9点到10点，适合写博客。

已经习惯了睡去和醒来都是在和TT的问候中，比一日三餐更加重要。

LJ也是烦人的凡人，对TT那么好，以至于TT也会有矛盾的时候，哈哈，怕动了凡心，不会的，因为还有更重要的事情，就是取经。好，下面就开始传诵经文。

政企，金融，应该各行业稍具规模，都会有远程接入设备。（说到这里，提个小问题，还记得我说过的3389和22吗）。有一些比如ERP，或者OA的东西，是不适合，也没有必要放在公网的，但是公司的人员不在公司的时候怎么访问这些资源呢，就可以远程接入内网或者是私有网络，然后就可以像在内网一样访问内部资源了。用的比较多的就是VPN了。后面会再提一下堡垒机，两者有相似，但是应用场景还是不同的。

Virtual Private Network 虚拟专用网络

先说VPN吧，VPN有好多种，用的比较多的是SSL VPN，简单的理解就是你在企业网边界处放一个VPN设备，一台就可以了，然后呢，员工要访问内网的时候，就是先访问到VPN，然后VPN会给员工一个内网身份，然后就可以像在内网一样访问内部资源了。也就是VPN一方面做了身份验证，另一方面提供了一条加密的访问内网的通道。官方解释：在公用网络上建立专用网络，进行加密通讯。做VPN的厂商很多大，深信服最开始也是做VPN的。



除非你用过，否则可能还是没有多少概念。一般来说，VPN有使用客户端形式的（类似代理agent），也有WEB形式的。客户端形式的需要在本机安装软件，使用起来呢，可以有一些IP层面的应用，比如登录VPN后可以远程登录到内网的服务器等设备。还有一种就是常用的普通用户的，登录VPN后，访问内部的WEB资源，比如OA等。 现在出了一种WEBVPN，比如瑞致康诚的产品，这种好处就是不需要安装代理客户端，用户使用浏览器访问即可，但是这种，一般只能访问网页应用，其他IP层面的应用受限。

堡垒机 （运维审计）

堡垒机就是用来控制哪些人可以登录哪些资产（事先防范和事中控制），以及录像记录登录资产后做了什么事情（事溯源）。从安全合规上来说，堡垒机提供事前授权、事中监察、事后审计等完整的运维闭环。

TT做教育行业多，那么就举个教育行业里的例子。比如苏迪给学校做网站群，那么学校会给苏迪一个账户sudy，在堡垒机上开通一个仅给sudy使用的账号，登录后呢，访问的目标资源只能是苏迪的一组服务器资源。金智给学校做教务系统，那么堡垒机上开一个账号，jinzhi，那么金智就可以使用这个账号先登录堡垒机，然后再访问金智的相关业务服务器。这个和VPN的一个重要区别就是，可以做到录像。啥意思呢，就是你用sudy登录以后，做的所有事情，都会被以一个个小文件的形式存储下来，内容就是你登录后的操作视频。你干了些什么，都会被记录，就像行车记录仪一样，按照时间点，有很多个视频组成，你，休想干坏事，因为都被记录着呢。VPN可以登录访问，但是没有这种视频录像，所以VPN一般是给员工使用的，而堡垒机是给工程师等运维人员使用的。

现在业务都上云，就是做成saas服务，堡垒机也是，传统都是硬件设备，现在云服务也很多了。

 

