2303_77705716的博客

原创 8-上网行为组网方案

部署模式简介路由模式简介设备以路由模式部署时，AC的工作方式与路由器相当，具备基本的路由转发及NAT功能。一般在客户还没有相应的网关设备或者用户的网络环境规模比较小，需要将AC做网关使用时，建议以路由模式部署。路由模式需求背景客户需要用新的上网行为管理设备来替换旧的出口路由器，实现行为审计和管控。路由模式配置思路路由模式效果展示路由模式排错思路检查PC本身的网口IP，子网掩码检查PC本身的默认网关，首选的DNS服务器检查AC上给PC做的SNAT检查AC上给PC做的回包路由。

原创 7-上网安全管理

HA：双机热备。防火墙 HA 通常通过（称为 “HA 对” 或 “集群节点”）实现，其中一台作为承担主要的流量处理和安全策略执行任务，另一台或多台作为。1U：网络设备的大小NP：网络处理器CP：CP处理器并发会话（TCP）：能够允许的最大会话防火墙架构：X86、ASIC、NP。

原创 6-服务安全检测和防御技术

定义即Web应用防护，主要用于保护Web服务器不受攻击，而导致软件服务中断或被远程控制。WAF常见的攻击手段。

原创 5-终端安全检测和防御技术

通过认证的用户不一定合法通过防火墙的流量不一定安全基于7层应用的深度数据包检测可实现终端安全可控对于终端来说只有两类软件，根据软件所连接的服务器来分：浏览器（连接的服务器不一样，不固定）和其他应用控制策略服务应用控制策略可对应用/服务的访问做双向控制。NGAF存在一条默认拒绝所有服务/应用的控制策略。**基于应用的控制策略：**通过匹配数据包特征来进行过滤动作，需要一定数量的包通行后才能判断应用类型，然后进行拦截动作的判断。（因为基于服务有时候识别不到端口（端口封装），所以基于应用用得多）

原创 4-下一代防火墙组网方案

在此组网方式时，防火墙位于内部网络和外部网络之间，负责在内部网络、外部网络中进行路由寻址，相当于路由器。其与内部网络、外部网络相连的上下行业务接口均工作在三层，需要分别配置不同网段的IP地址。此组网方式支持更多的安全特性，如NAT、策略路由选择，动态路由协议（OSPF、BGP、RIP等）等。需要修改原网络拓扑，对现有环境改动较大（若新增选择透明模式好一点）一般替换出口路由器或老防火墙。

原创 3-防火墙

防火墙概述防火墙是一个位于内部网络与外部网络之间的安全系统（网络中不同区域之间），是按照一定的安全策略建立起来的硬件或软件系统，用于流量控制的系统（隔离），保护内部网络资源免受威胁（保护）。防火墙主要用于防止黑客对安全区域网络的攻击，保护内部网络的安全运行。

原创 2-等级保护

等级保护发展历程。

原创 1-信息安全概述

信息安全防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。网络安全计算机网络环境下的信息安全。

原创 实验-OSPF多区域

区域0中路由数据库发现，LSA5是由9.9.9.9发出来的，是因为ASBR发的是LSA7，到其他区域变为LSA5。配置末梢区域，查看后发现已经没有4类和5类，但多了个默认路由0.0.0.0来代替。配置完全末梢后，详细LSA3也没了，只剩0.0.0.0默认路由（LSA3）修改开销AR4，同一个链路的两个接口开销要一致。将区域二配置成NSSA非纯末梢区域。将区域三配置为末梢区域，AR7。同一个区域内的路由AR11。

原创 21-ospf多区域

LSA洪泛总结。

原创 实验-OSPF

原创 20-ospf技术

定义OSPF，开放式最短路径优先OSPF是IETF开发的一种链路状态路由协议，基于带宽的度量值。OSPF采用SPF算法计算路由（最短路径优先算法），保证了无路由环路。OSPF通告邻居关系维护路由，避免了定期更新对带宽的消耗。OSPF路由更新效率高，网络收敛快，适用于大中型网络。OSPF封装于IP，协议号为89，组播地址224.0.0.5与224.0.0.6。

原创 实验-IRF

重启后，设备的物理接口编号会带上新成员号（如原。① 调整设备成员编号（重编号）② 关闭物理接口（避免冲突）④ 激活配置并启用物理接口。

原创 19-动态路由

动态路由协议的基本功能发现路由：发现自己的路由信息（收集直连网段信息）。通告路由：将自己知道的路由信息通告给其他路由器。计算路由：基于所掌握的路由信息进行路由计算，算出最优路由加入路由表路由收敛：当网络拓扑发生变化后，能重新计算出最优路由。

