normanhere-优快云博客

原创未知单播泛洪

未知单播泛洪（Unknown Unicast Flooding）是指交换机在转发数据帧时，由于无法在MAC地址表中找到目标MAC地址对应的端口，而将该帧泛洪到同一VLAN内的所有端口（除接收端口外）。配置DHCP Snooping或IP Source Guard防止MAC欺骗。使用端口镜像抓包，分析泛洪流量特征。

2025-03-19 08:29:37 757

然后来说说家里的无线路由的天线的方向，天线就是用来增强无线信号用的，普通的家用无线路由器虽然看上去只有竖起来的1根，或者多根，实际上它1根里面包含上下2段，想象下将Z轴是竖起来的哪条天线，那么天线的覆盖范围是一个实心救生圈的形状，天线2头是信号最弱的地方，现在知道应该把天线竖起来了吧。当AP的功率变大，会产生2个非常严重的问题，首先是AP之间的干扰变得严重（空口资源有限），其次是终端认为AP信号很好，而不及时漫游，并且终端到AP的信号不好导致以较低速率传输，长期占用频谱资源，导致整体无线网络性能变差。

2025-03-05 15:59:51 883

原创某保险公司机房搬迁项目总结

搬迁所需物料清单》**包括但是不限于：电动螺丝刀，各类批头，活动扳手，老虎钳，尖嘴钳，水口钳、手动螺丝刀、手套、头灯、标签机标签纸、扎带、魔术粘、M6机柜螺丝、小推车、显示器键盘鼠标、光功率计、红光笔、OTDR、寻线仪、液压叉车、服务器托盘、各类跳线、网线钳、水晶头等。图3：**《搬迁后的设备接线表》**包括搬迁前接线情况，搬迁后接线情况，线缆标签，线缆类型和长度，可能需要更改的交换机配置等。七、制定详细的搬迁步骤：包括人员，职责，时间，形成**《搬迁计划表》、《人员联络表》

2025-02-25 16:49:20 882

原创 smartdns入向流量的2种做法

系统可以根据DNS请求的来源将域名解析成不同的IP地址，并将不同的ISP所对应的IP地址返回给相应的请求用户，从而达到减少跨ISP访问的目的。这种解析方式被称为智能域名解析（SmartDNS）。2、使用防火墙内置的ISP地址库，国内的防火墙使用居多。1、使用就近性探测，一般国外的防火墙使用居多。

2025-02-12 17:29:15 207

原创 PVE全家桶功能测试和特点

软件下载站点：https://mirrors.tuna.tsinghua.edu.cn/proxmox/iso/PVE虚拟化替换国内源：https://blog.youkuaiyun.com/shoulham/article/details/131429828PVE CT容器替换国内源：https://www.bilibili.com/opus/891243015756054533PVE mail gateway替换国内源：https://blog.youkuaiyun.com/u012153104/article/deta

2025-02-08 17:10:38 438

原创勒索病毒防护指南

同时，攻击的手法APT化，例如，挪威铝业公司 Norsklvdro 遭遇的勒索攻击，是因为一位员工不知不觉中打开了一封来自受信任客户的电了邮件，导致后门程序的执行，后续采用横向移动和域渗透等 APT攻击手法他得攻击者成功控制了数千台主机，最后植入LockerGoga勒索病毒。也就是说，很多勒索病毒在生成加密文件的同时，会对原始文件采取删除，理论上说，使用某些专用的数据恢复软件，还是有可能部分或全部恢复被加"的。一旦入侵成功，攻击者就可以在服务器上为所欲为，例如，卸载服务器上的安全软件并手动运行勒索病毒。

2025-02-03 14:18:51 653

原创中兴交换机端口隔离配置案例

solate gei-0/1/1/1-2 //隔离端口（4套工控系统所连交换机或者直连服务器网口）promis gei-0/1/1/3 //混合端口（公用审计设备网口）1、4套系统直接不能互访，但是都要和公用审计设备通信；3、公用审计设备和4套工控系统设备使用同一个IP段。C89E默认enable密码是Zxr10_UBP。$将接主机设备的接口设置为边缘端口，并保存配置。2、公用审计设备网口有限，最好仅使用1个网口。$将接口加入该vlan。$指定隔离口和混杂口。

