的业务流映射到具体GEM Port中，（第一个1对应gem-index，第二个1对应mapping-index）MA5800-X17(config-gpon-lineprofile-30)#gem mapping[x(5]  1 1 vlan 11MA5800-X17(config-gpon-lineprofile-30)#gem mapping 2 2 vlan 12MA5800-X17(config-gpon-lineprofile-30)#gem mapping 3 3 vlan 13保存配置Commit3.业务模板配置  创建一个业务模板:MA5800-X17(config)#ont-srvprofile gpon profile-id 30 profile-name RWBS配置ETH端口和POTS端口的能力为adaptive，系统根据上线ONT的实际能力进行自适应MA5800-X17(config-gpon-srvprofile-30)#ont-port pots adaptive eth adaptive[x(7] 将ONT端口划分到指定VLAN中，eth 1表示网线所连接的是ONT的LAN1端口MA5800-X17(config-gpon-srvprofile-30)#port vlan eth 1 11MA5800-X17(config-gpon-srvprofile-30)#port vlan eth 2 12MA5800-X17(config-gpon-srvprofile-30)#port vlan eth 3 13Commit4.ONT上线，选择omci模式，并绑定需要的线路模板和业务模板MA5800-X17(config)#interface gpon 0/1MA5800-X17(config-if-gpon-0/1)#ont add 1 sn-auth 48575443970E155C omci ont-lineprofile-id 30 ont-srvprofile-id 30 确认ONT状态MA5800-X17(config-if-gpon-0/1)#display ont info 0 1如果“Control flag”为“deactivated”，需要在GPON端口模式下使用ont activate命令激活ONU。如果出现ONU无法up，即“Run state”为“offline”，可能是物理线路中断，也可能是光模块损坏，需要从器件和线路两方面排查。如果出现ONU配置状态失败，即“Config state”为“failed”，则说明配置的ONU能力集超出了ONU实际支持的能力，需要在诊断模式[x(8] 下使用display ont failed-configuration命令查看配置失败项及原因，根据具体情况进行修改。FAQ:ONT上线时，系统提示带宽不够，解决方式： （1）把与线路模板绑定的dba模板的带宽改小； （2）把离线的ont删掉MA5800-X17(config-if-gpon-0/1)#display port info 2 命令查看PON口剩余带宽5.配置ONT ETH端口缺省 VLAN，对于入方向的Untag报文，添加Native VLAN，对于出方向的报文，如果报文VLAN等于Native VLAN，剥离VLAN   此命令与ONT强相关，重新上线ONT，需要重新配置此命令；其中Native VLAN ID 要与Port vlan ID 值相同；将1号ETH端口的Native VLAN ID配置为11，命令：MA5800-X17(config-if-gpon-0/1)#ont port native-vlan 1 0 eth 1 vlan 11  MA5800-X17(config-if-gpon-0/1)#ont port native-vlan 1 0 eth 2 vlan 12MA5800-X17(config-if-gpon-0/1)#ont port native-vlan 1 0 eth 3 vlan 13三、OLT配置QinQ1、根据业务需求，创建流量模板，其中priority表示外层VLAN优先级，inner-priority表示内层VLAN优先级；DBA模板和流量模板均对带宽进行限制，调度顺序：先调度DBA模板，后调度流量模板，取两者最小的；可分为两种场景：限速：MA5800-X17(config)# traffic table ip index 31 name VOIP cir 2048 cbs 67536 pir 2048 pbs 67536 priority 0 inner-priority 0 priority-policy local-SettingMA5800-X17(config)# traffic table ip index 32 name "DATA" cir 1095680 cbs 10956800 pir 1095680 pbs 10956800 priority 0 inner-priority 0 priority-policy local-settingMA5800-X17(config)#traffic table ip index 33 name MANA cir 2048 cbs 67536 pir 2048 pbs 67536 priority 0 inner-priority 0 priority-policy local-Setting不限速：traffic table ip index 7 name "ftth_hsi" cir off color-mode color-blind priority 0 inner-priority 0 priority-policy local-setting系统缺省的7个流量模板参考业务模型01Mbit/s带宽，专线用户12.5Mbit/s带宽，专线用户2512Kbit/s带宽，普通最低带宽上网30.6Mbit/s视频业务464Kbit/s语音业务52Mbit/s带宽，普通高速上网6不限速，普通高速上网，依靠线路限速而不是流量模板限速创建IP流量模板时，流量参数cir、cbs、pir、pbs、car-threshold profile、fix-bandwidth参数中，cir为必选参数，其它参数为可选参数，若只配置cir参数，系统将根据公式计算出其它参数值。建议只配置cir即可。2、通过service-port 将来自ONT的流量添加外层VLAN，内层VLAN由ONT携带；绑定流量模板；MA5800-X17(config)#vlan 100 smart   //创建vlan100 MA5800-X17(config)#vlan attrib 100 q-in-q   //属性QinQMA5800-X17(config)#port vlan 100 0/10 0                           //将OLT的上行0/10 0端口放通vlan 100MA5800-X17(config)#service-port 31 vlan 100 gpon 0/1/1 ont 0 gemport 1 multi-service user-vlan 11 tag-transform default inbound traffic-table index 31 outbound traffic-table index 31MA5800-X17(config)#service-port 32 vlan 100 gpon 0/1/1 ont 0 gemport 2 multi-service user-vlan 12 tag-transform default inbound traffic-table index 32 outbound traffic-table index 32MA5800-X17(config)#service-port 33 vlan 100 gpon 0/1/1 ont 0 gemport 3 multi-service user-vlan 13 tag-transform default inbound traffic-table index 33 outbound traffic-table index 33四、一些常用的查询命令MA5800-X17(config)#display dba-profile all   查询DBA模板MA5800-X17(config)#display ont-lineprofile gpon all   查询线路模板参考：http://3ms.huawei.com/km/blogs/details/8988747

