小梁的博客

摘要: 信息化进程的不断推进和深入，为我们的日常工作和生活带来便利，但由于安全意识薄弱或缺乏有效的安全防护等原因，带来了一些安全隐患。例如：因人为原因导致的服务中断；由缺乏有效、必要的防护而导致的信息泄露、黑客攻击、非法入侵等。因此，如何保障网络运行环境的安全，为信息化建设提供一个稳定、可靠的支撑环境已成为亟待解决的问题。本文结合自己的项目实践，讲述了在高校网络安全建设过程中，通过综合运用网络监控、边界隔离、网络攻防和病毒防护等技术对潜在的风险进行有针对性的防护，以确保网络安全；通过完善和运用规章制度来强化

这个假期开车走了一回219国道，一路上被壮美的风景吸引的同时，也遭遇了时不时手机没有信号的尴尬，在这个时代，网络对我们的意义早已超出了通信，娱乐的浅显内涵，它是我们连接这个世界的纽带。如果我们发现自己没有办法登录微信，微博，刷不出网页，焦躁的情绪就会立马涌现，虽然我们此时并没有多重要的事情需要联系别人，但我们依然希望我们保持在线，时刻与世界相连。那么今天，我们了解一下手机信号和网络的关系。手机信号广义上的民用手机诞生于1973年的纽约，彼时，摩托罗拉的工程师马丁库帕怎么也不会想到，当年如同砖头一

PHB:Per Hop Behavior 每一跳行为描述拥有相同优先级的报文的下一步转发动作 每一个优先级的值会对应相对的phb行为 如be af ef 等有四类PHB：CS EF AF BEBE：尽力而为 没有质量保证 缺省的PHB行为 数值为0 对应ipp=0AF：确保转发 带宽保证 时延可控 适用于视频 语音 具有4类 每一类都有3个等级 AF11 12 13 对应ipp=1 AF 21 22 23 对应ipp=2 AF 31 32 33对应ipp=3 AF41 42 43...

1 什么是流量整形？主动调整流量的输出 限制流量与突发 比较均匀的向外发送 使用令牌桶和缓冲区报文发送过快时 在缓冲区进行暂存 在令牌桶的控制下 均匀向外发送被暂存的数据 使得发出的流量趋于平滑为了避免对端设备出现流量拥塞 把流量进行削峰填谷整形由于要缓存报文 所以对设备的内存要求较高2 交换机 路由器做整形的区别?路由器使用 gts做整形 单速单桶 outbound方向可以基于接口、mqc、队列来实现 interface接口 interface g1...

对于自然聚合的 使用summary automatic对import的路由进行汇总 即只能在始发地进行汇总 而使用手动汇总aggragate x.x.x.x mask可以对本地bgp路由表中的路由进行聚合 无论是否是不是本地始发使用汇总后 属性会发生变化origin imcomplete>egp>igp 向下兼容nexthop为aggretor的rid（聚合者）med 恢复默认local-pref恢复默认as-path会清空 除非配置as-set会携带无序的as...

P/A机制让一条链路快速进入到转发状态P/A协商前提1 DP端口处于discarding 状态2 点到点全双工链路3 DP端口的对端是RP端口总结：P\A机制在点到点全双工的链路上让DP和RP端口快速进入到转发状态，同时也不会产生临时环路。P/A如何避免产生临时环路？RP收到DP的P=1,A=1的BPDU后，会进行同步置位：diacarding所有的非边缘端口。边缘端口，AP端口由于不会引入额外环路，默认认为已经同步置位。同步置位完成后，RP发送P=0.A=1的BPDU，并将端口置为

1 收敛速度慢监听状态15s是为了避免STP协议在收敛过程中产生临时环路，让BPDU有足够的时间在整个网络进行传递。监听状态期间，MAC地址表受TC BPDU的影响会进行提前老化，清除错误的MAC地址信息，导致错误的MAC地址老化也导致空闲MAC地址老化，如果此时要转发数据帧会导致大量的未知的DMAC的单播帧在网内泛洪，影响网络性能，那么我们继续牺牲15s的收敛时间作为learning状态，在此状态下，学习MAC地址表项，减少单播帧在STP收敛期间会产生大量的泛洪行为。STP协议的收敛是完全依赖计时器

