本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。
最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。
需要体系化学习资料的朋友,可以加我V获取:vip204888 (备注网络安全)
学习路线图
其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。
相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。
网络安全工具箱
当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。
项目实战
最后就是项目实战,这里带来的是SRC资料&HW资料,毕竟实战是检验真理的唯一标准嘛~
面试题
归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
Normal模式,默认是Normal模式,允许动态和静态VLAN注册,同时会发送静态vlan和动态vlan的申明信息
Fixed模式,比如某一个端口为Fixed模式,不允许动态vlan注册个注销,且只发送静态vlan的申明信息
Forbidden模式,比如某一个端口为Forbbid模式,不允许动态vlan在端口上进行注册,同时删除端口上除了vlan1以外的所有vlan,只发送vlan1的申明信息
4、配置案例
配置思路:
&全局开启GVRP
&配置链路模式并允许所有vlan通过
&端口开启GVRP
SW1
<Huawei>system-view
[Huawei]sysname sw1
[sw1]gvrp \全局开启GVRP
Info: GVRP has been enabled.
[sw1]interface GigabitEthernet 0/0/1
[sw1-GigabitEthernet0/0/1]port link-type trunk \配置链路为trunk
[sw1-GigabitEthernet0/0/1]port trunk allow-pass vlan all\允许所有vlan通过
[sw1-GigabitEthernet0/0/1]gvrp \端口开启GVRP
sw1-GigabitEthernet0/0/1]quit
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
SW2
<Huawei>system-view
[Huawei]sysname sw2
[sw2]gvrp
Info: GVRP has been enabled.
[sw2]interface GigabitEthernet 0/0/1
[sw2-GigabitEthernet0/0/1]port link-type trunk
[sw2-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[sw2-GigabitEthernet0/0/1]gvrp
Info: GVRP has been enabled.
[sw2-GigabitEthernet0/0/1]quit
[sw2]interface GigabitEthernet 0/0/2
[sw2-GigabitEthernet0/0/2]port link-type trunk
[sw2-GigabitEthernet0/0/2]port trunk allow-pass vlan all
[sw2-GigabitEthernet0/0/2]gvrp
Info: GVRP has been enabled.
[sw2-GigabitEthernet0/0/2]quit
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
SW3
<Huawei>system-view
[Huawei]sysname sw3
[sw3]gvrp
Info: GVRP has been enabled.
[sw3]interface GigabitEthernet 0/0/1
[sw3-GigabitEthernet0/0/1]port link-type trunk
[sw3-GigabitEthernet0/0/1]port trunk allow-pass vlan all
[sw3-GigabitEthernet0/0/1]gvrp
Info: GVRP has been enabled.
[sw3-GigabitEthernet0/0/1]quit
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
创建vlan
[sw1]vlan batch 5 10 50 \创建vlan 5 10 50
- 1
验证,测试
SW1
SW2
SW3
5、实验总结
在配置过程中,一定要在全局开启GVRP,再在接口开启,否则学习不到。
转载于: 51CTO
二、VCMP
1、VCMP(VLAN Central Management Protocol)
VLAN集中管理协议VCMP
可以实现VLAN的集中维护和管理
VCMP是华为的私有协议,工作于链路层,提供了一种在二层网络中传播VLAN配置信息,从而保证整个二层网络中VLAN配置信息一致
相较于手工配置,VCMP具有维护工作量小、VLAN配置一致的优点
2、管理域
VCMP使用域来管理交换机,这个域就称为VCMP管理域
通过角色定义来确定设备的属性,称为VCMP的角色
VCMP共定义了Server、Client、Transparent和Silent四种角色。
VCMP管理域
VCMP管理域由一组域名相同的交换机通过Trunk或Hybrid链路类型的接口互连构成。同一域内的每台交换机都必须使用相同的域名,且一台交换机只能加入一个VCMP管理域,不同域的交换机间不能同步VLAN信息。
VCMP管理域确定了VCMP管理设备的范围,凡是加入域的交换机,均会受到域内管理设备的管理。域中只能有一台管理设备,但可以有多台被管理设备。
3、角色
Transparent和Silent不属于任何VCMP管理域
VCMP管理域的边缘设备如果希望受VCMP的管理,也可设置为Client角色,但为防止本域的VCMP报文传输到其他域中,需要将连接其他域的接口去使能VCMP功能
