diff --git a/experiment/kimi-advice.md b/experiment/kimi-advice.md
new file mode 100644
index 0000000..59fae35
--- /dev/null
+++ b/experiment/kimi-advice.md
@@ -0,0 +1,442 @@
+以下是基于你提供的小型网络拓扑图和评分标准,结合华为设备(交换机、路由器、防火墙)和Windows 10 PC、树莓派(作为Web服务器)环境,设计的一份**详细实验内容与配置步骤文档**。该文档兼顾了**得分点覆盖**、**配置简洁性**(特别是防火墙部分尽量简化),并明确区分了**Web配置(仅防火墙)**与**命令行配置(其余设备)**。
+
+---
+
+## 🧪 实验名称:小型企业网络综合设计与实现(华为设备)
+
+---
+
+### ✅ 一、实验目标(对应评分项)
+
+| 目标 | 得分点 |
+|------|--------|
+| 设计完整拓扑,实现多服务(Web、DHCP、邮件) | 拓扑图+5,需求设计10,IP编址+2,数据规划+2,配置流程+1 |
+| 实现内网用户访问网页、邮件通信、DHCP中继 | 网络应用服务10分(Web+3,邮件+3,DHCP中继+4) |
+| 实现VLAN划分、内网互通、服务器访问 | 网络连通性10分(VLAN+2,互通+5,访问服务器+3) |
+| 实现环路防护、VRRP主备、外网多路径 | 网络可靠性10分(环路+3,VRRP/冗余+3,外网多路径+4) |
+| 实现端口安全、非法服务器屏蔽、时间控制、NAT发布Web | 安全保护10分(端口安全+2,屏蔽非法+3,时间控制+3,NAT发布+2) |
+| 拓展功能(可选):无线接入、BFD、MPLS、网页美化等 | 拓展功能20分(每功能+5~10,封顶20) |
+
+---
+
+### 🧱 二、设备清单与角色分配
+
+| 设备 | 型号(建议) | 角色 | 管理方式 |
+|------|---------------|------|----------|
+| R1, R2 | AR2220 | 出口路由器(VRRP主备) | Telnet CLI |
+| R3 | AR2220 | ISP模拟 | Telnet CLI |
+| FW1 | USG6000V(华为防火墙) | NAT、安全策略、区域划分 | Web界面(简化配置) |
+| R_NEW | AR2220 | 核心路由转发 | Telnet CLI |
+| CORE (S1+S2) | S5700(堆叠) | 核心三层交换机(VLAN网关) | Telnet CLI |
+| S3, S4 | S3700 | 接入交换机 | Telnet CLI |
+| PC1, PC3 | Windows 10 | 员工/访客终端 | 图形界面 |
+| Server | 树莓派(Pi) | 内网Web服务器(192.168.20.10) | 手动配置 |
+| InternetServer | 树莓派(Pi) | 外网Web服务(8.8.8.8) | 手动配置 |
+| PC4 | Windows 10 | 外网用户 | 图形界面 |
+
+---
+
+### 🌍 三、IP地址规划(评分+2)
+
+| 区域 | VLAN | 子网 | 网关 | 说明 |
+|------|------|--------|--------|--------|
+| 员工区 | 10 | 192.168.10.0/24 | 192.168.10.254 | 网关:CORE |
+| 服务器区 | 20 | 192.168.20.0/24 | 192.168.20.254 | 网关:CORE |
+| 访客区 | 30 | 192.168.30.0/24 | 192.168.30.254 | 网关:CORE |
+| DMZ(逻辑) | 20 | 同上 | 同上 | 实际在S4,但网关仍在CORE |
+| 外网模拟 | — | 8.8.8.0/24 | 8.8.8.1 | 树莓派模拟 |
+| 外网用户 | — | 172.16.1.0/24 | 172.16.1.1 | PC4 |
+| R3-R1 | — | 203.0.113.0/30 | — | 链路A |
+| R3-R2 | — | 203.0.113.4/30 | — | 链路B |
+| R1-FW1 | — | 10.0.2.0/30 | — | 主路径 |
+| R2-FW1 | — | 10.0.3.0/30 | — | 备路径 |
+| FW1-R_NEW | — | 10.0.1.0/30 | — | 核心上行 |
+| R_NEW-CORE | — | 10.0.4.0/30 | — | 核心互联 |
+
+> ✅ 所有三层接口使用静态路由或OSPF(推荐OSPF简化)
+
+---
+
+### 🔧 四、实验步骤(按模块划分)
+
+---
+
+#### 🔹 步骤 1:基础连接与IP配置(所有设备互通)
+
+> ✅ 目标:实现直连ping通,为后续服务打基础
+
+##### 1.1 配置 R1(出口1)
+
+```bash
+system-view
+sysname R1