为什么RSTP比STP快RSTP由于STP拓扑收敛速度慢，802.1w定义了RSTP，实现了网络拓扑快速收敛。STP的不足之处1、现象1 网络拓扑收敛慢2 网络中的拓扑结构频繁变化，导致用户通信频繁中断。2、具体1 STP没有细分端口状态和端口角色，不利于初学者学习及部署– 从用户角度而言，listening、learning和blocking状态并无区别，都不转发用户流量。– 从使用和配置角度而言，端口之间最本质的区别不在于端口状态，而在于扮演角色。根端口和指定端口可以都处于l

STP故障1、根桥故障在稳定的STP拓扑里面，非根桥会定期收到来自根桥的BPDU报文，如果根桥发生了故障，停止发送BPDU报文，下游交换机就无法收到来自根桥的BPDU报文。如果下游交换设备在MaxAge(default=20s)内没有收到BPDU报文，就会导致已经收到的BPDU报文老化过期，此时，非根端口开始互相发送配置BPDU报文，重新进行根桥选举。根桥故障会导致50s左右的恢复时间，恢复时间约等于MaxAge+2*ForwadDelay。2、链路故障2.1 直连链路故障当SW3的RP端口失效

BPDU的分类，周期，由谁发送STP中包含两种BPDU类型，配置BPDU和TCN BPDU，TC BPDU和TCA BPDU都是配置BPDU的一种。属于配置BPDU中不同的flag置位。1、配置BPDU在初始化过程中，每个桥都主动发送配置BPDU，但是在网络拓扑稳定后，只有根桥主动发送配置BPDU，其他桥在收到上有传来的配置BPDU后，才触发发送自己的配置BPDU。只有当发送者的BID或者端口的PID两个字段中至少有一个和本桥接收端口不同,BPDU报文才会被处理，否则丢弃，这样避免了处理和本端口信息一

BPDU:bridge protocol data unit,网桥协议数据单元。网络中所有设备使能STP后，每一台设备都以为自己是根桥。此时，每台设备仅仅收发配置BPDU，而不转发用户流量，所有的端口都处于listening状态，所有设备通过交换配置BPDU后，进行选举工作，选出根桥、根端口和指定端口。BPDU报文的交互过程根桥BID，累计根路径开销、发送者BID,发送端口PID构成有序组。配置BPDU会按照Hello Timer规定的时间间隔来发送。STP算法实现的基本过程1、初始状态由于每

stp选举原理STP是一个用于局域网中消除环路的协议。二层网络中，为了进行链路备份，提高网络可靠性，通常使用冗余链路。但是使用冗余链路会导致物理拓扑成环，从而导致二层环路，二层环路的危害有广播风暴和mac表震荡。从而影响网络通信。为了解决二层网络环路问题，出现了生成树协议（STP:spanning tree protocol)。通过STP协议，能够通过二层设备间交互信息主动发现环路并通过阻塞端口的方式将环状网络修剪为无环的树结构。STP在消除环路的同时也没有影响链路备份，当活动的路径发生故障时，之前

你以为我要介绍的漂移。实际中我要介绍的漂移有点冷……切入正题！什么是MAC地址漂移设备的一个vlan内有两个端口学习到同一个mac地址，后学习到的mac地址表项覆盖原mac地址表项的现象。正常情况下，网络中不会在短时间内出现大量mac地址漂移的情况，出现后说明网络中出现了二层环路，这时设备cpu占用率会有不同程度的升高。可以通过查看告警信息和漂移记录，定位和排除环路。通俗的讲就是交换机的脑子时而觉得数据应该从A接口发出去时而觉得数据应该从B接口发出去，到底应该从哪个接口发出去，正确的答案