​组网图形
图1 配置接入层设备作为网关组网图 
图1 配置接入层设备作为网关组网图 
简介
划分VLAN的方式有：基于接口、基于MAC地址、基于IP子网、基于协议、基于策略（MAC地址、IP地址、接口）。其中基于接口划分VLAN，是最简单，最常见的划分方式。
基于接口划分VLAN指的是根据交换机的接口来划分VLAN。网络管理员预先给交换机的每个接口配置不同的PVID，当一个数据帧进入交换机时，如果没有带VLAN标签，该数据帧就会被打上接口指定PVID的Tag，然后数据帧将在指定PVID中传输。
在典型的分层组网中，当接入交换机是三层交换机时，可以作为用户的网关，减少汇聚交换机的配置和复杂度。
组网需求
如图1所示，PC1和PC2分别属于VLAN 2和VLAN 3，通过接入交换机SW2接入汇聚交换机SW1。PC3属于VLAN 4，通过SW3接入汇聚交换机SW1。接入交换机SW2作为PC1和PC2的网关，SW3作为PC3的网关，通过在交换机上配置静态路由，实现用户PC间的互访以及和路由器的互连。
配置思路
采用如下的思路配置接入层设备作为网关实现不同网段用户间的通信：
1. 配置接入交换机，基于接口划分VLAN，实现二层互通。
2. 配置接入交换机作为PC的网关，实现不同网段用户间通信。
3. 配置汇聚交换机静态路由，实现用户和路由器的互通。
操作步骤
1. 配置接入交换机SW2
# 创建VLAN。
<HUAWEI> system-view
[HUAWEI] sysnameSW2 //修改设备的名称为SW2，便于识别
[SW2] vlan batch2 to 3 //批量创建VLAN 2和VLAN 3
# 将接口加入相应VLAN。
[SW2] interfacegigabitethernet 1/0/23
[SW2-GigabitEthernet1/0/23]port link-type access //将与PC相连接口的接口类型设置为access
[SW2-GigabitEthernet1/0/23]port default vlan 2 //将PC1划分到VLAN 2
[SW2-GigabitEthernet1/0/23]quit
[SW2] interfacegigabitethernet 1/0/24
[SW2-GigabitEthernet1/0/24]port link-type access
[SW2-GigabitEthernet1/0/24]port default vlan 3 //将PC2划分到VLAN 3
[SW2-GigabitEthernet1/0/24]quit
# 配置VLANIF接口，作为用户PC的网关。
[SW2] interfacevlanif 2 //创建VLANIF2接口
[SW2-Vlanif2] ipaddress 192.168.2.1 24 //配置IP地址，此IP地址是PC1的网关地址
[SW2-Vlanif2] quit
[SW2] interfacevlanif 3 //创建VLANIF3接口
[SW2-Vlanif3] ipaddress 192.168.3.1 24 //配置IP地址，此IP地址是PC2的网关地址
[SW2-Vlanif3] quit
# 配置SW2和SW1互连。
[SW2] vlan batch5 //创建VLAN5
[SW2] interfacegigabitethernet 1/0/1
[SW2-GigabitEthernet1/0/1]port link-type access
[SW2-GigabitEthernet1/0/1]port default vlan 5 //SW2和SW1以Untagged方式通信
[SW2-GigabitEthernet1/0/1]quit
[SW2] interfacevlanif 5 //创建VLANIF5接口
[SW2-Vlanif5] ipaddress 192.168.5.2 24 //配置IP地址，此IP地址是SW2与SW1互连接口的IP地址
[SW2-Vlanif5] quit
[SW2] iproute-static 0.0.0.0 0.0.0.0 192.168.5.1 //配置缺省路由，为PC用户找到访问路由器的出口。缺省路由的下一跳是SW1相连接口的IP地址
2. 配置接入交换机SW3
# 创建VLAN。
<HUAWEI> system-view
[HUAWEI] sysnameSW3 //修改设备的名称为SW3
[SW3] vlan batch4 //批量创建VLAN 4
# 将接口加入相应VLAN。
[SW3] interfacegigabitethernet 1/0/2
[SW3-GigabitEthernet1/0/2]port link-type access //将与PC相连接口的接口类型设置为access
[SW3-GigabitEthernet1/0/2]port default vlan 4 //将PC3划分到VLAN 4
[SW3-GigabitEthernet1/0/2]quit
# 配置VLANIF接口，作为用户PC的网关。
[SW3] interfacevlanif 4 //创建VLANIF4接口
[SW3-Vlanif4] ipaddress 192.168.4.1 24 //配置IP地址，此IP地址是PC3的网关地址
[SW3-Vlanif4] quit
# 配置SW3和SW1互连。
[SW3] vlan batch5 //创建VLAN5
[SW3] interfacegigabitethernet 1/0/1
[SW3-GigabitEthernet1/0/1]port link-type access
[SW3-GigabitEthernet1/0/1]port default vlan 5 //SW3和SW1以Untagged方式通信
[SW3-GigabitEthernet1/0/1]quit
[SW3] interfacevlanif 5 //创建VLANIF5接口
[SW3-Vlanif5] ipaddress 192.168.5.3 24 //配置IP地址，此IP地址是SW3与SW1互连接口的IP地址
[SW3-Vlanif5] quit
[SW3] iproute-static 0.0.0.0 0.0.0.0 192.168.5.1 //配置缺省路由，为PC用户指定访问路由器的出口。缺省路由的下一跳是SW1相连接口的IP地址
3. 配置汇聚交换机SW1