+interface GigabitEthernet0/0/0
+ ip address 203.0.113.2 255.255.255.252
+ quit
+interface GigabitEthernet0/0/1
+ ip address 10.0.2.1 255.255.255.252
+ quit
+```
+
+##### 1.2 配置 R2(出口2)
+
+```bash
+interface GigabitEthernet0/0/0
+ ip address 203.0.113.6 255.255.255.252
+interface GigabitEthernet0/0/1
+ ip address 10.0.3.1 255.255.255.252
+```
+
+##### 1.3 配置 R3(ISP)
+
+```bash
+interface GigabitEthernet0/0/0
+ ip address 203.0.113.1 255.255.255.252
+interface GigabitEthernet0/0/1
+ ip address 203.0.113.5 255.255.255.252
+interface GigabitEthernet0/0/2
+ ip address 8.8.8.1 255.255.255.0 # 模拟公网网关
+```
+
+---
+
+#### 🔹 步骤 2:配置 VRRP(评分+3)
+
+> ✅ 在 R1 与 R2 上配置 VRRP,虚拟IP为 `10.0.2.254`(主)和 `10.0.3.254`(备),统一对外为 `10.0.2.254`
+
+##### R1(主)
+
+```bash
+interface GigabitEthernet0/0/1
+ vrrp vrid 1 virtual-ip 10.0.2.254
+ vrrp vrid 1 priority 120
+ vrrp vrid 1 preempt-mode
+```
+
+##### R2(备)
+
+```bash
+interface GigabitEthernet0/0/1
+ vrrp vrid 1 virtual-ip 10.0.2.254
+ vrrp vrid 1 priority 100
+```
+
+> ✅ 验证:`display vrrp`
+
+---
+
+#### 🔹 步骤 3:配置静态路由(或OSPF)实现全网互通
+
+> ✅ 推荐:在 R1、R2、R_NEW、CORE 上启用 OSPF(Area 0)
+
+##### R1
+
+```bash
+ospf 1
+ area 0
+ network 10.0.2.0 0.0.0.3
+ network 203.0.113.0 0.0.0.3
+```
+
+##### R2
+
+```bash
+ospf 1
+ area 0
+ network 10.0.3.0 0.0.0.3
+ network 203.0.113.4 0.0.0.3
+```
+
+##### R_NEW
+
+```bash
+ospf 1
+ area 0
+ network 10.0.1.0 0.0.0.3
+ network 10.0.4.0 0.0.0.3
+```
+
+##### CORE
+
+```bash
+ospf 1
+ area 0
+ network 10.0.4.0 0.0.0.3
+ network 192.168.10.0 0.0.0.255
+ network 192.168.20.0 0.0.0.255
+ network 192.168.30.0 0.0.0.255
+```
+
+---
+
+#### 🔹 步骤 4:配置 VLAN 与 Eth-Trunk(评分+2)
+
+##### CORE(堆叠,作为三层网关)
+
+```bash
+vlan batch 10 20 30
+interface Vlanif10
+ ip address 192.168.10.254 255.255.255.0
+interface Vlanif20
+ ip address 192.168.20.254 255.255.255.0
+interface Vlanif30
+ ip address 192.168.30.254 255.255.255.0
+
+# Eth-Trunk 到 S3(员工)
+interface Eth-Trunk1
+ port link-type trunk
+ port trunk allow-pass vlan 10
+interface GigabitEthernet0/0/1
+ eth-trunk 1
+interface GigabitEthernet0/0/2
+ eth-trunk 1
+
+# Eth-Trunk 到 S4(服务器+访客)
+interface Eth-Trunk2
+ port link-type trunk
+ port trunk allow-pass vlan 20 30
+interface GigabitEthernet0/0/3
+ eth-trunk 2
+interface GigabitEthernet0/0/4
+ eth-trunk 2
+```