4、应用场景
某企业有部门A和部门B两个部门,分别属于不同二层网络,各部门规模较大,需要配置和维护的VLAN信息很多。为了方便VLAN的配置和维护,可在部门A和部门B内分别部署VCMP,管理域分别为VCMP1和VCMP2,并选择汇聚交换机AGG1作为VCMP1的Sever,接入交换机ACC1~ACC2作为VCMP1的Client,汇聚交换机AGG2作为VCMP2的Server,接入交换机ACC3~ACC4作为VCMP2的Client。这样,网络管理员只需分别在AGG1和AGG2上创建、删除VLAN或修改VLAN的名称、描述,ACC1~ACC2和ACC3~ACC4会分别同步AGG1和AGG2上的VLAN信息,实现了VLAN的统一配置和管理。
同时,为免去手工设置链路类型的麻烦,配置通过LNP自动协商链路类型。
采用如下的思路配置VCMP:
配置LNP,实现链路类型自动协商,简化用户配置。
指定各设备的角色,以确定VCMP管理范围、管理与被管理对象。
在角色为Server和Client的设备上分别配置VCMP相关参数,包括认证密码、设备ID等,以保证Server和Client间能安全通信和身份识别。
使能VCMP,使VCMP功能生效。
5、VCMP协议报文
VCMP通过在各角色设备间交互VCMP报文实现VLAN的集中管理,VCMP报文只能在Trunk或Hybrid类型接口的VLAN 1上传输。为确保在各种场景下Server与Client的VLAN信息保持一致,VCMP协议定义了Summary-Advert、Subset-Advert和Advert-Request三种组播方式的报文。三种报文的作用及触发场景
其中,由Server发送的Summary-Advert和Subset-Advert报文会携带配置修订号。配置修订号用来确定Server发送的VLAN信息是否比当前的更新,Client使用它来判断是否需要同步Server的VLAN信息。它以8位十六进制数体现,高四位用来标识VCMP管理域或设备ID的变更,低四位用来标识VLAN的变更。只要Server有VLAN变更,配置修订号就会自动递增。而当VCMP管理域名或设备ID变更时,配置修订号的高四位会重新计算,低四位会清零。
6、实现机制
Server上配置变更的VLAN同步机制
当Server上的配置变更(包括创建、删除VLAN,修改VLAN的名称、描述,VCMP管理域名、设备ID修改,以及Server重启等情况)时,Server会发送携带变更信息的Summary-Advert和Subset-Advert报文,以通告VCMP管理域内的Client进行同步。
新增Client的VLAN同步机制
为确保Server与Client上的VLAN信息的同步,Server每5分钟发送一次Summary-Advert报文,向全域通告VCMP管理域名、设备ID和配置修订号,Server还会发送Subset-Advert报文来通告发生变更的VLAN名称和VLAN描述。当新加入一台Client或Client重启时,为了及时获取Server上的VLAN配置信息,新Client和重启的Client会发送Advert-Request组播报文,请求Server的VLAN配置信息。
多Server告警机制
VCMP管理域内只能有一台Server。为防止用户假冒Server攻击网络,Server在收到Summary-Advert报文后,会将报文中的VCMP管理域名、设备ID、源MAC地址与本地的进行匹配。如果VCMP管理域名和设备ID匹配,但报文中的源MAC地址与本地的系统MAC地址不同,则会向网管发送“多Server”事件告警。
为了防止告警太多影响Server性能,VCMP抑制告警的发送次数,每30分钟向网管发送一次告警。
VCMP认证机制
未知交换机加入VCMP管理域,可能会将其设备上的VLAN信息同步到域内,进而影响域内网络的稳定。为防止未知交换机加入,使VCMP管理域更安全,可以为域中的Server和Client配置域认证密码。
如果Server或Client配置了域认证密码,则用该密码字符串(默认使用空字符串)作为Key值,对报文中的VCMP管理域名、设备ID等字段进行SHA-256摘要计算,并把得到的摘要信息随Summary-Advert报文、Subset-Advert报文或Advert-Request报文发送。域内每台Client在收到的Server的Summary-Advert或Subset-Advert报文时,则用本地配置的认证密码对报文中的VCMP管理域名、设备ID和配置修订号等字段进行SHA-256摘要计算,并把得到的摘要信息与报文中携带的摘要信息进行比较。如果匹配,则认证通过,进行后续VCMP处理;否则,丢弃该Summary-Advert或Subset-Advert报文。Server收到Client的Advert-Request报文时进行同样的认证处理。
如果未配置域密码,则直接认证通过。
转载于: 华为
三、VTP
1、VTP(Vlan Trunk Protocol)
VLAN 中继协议 (VTP) 允许网络管理员在配置为 VTP 服务器的交换机上管理 VLAN
VTP 服务器会分配中继链路中的 VLAN 信息,并将其与整个交换网络中启用 VTP 的交换机同步
这可以最大程度地减少因配置错误和配置不一致而导致的问题
2、VTP组件
3、VTP模式
4、配置案例
交换机 S1 为 VTP 服务器,而 S2 和 S3 为客户端
VTP 的配置步骤:
第 1 步:配置 VTP 服务器
第 2 步:配置 VTP 域名和密码
第 3 步:配置 VTP 客户端
第 4 步:在 VTP 服务器上配置 VLAN
第 5 步:验证 VTP 客户端是否获得了新的 VLAN 信息
创建 VLAN
为 VLAN 分配端口
验证 VLAN 信息
四、DTP
给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
网络安全面试题
绿盟护网行动
还有大家最喜欢的黑客技术
网络安全源码合集+工具包
所有资料共282G,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~
需要体系化学习资料的朋友,可以加我V获取:vip204888 (备注网络安全)
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!