- 博客(36)
- 收藏
- 关注
RSS订阅原创 阶段二:9-AC用户认证技术
本文摘要:文章介绍了AC用户认证技术的背景需求、HTTP协议工作原理及密码认证实现过程。公共上网区需账号密码认证以跟踪网络行为,认证方式包括本地和远程用户认证。HTTP协议部分详述了请求/响应模型、DNS解析、TCP连接及GET/POST方法等核心概念,并通过访问QQ网站案例演示完整交互流程。密码认证部分分析实际数据流,展示AC如何通过HTTP 302重定向拦截并伪装服务器以实现认证控制。该技术适用于对认证要求严格、需记录具体账号或与第三方认证系统集成的场景。
2025-08-18 17:20:02
835
原创 阶段二:8-上网行为组网方案
本文介绍了上网行为管理设备的三种主要部署模式及其应用方案。路由模式适用于替换原有网关的场景,具备完整路由和NAT功能;网桥模式通过透明部署减少网络改动,支持硬件bypass功能;旁路模式则通过镜像端口实现纯审计功能。文章详细分析了每种模式的配置思路、典型应用场景、效果展示和排错方法,并对比了不同模式的功能支持差异。同时介绍了防火墙技术应用,包括过滤规则配置和端口映射实现原理,提供了端口映射的典型应用案例和详细的故障排查思路。这些组网方案可根据实际网络环境和功能需求灵活选择,满足不同场景下的上网行为管理和安全
2025-08-17 16:53:04
1146
原创 阶段二:7-上网行为安全概述
政务人员上班时间网络聊天、炒股、网游,遭暗访曝光,影响单位形象;统计用户的上网时间、应用流量、应用分布等,为企业决策提供依据;学校电子阅览室,学生使用IM聊天、看在线视频、网游,影响学习。基于网站、邮件、论坛、微博、IM等内容审计以及灵活的报表呈现。无杀毒软件、具有安全隐患的终端肆意上网,极易感染威胁;节省投资,一体化网关,轻松满足组网、安全、行为管控需求。上网授权缺失,用户肆意上网,为网络泄密提供了通道;互联网应用泛滥、复杂、更新快等加大管理的困难性;上网体验差,需要控制带宽流量,保障核心业务畅通;
2025-08-17 16:52:14
786
1
原创 阶段二:6-服务器安全检测和防御技术
服务器安全检测和防御技术摘要 本文系统介绍了服务器面临的主要安全风险及防护技术。针对DOS攻击,分析了SYN Flood等攻击原理,提出SYN代理防御机制;针对入侵威胁,比较了IDS检测与IPS防御的区别,阐述了蠕虫攻击流程和漏洞利用方式;针对WEB攻击和篡改风险,推荐了WAF防火墙和文件监控方案。文章从攻击特征、防御原理到技术实现,构建了完整的服务器安全防护体系,为提升系统安全性提供实用参考。
2025-08-14 10:06:53
599
原创 阶段二:4-下一代防火墙组网方案
下一代防火墙组网方案摘要 下一代防火墙(NGAF)支持多种部署模式,包括路由模式、透明模式、虚拟网线模式、混合模式和旁路模式。设备提供多种接口类型:物理接口(路由口、透明口、虚拟网线口、镜像口)、子接口、VLAN接口和聚合接口,其中管理口(eth0)固定为路由口。路由模式需配置IP地址和路由转发,适用于替换现有防火墙;透明模式不改变网络拓扑,通过MAC地址转发数据;虚拟网线模式提供更高转发效率,适合单进单出场景。配置时需注意接口区域划分、路由设置、NAT转换和安全策略部署,不同模式适用于不同网络改造需求。
2025-08-12 20:42:55
796
原创 阶段二:3-防火墙
在NAT的实际应用过程中,NAT仅对网络层报文的报文头进行IP地址的识别和转换,对于应用层协议协商过程中报文载荷携带的地址信息则无法进行识别和转换,因此在有NAT处理的组网方案中,NAT利用ALG技术可以对多通道协议进行应用层的报文信息的解析和地址转换,保证应用层上通信的正确性。动态通道(基于应用层会话状态):当应用层协议报文中携带IP地址、tcp、UDP端口信息时,这些地址信息会被用于建立动态通道,后续符合该地址信息的连接将使用已经建立的动态通道来传输数据。应用网关防火墙 3、4、5、7层。
2025-08-09 15:05:03
672
原创 阶段二:2-等级保护
等级保护是根据信息系统对国家安全、社会秩序和公共利益的重要性及其破坏后果的危害程度,将信息系统划分为不同安全保护等级的制度。主要内容包括:定级依据信息系统的社会属性划分五个等级;实施流程包括定级、备案、建设整改、等级测评和监督检查;对云平台等特殊环境有扩展要求,明确云服务安全责任边界;测评采用工具测试、访谈检查等方法。等级保护通过差异化监管措施,构建我国网络安全基本制度框架。