+
+##### S3(接入员工)
+
+```bash
+vlan 10
+interface Ethernet0/0/1
+ port link-type access
+ port default vlan 10
+interface GigabitEthernet0/0/1
+ port link-type trunk
+ port trunk allow-pass vlan 10
+```
+
+##### S4(接入服务器+访客)
+
+```bash
+vlan batch 20 30
+interface Ethernet0/0/1
+ port link-type access
+ port default vlan 20
+interface Ethernet0/0/2
+ port link-type access
+ port default vlan 30
+interface GigabitEthernet0/0/1
+ port link-type trunk
+ port trunk allow-pass vlan 20 30
+```
+
+---
+
+#### 🔹 步骤 5:配置 DHCP 中继(评分+4)
+
+> ✅ 在 CORE 上启用 DHCP 中继,指向外部 DHCP 服务器(如 Windows Server 或路由器)
+
+##### 假设 DHCP 服务器在 192.168.20.10(树莓派或路由器)
+
+```bash
+dhcp enable
+interface Vlanif10
+ dhcp select relay
+ dhcp relay server-ip 192.168.20.10
+interface Vlanif30
+ dhcp select relay
+ dhcp relay server-ip 192.168.20.10
+```
+
+> ✅ 树莓派上安装 `isc-dhcp-server`,配置作用域为 192.168.10.0 和 192.168.30.0
+
+---
+
+#### 🔹 步骤 6:配置防火墙 FW1(Web配置,简化)
+
+> ✅ 仅使用 Web 界面,配置以下内容:
+
+##### 6.1 登录 FW1 Web 控制台(默认 https://192.168.0.1)
+
+##### 6.2 配置接口
+
+| 接口 | IP | 区域 |
+|------|----|------|
+| GigabitEthernet0/0/0 | 10.0.2.2/30 | Untrust |
+| GigabitEthernet0/0/1 | 10.0.3.2/30 | Untrust |
+| GigabitEthernet0/0/2 | 10.0.1.1/30 | Trust |
+
+> ✅ 注意:不要配置 Vlanif20!删除任何 VLAN 20 网关(得分点:简化防火墙)
+
+##### 6.3 配置安全策略(允许内网访问外网)
+
+- 源区域:Trust
+- 目的区域:Untrust
+- 源地址:192.168.10.0/24, 192.168.20.0/24, 192.168.30.0/24
+- 动作:允许
+
+##### 6.4 配置 NAT(Easy IP)
+
+- 出接口:G0/0/0 和 G0/0/1(主备)
+- 源地址:同上私网段
+- 类型:源NAT,使用出接口地址
+
+> ✅ 验证:PC1 能 ping 8.8.8.8
+
+##### 6.5 配置 NAT Server(发布 Web 服务器)
+
+- 公网地址:203.0.113.100(可绑定到 R1/R2 环回)
+- 私网地址:192.168.20.10
+- 端口:TCP 80
+- 区域:Untrust -> Trust
+
+> ✅ 外网 PC4 访问 `http://203.0.113.100` 可看到树莓派网页
+
+---
+
+#### 🔹 步骤 7:配置邮件服务(评分+3)
+
+> ✅ 使用树莓派作为内网邮件服务器(Postfix + Dovecot)
+
+##### 7.1 安装邮件服务
+
+```bash
+sudo apt update
+sudo apt install postfix dovecot-core dovecot-imapd
+```
+
+##### 7.2 配置 Postfix
+
+```bash
+sudo nano /etc/postfix/main.cf
+```
+
+添加:
+
+```ini
+myhostname = mail.company.local
+mydomain = company.local
+myorigin = $mydomain
+inet_interfaces = all
+mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain
+home_mailbox = Maildir/
+```
+
+##### 7.3 创建用户
+
+```bash
+sudo adduser user1
+sudo adduser user2
+```
+
+##### 7.4 测试
+
+- 在 PC1 上使用 Outlook 或 Thunderbird