Wi-Fi是无线局域网，允许您通过路由器与互联网连接。蜂窝网络则允许您通过移动运营商连接到互联网。如果您没有Wi-Fi或Wi-Fi不可用，则可以使用蜂窝网络上网。但是请注意，使用蜂窝数据会产生额外的费用，因此请确保您的移动计划包含足够的数据以满足您的需求。 您还可以在需要时禁用蜂窝网络，以避免超出使用限制。

问题来源】【必填】      湖北农信【问题简要】【必填】      IVR流程能否获取到SIP消息头中的Call-ID【问题类别】【必填】      IVR【AICC解决方案版本】【必填】     AICC版本 AICC 8.15.0     CTI版本   ICDV300R008C23【期望解决时间】【选填】     【问题现象描述】【必填】IVR流程可以获取到SIP消息头中的Call-ID吗？之前这个问题发过一次帖子，链接：https://bbs.huaweicloud.com/forum/thread-0260119674838249035-1-1.html，AICC支撑人员说通过UUI去获取，但是目前没有前置系统可以将SIP的callid放到UUI中，有没有其他方式可以获取？

问题来源】【必填】      湖北农信【问题简要】【必填】      IVR流程能否获取到SIP消息头中的Call-ID【问题类别】【必填】      IVR【AICC解决方案版本】【必填】     AICC版本 AICC 8.15.0     CTI版本   ICDV300R008C23【期望解决时间】【选填】     【问题现象描述】【必填】IVR流程可以获取到SIP消息头中的Call-ID吗？

【直播回顾】回放地址：https://devzone.huawei.com/cn/enterprise/aoc/videos/index.html?id=165&number=1&from=allVideoshttps://devzone.huawei.com/cn/enterprise/aoc/videos/index.html?id=165&number=1&from=allVideos获奖名单公布楼层数昵称参与盖楼方式踩中楼层比例数1yd_222163259报名盖楼2yd_261094907报名盖楼3福州司马懿报名盖楼15%4shs报名盖楼5yd_294560056报名盖楼6湬黍报名盖楼7yd_261094907分享盖楼30%8y-wolfandy报名盖楼9nukinsan报名盖楼10我中奖了报名盖楼11yd_236832955报名盖楼45%12yd_259631292报名盖楼13suhouyi报名盖楼14yd_236832955分享盖楼15yd_236832955评论60%（已踩中奖楼层，名单下移一位）16magize报名盖楼60%17Der冰淇淋报名盖楼18不吃鱼的猫猫报名盖楼19木小酒报名盖楼75%20linghz666报名盖楼21HB1688报名盖楼22linghz666分享盖楼90%23Hello Digger提出问题24Hello Digger报名盖楼25yd_258202694报名盖楼26yd_226842302报名盖楼根据活动规则，删除重复评论，不同盖楼方式的同一用户保留。小编发现以不同方式参与活动的用户真的可以增加中奖概率呢~恭喜踩中中奖楼层数的用户，您的礼物已安排发送，请继续期待下次iMaster NCE's AOC的活动吧~【活动规则】      【直播前】盖楼有奖活动 活动时间：2023年5月15日—2023年5月30日活动礼品：AOC特制表情包异形抱枕（图案随机）活动规则：a. 位于总楼层的15%、30%、45%...90%楼层数的用户即可获得礼品。楼层为小数时，按四舍五入计算。盖楼活动礼物不叠加，同一用户最多获得一个抱枕。                 b.用户可通过下述两种方式参与直播前盖楼活动，可同时参与，增加中奖率，但重复内容以第一次回帖为准。一、直播报名盖楼直播报名链接：cid:link_1系统默认使用华为帐号登录，如果您使用的是support帐号、JDC帐号，建议切换为“华为官网帐号”进行登录​点击上述链接报名成功后，回复：报名截图+华为云开发者账号。报名截图举例：*注意：如有无法上传图片问题，可以将图片大小控制在100k以下尝试，或联系体验官解决  二、直播分享盖楼活动规则：         ①   1）移动端直接转发本帖               2）PC端扫描右侧分享二维码打开并转发本帖；         ②  写上直播相关话语，不屏蔽公开分享至任意渠道（包括但不限于微信群、朋友圈、微博、welink等）；         ③  保存24小时后截图上传本帖盖楼；截图上传举例：*注意：如有无法上传图片问题，可以将图片大小控制在100k以下尝试，或联系体验官解决       【直播中】直播间有奖官方直播链接：cid:link_25月30日19:00-20:00直播过程中，登录华为云官方直播间，按照小助手发布的抽奖口令，进行互动抽奖，共4轮抽奖环节。礼品：保温杯、自拍杆、特别定制的神秘礼品      【直播后】精彩提问有奖直播结束后，在AOC社区论坛中的“问题求助”板块提出关于与此次直播相关问题，专家选择精彩问题发出神秘定制礼物。提问指导参考：https://bbs.huaweicloud.com/forum/thread-0206956563255990006-1-1.html活动时间：2023年5月30日—2023年6月30日请向AOC提出你的灵魂拷问吧~--------------------------------------------------------------------  注意事项：1. 转发有奖和报名有奖活动于5月30日19点结束，本帖不关闭评论区功能，超出活动时间视为活动失效。2.中奖用户请及时关注中奖信息与活动截止时间，活动结束后20天内发送礼品。6月30日前不进行礼品快递信息登记的用户视为中奖无效，不补发礼品。中奖用户可添加AOC服务体验官微信（vx：huawei520aoc），进行礼品登记与跟踪。3 本活动最终解释权归iMaster NCE's AOC社区所有。————  关于我们 ————iMaster NCE's AOC (Agile Open Container)集成了华为网络云化平台，以及从网络运维中抽象总结出的业务框架，以Yang模型为基础，提供了对网络的开放可编程能力。iMaster NCE's AOC已经广泛的应用于中国银联、华为云等网络中。中国银联：华为iMaster NCE's AOC有效解决了金融行业在自动化转型过程中的痛点问题，满足了Bank4.0时代智能金融服务对网络平稳支撑的诉求。华为云：在华为云项目中，iMaster NCE's AOC完美匹配了南北向快速集成和网络变更自动化高可靠的需求，显著提升了运营效率。  中英文社区首页入口：    中文版社区      /    英文版社区 邮箱联系： aocconsult@huawei.comiMaster NCE's AOC服务体验官微信：huawei520aoc