2025-08-09 14:56:35
410
原创 阶段二:1-信息技术概述
我国信息安全面临数字化转型带来的多重挑战。当前网络安全形势严峻,传统防护手段难以应对新型威胁如APT攻击、勒索病毒、零日漏洞等。信息安全的核心在于防止未授权访问和数据泄露,需从漏洞管理和威胁源管控入手。网络协议栈的脆弱性导致常见攻击模式包括嗅探监听、数据篡改、拒绝服务和身份伪造。物理层攻击虽存在但已非主流,当前攻击更集中于无线和逻辑层面。企业需建立多层次防御体系,结合异地灾备等策略,应对日益复杂的网络威胁环境。
2025-08-06 18:27:09
470
原创 21.OSPF路由协议·多区域
区域类型配置命令LSA 类型发布者发布范围标准区域ASBR 自动OSPF 域内(包括所有区域)Stub 区域LSA 3(OIA)ABR 自动区域内Totally Stub 区域LSA 3(OIA)ABR 自动区域内NSSA 区域ASBR 自动区域内Totally NSSA 区域LSA 3(OIA)ABR 自动区域内特殊区域 LSA 允许情况总结区域类型1&2 类 LSA3 类 LSA4&5 类 LSA7 类 LSA骨干区域(区域 0)允许允许允许。
2025-07-27 12:53:35
817
原创 20.OSPF路由协议·单区域
步骤 3:RTA 确认 Master 并发送 DD 报文。Router ID建议手工配置–默认生成最大的IP地址。步骤 5:RTA 确认并发送 DD 报文。步骤 1:RTA 发送初始 DD 报文。步骤 4:RTB 发送新的 DD 报文。,非广播多点访问网络):帧中继接口。步骤 2:RTB 回复 DD 报文。OSPF报文的目的地址。
2025-07-24 21:28:27
1116
原创 19.动态路由协议基础
摘要 动态路由协议是路由器自动计算和维护路由信息的协议,相比静态路由具有自动适应网络变化的优势。课程介绍了动态路由的基本原理,包括路由发现、通告、计算和收敛过程。动态路由协议可分为内部网关协议(IGP)和外部网关协议(EGP),按算法又分为距离矢量和链路状态两类。文章详细阐述了控制平面处理路由协议数据包的流程,以及管理距离和度量值的概念,前者用于比较不同路由协议的优先级,后者用于同一协议内部选择最优路径。通过分布式路由管理,各路由进程独立维护路由表,最终将最优路由安装到全局路由表中。
2025-07-23 22:54:40
832
原创 18.设备虚拟化
设备虚拟化技术及其应用 本文介绍了设备虚拟化技术及其在网络中的应用,重点解析了IRF(智能弹性架构)技术。内容涵盖传统MSTP+VRRP组网的不足、设备虚拟化的优势、IRF技术概述及发展历程。传统组网方式存在资源浪费、故障恢复慢、配置复杂等问题,而设备虚拟化通过将多台设备整合为逻辑设备,可简化管理、提高可靠性、扩展端口数量和系统性能。IRF技术从1.0到3.0版本不断演进,支持横向和纵向虚拟化,大幅降低管理复杂度并提升网络扩展性。文章还比较了不同厂商的虚拟化技术特点,展示了虚拟化如何优化路由管理和带宽扩展。
2025-07-23 22:50:40
750
原创 17.VRRP技术
VRRP技术摘要: VRRP(虚拟路由冗余协议)是一种解决局域网网关单点故障的容错协议,通过将多个物理路由器组成备份组形成虚拟路由器。该技术提供主备备份和负载分担两种工作模式,通过优先级选举(0-255,默认100)确定主路由器角色。VRRP使用组播地址224.0.0.1定期发送协议报文,包含版本号、优先级等关键字段。其工作过程涉及Initialize、Master、Backup三种状态转换,主路由器负责转发数据并响应虚IP的ARP请求(使用00-00-5E-00-01-{VRID}格式的虚MAC),备份路
2025-07-22 21:38:31
1175
原创 16.多生成树MSTP
MSTP(多生成树协议)通过将VLAN映射到不同生成树实例(MSTI)实现负载均衡,解决了STP/RSTP的局限性。每个MST域包含多个独立计算的生成树实例,其中实例0(IST)处理未映射VLAN。MSTP通过CST实现跨域连通性,CIST则整合所有生成树确保全网无环。该技术支持快速收敛,优化流量路径,并兼容STP/RSTP协议,显著提升了二层网络的效率和可靠性。
2025-07-22 20:22:40
894
原创 15.快速生成树RSTP