2025-01-24 11:29:54 242

原创光模块不支持自协商案例

并且光模块间打环，也是显示为10G，从这里可以看出部分早年间的模块，不支持自协商速率，需要手工指定双工和速率，这些模块需要配合交换机一起使用，无法适配服务器网卡，服务器网卡物理层仅支持自协商。先说结论：早年，并不是所有的光模块都支持自协商速率，如果模块不支持自协商，那么交换机和服务器网卡都会以兼容模式，也就是千兆模式来使用光模块，即使该光模块支持万兆速率。以下用中兴某款光模块来说明：下图是中兴某一批次的光模块，它的标签表明该模块是一个万兆多模，使用OM3能够传输300M距离的光模块。

2025-01-24 10:21:39 1100

原创内网通配置错误引起内网ARP MISS攻击造成的内网瘫痪-案例解析

而华为和中兴则会触发交换机ARP MISS动作，交换机也会发一个ARP请求，并形成一个临时ARP表项，当内网大量存在此类ARP MISS请求时，会占用交换机CPU使用率，并触发ARP广播报文丢包，从而使得正常的ARP请求有可能得不到及时回应，造成丢包；1、内网通配置错误导致的BUG ，导致软件进行同网段的ARP MISS扫描，正常的配置如下图：网段列表中只需要填写跨网段通信的IP段，而不能填写本机网卡所在的IP段，经过测试，只要填写了本机网卡所在的IP段就会触发软件BUG，进行本网段的ARP 扫描。

2024-12-18 23:00:08 491

原创总部SSLVPN通过IPsec隧道获取分支资源的配置思路

3、通过策略路由引流方式，将总部SSLVPN访问分支的流量指向指定公网出口，这里推荐用策略路由是因为策略路由能够更好的控制流量,配合Track和静态路由，可以做到负载+路由备份。3、总部和分支由于都做了策略路由，需要调整策略路由的顺序，将总部SSLVPN访问分支文件服务器的流量放到合适的顺序（即指向合适的公网出口）5、如果总部SSLVPN是通过IP路由的访问访问资源，则需要改造2边的IPsecVPN 感兴趣流，加入总部SSLVPN访问分支资源的ACL。5、调整总部SSLVPN，将IP子网资源添加到资源组。

2024-12-15 13:42:55 465 1

原创奇安信SSLVPN快速配置

本次配置目标是能够通过固定终端和移动终端通过SSLVPN 访问内网域名，访问内网资源。第九步：发布电脑端PROXY类型的策略，内网终端通过查询内网DNS服务器获取A记录。第八步使用奇安信防火墙作为内网DNS服务器并设备内网的域名解析记录。第七步：发布内网DNS应用必须是NC资源类型。第十步：移动终端发布NC应用使用域名发布。第六步：NC应用需要配置源NAT。第五步：配置DNS分离策略。第十一步：将应用授权给用户。第一步：配置设备IP地址。第二步：配置静态路由。第四步：添加NC策略。

2024-12-04 15:12:32 1201

原创 DHCP地址保留、DHCP地址绑定、ARP绑定以及深信服AC跨三层取MAC的问题

最后则是深信服全网行为管理，跨三层取MAC的配置，必须配置关键字为明文，其他simple cipher 均无法正常获取MAC，对接其他上网行为管理也存在该问题；#DHCP地址地址保留，仅能够做到被保留地址不被地址池分配出去，但是也无法防止IP地址冲突;#DHCP snooping 建议在接入交换机配置，并配置信任接口，核心交换机一般不配置;#ARP绑定在有线网络应用，交换机转发使用静态表项，也能防IP地址冲突；#地址绑定，一般是配合某些基于IP标识用户的应用，比如深信服AC使用；