实验一.burpsuite复现PHPCMS靶场 sql注入漏洞环境准备：kali linux ，windows10 安装phpcms靶场关键技术原理：（由同学们自行补充完成）数据库注入漏洞，主要是开发人员在过后见代码时，没有对输入边界进行安全考虑，导致攻击者可以通过合法的输入点提交一些精心构建的语句，从而欺骗后台数据库对其进行执行，导致数据库信息泄露的一种漏洞。实验步骤：（1）打开php页面登录用户（n）查看edition实验总结   本次实验让我理解了攻击的类型较多比如：数字型 字符型等 这里也是用数字型注入的流程方法通过对于网页的观察可以看出提交的请求是一个get的请求而不是像数字型注入是post的请求。根据之前的逻辑，首先需要构思在输入点输入一串字符的请求后，它会在后台如何运行。实验二.WAF--网络安全狗安装并绕过攻击复现环境准备：kali linux ，windows10关键技术原理：WAF(Web Application Firewall) 可以屏蔽常见的网站漏洞攻击，如SQL注入，XML注入、XSS等。WAF针对的是应用层而非网络层的入侵。其难点是对入侵的检测能力，尤其是对Web服务入侵的检测，WAF最大的挑战是识别率。对于已知的攻击方式，可以谈识别率，但是对于未知的攻击手段，WAF是检测不到的实验步骤：（1）kali linux 主机与被攻击主机windows 10能够相互ping通（n）实验三.安装mod security软件以实现web防御环境准备：kali linux ，windows10关键技术原理：ModSecurity是一个Web应用防火墙（WAF）。当前已经有超过70％的***发生在网络应用层，各级组织急需要能够保证他们的系统安全性的帮助。WAF系统的部署，可以为web应用增加一个外部安全层来检测或防止***。针对一系列的***,ModSecurity为web应用提供了强大的保护，并对HTTP流量进行监测和实时分析，这些都只是很少或是根本没有影响系统的基础设施。实验步骤：kali linux 主机与被攻击主机windows 10能够相互ping通安装插件 查看ip地址（n）安装modsecturity实验总结[root@debian /]apt-get install libapache-mod-security默认这个模块是没激活的，编辑一下httpd.conf文件并去掉下面这行的注释LoadModule security_module /usr/lib/apache/1.3/mod_security.so接着在httpd.conf的末尾加上<IfModule mod_security.c># 打开或者关闭过滤引擎SecFilterEngine On# 设置缺省的动作SecFilterDefaultAction "deny,log,status:404"# 把设置传递给字目录SecFilterInheritance Off# 检测URL编码是否正确SecFilterCheckURLEncoding On# 检测内容长度以避免堆溢出攻击SecFilterForceByteRange 32 126# 日志文件的位置和名字SecAuditLog logs/audit_log# debug设置SecFilterDebugLog logs/modsec_debug_logSecFilterDebugLevel 0# 检测POST数据SecFilter "../"# 防止跨站脚本(CSS)攻击SecFilter "<( | )*script"SecFilter "<(.| )+>"# 防止SQL插入(SQL Injection)攻击SecFilter "delete(空格| )+from"SecFilter "insert(空格| )+into"SecFilter "select(空格| )+from"

一、实验目的理解VM直接的通信过程；学习在leaf交换机上配置VM的路由；学习在VM及其宿主机上配置VM的路由。二、拓扑结构在虚拟化的数据中心中，虚拟机承载着关键业务，其相互之间的通信必不可少，虚拟机的网卡桥接在宿主机的网桥（虚拟交换机）上，以宿主机的管理IP地址作为默认网关，同一物理机上的虚拟机之间的通信，直接通过宿主机网桥可二层互通，不同宿主机上的虚拟机通信经过三层转发互通。本实验在实验四的基础上增加了3个VM：ks0,ks1,ks2. 其宿主关系和网络结构如上图所示。三、测试资源创建按上图所示，在三台物理机上创建3个VM(ks0,ks1,ks2)；将VM的网卡桥接到实验四创建的宿主机网桥br0上。四、路由方案及配置以ks1和ks2之间通信为例，ks2发往ks1的包，源地址为ks2的IP，目标地址为ks1的IP，流量路径如下：在ks2上查询路由表，将包发往宿主机devopsr01n01;devopsr01n01收到包后，查询路由表，将包发往leaf交换机；leaf交换机收到包后，查询路由表，发往devopsr01n02;devopsr01n02收到包后，查询路由表，将包发往ks1；如果是ks2和ks0之间的通信，则还需经过spine，在流量途径的所有设备上，都必须要有目标IP地址的路由，才能够成功建立通信，这些设备包含：VM；宿主机；leaf；spine由于spine上的路由条目全部通过BGP协议从leaf学习而来，因此不需要在spine上进行额外配置，而上述其余设备上，则都需要对VM的路由进行配置， 具体的配置方法，大致步骤为：物理机配置网桥，将虚拟机桥接到网桥上；物理机开启内核转发功能；物理机配置路由表，以等价多路径方式将默认路由指向两个物理网口；交换机上配置虚拟机的路由条目；（一） VM网络规划与路由配置按下表为3个VM分配ip地址：根据上面的ip地址为三个VM配置ip地址，以ks2为例，ks0,ks0按例配置即可，从VM上发出的所有流量都发送给宿主机进行处理，因此将网关配置为宿主机IP即可。# 将/etc/network/interfaces文件内容替换为如下auto loiface lo inet loopbackauto eth0iface eth0 inet staticaddress 10.10.20.21 # ks1netmask 255.255.255.255 # 32位掩码gateway 10.10.10.21 # 网关为宿主机IP在三个VM上重启networking服务：service networking restart查看VM上的路由表：root@ks2:~# ip routedefault via 10.10.10.21 dev eth0 onlink（二）宿主机路由配置VM的网卡桥接在宿主机的网桥br0上，因此将目标地址为VM的包发往br0即可，以ks2的宿主机devopsr01n01为例，注意，需要在宿主机上开启内核转发。sysctl -w net.ipv4.ip_forward=1ip route replace 10.10.20.21 dev br0查看宿主机的路由条目如下：root@devopsr01n01:~# ip routedefault src 10.10.10.21nexthop via 169.254.0.1 dev eth1 weight 1nexthop via 169.254.1.1 dev eth0 weight 110.10.20.21 dev br0 scope link169.254.0.0/30 dev eth1 proto kernel scope link src 169.254.0.2169.254.1.0/30 dev eth0 proto kernel scope link src 169.254.1.2请按例对其他两个VM的宿主机配置路由。（三）在leaf上配置VM的路由在leaf上配置目标地址为VM的路由下一跳为VM的宿主机业务ip，以在leaf01上配置ks1的路由为例。