# 创建VLAN。
<HUAWEI> system-view
[HUAWEI] sysnameSW1 //修改设备的名称为SW1
[SW1] vlan batch5 //批量创建VLAN 5
# 将连接PC的接口加入相应VLAN。
[SW1] interfacegigabitethernet 1/0/1
[SW1-GigabitEthernet1/0/1]port link-type access //将与路由器相连接口的接口类型设置为access
[SW1-GigabitEthernet1/0/1]port default vlan 5
[SW1-GigabitEthernet1/0/1]quit
[SW1] interfacegigabitethernet 1/0/2
[SW1-GigabitEthernet1/0/2]port link-type access //将与SW2相连接口的接口类型设置为access
[SW1-GigabitEthernet1/0/2]port default vlan 5
[SW1-GigabitEthernet1/0/2]quit
[SW1] interfacegigabitethernet 1/0/3
[SW1-GigabitEthernet1/0/3]port link-type access //将与SW3相连接口的接口类型设置为access
[SW1-GigabitEthernet1/0/3]port default vlan 5
[SW1-GigabitEthernet1/0/3]quit
# 配置VLANIF接口，实现和路由器的互连。
[SW1] interfacevlanif 5 //创建VLANIF5接口
[SW1-Vlanif5] ipaddress 192.168.5.1 24 //配置IP地址，此IP地址是与路由器对接的IP地址
[SW1-Vlanif5] quit
# 配置回程明细路由，实现内网网段之间互访。
[SW1] iproute-static 192.168.2.0 255.255.255.0 192.168.5.2 //目的IP是192.168.2.0/24网段的，下一跳是192.168.5.2，该IP地址对应SW2相连接口VLANIF的IP地址
[SW1] iproute-static 192.168.3.0 255.255.255.0 192.168.5.2 //目的IP是192.168.3.0/24网段的，下一跳是192.168.5.2，该IP地址对应SW2相连接口VLANIF的IP地址
[SW1] iproute-static 192.168.4.0 255.255.255.0 192.168.5.3 //目的IP是192.168.4.0/24网段的，下一跳是192.168.5.3，该IP地址对应SW3相连接口VLANIF的IP地址
# 配置缺省路由，实现内网网段到路由器的访问。
[SW1] iproute-static 0.0.0.0 0.0.0.0 192.168.5.4 //假设路由器与SW1相连接口的IP地址是192.168.5.4
4. 检查配置结果
PC1、PC2、PC3之间可以相互访问，同时PC都可以和路由器进行通信。
配置文件
SW1的配置文件
#
sysname SW1
#
vlan batch 5
#
interface Vlanif5
 ip address 192.168.5.1 255.255.255.0
#
interfaceGigabitEthernet1/0/1
 port link-type access
 port default vlan 5
#
interfaceGigabitEthernet1/0/2
 port link-type access
 port default vlan 5
#
interfaceGigabitEthernet1/0/3
 port link-type access
 port default vlan 5
#
ip route-static0.0.0.0 0.0.0.0 192.168.5.4
ip route-static192.168.2.0 255.255.255.0 192.168.5.2
ip route-static192.168.3.0 255.255.255.0 192.168.5.2
ip route-static192.168.4.0 255.255.255.0 192.168.5.3
#
return
SW2的配置文件
#
sysname SW2
#
vlan batch 2 to 3 5
#
#
interface Vlanif2
 ip address 192.168.2.1 255.255.255.0
#
interface Vlanif3
 ip address 192.168.3.1 255.255.255.0
#
interface Vlanif5
 ip address 192.168.5.2 255.255.255.0
#
interfaceGigabitEthernet1/0/1
 port link-type access
 port default vlan 5
#
interfaceGigabitEthernet1/0/23
 port link-type access
 port default vlan 2
#
interfaceGigabitEthernet1/0/24
 port link-type access
 port default vlan 3
#
ip route-static0.0.0.0 0.0.0.0 192.168.5.1
#
return
SW3的配置文件
#
sysname SW3
#
vlan batch 4 to 5
#
interface Vlanif4
 ip address 192.168.4.1 255.255.255.0
#
interface Vlanif5
 ip address 192.168.5.3 255.255.255.0
#
interfaceGigabitEthernet1/0/1
 port link-type access
 port default vlan 5
#
interfaceGigabitEthernet1/0/2
 port link-type access
 port default vlan 4
#
ip route-static0.0.0.0 0.0.0.0 192.168.5.1
#
return