2024-11-14 20:42:28 352

原创皖通防火墙笔记

OSPF不能建立邻居关系的原因。BGP不能建立邻居关系的原因。

2024-10-22 15:32:20 143

原创某企业VRRP部署故障分析和配置改善建议

用户反馈因S8610故障，导致VRRP倒换后，PC无法通过DHCP获取到IP地址；通过对用户环境的业务重建和复原，发现交换机是通过DHCP relay来转发DHCP报文，但是锐捷和华为的配置有所区别，锐捷可以在全局下配置DHCP relay，而华为必须在网关所在interface vlanif下面配置DHCP relay,因为缺少这个部分配置，所以当用户核心交换机故障切换后，下联PC无法通过DHCP 获取到IP地址。环境如图所示：客户现场设备类型不一致，使用了VRRP。

2024-10-14 13:47:11 290

原创 H3C防火墙业务不通的排查方法和步骤

不加ACL限制，该debug输出信息会非常多，为此我们需要使用ACL限制debug匹配的报文。通过debug ip packet acl命令查看正向报文是否到达防火墙。#如果有丢包则会打印信息丢包的具体模块，如果没有丢包则不打印。#如果报文状态不合法，则会显示被aspf丢弃，需要检查来回流。#查看报文具体从哪个接口，哪个slot上来和发出的情况。明确报文到达设备后，需要查看报文是否被防火墙策略阻断。Debug信息业务不通定位方式总结。

2024-09-24 23:13:25 884

原创 H3C 双出口，主备出口，策略路由 SSVPN配合微软AD域认证简单配置

H3C 防火墙目前购买均自带100个SSLVPN授权，管理口有1个是GE1/0/0 或者是MGMT口，通过https://192.168.0.1 默认账号是admin/admin；#创建安全策略，放行trust,local到所有，放行untrust到local 65534,放行SSLVPN到所有，最后拒绝所有。#写静态路由，包括默认路由和回程路由，其中主用电信专线链路，备用移动拨号链路；#创建策略路由，关联健康检查,VLAN10 策略路由走移动拨号，并调用健康检测，链路故障后，走电信专线。

2024-09-18 13:36:42 1440

原创 H3C VXLAN集中式网关配置案例

H3C VXLAN

2024-08-06 16:42:41 830

原创交换机定期自动备份配置设置

备份到ftp服务器对应路径，并修改文件名，ftp服务器用户名admin、密码admin123，地址10.88.142.121。#这里设置定时保存的间隔，单位是分钟，最小单位是10分钟，最大是365天 1440分钟是1天。第二步：使用H3C交换机设备SSH访问安装了该软件的服务器，选择信任并保存服务器证书。#或者使用这个命令，但是缺点同上，dis cur 显示的是真实的用户名密码。部分H3C交换机比较老，还需要更改服务器端的加密套件，点击高级设置选项。#这里输入admin的密码，系统会以密文保存。

2024-08-05 15:53:29 1797

原创华为交换机配置准入设备需要的QOS流策略

接上篇本次设备换成了华为交换机，配置思路相同，命令有微小的差别。#动作为针对这些流量镜像到观察口1。#创建流策略，关联上述流量和动作。#流分类匹配上述感兴趣流。#捕捉准入设备感兴趣流。#捕捉准入设备感兴趣流。#在业务口调用该流策略。

2024-08-03 08:07:37 508

原创 H3C交换机配置准入设备需要的qos流策略

准入设备部分情况下用户不希望安装终端做802.1X，而是通过镜像流量来做准入。镜像流量存在的问题往往是被镜像端口的流量过大，而准入往往只有1个千兆电口，这种情况下，需要用QOS流策略来精准捕捉需要准入设备感兴趣的报文：包括TCP的3次握手报文，DNS，ICMP，DHCP，HTTP,HTTPS;二层的ARP报文。3层报文通过劫持回应包，向客户端发送HTTP 302重定向，伪造DNS ICMP ,TCP reset包，伪造ARP包等方式来达到一个阻断的效果。