ip route 10.10.20.22/32 10.10.10.22与实验四中配置物理机一样，对于VM的路由，同样有必要判断路由的有效性，通过上文的分析及拓扑图，可以看出，仅当leaf与宿主机相连的链路up时，流量可以直接从leaf发往宿主机，因此判断方法与前面物理机路由有效性一样，是以leaf与物理机的互联链路状态为依据的，前文我们通过PingCheck这个扩展模块来监控链路状态，并在链路状态变化时进行路由切换，leaf01与ks1的宿主机devopsr01n02之间的链路监测进程为PingCheck4，查看其当前的配置与状态leaf01#sh daemon PingCheck4Agent: PingCheck4 (running with PID 1751)Uptime: 2 days, 5:47:05 (Start time: Sat Dec 07 17:01:42 2019)Configuration:Option Value------------------- -----------------------------------CHECKINTERVAL 1CONF_FAIL /mnt/flash/pingcheck/failed_4.confCONF_RECOVER /mnt/flash/pingcheck/recover_4.confHOLDDOWN 1HOLDUP 1IPv4 169.254.0.6PINGCOUNT 2PINGTIMEOUT 2SOURCE et4Status:Data Value--------------------- -----------------------------------CHECKINTERVAL: 1CONF_FAIL: /mnt/flash/pingcheck/failed_4.confCONF_RECOVER: /mnt/flash/pingcheck/recover_4.confHOLDDOWN: 1HOLDUP: 1Health Status: GOODIPv4 Ping List: 169.254.0.6PINGCOUNT: 2PINGTIMEOUT: 2Status: Administratively Up因此，在链路状态由UP变为DOWN时，应使到ks1的路由失效，则需在/mnt/flash/pingcheck/failed_4.conf中加入下面的内容：no ip route 10.10.20.22/32 10.10.10.22当链路状态由DOWN变为UP时，应使到ks1的路由恢复，则需在/mnt/flash/pingcheck/recover_4.conf中加入下面的内容：ip route 10.10.20.22/32 10.10.10.22同理，在leaf01/02/03/04上完成三个VM的路由配置。五、测试完成上面的配置后，测试VM之间是否能互相ping通。六、小结本实验介绍了在spine leaf网络中如何配置VM的路由，需要在VM，宿主机和leaf交换机上都进行相关的配置。与物理机路由一样，在leaf上同样需要检测到VM的路由的有效性，本实验也介绍了检测原理与具体配置。

一、实验目的理解物理机的业务ip之间的通信过程；了解如何在leaf交换机上配置业务ip的静态路由；了解如何在物理机上配置业务ip及其他相关配置项。二、拓扑结构拓扑结构如下图：三、物理机业务网络地址规划与配置云平台上各服务器之间用于通信的ip地址称为业务ip地址，在spine leaf网络中，我们为服务器分配业务ip地址，并配置在br0接口上。下面为四个物理机规划业务IP地址：主机名  业务ip地址devopsr01n01     10.10.10.21/32devopsr01n02     10.10.10.22/32devopsr02n01     10.10.10.23/32devopsr02n02     10.10.10.24/32按照上面的规划，给物理机配置业务ip，以devopsr01n01为例，进行如下配置：brctl addbr br0 ip address add 10.10.10.21/32 dev br0其余物理机按例配置。四、物理机业务地址路由方案与配置（一）在leaf交换机上配置路由在leaf交换机上采用静态路由协议，路由方案的思路如下：针对每个物理机业务ip地址，在一对leaf上配置静态路由；通过检测路由下一跳ip的可达性，确定路由条目的有效性；本实验指导采用的是arista交换机来进行实验（具体实验按照自己选择设备/模拟器进行）。arista交换机需要用到扩容模块PingCheck，扩展模块安装完成后，进行下面的配置：(1)在leaf01上配置devopsr01n01的路由# 在leaf01上配置devopsr01n01的路由ip route 10.10.10.21/32 Ethernet3 169.254.0.2                                                                               # 配置devopsr01n01的静态路由daemon PingCheck3     // 此处因为devopsr01n01接在e3口，所以为了方便，这里名称写PingCheck3              exec /usr/local/bin/PingCheck      option CHECKINTERVAL value 1          // Ping间隔时间1soption CONF_FAIL value /mnt/flash/pingcheck/failed_3.conf          // Ping失败时执行的操作，内容填“no ip route                                                               10.10.10.21/32 Ethernet3 169.254.0.2”, 即删除到devopsr01n01的静态路由条目option CONF_RECOVER value /mnt/flash/pingcheck/recover_3.conf   // Ping恢复时执行的操作，内容填“ip route                                                                     10.10.10.21/32 Ethernet3 169.254.0.2”，即添加到devopsr01n01的静态路由条目                   option HOLDDOWN value 1                     option HOLDUP value 1                   option IPv4 value 169.254.0.2            //Ping的目标地址，即到devopsr01n01的静态路由的下一跳地址，也就是                                                                                                           devopsr01n01上与leaf01互联的网口的ip地址                     option PINGCOUNT value 2                        option PINGTIMEOUT value 2                     option SOURCE value et3                                                                                                                                                 # 指定Ping的出接口，即leaf01上与devopsr01n01互联的网口                        no shutdown                                                                                                                                                                    # 开始运行PingCheck(2)在leaf02上配置devopsr01n01的路由# 在leaf02上配置devopsr01n01的路由ip route 10.10.10.21/32 Ethernet3 169.254.1.2                                                                                           # 配置devopsr01n01的静态路由daemon PingCheck3                 // 此处因为devopsr01n01接在e3口，所以为了方便，这里名称写PingCheck3                     exec /usr/local/bin/PingCheck     option CHECKINTERVAL