二层环路产生原因在局域网中，为了实现冗余，往往会有如图所示的拓扑，在这种拓扑中，会产生环路，二层环路往往是由于物理拓扑出现了环路，如3台交换机三角形连接，二层环路的出现会产生两个问题：广播风暴和mac地址表震荡：广播风暴导致网络不可用假设交换设备上没有启用stp协议，如果hostA发出广播请求hostB的mac地址，那么广播报文将被两台交换设备的端口1接收，并分别从端口2广播出去，然后端口2又收到另一台交换设备发过来的广播报文，再分别从两台交换设备的端口1转发，转发的同时会进行复制，如此反复，最终

二层设备虽然能够隔离冲突域，但是不能隔离广播域，为什么呢？因为如果一个接口发出广播报文，那么这个报文就会向除它之外的所有接口转发，主机数量少的时候还好说，如果这个二层设备连的主机数量比较多，那么这种无差别转发的行为就会大大消耗网络带宽，并且在安全方面也带来很多问题。为了避免这种情况，可以使用路由器，因为路由器的一个接口就是一个广播域，但是因为路由器成本太高且转发能力比较低，这种办法并不是最优解。基于这种情况，二层交换中出现了vlan技术。什么是vlan呢？vlan又叫做虚拟局域网，是将一个物理的..

交换机工作原理交换机主要对数据进行转发处理。数据的转发分为二层转发和三层转发两类，即数据链路层的转发和网络层的转发。数据链路层的转发建立在MAC地址基础上，二层交换设备通过解析和学习以太网帧的源MAC来维护MAC地址与接口的对应关系，通过其目的MAC来查找MAC表决定向哪个接口转发。（基本流程）由于二层交换设备不同的接口发送和接收数据独立，各接口属于不同的冲突域，因此有效隔离了网络中物理层冲突域，使得通过他互连的主机或网络之间不必再担心。流量大小对于数据发送冲突的影响。二层交换通过维护...

简单的小故事解释网络常用术语：ARP、ARP欺骗、网关，DHCP假设你叫小不点（本地主机），住在一个大院子（本地局域网）里，有很多邻居（网络邻居），门口传达室有个看大门的李大爷，李大爷就是你的网关。当你想跟院子里的某个伙伴玩，只要你在院子里大喊一声他的名字（ping他一下），他听到了就会回应你，并且跑出来跟你玩。但是你不被允许走出大门，你与外界的一切联系，都必须李大爷（网关）用电话帮助你联系。假如你想找你的同学小明聊天，小明家住在很远的另外一个院子里（小明和你不在一个局域网），他家的院子里也有一个看

二层交换原理二层交换设备工作在OSI模型的第二层，即数据链路层，它对数据包的转发是建立在MAC（Media Access Control ）地址基础之上的。二层交换设备不同的接口发送和接收数据独立，各接口属于不同的冲突域，因此有效地隔离了网络中物理层冲突域，使得通过它互连的主机（或网络）之间不必再担心流量大小对于数据发送冲突的影响。二层交换设备通过解析和学习以太网帧的源MAC来维护MAC地址与接口的对应关系（保存MAC与接口对应关系的表称为MAC表），通过其目的MAC来查找MAC表决定向哪个接...

什么是以太网？以太网是由DIX（DEC-Intel-Xerox）联盟开发的标准。经过长期的发展，以太网已成为应用最为广泛的局域网。IEEE 802.3规范则是基于以太网的标准制定的，并与以太网标准相互兼容。在TCP/IP中，以太网的IP数据报文的封装格式由RFC894定义，IEEE802.3网络的IP数据报文封装由RFC1042定义。当今最常使用的封装格式是RFC894定义的格式，通常称为Ethernet_II或者Ethernet DIX。发展历史早在1972年，Robert Me...

RR1,P1,ASBR1,ASBR2之间运行isis协议。RR2,P2.ASBR3,ASBR4之间运行isis协议，两个isis协议之间不打通。ASBR1/2处于bgp100中，ASBR3/4处于BGP200中，通过EBGP建立关系，目的是通过EBGP得到对方的ISIS 路由。因为存在BGP与isis双向引入的情况，为了保证最优拓展性，必须在ASBR上使用tag解决路由回馈的问题。ASBR1route-policy permit permit node 10apply ...