          
pppoe--point-to-point protocol over ethernet 基于以太网的点对点协议
        使得一个网络上的计算机可以通过简单桥接访问设备连接到远端接入设备。
        目前以太网接入方式主要有3种：固定IP，DHCP，PPPoE，而PPPoE+VLAN是一种比较理想的宽带接入方式。
1、宽带接入网需要实现的基本功能 
　　宽带接入网需要实现的基本功能可以归纳为以下几个方面： 
　　（1）用户管理 
　　掌握用户的信息，在用户进行通信时对用户进行认证、授权，使合法用户方便快捷地接入网中，杜绝非法用户接入，防止非法用户占用网络资源。 
　　（2）安全管理 
　　合法用户在通信时要保障其数据的安全性，隔离带有用户个人信息的数据包，对于主要的网络设备防止其受到***而造成网络瘫痪。由于用户终端是以普通网卡与网络设备相连，在通信时会发送一些广播地址的帧（如ARP，DHCP消息等），而这些消息会携带用户的个人信息（如用户的MAC地址），如不隔离这些消息让其他用户接收到，容易发生MAC/IP地址的仿冒，影响合法用户上网。对于运营商来说，保护其系统设备的安全性，防止恶意***是十分重要的。 
　　（3）业务管理 
　　需要为保证QoS提供一定的手段。为了保证业务的QoS，网管人员根据具体情况为用户提供一定的带宽控制能力，例如保证用户的最低接入速率，限制用户的最高接入速率等。 
　　（4）计费管理 
　　接入网要能够对用户进行灵活的计费，根据用户类别、使用时长、用户流量等数据进行计费。 
2、固定IP，DHCP，PPPoE 3种宽带接入方式的比较 
　　(1) 用户管理和开销方面 
　　固定IP方式：对IP地址管理不易，用户恶意更改或者尝试自行设置自己的IP地址，都会造成管理上的麻烦，增加运营商的额外开销。 
　　DHCP方式：一方面DHCP存在较多的广播开销，对于用户量较多的城域网会造成网络运行效率下降和配置困难；另一方面，仍然无法解决用户自行配置IP地址的问题。 
　　PPPoE：由于采用动态分配IP地址方式，用户拨号后无需自行配置IP地址、网关、域名等，它们均是自动生成，不存在用户自行更改IP地址的问题，对用户管理方便，而且PPPoE协议是在包头和用户数据之间插入PPPoE和PPP封装，这两个封装加起来也只有8个字节，广播开销很小。 
　　(2)计费策略方面 
　　固定IP和DHCP方式的计费策略不灵活，一般采用包月制，如要实现流量计费功能则必须要有相应的流量监视或采集系统，或在高端路由器上启动记账功能，然后应用SNMP进行计费，这有可能使路由器运行效率下降。 
　　PPPoE可以实现对用户的灵活计费，可以按时长、流量计费，也可采用包月制。 
　　(3) 用户服务策略定制方面 
　　固定IP和DHCP方式只能配合IP地址转换和地址访问列表控制来制定简单的服务，如果要实现按特定用户进行流量控制，必须购买流量控制设备。 
　　PPPoE支持业务QoS保证，可方便地对用户进行实时流量控制。 
　　(4)信息安全方面 
　　固定IP,DHCP和PPPoE都可以采用细化VLAN的方式来解决用户信息的安全问题，将局域网交换机的每个端口配置成独立的VLAN，利用VLAN可以隔离ARP，DHCP等携带用户信息的广播消息，从而使用户数据安全性得到提高。固定IP地址方式为了识别用户的合法性必须将IP地址和端口VID进行绑定，因为每个用户处于逻辑上独立的网内，所以对每个用户要配置一个子网的4个IP地址：子网地址、网关地址、子网广播地址和用户主机地址，这样会造成地址利用率降低，而PPPoE采用认证、授权的方式不存在这个问题。 
　　(5) 第三层广播风暴 
　　固定IP和DHCP方式都不能解决第三层广播风暴问题，第三层广播风暴影响同一IP子网所有用户的使用质量。而PPPoE方式由于采用二层隧道认证，所有链路设备都工作在第二层，不存在第三层广播风暴问题。 