+- 配置 IMAP 服务器:192.168.20.10
+- 发送邮件给 user2@company.local
+- user2 登录接收 → 成功即得分
+
+---
+
+#### 🔹 步骤 8:安全配置(评分+10)
+
+##### 8.1 交换机端口安全(S3, S4)
+
+```bash
+interface Ethernet0/0/1
+ port-security enable
+ port-security max-mac-num 1
+ port-security mac-address sticky
+```
+
+> ✅ 防止非法设备接入
+
+##### 8.2 屏蔽非法 DHCP 服务器(评分+3)
+
+```bash
+dhcp snooping enable
+interface GigabitEthernet0/0/1
+ dhcp snooping trusted
+```
+
+> ✅ 仅信任上行口,屏蔽用户侧非法 DHCP
+
+##### 8.3 内网用户分时段访问外网(评分+3)
+
+> ✅ 在 FW1 Web 配置:
+
+- 创建时间段:工作日 18:00–22:00
+- 创建策略:源为 192.168.10.0/24,时间为上述,动作:拒绝
+- 放在允许策略之前
+
+> ✅ 实现“上班不能上网,下班可以”
+
+---
+
+#### 🔹 步骤 9:网络可靠性(评分+10)
+
+| 功能 | 实现 | 得分 |
+|------|------|------|
+| 环路防护 | 启用 STP(默认开启) | +3 |
+| VRRP 主备 | 已配置 | +3 |
+| 外网多路径 | R1/R2 双上行,OSPF 自动选路 | +4 |
+
+> ✅ 验证:断开 R1,流量走 R2,网络不中断
+
+---
+
+#### 🔹 步骤 10:拓展功能(选做,+20 封顶)
+
+| 功能 | 实现方式 | 得分 |
+|------|----------|------|
+| 无线接入 | 添加华为 AP,配置 WLAN 服务(AC 或胖 AP) | +10 |
+| BFD 快速检测 | 在 R1/R2 与 R3 之间配置 BFD | +5 |
+| 网页美化 | 树莓派 Web 页面使用 Bootstrap 设计 | +5 |
+| MPLS VPN | 在核心启用 MPLS,划分 VPN 实例(员工/访客隔离) | +10 |
+
+---
+
+### ✅ 五、验证清单(实验完成标准)
+
+| 验证项 | 命令/方法 | 是否完成 |
+|--------|------------|----------|
+| PC1 能访问外网 Web | ping 8.8.8.8 + 浏览器访问 | ✅ |
+| PC1 与 PC3 互通 | ping 192.168.30.x | ✅ |
+| PC1 能访问服务器 | ping 192.168.20.10 | ✅ |
+| 外网 PC4 能访问内网 Web | http://203.0.113.100 | ✅ |
+| 邮件发送接收 | Outlook 测试 | ✅ |
+| DHCP 获取 | PC1/PC3 自动获取 IP | ✅ |
+| VRRP 主备切换 | shutdown R1 接口,测试连通性 | ✅ |
+| 端口安全 | 插入新设备,是否被阻止 | ✅ |
+| 时间控制 | 非允许时间无法上网 | ✅ |
+
+---
+
+### 📎 六、提交材料建议
+
+1. **拓扑图**(已提供,+5)
+2. **IP 地址规划表**(见上文,+2)
+3. **设备配置文件**(CLI 命令汇总,+2)
+4. **服务测试截图**(Web访问、邮件、DHCP、VRRP切换等)
+5. **拓展功能演示**(如无线接入、BFD、网页美化)
+
+---
+
+### 🏁 七、总结
+
+本实验设计:
+
+- ✅ **完全覆盖评分标准**
+- ✅ **防火墙配置极简**(仅用 Web,无复杂 CLI)
+- ✅ **其余设备全命令行**(符合要求)
+- ✅ **使用真实设备(华为)与树莓派**
+- ✅ **可拓展性强**(无线、BFD、MPLS 等)
+
+---
+
+如需我为你生成:
+
+- 完整的 **CLI 配置脚本打包**(按设备分类)
+- **防火墙 Web 配置截图指南**
+- **树莓派 Web/邮件服务搭建脚本**
+- **测试用 PC 配置指南**
+
+请告诉我,我可以继续为你补充!祝你实验顺利完成,冲击满分!💯
diff --git a/experiment/labdesignfinal-fix-again.md b/experiment/labdesignfinal-fix-again.md
new file mode 100644
index 0000000..c0bd0da
--- /dev/null
+++ b/experiment/labdesignfinal-fix-again.md
@@ -0,0 +1,81 @@
+---
+config:
+ layout: dagre
+---
+flowchart TD
+ subgraph Internet["外网区域 (Untrust)"]