比较常见的是电口，也就是通常所说的网口，百度百科中对电口的解释是服务器和网络中对RJ45等各种双绞线接口的统称，主要指铜缆，包括普通的网线和射频同轴电缆，是处理电信号的。由于这些端口都使用电作为信息的承载介质，故统称为电口。使用普遍的网络接口有百兆电口和千兆电口等。电口的最远距离是100米，对于网络通讯而言，一般155mb/s以下的都是电接口，而到了155mb/s以上，电接口就无法达到传输速度，而需要采用光口。像这种家用无线路由器一般的接口就是百兆的电口。光口是用于连接光纤线缆的物理接口。光纤从

网络工程师HCIE-RS-layer2(原理+实验）1 原理1 链路聚合1 定义2 目的2 link-type1 原理2 链路类型3 接口类型4 缺省vlan5 VLAN标签的添加和剥除1 access接口1 接收2 发送2 trunk接口1 接收2 发送3 hybrid接口1 接收2 发送2 实验1 链路聚合2 Link-type1 在S1.S2.S3.S4互

这里写自定义目录标题IPV6技术1 IPv6地址1.1 IPv6 地址的表示方法1.2 IPV6地址的结构1.3 IPv6的地址分类1.4 IPv6单播地址1.5 IPv6组播地址1.6 IPv6任播地址2 实验2.1 任务要求2.2 配置1 基本配置2 IPv6 ISIS1 pe1,pe2,rr1,p1,asbr1,asbr2运行isis协议，各直连网段连入ISIS.配置各链路cost2 IPV6路由渗透（为了防止IPv6路由的次优路径，在RR1上配置路由泄露，不泄露会导致IPv6 bgp 路由的下一跳不

•通用路由封装协议GRE（Generic Routing Encapsulation）提供了将一种协议的报文封装在另一种协议报文中的机制，是一种隧道封装技术。GRE可以封装组播数据，并可以和IPSec结合使用，从而保证语音、视频等组播业务的安全。1、工作原理GRE是一种隧道技术，提供一跳通路使封装的数据报文能够在这个通路上传输，在隧道的两端分别对数据进行封装即解封装。1.1加封装过...

静态 LSP 的建立静态 LSP 是用户通过手工为各个转发等价类分配标签而建立的。手工分配标签需要遵循的原则是：上游节点出标签的值就是下游节点入标签的值。由于静态 LSP 各节点上不能相互感知到整个 LSP 的情况，因此静态 LSP 是一个本地的概念。静态 LSP 不使用标签发布协议（LDP)，不需要交互控制报文，因此消耗资源比较小，适用于拓扑结构简单并且稳定的小型网络。但通过静态方式...

OSPF有5种报文类型1、HELLO报文2、DD(database description）报文3、LSR（link state request）报文4、LSU(link state update）报文5、LSACK(link state acknowledgment)报文1、HELLO报文：最常用的一种报文，用于发现、维护邻居关系，并在广播和NBM...

R1配置#ipv6 //全局开启ipv6#interface GigabitEthernet0/0/0ipv6 enable //接口开启ipv6ipv6 address FE80::1 link-local//手工配置ipv6link-local地址#interface LoopBack0ipv6 enableipv6 addres...

实验3-1 配置ACL过滤企业数据学习目标掌握高级ACL的配置方法掌握ACL在接口下的应用方法拓扑图场景企业部署了三个网络，其中R2连接的是公司总部网络，R1和R3分别为两个不同分支网络的设备，这三台路由器通过广域网相连。你需要控制员工使用Telnet和FTP服务的权限，R1所在分支的员工只允许访问公司总部网络中的Telnet服务器，R3所在分支的员工只允许访问FTP服务器。操作步...

网络操作系统的基本配置WindowsServer2008R2本地用户和组为了保障计算机与网络的安全 ，为不同的用户设置了不同的权限，同时通过将具有同一权限的用户设置在一个组来简化对用户的管理。使用本地用户和组功能可创建并管理存储在本地计算机上的用户和组。每一个登录到NT Server上的用户必须有一个用户账号（USER ACCOUNT).用户账号包括用户名、密码、用户的说明和用户权限等信息...