如果该交换机还有其他相连的邻居交换机,它会继续向其他邻居交换机的根端口发送 Proposal,重复上述过程,直到整个网络的拓扑收敛完成。通过这种方式,RSTP 能够在网络拓扑变化时,快速让端口进入转发状态,大大缩短了网络的收敛时间,提升了网络的稳定性和可靠性。STP 中用于通知拓扑变化的报文,由非根桥向根桥发送,根桥再向全网广播 TC(Topology Change)报文。BPDU 报文中的 “标志位(Flags)” 是 1 个字节(8 位),其中与拓扑变更相关的是。拓扑变化通知(TCN)
2025-07-21 19:47:27
926
原创 实验--链路聚合
本实验研究了链路聚合技术,通过静态和动态两种方式配置交换机端口聚合。静态聚合使用"channel-group mode on"命令强制建立聚合链路,而动态聚合支持LACP协议,需配置主动/被动模式(不能两端均为被动)。实验结果显示,单个端口工作在全双工100Mb/s模式,聚合后形成400Mb/s带宽,但工作模式变为半双工。该实验验证了链路聚合能有效提升带宽,但需注意模式兼容性问题。
2025-07-19 20:54:22
279
原创 综合实验--eNSP实验
本文介绍了基于eNSP的网络实验配置过程,主要包括VLAN划分、DHCP中继、Telnet服务和NAT转换等网络功能实现。实验拓扑包含三层交换机、二层交换机和路由器设备,通过详细命令行配置实现了:1)VLAN间路由与DHCP中继服务;2)Telnet远程管理功能;3)NAT地址转换实现内网访问公网。关键配置包括VLAN接口IP分配、DHCP地址池设置、AAA认证配置以及ACL和静态路由部署。
2025-07-19 20:31:12
1063
原创 14.链路聚合技术
链路聚合技术摘要 链路聚合技术通过将多条物理链路绑定为逻辑链路,广泛应用于交换机、路由器和服务器之间的连接。主要分为静态和动态两种模式:静态模式需手动配置端口参数,动态模式则通过LACP协议自动协商。该技术能提升带宽和可靠性,通过流负载分担机制实现流量均衡。配置时,静态聚合使用"channel-group mode on"命令,动态聚合则采用active/passive模式组合(需避免两端均为passive)。值得注意的是,路由器处理速度通常慢于交换机,而现代设备可通过硬件加速提升转发性
2025-07-18 20:25:11
841
原创 13.可靠性概述及要求
本文概述了高可靠性技术的概念、计算方法和主要技术分类。可靠性通过MTBF(平均无故障时间)和MTTR(平均修复时间)计算,公式为可靠性=MTBF/(MTBF+MTTR)。高可靠性技术主要分为三类:链路备份技术(包括链路聚合、RRPP环网保护和Smart Link主备链路)、设备备份技术(含设备自身主备备份和VRRP设备间备份)以及软堆叠技术(如VSU/VSS/CSS/IRF)。这些技术通过冗余设计和快速收敛机制,有效解决了单点故障问题,提升了网络系统的可用性,其中软堆叠技术通过多设备虚拟化实现1:N备份,特
2025-07-18 20:21:58
803
原创 12.上公网-Internet接入
文章摘要 本文介绍了Internet接入方式及NAT技术。首先阐述了Internet接入网的概念,重点分析了宽带接入技术(如ADSL、光纤接入等)及其应用场景。随后详细讲解了两种主流接入认证方式:PPPoE(基于以太网的点对点协议)和Portal(Web认证方式)的工作原理及流程。第二部分探讨了NAT技术,包括其产生背景(IPv4地址短缺)、基本概念,以及动态NAT和动态PAT两种实现方式。NAT技术通过地址转换解决了私有IP访问公网的问题,其中动态PAT(端口地址转换)能更有效地利用有限的公网IP地址资源
2025-07-17 22:48:50
961
原创 11.长途互联-WAN广域网技术
摘要 本文介绍了广域网(WAN)技术及其应用场景。主要内容包括:1) 分析局域网在远程传输中的局限性,引出广域网的作用;2) 详细讲解四种WAN线路类型(专线、分组交换、电路交换、虚拟专用网)的特点和应用;3) 介绍WAN设备连接结构和物理层协议(V.35、G.703、G.707等);4) 重点解析HDLC协议的工作原理,包括帧结构、状态检测机制等。文章通过对比不同技术方案,帮助理解如何选择合适的WAN技术实现远程网络互联。
2025-07-16 20:31:11
649
原创 10.ACL与包过滤