value 1            //# Ping间隔时间1s          option CONF_FAIL value /mnt/flash/pingcheck/failed_3.conf                            //# Ping失败时执行的操作，内容填“no                                                                                  ip route 10.10.10.21/32 Ethernet3 169.254.0.2”, 即删除到devopsr01n01的静态路由条目                        option CONF_RECOVER value /mnt/flash/pingcheck/recover_3.conf          //Ping恢复时执行的操作，内容填“ip                                                                            route 10.10.10.21/32 Ethernet3 169.254.0.2”，即添加到devopsr01n01的静态路由条目                   option HOLDDOWN value 1                     option HOLDUP value 1                   option IPv4 value 169.254.1.2         //Ping的目标地址，即到devopsr01n01的静态路由的下一跳地址，也就是devopsr01n01上与leaf01互联的网口的ip地址                       option PINGCOUNT value 2option PINGTIMEOUT value 2                   option SOURCE value et3                                                                                                                                                    # 指定Ping的出接口，即leaf01上与devopsr01n01互联的网口                     no shutdown                                                                                                                                                                                    # 开始运行PingCheck按例在leaf02上配置devopsr01n02的路由，在leaf03/04上配置devopsr02n01、devopsr02n02的路由。完成配置后，让我们来测试一下，是否达到了预期的效果：1.在devopsr01n01的所有链路正常时，在leaf01, leaf02, spine01上观察到devopsr01n01的路由条目：(1)在spine01上观察路由, 有两条等价路由，下一跳分别是leaf01和leaf02spine01#sh ip route 10.10.10.21 B E      10.10.10.21/32 [200/0]            via 169.254.0.249, Ethernet1                                   via 169.254.1.249, Ethernet2(2)在leaf01上观察路由，有一条静态路由,可从e3下联接口到达leaf01#sh ip route 10.10.10.21 S        10.10.10.21/32 [1/0] via 169.254.0.2, Ethernet3(3)在leaf02上观察路由，有一条静态路由，可从e3下联接口到达leaf02#sh ip route 10.10.10.21 S        10.10.10.21/32 [1/0] via 169.254.1.2, Ethernet3 2.在h11链路故障时(可通过关闭服务器网卡模拟)，观察在leaf01, leaf02, spine01上观察到     (1)devopsr01n01的路由条目：# 在devopsr01n01上关闭eth0ifconfig eth0 down# 在spine上观察路由， 发现只剩一条路径可用，下一跳为leaf02spine01#sh ip route 10.10.10.21 B E      10.10.10.21/32 [200/0] via 169.254.1.249, Ethernet2(2)在leaf01上观察路由, 发现此时从leaf01无法从下联接口到达目标，从而选择从spine学到的bgp路由，经由spine到达目标leaf01#sh ip route 10.10.10.21 B E      10.10.10.21/32 [200/0] via 169.254.0.250, Ethernet1                                 via 169.254.0.254, Ethernet2                                                                                     3.请模拟在h12链路故障时的情况，观察路由变化。(二)在物理机上配置路由业务ip配置在br0上，而非物理网卡上，因此需开启内核转发功能：sysctl -w net.ipv4.ip_forward=1以devopsr01n01为例，流量经由eteth0和eteth1两个网口收发，可以达到提高带宽，链路冗余的作用，因此在服务器上的路由配置如下：# 两个下一跳地址分别为物理机和对应的两个leaf相连的网口互联ip地址ip route replace default src 10.10.10.21 nexthop via 169.254.0.1 nexthop via 169.254.1.1配置完上述路由后，与在交换机上的PingCheck一样，服务器也需要某种机制来判断下一跳是否有效：# 对eth0 eth1启用链路检测，当链路down时，使相应的路由失效，否则物理机可能将流量发往down的链路，从而发生网络故障sysctl -w net.ipv4.conf.eth0.ignore_routes_with_linkdown=1sysctl -w net.ipv4.conf.eth1.ignore_routes_with_linkdown=1# 配置完这一条后可做如下测试，先查看本机路由条目, 发现默认路由有两条等价路由root@devopsr01n01:~# ip rdefault  src 10.10.10.21       nexthop via 169.254.0.1  dev eth1 weight 1       nexthop via 169.254.1.1  dev eth0 weight 1169.254.1.0/30 dev eth0  proto kernel  scope link  src 169.254.1.2# 然后关闭eth1接口ifconfig eth1 down# 然后再查看路由，发现eth1对应的路由条目失效root@devopsr01n01:~# ip rdefault  src 10.10.10.21           nexthop via 169.254.0.1  dev eth1 weight 1 dead linkdown           nexthop via 169.254.1.1  dev eth0 weight 1169.254.1.0/30 dev eth0  proto kernel  scope link  src 169.254.1.2   上述步骤完成后，物理机上的路由就算完成了，当然，还可以加上以下的参数，让系统根据ip地址和端口来计算hash，作为选择路由的依据：sysctl -w net.ipv4.fib_multipath_hash_policy=1请按照上面的步骤，为其余几台物理机也完成路由配置。