2024-08-01 12:53:24 816

原创等保二级交换机安全配置模板（迈普-老版本）

配置DNS和STP 设置为STP根开启FLAP防护和TC防护。#配置端口镜像 2个观察口分别接APT和数据库审计设备。迈普400技术支持热线电话：4008868669。#基础安全服务开启，包括密码加密密码组成策略。#仅允许堡垒机访问票务服务器终端的远程桌面端口。#SSH 配置超时时间配置允许使用的协议。#仅允许堡垒机远程访问SSH访问管理。#console使用本地账户认证。#禁止无线客户端访问其余网段。#配置时间服务器并设定时区。#配置登录出错锁定时间。

2024-07-31 21:03:52 532

原创等保二级交换机安全配置模板（华为）

配置console和远程登录方式和登录超时。#创建管理员和操作员密码锁定分配权限。#仅允许安全设备和内网设备访问服务器。#仅允许堡垒机访问服务器的22端口。#关闭HTTP管理 TELNET。#在接服务器的接口调用ACL。#仅允许服务器访问安全设备。#打开SSH 并非用户权限。#仅允许堡垒机访问设备。#给与用户权限1的命令。

2024-07-31 21:01:03 812

原创等保二级交换机安全配置模板（中兴)

创建2个用户1个是管理员另外1个是审计 (可选密码过期时间90天）定义密码复杂度。$如果中兴作为核心和是要参照H3C一样分VLAN 做VLAN间ACL 等。$开启NTP 定义NTP服务器定义时区。$ 配置特权密码符合复杂度要求。$打开SSH服务并调用ACL。$仅限堡垒机访问设备。

2024-07-31 20:50:17 1108

原创等保二级交换机安全配置模板（H3C)

使能密码控制密码最小长度8位密码组成3种类型密码输错8次锁定2分钟密码过期由于用堡垒机管理，这里选择不过期，然后关闭首次登录必须修改密码操作。#仅允许客户端网段和安全管理网段访问服务器网段在interface vlan 下调用。#仅允许服务器网段访问安全管理网段，在interface vlan 下调用。#安全管理设备网段仅允许服务器和客户端网段流量进入。#服务器网段仅允许客户端和安全管理网段流量进入。#仅允许堡垒机访问核心交换机，在SSH 下调用。#仅允许堡垒机访问服务器的22端口。

2024-07-31 20:36:02 578

原创交换机安全加固配置（H3C）

开启该功能后，如果网络中每5秒内从某IP地址向设备某接口发送目的IP地址不能解析的IP报文超过了设置的阈值，则设备将不再处理由此IP地址发出的IP报文直至该5秒结束，从而避免了恶意攻击所造成的危害。在接口上开启此功能后，当接口收到ARP报文时，将检查ARP报文的源IP地址是否和配置的被保护网关的IP地址相同。否则，认为此报文合法，继续进行后续处理。解释：ARP报文源MAC地址一致性检查功能主要应用于网关设备上，防御以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的ARP攻击。

2024-06-05 14:36:42 1873

原创 H3C大型园区网络OSPF配置案例

-------------------------------------接入交换机----------------------------------------------------------------汇聚交换机-------------------------------------------------------------------核心交换机----------------------------------3、核心层交换机配置骨干交换机。Ctrl+o 关闭debug。

2024-05-24 15:49:19 1220

原创基于iventoy pxe系统的实现

4、外部DHCP也可以协助工作但是需要支持一些额外的参数推荐用它自带的DHCP 仅用于安装系统用平时不打开安装系统时打开。www.iventoy.com 提供windows 和 linux平台 2个版本下载。3、WINDOWS 和 LINUX镜像都可以上传只要是ISO格式的即可。从网络引导启动一般是F12 UEFI legacy 都可以。1、免费版可以同时有20个终端执行安装。2、每个终端可以选择不同的操作系统安装。安装完毕后上传镜像到ISO目录。设置默认启动镜像的等待时间。