ACL与包过滤技术概述 ACL(访问控制列表)是实现网络流量控制的核心技术,主要用于数据包识别和过滤。课程内容涵盖ACL的基本概念、工作原理、分类及应用场景。ACL通过匹配数据包的五元组(源/目的IP、协议、端口)进行流量控制,分为标准ACL(基于源IP)和扩展ACL(基于五元组)两种主要类型。在配置方面,传统ACL按固定顺序添加规则,而命名ACL支持灵活的规则编辑。不同厂商设备(如Cisco/Huawei)在默认规则和处理流程上存在差异,需特别注意。ACL通常应用于接口的入/出方向,通过通配符掩码实现精细
2025-07-15 19:50:27
1028
原创 9.路由互联-静态路由技术
通过调整路由优先级(管理距离)实现路由备份的技术,常用于提高网络的冗余性和可靠性一种特殊的静态路由配置,其核心作用是将特定目标网络的数据包无声丢弃,不转发、不回应,常用于网络安全防护和流量控制核心原理黑洞路由通过将目标网络的路由指向一个不可达的下一跳(如空接口null0)实现:当路由器收到目的 IP 属于黑洞路由目标网络的数据包时,会直接将其丢弃,且不返回任何错误信息(如 ICMP “目标不可达” 报文);在路由表中,黑洞路由表现为一条指向null0接口的静态路由(如使用场景防御网络攻击。
2025-07-14 20:40:13
702
原创 DHCP、DNS、Telnet、HTTP等综合实验
实验摘要 本实验使用Cisco Packet Tracer模拟网络环境,综合应用VLAN、DHCP、Telnet等技术。实验拓扑包含3台交换机和1台三层交换机,划分VLAN10、20(用户)、100(服务器)、200(管理)。通过配置VLAN间路由、DHCP中继实现跨网段通信,其中Router0作为DHCP服务器为不同VLAN分配IP地址。交换机配置远程登录管理功能,包括VTY线路密码和特权密码。DNS服务器提供域名解析服务指向HTTP/FTP服务器。实验完整展示了企业网络的基础架构实现过程,涉及设备互联、
2025-07-12 21:50:08
269
原创 8.二层环路避免-STP技术
STP技术摘要 STP(生成树协议)用于消除局域网中的物理环路,解决由环路引发的广播风暴、MAC地址表震荡和重复数据帧等问题。其核心原理是通过选举根网桥、根端口和指定端口,阻塞冗余链路,构建无环拓扑。交换机间交互BPDU报文传递拓扑信息,比较网桥ID、路径开销等参数完成角色选举。STP既能消除环路,又能提供链路冗余备份,当主链路故障时可快速启用备用路径。协议通过根网桥周期性发送BPDU维持拓扑稳定,非根交换机转发BPDU时累加路径开销值,最终形成逻辑上的树形结构。该技术实现了网络高可用性与环路防护的平衡。
2025-07-12 21:44:27
751
原创 7.TCPIP之常用协议
本文介绍了TCP/IP协议栈中的关键网络支撑协议。重点解析了ARP协议的工作原理,包括其广播请求/单播应答机制、报文格式及ARP表的作用;同时探讨了特殊ARP类型如无故ARP、代理ARP和RARP的应用场景。此外,文章详细阐述了ICMP协议在网络层中的定位,包括其报文结构、常见类型(如回显请求/应答、目标不可达等),以及Ping工具如何利用ICMP实现网络连通性测试。这些基础协议共同构成了TCP/IP网络通信与故障诊断的核心机制。
2025-07-10 22:14:07
672
原创 6.TCPIP之协议基础
摘要:本文介绍了OSI参考模型和TCP/IP网络模型的基本概念与结构。OSI模型分为七层(物理层至应用层),强调对等通信和分层封装解封装原理;TCP/IP则简化为四层,突出实用性和协议栈集成。重点分析了IP协议的特点(无连接、尽力而为)及其20字节包头结构,包括版本、TTL、分片控制等关键字段。两种模型对比显示TCP/IP更贴近实际网络应用,而IP协议作为网络层核心,需配合TCP/UDP实现完整通信功能。(150字)
2025-07-10 21:57:12
862
原创 5.IP地址基本概念
IP地址基础知识摘要 IP地址是32位二进制数,采用点分十进制表示,分为网络号和主机号两部分。子网掩码通过连续1标识网络号,与IP地址按位与运算确定网络归属。IP地址分为5类:A类(1-126)、B类(128-191)、C类(192-223)分别对应不同规模网络,D类用于组播,E类保留。特殊IP地址包括网络地址(主机号全0)、广播地址(全1)、回环地址(127.x.x.x)等。私有IP地址范围(如10.x.x.x、192.168.x.x)用于内网。子网划分通过借主机位扩展网络号,实现网络细分,提高地址利用率