（三）测试配置结果从devopsr01n01上ping devopsr01n02, 能够连通，说明配置成功, 其他节点测试方法相同。root@devopsr01n01:~# ping 10.10.10.22 -c 1PING 10.10.10.22 (10.10.10.22) 56(84) bytes of data.64 bytes from 10.10.10.22: icmp_seq=1 ttl=63 time=721 ms--- 10.10.10.22 ping statistics ---1 packets transmitted, 1 received, 0% packet loss, time 0msrtt min/avg/max/mdev = 721.175/721.175/721.175/0.000 ms五、小结本实验主要讲解了在交换机和服务器上如何为业务ip配置等价多路径（ECMP）路由条目，以及判断路由条目有效性的机制，这很重要，因为这样的机制才使得各个设备总是能选择到正确的路由。 附 ：其他品牌交换机上的路由检测机制本节中arista交换机使用了PingCheck这个扩展模块来实现路由检测，以判断路由条目的有效性，其他厂商的网络设备大都有内置的命令可以实现这一功能，下面用一组配置范例来对比说明arista和Cisco Nexus 9K的配置。如下配置为本节中leaf01上检测devopsr01n01业务ip路由有效性的一组配置ip route 10.10.10.21/32 Ethernet3 169.254.0.2          # 配置devopsr01n01的静态路由daemon PingCheck3  // 此处因为devopsr01n01接在e3口，所以为了方便，这里名称写PingCheck3   exec /usr/local/bin/PingCheck    option CHECKINTERVAL value 1      // Ping间隔时间1s   option CONF_FAIL value /mnt/flash/pingcheck/failed_3.conf        //Ping失败时执行的操作，内容填“no ip route 10.10.10.21/32 Ethernet3 169.254.0.2”, 即删除到devopsr01n01的静态路由条目   option CONF_RECOVER value /mnt/flash/pingcheck/recover_3.conf          //Ping恢复时执行的操作，内容填“ip route 10.10.10.21/32 Ethernet3 169.254.0.2”，即添加到devopsr01n01的静态路由条目   option HOLDDOWN value 1   option HOLDUP value 1   option IPv4 value 169.254.0.2         # Ping的目标地址，即到devopsr01n01的静态路由的下一跳地址，也就是devopsr01n01上与leaf01互联的网口的ip地址   option PINGCOUNT value 2   option PINGTIMEOUT value 2   option SOURCE value et3                                 no shutdown       //指定Ping的出接口，即leaf01上与devopsr01n01互联的网口PingCheck    // 开始运行在Cisco Nexus 9K上，对应上面配置的功能，应该作出如下一组配置feature sla sender                    # 开启sla功能ip sla 3                 # 此处因为devopsr01n01接在e1/3口，所以为了方便，这里名称写sla 3       icmp-echo 169.254.0.2 source-interface ethernet 1/3   # Ping的目标地址，即到devopsr01n01的静态路由的下一跳地址，也就是devopsr01n01上与leaf01互联的网口的ip地址，以及指定Ping的出接口，即leaf01上与devopsr01n01互联的网口  threshold 500        # 阈值 500ms， 小于等于超时时间timeout值即可  timeout 500           # 超时时间500ms  frequency 1     # ping的频率，单位秒ip sla schedule 3 life forever start-time now  # 开始序号为3的sla检测，一直运行，立即开始track 3 ip sla 3                          # 配置track 3， 跟踪sla 3的状态ip route 10.10.10.21 255.255.255.255 ethernet 1/3 169.254.0.2 track 3    # 配置到devopsr01n01业务ip的路由，以track 3的状态决定改路由的有效性 

实验目的理解在spine leaf网络中，物理服务器之间通信方式；了解如何在leaf交换机上配置下联物理机的接口；了解如何在物理机上配置上联物理网卡。二、拓扑结构在上一实验的基础上，加入4台服务器，以下图的拓扑连接到leaf交换机上，leaf交换机每两个分为一对，连接一组物理服务器，如下图，leaf01/02为一对，leaf03/04为一对。三 测试资源4台主机（devopsr01n01 devopsr01n02 devopsr02n01 devopsr02n02）；8个互联链路（h11,h12,h21,h22,h33,h34,h43,h44）,作为物理机与leaf交换机的连线；按照上图，连接leaf和物理机；四 物理机通信路径同一对leaf下的物理机的互通 devopsr01n01和devopsr01n02是连接在同一对leaf交换机下的两个物理机，他们之间的可用通路有两条（红绿连线所示）。如下图所示： 2.不同leaf对下的物理机的互通 如上图所示， devopsr01n01和devopsr02n01是连接在不同leaf交换机对下的两个物理机，他们之间的通信必须经过一个spine交换机，可用通路数量取决于spine交换机数量，spine的数量为n时，可用通路数量为4n条，如上图红色连线所示。五 故障域分析基于以上内容，可对该spine leaf网络进行故障域如下分析：当任一台主机故障时，只影响这台主机自身的通信，不会对整个网络的连通性造成影响；当任一台leaf故障时，会影响该leaf上所连接的主机的上联通路数量，上联带宽减少一半，但连通性不受影响，网络中其他设备无影响；当任一台spine故障时，不同leaf对之间的主机通信的带宽减少n分之一，n为spine数量，连通性不受影响；只有当同一个leaf对中的两个leaf同时出现故障时，该leaf对所连主机通信网络会中断，其他部分不受影响；只有当所有spine全部故障时，整个网络会故障；六 物理机与leaf交换机互联地址规划与配置1互联地址规划物理机和leaf互联的接口需要进行ip地址规划与配置，与spine和leaf交换机之间的互联链路一样，我们为每条互联链路分配一个30位掩码的网段，整体规划如下表：互联链路        leaf      leaf下联接口      leaf下联接口ip       物理机                      物理机上联接口    物理机上联接口iph11                 leaf01             e3                              