- 博客(27)
- 收藏
- 关注
RSS订阅原创 AV、IPS、WAF对比
(如CrowdStrike、Microsoft Defender ATP)(如Palo Alto、FortiGate)数据中心防漏洞利用(如Struts2攻击)(如Cloudflare、AWS WAF)邮件附件扫描(如Exchange防病毒)(如F5 BIG-IP、Imperva)(如Cisco Firepower)Web服务器防护(如官网、电商平台)企业网络边界防护(如防火墙旁路)API安全(防恶意Bot攻击)终端安全(PC、服务器)(如卡巴斯基、赛门铁克)
2025-08-12 19:58:08
444
原创 下一代防火墙部署
路由模式:适用于三层网络环境,接口需配置IP地址,支持路由转发功能。透明模式:适用于二层网络环境,接口无需IP地址,类似于交换机。虚拟网线模式:高性能二层转发,适用于单进单出的网桥环境。混合模式:结合路由和透明模式,适用于复杂网络环境。旁路模式:通过镜像流量实现安全监测,不干扰现有网络。路由模式功能全面但改动较大,适合替换出口设备。透明模式对网络无影响,适合快速部署。混合模式灵活应对复杂需求。旁路模式适用于流量分析和监测。
2025-08-12 19:37:29
313
原创 传统防火墙与下一代防火墙
防火墙的发展过程工作于:3、4层实现了对于IP、UDP、TCP信息的一些检查优点:速度快、性能高、可用硬件实现;兼容性较好检查IP、UDP、TCP信息缺点:安全性有限:仅能基于数据包的表面层面进行审查,无法深入到应用层功能单一:不能状态检查、不支持认证等ACL配置繁杂、管理起来麻烦工作于:3、4、5层根据通信和应用程序状态(是否有状态表)确定是否允许包的通行用于识别或者控制数据流是返回的数据流还是首发的数据流。
2025-08-07 19:56:25
923
原创 信息安全的概述
信息安全:防止任何对数据进行非法授权访问的措施、防止信息的无意泄露、破坏、丢失等问题发生,让数据处于远离危险、免于威胁的状态或特性。网络安全:计算机环境下的信息安全。
2025-08-05 20:11:38
293
原创 等级保护2.0
根据信息或信息系统的重要性及其遭到破坏后对国家安全、社会秩序、公共利益等的危害程度,划分为不同安全保护等级,实施差异化的保护和监管。
2025-08-05 19:19:25
115
原创 OSPF(多区域)
必须连续且所有非骨干区域直连Area 0。:禁止直接通信,必须通过Area 0中转。多路访问网络中的路由器列表和子网掩码📌外部的路由信息会由R2(ASBR),生成5类LSA洪泛到所有OSPF的域里面,然后于ASBR同一个区域的ABR,会生成一个4类LSA,告诉其他区域ASBR的可达性(5类LSA洪泛到所有区域,但是他们只知道要去外部路由,走R2,并不知道怎么去R2,4类的目的就是告诉其他区域怎么去R2,例如R6发送用一个4类LSA,告诉区域0的路由,要去R2,就要走R6。
2025-07-23 19:47:51
690
原创 设备虚拟化与动态路由核心技术
H3C-irf-port2/1] port group interface Ten-GigabitEthernet 2/0/50 # 绑定物理端口。(1) 当前Master优先(IRF系统形成时,没有 Master设备,所有加入的设备都认为自己是 Master,会跳转到第二条规则继续比较);(5) 桥MAC地址小的优先。(4) 系统运行时间长的优先(各设备的系统运行时 间信息也是通过IRF Hello报文来传递的);路由源优先级,值小优先(例:直连路由AD=0,OSPF=110,RIP=120)。
2025-07-21 19:54:42
836
原创 VRRP技术
VRRP(Virtual Router Redundancy Protocol,虚拟路由器冗余协议)是一种容错协议,通过将多个路由器加入到备份组中形成一台虚拟路由器来承担网关功能。实例1(VLAN1):SW-1为主根(优先级4096),SW-2为备根。实例2(VLAN2):SW-2为主根(优先级4096),SW-1为备根。优先级(8位,默认100,最高255)决定Master。VLAN1:SW-1为主(优先级105),SW-2为备。VLAN2:SW-2为主(优先级105),SW-1为备。
2025-07-21 18:56:12
357
原创 MSTP技术