2025-07-08 20:29:49
788
原创 DHCP中继实验
二层交换机配置(Switch0、Switch1)三层交换机配置(Multilayer Switch0)在三层交换机中不能直接配置trunk解决方法路由配置(Router0)
2025-07-07 23:07:27
880
原创 4.业务终端动态分配IP-DHCP技术
DHCP(动态主机配置协议)是一种基于UDP的应用层协议,用于自动分配IP地址和管理网络配置。其主要作用包括动态分配IP地址、统一管理配置信息,具有提高效率、减少冲突等优点。DHCP提供自动分配、动态分配和手工分配三种IP分配方式。工作过程分为四个阶段:发现(Discover)、提供(Offer)、请求(Request)和确认(ACK),采用广播和单播相结合的传输机制。此外,DHCP通过50%和87.5%租期续约机制维护IP使用权,过期后需重新获取。该协议实现了即插即用、统一管理和高效IP使用的网络配置方案
2025-07-07 21:51:54
1064
原创 3.业务三层互通-VLAN间路由技术
交换机发到三层交换机打上vlan 10的标签,发到三层交换机后,三层交换机重新封装MAC,重新打上vlan 20的标签,然后查MAC表转发(左边右边都相同的trunk)收到帧的目的MAC地址或者是其他组播MAC,或查不到的单播==》泛洪1。交换机处理数据包,通过trunk接口发送至Switch6。交换机Switch6接收到数据包进行转发。思科设备的三层交换机的路由转发功能是。二层接口中,同进同出的数据会被丢弃。交换机6收到路由传来的数据包。路由器接收数据包处理后转发。同时配置完全相同参数的端口。
2025-07-06 20:36:37
724
原创 2.业务二层隔离-VLAN技术
VLAN技术摘要(150字) VLAN(虚拟局域网)技术通过逻辑划分广播域,解决传统网络中的广播风暴问题。网络拓扑结构从总线型、星型发展到层次化模型(核心层、汇聚层、接入层),其中交换机隔离冲突域(每个端口独立),路由器隔离广播域。校园网等大规模网络常采用双核心三层结构,通过VLAN将交换机端口分组,缩小广播域范围。VLAN技术有效隔离广播流量,提升网络性能和管理效率,同时配合冗余设计提高可靠性。冲突域与广播域的关键区别在于:交换机解决冲突域问题,路由器/VLAN解决广播域问题。
2025-07-06 15:15:29
946
原创 1.网络通信基础
网络通信基础摘要 本文介绍了网络通信的基本原理,重点讲解了局域网(LAN)的相关知识。主要内容包括:主机通信的基本原理,LAN的定义与核心特征,以太网帧的结构与MAC地址编址机制,以及交换机的工作原理。文章通过对比表等形式,清晰区分了单播、广播、组播三种通信方式,并详细阐述了交换机如何通过MAC地址表学习源地址并转发数据帧。这些基础知识为理解更复杂的网络通信技术奠定了基础。
2025-07-05 23:34:47
934
原创 网络通信基础
摘要 本文介绍了网络通信的基础原理,重点阐述了局域网(LAN)的核心概念与技术实现。主要内容包括:1)主机通信的基本原理,从双方通信到需地址标识的多方通信;2)局域网的定义与特征,强调其地理范围有限、高速率、低延迟及自主管理等特点;3)以太网帧结构详解,包括MAC地址统一编址和单播/广播/组播三种传输方式;4)交换机工作原理,通过MAC地址表学习实现数据帧的智能转发。文章通过对比表格和图示,清晰展示了局域网与广域网的差异、以太网帧各字段作用以及交换机转发逻辑。
2025-07-04 21:58:46
629
原创 网段通信实验基础
本文介绍了网络实验基础,包括网线水晶头接法(直通线和交叉线)、设备间连线规则(不同类型设备用直通线,相同类型设备用交叉线),以及局域网通信原理。重点阐述了交换机通过MAC地址表学习转发数据的工作流程,主机通信中ARP协议解析IP地址到MAC地址的过程,以及不同局域网间通过路由器转发数据的原理。实验环境使用Cisco Packet Tracer模拟器,通过具体实验演示了设备间通信时数据包的封装、转发和解封装过程,揭示了网络通信的基本工作机制。
2025-07-04 12:20:27
667
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人