，（通常GRE创建的tunnel地址为1.1.1.1）。在IPSEC+L2TP的时候，即可以让IPSEC加密通道数据，也可以让IPSEC加密LAN数据，在加密通道数据时候IPSEC的remote地址为公网IP，在加密LAN数据时候，IPSEC的remote为LAN地址，并且为与LAC连接的ROUTER分配到的IP地址。（这个和L2TP的LNS的IP-ROUTING类似），通常IPSEC+L2TP加密LAN数据。
9 IPSEC最后必须在所需要的接口上起用IPSEC的安全策略。在GRE+IPSEC的时候，必须在TUNNEL通道下起用，而不是直接在接口下。
10 如果IPSEC的联盟建立不起来，也有可能是因为没有数据流的触发。使用扩展的PING命令，触发数据流。 ping -a 本端内网ip 对端内网IP。在建立IPSEC联盟之前，必须保证双方的外网直接可达。
11 在直接用IPSEC建立通道的时候，其内网运行的OSPF和外网必须分开，并且必须指定邻居。


命令：
DIS IKE SA 显示IKE建立联盟的情况，如果1阶段没有成功为IKE的问题，如果2阶段没有成功为IPSEC的问题。
DIS IPSEC SA ALL显示所有的IPSEC参数以及IPSEC建立的联盟。通常用于检测IPSEC的加密密钥和算法是否一直。



L2TP用户拨号接入
1 使用debug modem at命令查看MODEM的接入状态。如果反复出现“RING”命令，则为modem的应答问题。通常在华为为自动应答，但是有可能MODEM不支持。
2 在router上必须有用户拨入时候的信息。
3 dialer必须使用DCC循环拨入（dialer enable-circular）。
在AUX口上必须配置的命令只有两条，1 流控制方式 2 允许拨入




交换

PVLAN
1 在一个交换机上设置了一个HYBRID口之后，不能设置TUNK口。
2 HYBRID口最好配置为untegged所有VLAN，但是必须TEGGED 管理VLAN。否则管理vlan无法通信。如果允许其下面的VLAN能穿透的话，必须配置为TEGGED。
3 在HYBID口上必须配置其PVID为PVLAN的ID。而且与HYBRID口相连接的交换机的口，必须配置为TUNK口，PVID同样为PVLAN的ID。
4 如果在本交换机上希望配置VLAN之间的访问，可以将接口配置为HYBRID，然后通过TEGGED标记来控制通信，而不需要借助ROUTE的路由传递。
5 交换机在与ROUTE接入的口，如果ROUTE不配置子接口，不实现VLAN路由的话，必须将交换机的接口改为ACCESS状态。
6 在用DHCP服务器分配IP的时候，必须配置DHCP-RELAY。（先建立DHCP-ser的相关参数，然后在***VLAN接口下配置，必须在每个VLAN下都要配置）在路由器上配置DHCP-RELAY的时候是在分发IP的接口上配置（ip-relay ……）注意是在分发IP的接口下配置，而不是在系统视图下



802.1X
1 通常会出现的错误为将上行端口配置了DOT1.X。因为上行端口连接的是route，绝对不能配置。
2 在华为设备中，在一个设备上配置了dot1.x，其他的交换机都必须配置本地验证。否则，其他交换机与他的直接连接将DOWN掉。


VRRP
1 在创建VRRP组的时候，必须为每个VLAN接口指定自己的IP ADD，并且还必须指定此vlan的VRRP组的IP ADD。
[SwitchA-Vlan-interface10]ip address 192.168.100.2 255.255.255.0
[SwitchA-Vlan-interface10]vrrp vrid 1 virtual-ip 192.168.100.1
2 在VRRP组中做DHCP-RELAY的时候，必须为vrrp组中的每个成员的每个VLAN都指定DHCP-RELAY。
3 在vrrp组中做DHCP-RELAY的时候，其上面连接的ROUTE在指定DHCP-RELAY的时候，必须为每一个相连接VRRP的成员的ETH接口都做DHCP-RELAY。
4 在交换机上配置的时候，要注意是三层还是二层。存在虚拟IP的问题。
5 在三层交换机上，各个VLAN相当于在交换机内进行全互连。在配置OSPF的时候不用考虑PEER的问题。并且在三层交换机上的OSPF的配置跟在ROUTE上有本质区别。
    启动OSPF路由协议
    [SwitchC]Ospf
    指定区域号
    [SwitchC-ospf]Area 0
    从指定网段的接口接收和发布路由信息
    [SwitchA-ospf-area-0.0.0.0]Network 10.1.1.1 255.255.255.0
    [SwitchA-ospf-area-0.0.0.0]Network 20.1.1.1 255.255.255.0
其可以指定不同的AREA。在配置不同AREA的时候，各个AREA也是全互连的。所以也不存在VLINK的问题。
6 *********交换机IP-POOL问题。必须为每一个vlan指定单独的ip-pool，其指定的gate-way必须为vlan的在三层交换机上的vlan的接口地址。
7 当有多个ip-pool存在的时候，各个lan的ip地址的分发又vlan的三层接口进行，pools能够根据请求的vlan的三层接口地址自动选择相应的pool
8 在创建DHCP pools的时候只能创建一个网段，并且分发的时候只能分发给相应的vlan。在需要屏蔽的IP的时候，必须屏蔽网关IP。
9 在做了VRRP组的时候，下面的主机是不可能PING通vrrp组中的相应的vlan的接口地址。即是无法PING通网关的。（这个是由RFC规定）。
  如果在华为设备中，一定要ping通网关IP的话，必须在每一个vrrp成员的系统试图上配置VRRP PING-ENABLE命令。

1 2 3