　　从以上的比较可以看出，PPPoE同其他两种接入方式相比具有较大的优势，因此PPPoE目前被各大运营商普遍采用。
3、PPPoE的认证 
　　PPPoE认证首先要在客户机上安装PPPoE协议的驱动软件，在前端由BRAS服务器配合RADIUS服务器实现对用户的认证、计费。 
　　认证过程：用户拨号发出请求，经过网络传送到BRAS服务器，BRAS服务器接到请求后向RADIUS服务器发出ACCESS REQUEST请求包，其中含有用户的账号、密码、端口类型等，经RADIUS服务器核实后，向BRAS回送ACCESS REPONSE响应包，其中包含用户的合法性和一些设置，如用户IP地址、掩码、网关、域名、用户可使用的带宽等。用户接收到这些信息后就可以上网，上网期间BRAS不断地向RADIUS发送计费信息，这些信息包括用户的上网时间、用户流量、用户下网时间等，以便RADIUS准确计费。 
　　从PPPoE认证过程可以看出，BRAS服务器在整个链路中起到关键的作用，因此BRAS服务器也要实现大而全的功能，包括认证、连接、终接、安全管理、计费业务汇聚、收敛等功能，设备复杂。由于建立连接后数据必须经过BRAS，BRAS很容易成为“瓶颈”，最易出问题，堵塞严重时用户连接速度慢或根本连接不上，解决的办法是在前端采用多台BRAS并接或将多台BRAS放到各中继机房，采用分布认证方法。 
4、PPPoE常见故障代码及分析 
　　（1）645故障描述：拨号适配器未装 
　　这种情况主要针对Windows ME和Windows98而言，解决办法是在Windows98下添加拨号适配器组件即可。对Windows ME而言，因为它没有直接添加拨号适配器的选项，所以必须在控制面板中先删除拨号网络组件，再添加拨号网络组件完成适配器的添加。 
　　（2）691/629故障描述：不能通过验证 
　　可能的原因是用户的账户或者密码输入错误，或用户的账户余额不足，用户在使用时未正常退出而造成用户账号驻留，可等待几分钟或重新启动后再拨号。 
　　（3）630故障描述：无法拨号，没有合适的网卡和驱动 
　　可能的原因是网卡未安装好、网卡驱动不正常或网卡损坏。检查网卡是否工作正常或更新网卡驱动。 
　　（4）633故障描述：找不到电话号码簿，没有找到拨号连接 
　　这可能是没有正确安装PPPoE驱动或者驱动程序已遭损坏，或者Windows系统有问题。建议删除已安装的PPPoE驱动程序，重新安装PPPoE驱动，同时检查网卡是否工作正常。如仍不能解决问题，可能是系统有问题，建议重装系统后再添加PPPoE驱动。 
　　（5）720故障描述：不支持PPPoE连接 
　　它是Windows 2000特有的故障，建议重新启动后再进行连接，如仍不能排除故障，建议重装系统。 
　　（6）697故障描述：网卡禁用 
　　只要在设备管理中重新启用网卡即可。 
　　（7）769故障描述：拨号时报769错误 
　　在Windows XP系统中网卡被禁用、系统检测不到网卡或者拨号软件故障，有时会报769错误。重新启用网卡、检查网卡工作是否正常或重装拨号软件即可解决。 
　　（8）678故障描述：无法建立连接 
　　这个故障比较复杂，用户和BRAS链路中任何一个环节有问题，都可能导致678故障，应根据不同的情况作相应处理。 
5、结语 
　　PPPoE宽带接入方式对于用户管理的方便性、计费的灵活性都有一定的优势，但也有它的不足，需要在客户机上安装客户端软件，增加了调试、维修的工作量，而且PPPoE是点到点的接入方式,不支持组播功能。目前Windows XP系统本身已提供了对PPPoE协议的支持，可以在不另外安装客户端软件的情况下实现对PPPoE的接入，解决了用户安装PPPoE软件的问题。PPPoE宽带接入是一种技术成熟、运营管理方便的接入方式，目前已被包括广电在内的各运营商普遍采用。
  