169.254.0.1/30        devopsr01n01         eth0                         169.254.0.2/30h12                 leaf02             e3                        169.254.1.1/30         devopsr01n01          eth1                     169.254.1.2/30h21                 leaf01             e4                              169.254.0.5/30        devopsr01n02          eth1                         169.254.0.6/30h22                leaf02 e4       169.254.1.5/30        devopsr01n02          eth0    169.254.1.6/30h33     leaf03 e3       169.254.2.1/30        devopsr02n01          eth0    169.254.2.2/30h34     leaf04 e3       169.254.3.1/30        devopsr02n01          eth1    169.254.3.2/30h43     leaf03 e4       169.254.2.5/30        devopsr02n02          eth0    169.254.2.6/30h44     leaf04 e4       169.254.3.5/30        devopsr02n02          eth1    169.254.3.6/30下面的内容以devopsr01n01这台物理机为例，在leaf节点和物理机上进行相应的配置。2. leaf下联接口配置以devopsr01n01为例，这台物理机连接到了leaf01和leaf02两台交换机。，（1）在leaf01上配置对应的下联接口e3：interface Ethernet3description: devopsr01n01.eth0no switchportmtu 9214ip address 169.254.0.1/30no shutdown（2）在leaf02上配置对应的下联接口e3：interface Ethernet3description: devopsr01n01.eth1no switchportmtu 9214ip address 169.254.1.1/303. 服务器网卡配置以devopsr01n01为例，按照互联地址规划表，对物理机网卡进行配置：#!/bin/baship address add 169.254.0.2/30 dev eth0ip address add 169.254.1.2/30 dev eth1ifconfig eth0 upifconfig eth1 up4 互联配置测试完成上面的步骤后，物理机与leaf交换机之间的互联配置就完成了，此时在物理机上ping对应的leaf的下联接口ip应该可以成功#!/bin/bashroot@devopsr01n01:~# ping 169.254.0.1 -c 1PING 169.254.0.1 (169.254.0.1) 56(84) bytes of data.64 bytes from 169.254.0.1: icmp_seq=1 ttl=64 time=515 ms--- 169.254.0.1 ping statistics ---1 packets transmitted, 1 received, 0% packet loss, time 0msrtt min/avg/max/mdev = 515.008/515.008/515.008/0.000 msroot@devopsr01n01:~# ping 169.254.1.1 -c 1PING 169.254.1.1 (169.254.1.1) 56(84) bytes of data.64 bytes from 169.254.1.1: icmp_seq=1 ttl=64 time=15.3 ms--- 169.254.1.1 ping statistics ---1 packets transmitted, 1 received, 0% packet loss, time 0msrtt min/avg/max/mdev = 15.397/15.397/15.397/0.000 ms其他几台物理机也请按照上述步骤完成配置。七 小结本实验对spine leaf的物理链路高可用进行了说明，阐述了物理服务器在spine leaf网络中的连接方式，ip地址规划方法。举例说明了leaf交换机和物理服务器之间互联的相关配置。至此，spine leaf网络中所有设备的互联配置都已经完成。但互联接口的ip，在spine leaf网络中仅仅用于设备之间的互联，服务之间的通信使用的是各物理/虚拟机的业务ip地址。

​ 一、实验目的 熟悉网络设备BGP配置。二、拓扑结构如下图所示，本次实验使用的Spine Leaf网络拓扑，由2台Spine和4台Leaf组成，Spine和Leaf之间两两互联。为方便管理，加入一台linux主机用于管理各交换机设备，则拓扑如下： 三、BGP配置（可以自行选择模拟器）（一） 测试环境6台交换机（即Spine和Leaf交换机），后文中配置为Arista交换机的命令格式，如果你对Arista的命令行不熟悉，不用害怕，基本上跟Cisco是差不多的。 为了便于管理，使用一台linux主机(management server)，用于统一管理各设备； c0-c8为网络号, 其中c0作为管理网络，c1-c8作为spine和leaf之间的互联链路； 按图1所示，将各交换机加入到对应的自管网络中去； （二） 管理网络配置带外管理网络c0为一个二层广播网络，将所有交换设备的management口加入到该网络中，便于进行统一的带外管理。为每个交换机的management口分配管理IP地址， 同时也为每个交换机的loopback0接口分配一个带内管理地址，注释：为了便于管理，为每个路由器/交换机创建一个环回接口loopback0，并在该接口上指定一个单独的IP地址作为管理地址，也叫带内管理地址，管理员使用该地址远程登录到路由器（Telnet），实际上它充当一个设备名。用网络接口进行管理的是带内，使用console接口管理的是带外。分配带内/带外管理地址，如表1。表1 spine/leaf的带内/带外管理地址配置管理网络地址，以leaf01为例，其他设备按例配置：interface Management1ip address 198.18.20.12/24interface Loopback0ip address 10.10.10.12/32（三） 互联接口配置（以太接口配置--e1.......）为了方便管理，给每台leaf交换机分配一个 c 段的私网地址。在使用48口交换机的情况，虽然会浪费一部分地址，但是换来了管理上的便捷。这个例子里面，使用的是 169.254.0.0/24 ~ 169.254.3.0/24。3.5 互联接口配置：为了方便管理，给每台leaf交换机分配一个 c 段的私网地址。在使用48口交换机的情况，虽然会浪费一部分地址，但是换来了管理上的便捷。这个例子里面，使用的是 169.254.0.0/24 ~ 169.254.3.0/24。以spine01和leaf01互联为例，每条互联链路分配一个30位掩码的网段，例如c1分配网段为169.254.0.248/30， 则链路两端网口ip分配为169.254.0.249/30和169.254.0.250/30，如下表：其余互联链路的规划同理，总规划如下表：按照上表规划配置各设备的互联接口，以spine01的e1接口为例，其余接口按例配置：interface Ethernet1description dt:spine01mtu 9214no switchportip address 169.254.0.249/30no shutdown（四） BGP配置spine和leaf之间需要建立BGP链接，互相同步路由，以形成例如'source→ leaf01→ spine01→ leaf02→ destination'的可用路径。