2024-05-19 19:00:10 2186 4

原创思科交换机局域网防护指南

在交换机全局启用DHCP snooping 之后，在本地会生成一个DHCP snooping数据库，结合该数据库配合适当的命令语句就能实现上述局域网防护功能。在CCNP SWITCH 交换教材里提到了DHCP snooping 的作用有3个分别是 DHCP 防护，IP源防护和动态ARP检验（DAI）5-6、将上联DHCP服务器的24口设置为DHCP snooping trust信任端口，使其可以发送DHCP reply 等相关回复报文。DHCP snooping 用于局域网DHCP防护：范例。

2024-05-19 18:52:11 575

原创 windows server 2016系统配置指南-精选

2、按照管理权限范围大小组范围分别为通用组大于全局组大于域本地组典型的内建范例为 Enterprise admins 范围大于 Domain admins 大于 Administrators Administrators是系统内建的域本地组，administrator是系统内建的该组中的一个成员，该成员同时也是Enterprise admins和Domain admins组的成员，也是多domain users 组成员。特别注意文件夹的本地用户权限和共享文件夹的共享权限的区别。

2024-05-18 18:27:53 1640 1

原创深信服上网行为管理器-IM聊天信息解密功能部署详解

深信服通过AD在电脑中静默安装 INgress 软件，并且设置软件卸载密码，用于加密软件的代理，从而达到对IM等加密流量的解密，并且无需AC安装解密卡，这波操作可谓是真溜。步骤如下，首先通过这个界面下载好客户端软件，并且勾选开启准入网络控制静默模式和设置准入客户端卸载密码，并通过AD安装这个MSI安装包。所以在部署了深信服AC的公司你的加密流量：包括IM （QQ 微信），邮件都是可以审计的，QQ聊天记录和外发文件都是可以审计的。在部署了深信服AC的公司就千万别以为老板啥都不知道。

2024-05-18 18:26:27 1754

原创免费ARP的作用

当网络中存在VRRP备份组时，需要由VRRP备份组的Master路由器周期性的向网络内的主机发送免费ARP报文，使主机更新本地ARP地址表，从而确保网络中不会存在IP地址与Master路由器VRRP虚拟IP地址相同的设备。开启该功能后，网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文。如果攻击者仿冒网关发送免费ARP报文，就可以欺骗同网段内的其它主机，使得被欺骗的主机访问网关的流量被重定向到一个错误的MAC地址，导致其它主机用户无法正常访问网络。

2024-05-18 18:16:25 818

原创交换机端口使用portfast的原因和注意事项

如果配置了portfast bpdu filter那么，很明显，端口会过滤BPDU报文，而不会关闭端口；采用portfast特性的2个原因分别是：首先，正常的生成树状态转换会产生一定的时延，它会引起启动故障（DHCP 等待回应超时）。生产实践，非思科交换机一般配置接入端口portfast 其他厂商也叫edge-port 边缘端口，思科可以外加portfast bpdu guard + err-disable auto recovery ,但是和交换机互联的trunk 口，不配置portfast。

2024-05-18 18:07:30 607

原创精简IPV6概述

当你在PC_A发起一个Ping PC_B的时候PC_A 先发送一个ICMPV6 TYPE 135的NS报文，源IP地址为FEC0::1:0:0:1:A 目的IP是PC_B的被请求节点组播地址，也就是FE02::1:FF01:B；然后这个接口开始使用::地址为源IPV6地址，向被FF02::1:FF00:1 地址发送NS消息，看看有没有主机也加入了这个组播组，如果有主机加入了这个组播组，那就意味着另外一台主机也使用了相同的IPV6地址，那么这个新配置的IPV6地址2000::1就地址重复，不能再使用了。

2024-05-18 18:03:27 1111

空空如也

空空如也