				
转载于:https://blog.51cto.com/lye1988/232151

                                                                                                                                                                   

点击打开原文链接（本文只截取了部分原文，原文更详细）

四、设置接收设备端
接收设备，指的是要接入本虚拟无线连接的设备。接收设备可能是一台带无线网卡的电脑，也可以是手机、iPad等。
注意：在设置接收设备前，请先试着连接一次，若不成功再执行本步骤。常见的失败有：获取IP地址失败、显示连接上但却不能访问网络、仅能访问部分网络（如能登录QQ却不能浏览网页）。

将接收设备设置为固定IP，且IP设置如下（以andriod为例）：
1、查看宽带连接信息。选中 宽带连接 后，右键查看其 状态，选择
详细信息，记下DNS服务器的两个IP地址。如下图： 

 

2、查看WiFi连接属性。在 网络连接 窗口中，右键 WiFi，进入其属性界面；双击
Internet 协议版本 4（TCP/IPv4），进入TCP/IP设置界面；查看其IP地址，记下来，一般为192.168.xxx.1，我的是192.168.85.1，下文均以此IP地址为例进行讲解。如下图：

 
3、设置静态IP
IP地址：192.168.85.x —— 其中，前三节192.168.85即是笔记本中WiFi连接的IP地址段，见上图；最后一节的x，是一个自定义的数值，取值可选择2~255。当然，如果有多台接收设备，一定要保证每台设备的x是不同的。
网关：192.168.85.1 —— 该地址即为笔记本中WiFi连接的IP地址，见上图。
域名1：211.161.159.5     域名2：211.161.158.10   —— 域名，相当于Windows网络连接中的DNS。域名1和2，即宽带连接获取的两个DNS服务器，见上上图。
五、连接WiFi
以上设置完好后，就可以将接收设备连接到笔记本建立的WiFi热点了。
以android为例，开启WiFi后，进入WiFi设置界面，选择添加WiFi站点，然后把SSID填写为之前在Connectify中填写的Hotspot Name，并输入密码即可连入网络。
补充说明：
1、设置完后依然没有建立起WiFi热点
按照本文讲解的进行设置后，依然没有建立起WiFi热点，极可能的原因就是你的无线网卡与Connectify不兼容。不兼容分两类，一类是硬件不兼容，这是没有办法解决的，你可以就此放弃connectify了；第二类是硬件兼容，但无线网卡驱动的版本过低，这种情况可通过升级无线网卡驱动来解决。另外，在百度百科的Connectify词条中，公布有已知兼容和不兼容的网卡，可以去查看一下自己的网卡是否在列表中。
2、Android搜索不到connectify建立的WiFi网络
由于部分安卓android的移动设备不支持Ad-Hoc网络，因此当在设置connectify时选择了Ad-Hoc,WEP或Ad-Hoc,Open这两种网络的话，安卓的移动设备会搜索不到网络，或弹出不支持adhoc网络的提示。要解决此问题，需要在百度中输入你的移动设备型号和adhoc这两个关键词，在安卓设备中打入adhoc补丁即可获得解决此问题。具体方法见百度。
3、退出connectify并禁用无线网卡后WiFi热点依然可用
有时候退出connectify，甚至到进程中关闭connectifyd和connectifyService这两个后台进程后，wifi热点依然可用，别人还是能够搜索并成功连接到你的电脑。然后又关闭掉无线网络的硬开关，再禁用无线网络，发现依然能够连接上Wifi。实际上，connectify是直接在硬件层面上将你的无线网卡给共享了，所谓的硬开关和软开关都是不能改变无线网卡的硬件属性的，因此依然能够连接上Wifi。解决办法就是，重新打开connectify及其后台服务进程，然后重新“Start
 Hotspot”，之后再点击“Stop Hotspot”即可。也就是说，在你打算关闭Wifi共享时，一定要利用connectify的stop hotspot来关闭共享！