+ InternetServer["fa:fa-server Internet(Pi)
Web服务 (8.8.8.8)"]
+ PC4["fa:fa-laptop PC4 - 外网用户
(172.16.1.0/24)"]
+ end
+
+ subgraph ISP["ISP 模拟"]
+ R3["fa:fa-route R3 - 模拟ISP"]
+ end
+
+ %% 1. 出口层修改为 VRRP/主备
+ subgraph ExitLayer["出口层 - VRRP/主备"]
+ R1["fa:fa-route R1 (出口1)"]
+ R2["fa:fa-route R2 (出口2)"]
+ end
+
+ subgraph SecurityLayer["安全层 - FW1"]
+ %% 2. 移除 FW1 的 V20 网关
+ FW1["fa:fa-shield-alt FW1
NAT & 安全策略"]
+ end
+
+ subgraph CoreStack["核心层 - 堆叠系统 (Trust)"]
+ %% 3. 增加 R_NEW (新增路由器)
+ R_NEW["fa:fa-route R_NEW - 核心路由"]
+ %% 4. CORE 增加 V20 网关
+ CORE["fa:fa-layer-group CORE (S1+S2)
L3网关: V10, V20, V30"]
+ end
+
+ subgraph AccessLayer["接入层"]
+ S3["S3 - 员工区交换机"]
+ S4["S4 - 服务器/访客区交换机"]
+ end
+
+ subgraph EndUsers["终端用户区"]
+ PC1["fa:fa-computer PC1
员工区 - VLAN 10
(192.168.10.0/24)"]
+ PC3["fa:fa-wifi PC3
访客区 - VLAN 30
(192.168.30.0/24)"]
+ Server["fa:fa-server Web服务器(Pi)
服务器区 - VLAN 20
(192.168.20.0/24)"]
+ end
+
+ %% A. 外网连接 (R3模拟外网网关) - 不变
+ InternetServer -- "8.8.8.0/24" --> R3
+ PC4 -- "172.16.1.0/24" --> R3
+
+ %% B. ISP 到 出口 - 不变
+ R3 -- "链路 A (203.0.113.0/30)" --> R1
+ R3 -- "链路 B (203.0.113.4/30)" --> R2
+
+ %% C. 出口 到 防火墙 (Untrust 接口, VRRP/主备) - 修改描述
+ R1 -- "L3 链路 A (主, 10.0.2.0/30)" --> FW1
+ R2 -- "L3 链路 B (备, 10.0.3.0/30)" --> FW1
+
+ %% D. 防火墙 到 核心 (Trust 接口) - 修改为单线, 经过 R_NEW
+ FW1 -- "L3 链路 (10.0.1.0/30)" --> R_NEW
+
+ %% E. 新增 R_NEW 到 核心
+ R_NEW -- "L3 链路 (10.0.4.0/30)" --> CORE
+
+ %% F. 防火墙 到 DMZ (L2) - 删除
+ %% FW1 -- "L2 链路 (VLAN 20)" --> S4
+
+ %% G. 核心 到 接入 (Trust 接口) - 修改为 Eth-Trunk, 增加 V20
+ CORE -- "Eth-Trunk (VLAN 10)" --> S3
+ CORE -- "Eth-Trunk (VLAN 20, 30)" --> S4
+
+ %% H. 接入 到 终端 - 不变
+ S3 -- "Access (VLAN 10)" --> PC1
+ S4 -- "Access (VLAN 30)" --> PC3
+ S4 -- "Access (VLAN 20)" --> Server
+
+ %% 样式 - 不变
+ style Internet fill:#E6F3FF,stroke:#99CCFF
+ style ISP fill:#E0E0E0,stroke:#A0A0A0
+ style ExitLayer fill:#E6FFE6,stroke:#99FF99
+ style SecurityLayer fill:#FFECE6,stroke:#FFB399
+ style CoreStack fill:#FFF5E6,stroke:#FFCC99
+ style AccessLayer fill:#F0E6FF,stroke:#D1B3FF
+ style EndUsers fill:#FFFFE6,stroke:#FFCC66
diff --git a/experiment/labdesignfinal-fix-again.png b/experiment/labdesignfinal-fix-again.png
new file mode 100644
index 0000000..c8085b6
Binary files /dev/null and b/experiment/labdesignfinal-fix-again.png differ