骆驼1024-CSDN博客

原创 eNSP 与物理网络互通：从 ICS 到 Windows 路由转发的完整记录

本文探讨了在eNSP网络实验中实现虚拟设备与物理网络互通的解决方案。作者首先尝试使用Windows ICS功能，发现其仅支持单向NAT访问。随后转向Windows路由转发方案，通过开启IPEnableRouter和接口转发功能，最终实现了双向网络互通。文章对比了ICS与路由转发的本质区别，指出后者更适合实验室环境，并详细记录了配置过程中的关键步骤和问题排查方法，包括抓包分析发现转发未开启的问题。最终成功让物理网络主机能够访问eNSP内的虚拟设备，为网络实验环境搭建提供了实用参考。

2026-05-12 16:16:51 459

原创 NAT 类型详解：你的路由器决定了 P2P 连通的命运

NAT有四种类型：全锥型（固定端口，无访问限制）P2P最佳；地址受限锥型（限制IP）需双方互发；端口受限锥型（限制IP+端口）需精确端点交换；对称型（每个目标映射不同端口）打洞几乎必败。BT下载、主机联机、Tailscale等P2P应用受NAT类型影响巨大，对称型是体验杀手。

2026-05-10 02:30:00 555

原创无需公网IP！用Tailscale 异地组网（附多网互通案例）

本文围绕异地内网互联痛点，结合「家里 + 公司双 PVE、不同网段」的实际环境，详细分享 Tailscale 的使用方法与实战技巧。

2026-05-09 09:56:14 860

原创华为AC+FIT AP典型组网部署配置

本实验旨在配置WLAN网络，实现AP认证上线和无线业务部署。主要内容包括：1）规划有线/无线侧组网，配置VLAN和DHCP服务；2）设置AP上线，创建AP组并配置CAPWAP隧道；3）配置WLAN业务参数，包括安全模板（WPA2-PSK认证）、SSID模板和VAP模板（直接转发模式）；4）在AP组中引用VAP模板。实验采用旁挂式组网，AC作为DHCP服务器为AP分配地址，S1交换机为STA分配地址。最终通过无线终端接入验证配置效果。

2026-05-01 19:52:59 650

原创 ARP/RARP/GARP/Proxy ARP四种地址解析协议的原理和作用

摘要：本文系统解析四种地址解析协议的核心原理与应用场景。ARP实现IP到MAC的映射，是局域网通信的基础；RARP（已淘汰）曾用于无盘设备通过MAC获取IP；GARP通过主动宣告刷新全网ARP缓存，适用于高可用切换与IP冲突检测；ProxyARP通过代理应答实现跨网段通信，现多被网关替代。四者功能互补：ARP“找MAC”，RARP“要IP”，GARP“刷缓存”，ProxyARP“代应答”。理解其差异有助于排查网络故障，优化运维效率。

2026-04-15 17:32:06 414

原创双向 NAT（域内 NAT）详解与故障排查（软考真题）

本文以2023年软考网络工程师真题为例，分析了双向NAT的应用问题。当内网用户通过公网地址访问内网服务器时，由于缺少域内NAT配置，服务器直接回包给内网终端导致连接中断。解决方案是在华为防火墙中配置域内NAT策略，对源地址进行SNAT转换，使服务器回包经过防火墙处理。通过实验拓扑和抓包分析验证了配置效果，最终实现内网用户能正常通过公网地址访问服务器。文章详细介绍了故障现象、原因分析、配置步骤及验证过程，为网络工程师解决类似问题提供了参考。

2026-04-02 18:20:21 227

原创 Nmap 端口扫描状态与协议行为深度解析

Nmap端口扫描结果解析：基于协议行为的推断机制摘要：Nmap端口扫描结果本质是通过网络协议行为推断得出的概率性判断，而非绝对事实。文章系统解析了六种端口状态（open/closed/filtered/unfiltered/open|filtered/closed|filtered）的形成机制，从TCP/UDP协议响应、防火墙策略、操作系统差异等维度揭示了不同扫描方式（SYN/Connect/ACK/FIN/UDP）产生差异的原因。核心观点指出扫描结果是协议行为、网络策略和设备实现三者的乘积，建议实践中结