(IEEE 802.1s),基于实例(Instance)计算多棵生成树,不同VLAN映射到不同实例,实现负载分担。在RSTP BPDU基础上扩展,携带MST配置标识(域名、修订号、VLAN映射)和MSTI计算参数。:MSTP在保留RSTP快速收敛的基础上,通过多实例实现流量优化,是大型二层网络的理想选择。:相同配置的交换机集合,通过域名、修订号、VLAN-实例映射表标识。:默认实例(Instance 0),处理未映射的VLAN。:用户定义的实例,如MSTI 1、MSTI 2。
2025-07-18 17:18:31
617
原创 RSTP:快速收敛的生成树技术
RSTP通过状态简化、主动BPDU、P/A握手和边缘端口,显著提升收敛速度,同时保持与STP的兼容性。:交换机自行周期发送RST BPDU(无需依赖根桥),Hello Time=2秒。RSTP端口连续收到3次STP BPDU时,回退为STP模式(丧失快速收敛能力)。:通过比较BID(Bridge ID,优先级+MAC地址),最小者胜出。:根端口(RP)、指定端口(DP)、阻塞端口(Alternate)。:BPDU超时时间为3×Hello Time(6秒)。:为同一交换机的冗余端口(用于共享介质场景)。
2025-07-17 22:59:50
569
原创 链路聚合技术
链路聚合(Link Aggregation)是将多条物理链路捆绑成一条逻辑链路的技术应用场景:交换机、路由器、服务器之间的连接分类:二层链路聚合(数据链路层)三层链路聚合(网络层)
2025-07-16 18:56:22
378
原创 NAT技术
ip nat inside source static 192.168.30.252(内网iP) 55.0.0.4(外网ip):通过私有地址(RFC 1918)缓解公网IP稀缺问题。:多个内网IP共享一个公网IP,通过不同端口区分会话。:外部网络无法直接看到内网的真实IP,提高安全性。:多个内网设备共享一个或少量公网IP访问互联网。:一个私有IP固定映射到一个公网IP。:从地址池动态分配公网IP给内网设备。:企业内网多个设备访问互联网。
2025-07-16 18:41:08
707
原创 ACL与包过滤
ACL(Access Control List,访问控制列表)是用来实现数据包识别功能的列表,由若干条规则条目组成,每条规则包含匹配条件和执行动作(permit或deny)。
2025-07-14 22:50:25
1042
原创 路由基础与静态路由配置
路由是指导IP报文发送的路径信息包含目标网络和如何到达该网络的信息静态路由是网络基础架构的重要组成部分,适用于:小型稳定网络网络边界设备需要精确控制流量的场景作为动态路由的补充或备份。
2025-07-11 18:50:46
489
原创 TCP/IP之常用协议
加入一个vlan 8的网管,如图,此时所有交换机,都需要在创建一个vlan 8,且分别给逻辑接口vlan 8配置一个IP地址如图所示,与网管主机相连的交换机接口f0/4要配置为access接口和允许vlan 8通过,将红色标记区域的两端接口改为trunk口(由vlan 30、vlan 8两个不同局域网,多个vlan流量通过)。源主机发送一系列探测包(UDP、ICMP或TCP),首包的TTL=1,第二包TTL=2,依此类推。如果没有找到,那就发送一个ARP请求,收到ARP应答之后,将其加入ARP表,完成。
2025-07-10 19:50:09
966
原创 STP技术
SW2根端口断,收不到根网桥BPDU,就 认为自己是根网桥,给SW3阻塞端口发送一个BPDU,经过20s(最长老化时间),SW1发现原路径失效,原阻塞端口就会变为监听端口,此时发送一个BPDU给SW3,两个BPDU一比较发现SW1再次选举为根网桥,15s后变为学习端口再过15s后变为转发端口(根端口),收敛时间为50s。(两个端口都不是根接口,看网桥ID小的作为指定端口,网桥ID一样就比较端口ID,小的为指定端口)配置BPDU传播到全网的最大时延,默认为15秒。根网桥发送配置BPDU的周期,默认为2秒。
2025-07-10 19:44:22
692
原创 TCP/IP协议基础
TCP是面向连接的,数据传输需要进过建立连接、传输数据、断开连接三个阶段。全双工通信,数据可在连接上的同一时间内双向流动。TCP提供有序的数据传输,接收端按字节对数据进行确认。TCP数据传输是可靠的,包头中含有校验和可对数据进行校验,并具有超时重传机制重传丢失的数据。TCP提供高质量的传输服务,通过滑动窗口机制实现流量控制。TCP适合于可靠性要求高的应用。