首先为spine和leaf交换机规划BGP AS（自治系统） NUMBER，如表2所示。表2  BGP AS NUMBER设备    BGP AS NUMBERspine01 100000spine02 100000leaf01  200001leaf02  200002leaf03  200003leaf04  200004以spine01和leaf01之间建立BGP链接为例，对交换机进行BGP相关配置：spine01router bgp 100000 # BGP AS NUMBERrouter-id 10.10.10.10 # loopback ipmaximum-paths 8 # 设置等价路由最大条数redistribute connected # 向邻居通告直连路由（如互联接口的169.254.x.x和环回口的10.10.10.x）对每个leaf邻居进行如下配置neighbor 169.254.0.249 remote-as 200001 # bgp邻居的ip地址和AS NUMBERneighbor 169.254.0.249 ebgp-multihop 255 # 设置bgp邻居ip的最大跳数（邻居ip为非直连接口时需配置）leaf01router bgp 200001 # BGP AS NUMBERrouter-id 10.10.10.12 # loopback ipmaximum-paths 8 # 设置等价路由最大条数redistribute connected # 向邻居通告直连路由（如互联接口的169.254.x.x和环回口的10.10.10.x）redistribute static # 向邻居通告静态路由对每个spine邻居进行如下配置neighbor 169.254.0.250 default-originate # 向邻居通告本设备的默认路由（仅在border leaf上配置这一条）neighbor 169.254.0.250 remote-as 100000 # bgp邻居的ip地址和AS NUMBER#如果邻居ip不是直连接口的ip，还需要加上下面的配置（本例中都是使用的直连接口ip，故不必须下面这一条配置）#neighbor 169.254.0.250 ebgp-multihop 255 # 设置bgp邻居ip的最大跳数（邻居ip为非直连接口时需配置）上面的配置建立了spine01和leaf01之间的bgp链接，下面验证bgp链接是否成功建立：1.在spine上查看bgp状态：spine01#sh ip bgp sumBGP summary information for VRF defaultRouter identifier 10.10.10.10, local AS number 100000Neighbor Status Codes: m - Under maintenanceNeighbor V AS MsgRcvd MsgSent InQ OutQ Up/Down State PfxRcd PfxAcc169.254.0.249 4 200001 2412 2700 0 0 19:49:12 Estab 6 62.在leaf01上查看bgp状态：leaf01#sh ip bgp sumBGP summary information for VRF defaultRouter identifier 10.10.10.12, local AS number 200001Neighbor Status Codes: m - Under maintenanceNeighbor V AS MsgRcvd MsgSent InQ OutQ Up/Down State PfxRcd PfxAcc169.254.0.250 4 100000 1208 973 0 0 16:00:08 Estab 21 213.在spine01上查看bgp路由条目，可见已接收到从leaf01上同步过来的bgp路由条目：spine01#sh ip route bgpVRF: defaultCodes: C - connected, S - static, K - kernel,O - OSPF, IA - OSPF inter area, E1 - OSPF external type 1,E2 - OSPF external type 2, N1 - OSPF NSSA external type 1,N2 - OSPF NSSA external type2, B I - iBGP, B E - eBGP,R - RIP, I L1 - IS-IS level 1, I L2 - IS-IS level 2,O3 - OSPFv3, A B - BGP Aggregate, A O - OSPF Summary,NG - Nexthop Group Static Route, V - VXLAN Control Service,DH - DHCP client installed default route, M - Martian,DP - Dynamic Policy Route, L - VRF LeakedGateway of last resort:B E 0.0.0.0/0 [200/0] via 169.254.0.249, Ethernet1B E 10.10.10.12/32 [200/0] via 169.254.0.249, Ethernet1B E 169.254.0.252/30 [200/0] via 169.254.0.249, Ethernet1在leaf01上查看bgp路由条目，可见已接收到从spine01同步过来的bgp路由条目：                  leaf01#sh ip route bgpVRF: defaultCodes: C - connected, S - static, K - kernel,O - OSPF, IA - OSPF inter area, E1 - OSPF external type 1,E2 - OSPF external type 2, N1 - OSPF NSSA external type 1,N2 - OSPF NSSA external type2, B I - iBGP, B E - eBGP,R - RIP, I L1 - IS-IS level 1, I L2 - IS-IS level 2,O3 - OSPFv3, A B - BGP Aggregate, A O - OSPF Summary,NG - Nexthop Group Static Route, V - VXLAN Control Service,DH - DHCP client installed default route, M - Martian,DP - Dynamic Policy Route, L - VRF LeakedB E 10.10.10.10/32 [200/0] via 169.254.0.250, Ethernet1B E 169.254.1.248/30 [200/0] via 169.254.0.250, Ethernet1B E 169.254.2.248/30 [200/0] via 169.254.0.250, Ethernet1B E 169.254.3.248/30 [200/0] via 169.254.0.250, Ethernet1四、小结本实验内容主要介绍了spine leaf网络的拓扑结构，网络地址规划，接口地址配置和BGP配置。 完成这些步骤后，spine和leaf交换机之间的互联就算完成了。​

比赛最后阶段，因为优化时打错了一个变量的符号，一直debug，直到最后比赛截止过了一会才发现问题，没能成功上传，非常可惜所以想找个判题器检验一下自己的代码跑分，不然不甘心啊