网络工程师Day2—实验2-1：HDLC和PPP配置学习目标掌握HDLC的基本配置方法掌握DCE时钟波特率的配置方法掌握PPP的基本配置方法掌握PPP链路的PAP认证的配置方法掌握PPP链路的CHAP认证的配置方法拓扑图场景您是公司的网络管理员，公司总部有一台路由器R2，R1和R3分别是其他两个分部的路由器。现在您需要将总部网络和分部网络通过广域网连接起来。在广域网链路上尝试使...

实验2-2 配置PPPoE客户端学习目标掌握PPPoE客户端拨号接口的配置方法掌握PPPoE客户端认证的配置方法拓扑图场景企业在运营商开通了高速DSL服务用于支持广域网业务，R1和R3分别十企业分支的边缘路由器，他们通过PPPoE服务器（R2)连接到运营商网络。您需要在企业的边缘路由器上进行PPPoE客户端的配置，让局域网中的主机可以通过PPPoE拨号访问外部资源。操作步骤步骤一...

网络工程师Day6–实验3-2 NAT配置学习目标掌握动态NAT的配置方法掌握EASY IP的配置方法拓扑图场景为了节省IP地址，通常企业内部使用的是私有地址，然而，企业用户不仅需要访问私网，也需要访问公网。作为企业的网络管理员，您需要在两个企业分支机构的边缘路由器R1和R3上通过配置NAT功能，使私网用户可以访问公网。本实验中，您需要在R1上配置动态NAT,在R3上配置EASY I...

网络工程师Day7–本地AAA配置学习目标掌握本地AAA认证授权方案的配置方法掌握创建域的方法掌握认证用户优先级的配置方法拓扑图场景需要对企业服务器的资源访问进行控制，只有通过认证的用户才能访问特定的资源，因此您需要在R1和R3两台路由器上配置本地AAA认证，并基于域来对用户进行管理，并配置已认证用户的权限级别操作步骤步骤一 实验环境准备R1ip add 119.84.1...

#网络工程师Day8–实验3-5 GRE隧道配置学习目标掌握GRE隧道封装的配置方法掌握GRE隧道接口的配置方法理解GRE keepalive功能的实现原理拓扑图场景当企业总部和分支机构间需要互相发布加密的路由信息时，仅通过IPSEC VPN方案是无法实现的，由于IPSEC VPN无法承载使用组播发送的路由协议数据包，因此还需要在现有的IPSEC网络中配置GRE隧道解决此问题操作...

网络工程师Day10 以太网接口和链路配置学习目标掌握接口速率的配置方法掌握使用手动模式配置链路聚合的方法掌握使用静态ＬＡＣＰ模式配置链路聚合的方法掌握在静态LACP模式下配置接口优先级的方法需要了解随着网络规模的不断扩大，用户对骨干链路的带宽和可靠性提出了越来越高的要求，在传统技术中，常用更换高速率的接口板或更换支持高速率接口板的设备的方式来增加带宽，但这种方案需要付出高额的费用，...

Eth-trunk的配置原理随着网络中业务的不断增长，对于全双工点对点链路，单条物理链路的带宽已经不能满足正常的业务流量需求，如果将当前接口板替换成具备更高带宽的接口板，则会浪费现有的设备资源，而且升级代价较大，如果增加设备间的链路数量，则在作为三层口使用时需要在每个接口上配置ＩＰ地址，从而导致浪费ＩＰ地址资源ＥＴＨ－ＴＲＵＮＫ：链路聚合是一种捆绑技术，可以把多个独立的物理接口绑定在一起，...

网络工程师Day1--实验1-4 配置三层交换学习目标掌握通过三层交换机实现VLAN间通信的配置方法掌握通过以太网Trunk链路实现VLAN间通信的配置方法掌握在不同VLAN间配置动态路由协议OSPF的方法拓扑图场景理想的实验效果操作步骤1 实验环境的准备1.1 对S1进行配置1学习目标掌握通过三层交换机实现VLAN间通信的配置方法掌握通过以太网Trunk链路实现VLAN间通信的配置方法掌...