原创 18-设备虚拟化IRF

定义IRF（智能弹性架构）是将多台设备通过堆叠口连接在一起形成一台“联合设备”。版本IRF1.0通过堆叠口将多台接入设备连接起来形成一台虚拟的逻辑设备。通过此虚拟设备可以管理堆叠中的所有设备。这种虚拟设备成本低但具有很强的扩展性和较高的可靠性IRF1仅能对**盒式设备(笔记本类似，一般在接入层)**进行堆叠。IRF2.0(当前版本)IRF2将网络中同一层的多台设备横向整合成一台逻辑设备无需复杂VLAN+MSTP/VRRP配置，收敛时间大幅降低。

原创 实验-MSTP和VRRP

SW4的e0/0/3接口变为discarding状态。SW4的e0/0/3接口变为discarding状态。开启边缘保护后，在边缘端口接入PC。其他二层交换机以SW3为例。边缘端口是特殊的指定端口。

原创 17-VRRP

VRRP定义(虚拟路由冗余协议)VRRP是将可以将多个路由器加入到备份组中，形成一台虚拟路由器，承担网关功能。RFC 3768定义的VRRP是一种容错协议，在提高可靠性的同时，简化了主机的配置。只有一台设备承担网关功能，只要备份组中有一台设备具有网关功能可以正常工作，虚拟路由器就仍正常工作。

原创 16-MSTP

MSTP(多生成树协议)，基于实例计算出多颗生成树，实例间实现负载分担。MSTP标准协议为IEEE802.1sMST域拥有相同MST配置标识的网桥构成的集合。以下三个参数完全一致说明在同一域中域名配置修订号VLAN与实例映射关系实例0：CST(公共生成树)、IST(内部生成树)、CIST(公共和内部生成树)、总根(CIST的根桥)和域根(IST域根和MSTI域根)最开始防环：IST内部生成树MSTI和MSTI域根。

原创 15-RSTP

从中断到恢复需要等待MAC地址老化，将近5分钟（300s）。因此出现TCN BPDU。

原创 实验-链路聚合

静态聚合交换机1交换机2动态聚合交换机1交换机2。

原创 实验-华为综合

交换机2telnet交换机3telnet路由器三层交换机（路由转发默认关闭）DHCP路由器外网设备边缘路由（华为不加东西为PAT与Cisco相反）最后一个路由配接口地址公网交换机。

原创 14-链路聚合

链路聚合定义链路聚合是把多条物理链路聚合在一起，形成一条逻辑链路。应用在交换机、路由器、服务器间链路。分为三层链路聚合和二层链路聚合。

原创 13-可靠性

MTBF平均无故障时间，衡量稳定程度。MTTR故障平均修复时间，衡量故障响应修复速度。可靠性可靠性=MTBF/(MTBF+MTTR)高可靠性在园区的应用网络高可靠性主要是指当设备或网络出现故障时，网络提供服务的不间断性。可靠性达到5个9以上可靠性99.999%意味着每年故障时间不超过5分钟可靠性99.9999%意味着每年故障时间不超过30秒园区网高可靠性技术链路备份技术设备备份技术：包含设备自身备份技术以及设备间备份技术软堆叠技术。

原创 实验-综合NAT

三层交换机边缘路由中间路由外网服务器配置外网DNS服务器配置。

原创 12-上公网

定义将数据包中的IP地址转换为另一个IP地址主要用于解决校园网使用私有地址上公网的问题大多数应用基于IPv4IPv4地址短缺使用私有地址(RFC1918)和NAT技术缓解IPv4公网地址短缺的问题。

原创 实验-ACL技术

ACL 实验题目模拟器 真机1.禁止 VLAN10的主机访问任何 DNS 服务器。2.仅允许 van20网段访问HTTP服务器的HTTP服务(TCP80端口)，拒绝其他设备访问该服务器的 HTTP 服务。3.禁止 VLAN10、vlan20 访问 VLAN200。仅真机可做:允许 VLAN10 和 VLAN20的用户主动访问外网。仅允许与内网用户主动发起的会话相关的外网流量返回，禁止外网主动发起的连接。

原创 11-WAN技术

广域网(WAN)技术摘要 广域网技术解决了局域网远程互联的需求，主要分为专线、分组交换和电路交换三种方式。专线(如E1、DDN)提供独占带宽的点对点连接，成本高但稳定；分组交换(如FR、ATM)通过虚电路共享带宽，成本较低；电路交换(如PSTN)按需建立临时连接。广域网依赖运营商传输网，用户端需配置CPE设备和路由器接口模块(串口/E1/POS等)。常用协议包括HDLC和PPP：HDLC是面向比特的同步协议，支持透明传输但兼容性差；PPP作为改进协议，支持认证、地址协商和多协议封装，适用性更广。两种协议均通