2025-07-09 10:11:41
1315
原创 IP地址的基本概念
子网掩码与IP一一对应,全为1的视为网络号(标黄),全为0的视为主机号,所以网络地址为:192.168.10.0(网络号不变,主机号全为0);定向广播地址:192.168.10.255(网络号不变,主机号全变为1);可用主机数:2的8(主机号位数)次方-2(去掉一个网络地址,一个定向广播地址)核心:借用主机位来制造新的子网,可以避免网段不足,浪费地址情况。子网掩码:用来区分IP地址的网络号和主机号。(2)主机号:标识本IP子网内的某台主机。可用主机数计算:2的8次方-2=254。= 借用的主机位数)
2025-07-04 18:19:53
1218
原创 跨子网DHCP中继配置
然后进入三层交换机,f0/1收到一个带10标签的数据包,目的MAC地址是FFFF.FFFF.FFFF,将其广播出去,被中继代理监听到数据包,中继代理将其目的MAC地址路由MAC地址,源MAC地址为自己的MAC地址,目的IP地址为f0/0的IP:192.168.30.1,源IP为vlan 10网关地址:192.168.10.254,由单播的形式发给DCHP服务器。DHCP收到数据包之后,发送一个offer数据包单播给目的网关IP地址。:可使处于不同子网中的客户端和 DHCP服务器之间实现协议报文交互。
2025-07-03 19:53:44
447
原创 TCP/IP:网络通信的核心
此时路由器接收到报文进行解封装,将目的IP地址 改为PC4的地址,源IP地址改为网关地址,目的MAC改地址为PC4的MAC地址,源MAC地址改为网关MAC地址进行封装发送给PC4,此时PC4就有了网关MAC地址,就可以对网关发送ICMP包了。按IP地址使得PC6接收到了这个ARP报文,进行解封装后修改目的IP地址、源IP地址、目的MAC地址、源MAC地址(此时这里就是PC6的MAC地址:000B.BE45.D232),再封装对路由器进行回复,这是PC6处理后的ARP报文如图。
2025-07-01 19:31:41
1166
原创 园区网VLAN技术实战
在二层交换机里依次输入命令:conf t 、vlan 10(创建vlan 10)、int f0/1、switchport mode access(设置f0/1为access接口) 、switchport access vlan 10。3.将四个PC段IP设置同一网段分别为:192.168.1.1/24(vlan 10)、192.168.1.2/24(vlan 20)、192.168.1.3/24(vlan 10)、192.168.1.4/24(vlan 20)灵活构建虚拟工作组----规划、布线灵活性。
2025-06-30 19:42:38
953
原创 总公司与分公司网络互通实验
发现并不影响PC0访问服务器数据中心,断开s0/1/1 也如此,所以断开其中一个接口并不影响数据包的发送。输入:ip route 10.13.0.0 255.255.255.0 s0/1/0。输入:ip route 10.13.1.0 255.255.255.0 s0/1/0。分公司f0/0接口IP:10.13.1.254/24。总公司f0/0接口IP:10.13.0.254/24。第二条线,接口s0/1/1操作同上。在分部路由上指定路由到总部去。总部也需要指定路由到分部去。如图:先将s0/1/0断开。
2025-06-28 16:30:35
171
原创 DHCP、DNS和NAT
独立DHCP服务器:独立运行的DHCP服务器,通常是一个专门的服务器设备或软件,负责为整个网络或特定网提供DHCP服务。集成DHCP服务器:一些网络设备,如路由器,可能集成了DHCP服务器功能。指定网关:default-router 192.168.10.254(这里的网关就是之前配置接口f0/0的ip地址)选项(options):除了IP地址,DHCP服务器还可以配置各种选项,如子网掩码、默认网关、DNS服务器地址等。):它是一个能够为网络中的主机提供tcp/ip配置的应用层协议。
2025-06-26 14:05:17
958
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人