2026-03-25 09:40:44 364

原创 GNS3 入门指南

全球数十万网络工程师使用 GNS3 来模拟、配置、测试和排查虚拟及真实网络的故障。GNS3 既支持在笔记本电脑上运行仅包含少量设备的小型拓扑，也支持在多台服务器甚至云端托管大量设备的大型拓扑。GNS3 是开源的免费软件，您可以从下载。GNS3 持续开发和维护，拥有超过 80 万名成员的庞大社区。加入 GNS3 社区，您将与众多学生、网络工程师、架构师以及其他用户一起，共同参与 GNS3 的开发和维护工作。迄今为止，GNS3 的下载量已超过 1000 万次。

2026-03-18 09:18:47 462

原创什么是CSPM：云安全态势管理技术解析

随着越来越多企业将业务系统迁移到云平台，云安全逐渐成为信息安全领域的重要议题。与传统数据中心不同，云环境中的安全问题往往并不是由于系统漏洞，而是因为引发。例如数据库被意外开放到公网、存储资源被设置为公开访问、权限策略过于宽松等。为了应对这些问题，一类专门针对云平台配置安全的技术逐渐出现，这就是，简称，通常被翻译为或。

2026-03-13 22:06:51 364

原创 Teredo 技术解析：原理、应用、配置

摘要： Teredo是微软开发的IPv6过渡技术，旨在让NAT后的IPv4主机自动获取可路由IPv6地址。它通过UDP封装穿透NAT，依赖服务器和中继节点实现通信。Teredo地址以2001::/32为前缀，包含服务器IP和客户端信息。Windows用户可通过netsh命令配置Teredo，但当前可用服务器仅剩社区维护的teredo.remlab.net。相比其他过渡技术（如6to4、ISATAP），Teredo支持NAT穿透但性能较差，已逐渐被淘汰，仍适用于测试或特殊环境验证。随着IPv6普及，Tered

2026-03-13 15:11:41 401

原创 Linux PAM（Pluggable Authentication Modules）完整指南——从入门原理到进阶机制，再到实战配置

本文介绍了Linux PAM（可插拔认证模块）的完整知识体系，包括基础原理、配置机制和实战应用。PAM作为Linux的统一认证框架，通过模块化设计实现了认证逻辑与应用程序的解耦，提供auth、account、password和session四种核心模块类型。文章详细解析了PAM配置文件的语法结构、控制标志的执行逻辑以及典型认证流程，并提供了多个实用案例：为SSH添加二次认证、限制登录时间、控制访问IP以及失败锁定机制等。最后强调了PAM调试方法和修改时的安全注意事项，包括日志查看和调试模式开启等技巧。该指南

2026-03-13 10:37:51 521

原创信息安全管理制度中的“1级、2级、3级、4级文件”是如何划分的

在信息安全管理体系中，将制度文件划分为1级、2级、3级、4级文件是一种非常常见的治理模式。这种结构通过分层管理的方式，将抽象的安全原则逐步细化为制度、流程以及执行记录，从而形成完整的信息安全管理闭环。简单来说，这四个层级分别承担不同职责：一级文件：确定信息安全总体原则二级文件：建立各领域管理制度三级文件：提供具体操作规范四级文件：记录执行过程与结果通过这样的体系，组织可以实现从战略到执行再到审计的完整安全管理机制。

2026-03-12 11:54:20 516

转载欧盟GDPR《一般数据保护条例》

欧盟《一般数据保护条例》（GDPR）将于2018年5月25日生效，被称为"史上最严数据保护条例"。该条例旨在保护自然人基本权利与自由，同时确保个人数据自由流动。GDPR规定了数据处理的合法性条件、数据主体权利、控制者与处理者责任等核心内容，对违反行为将处以最高2000万欧元或企业全球营业额4%的罚款。条例适用于欧盟境内设立的数据控制者，也适用于向欧盟提供商品服务或监控欧盟居民行为的境外机构。GDPR特别强调数据主体知情权、访问权、被遗忘权等权利，并要求企业采取数据保护设计原则。条例还建立