原创 10-ACL技术

定义ACL（Access Control List，访问控制列表）是用来实现数据包识别功能的。应用场景。

原创 9-静态路由技术

概念路由是指导IP报文发送的路径信息：目标网络地址及子网掩码：路由协议类型（如 Static 静态、RIP、OSPF、Direct 直连）：路由优先级（管理距离，值越小优先级越高）：路由度量值（同协议内的开销，如 RIP 跳数）：下一跳 IP 地址4：数据包转发的出接口。

原创 实验DHCP，DNS，HTTP，telnet综合

三个服务器access端口三层交换机的配置定义四个vlan配置三个trunk配置四个vlan的网关：指定服务器ip：打开路由转发：ip routingDHCP路由器打开接口：no shutdown配置ip：int fa0/0 ip add 192.168.100.1 255.255.255.0设置下一跳：配置dhcp服务vlan 20同理DNS服务器配置类型设置为A，解析为IPv4HTTP服务器HTTP功能默认自动打开交换机0（左边）交换机1（右边）管理PC。

原创 8-STP技术(生成树协议)

STP端口判定修改：spanning --tree vlan 1 priority?选举根网桥，比较网桥ID，根网桥上的所有端口都是指定端口。选择根端口，依次比较根路径开销、发送方网桥ID、发送方端口ID。选择指定端口，依次比较根路径开销、发送方网桥ID、发送方端口ID。

原创 8-TCPIP常见协议

控制连接只有一个（21号端口）数据连接多个或者0个（20号端口）

原创 7-TCPIP协议基础

通信双方的编号是相互独立的，TCP选择**0~(2的32次方 减 1)**之间的一个随机数作为第一个字节的编号。前3位为IP优先级，前6位为DSCP（是 IP 网络中用于标记数据包优先级、实现 QoS（服务质量）的关键技术）。最少的UDP比TCP少12字节（UDP包头8字节，TCP包头4字节，4位，20-8=12）第一片的编号 0 – 1479 DF=0、MF=1、偏移量：0/8。，因IP包头长度可变，用于IP包头完整性校验，不对数据进行校验。，UDP报文总长度（包头+数据），单位为字节。

原创 IP地址基本概念

D类 组播，表示网络协议A类：全0为默认，127为本地回环（去掉两位）loopback：127.0.0.1 仅仅测试硬件定向广播能被路由转发本地广播不能路由转发默认路由：局域网中指向公网的路径。

原创 实验DHCP中继

路由。

原创 DHCP技术

DHCP（动态主机配置协议）DHCP是一种能够为网络中的主机提供TCP/IP配置的应用层协议DHCP基于C/S模型，Client能够从DHCP Server获取到IP地址及其他参数，从而降低手工配置带来的工作量和出错率DHCP封装在传输层的UDP协议中客户（端口号：68） 服务器（端口号：67）

原创 4-VLAN间路由技术（三层）

交换机6：fa0/1为trunk fa0/3为access​ fa0/2为turnk fa0/4为access。

原创 VLAN技术（二层）

早期网络：集线器(HUB) + 同轴电缆 +CSMA/CD终端以为核心连接的网络（冲冲突域范围变小、数量增加）：星型、扩展星型 （现在用的多）早期用的多：环形、全网型（可靠、某个设备）常见拓扑结构核心层：带宽最高汇聚层：网络规模不大的情况下不需要接入层：离用户最近，带宽最低（可靠性高；双核心：两台核心交换机）:​ 这是一张，常见于校园网、企业园区网等场景，核心设计目标是（双核心冗余）和（接入 - 核心两层，无三层路由转发）。​ 1.​。

原创 网络通信基础

局域网LAN是由众多处于相同物理空间内的信息点，通过相关高速链路介质与网络设备互联构成的一套传输网络。与广域网WAN的最本质区别在于是否有第三方参与。LAN必须在符合网络标准(特别是IEEE802标准)的基础上提供可靠的网络链接、相对高的速度、源目节点的地址处理能力(如MAC、ARP)关键特性地理范围有限通常覆盖几米到几公里，如家庭、办公楼或校园。与广域网（WAN，如互联网）相比，覆盖范围显著更小。高速数据传输。

原创 不同局域网与相同局域网之间的通信

相同设备之间用交叉 线不同设备之间用直通线。