2026-03-02 11:51:13 152

原创 Nmap 由浅入深学习教程

Nmap是一款功能强大的开源网络探测和安全审计工具，广泛应用于系统管理和网络安全领域。本文详细介绍了Nmap的核心功能和使用方法，包括主机发现、端口扫描、服务/版本识别、操作系统识别以及Nmap脚本引擎(NSE)等。文章从基础概念入手，逐步深入讲解各种扫描技术，如TCPSYN扫描、TCP连接扫描、UDP扫描等，并介绍了如何优化扫描效率、规避防火墙检测以及典型场景下的实战应用。通过理解Nmap的默认行为和参数配置，用户可以更高效地进行网络探测和安全评估。

2026-02-25 17:40:22 683

原创 Burp Suite 入门文档（官方翻译）

本文介绍了BurpSuite的安装配置及核心功能使用指南。主要内容包括：1) BurpSuite系统需求及安装步骤；2) 使用BurpProxy拦截和修改HTTP请求的详细流程；3) 目标范围设定方法；4) BurpRepeater请求重放测试技巧；5) 首次扫描操作步骤及报告生成方法。教程通过实例演示了如何利用这些功能发现Web应用漏洞，特别强调了安全测试的注意事项和授权要求，适合Web安全测试人员学习使用这款专业工具。

2026-02-12 13:38:28 900

原创 VRF 技术入门

是一种在网络设备（如三层交换机或路由器）上创建多个逻辑路由表的技术。每个 VRF 实例就像一个独立的虚拟路由器，拥有自己的接口、路由表和转发逻辑。

2026-02-02 11:22:34 519

原创算法如何塑造认知：信息时代的隐性权力结构

本文探讨算法时代个体认知被重塑的现象。研究发现，算法通过选择性呈现、排序机制和反馈循环三种路径，构建用户的信息环境并影响其世界观。算法背后存在平台、政府和资本构成的隐性权力结构，通过技术手段控制认知边界。为应对这一问题，文章提出多源信息对比、理解算法逻辑等认知自救策略，强调重建认知主动权的重要性。研究表明，在算法主导的信息生态中，保持批判性思维和主动探索意识，是维护认知自由的关键。

2025-12-12 13:45:20 885

原创交换机ACL与防火墙的区别

对比维度交换机 ACL防火墙核心机制无状态逐包匹配（五元组 / 端口 / VLAN）状态检测（会话表 + 安全策略）处理层级L2-L4 层L3-L7 层性能表现硬件加速，低延迟、高线速硬件款低延迟，软件款性能一般，复杂规则损耗大功能范围仅简单访问控制访问控制 + 安全防护 + 高级功能（NAT/VPN/IDS）控制方向双向阻断（默认），需手动配置反向规则单向阻断，响应包自动放行适用场景局域网内分段隔离（高带宽、低延迟需求）网络边界防护（深度安全、复杂策略需求）

2025-12-11 17:58:08 1289

原创 ARP表中静态组播地址及IP和MAC映射关系

MAC 组播地址是二层网络中面向特定组设备的通信地址，用于将数据同时发送给多个订阅了该组的设备（而非所有设备，区别于广播），核心优势是减少网络带宽占用（仅订阅设备接收数据）。IP 组播地址是三层网络中标识组播组的逻辑地址，主机通过加入组播组（IGMP 协议）接收对应数据，路由器通过组播路由协议（如 PIM）转发组播数据，实现跨网段组播通信。静态 ARP 条目本质：系统预缓存的组播 / 广播地址映射，用于支持局域网核心协议（IGMP、mDNS、SSDP 等），避免重复 ARP 查询，提升通信效率；

2025-11-27 12:46:38 798

原创 DHCPv6-PD 核心概念与技术解析

DHCPv6-PD（DHCPv6 Prefix Delegation，DHCPv6 前缀委派）是（定义于 RFC 3633），用于在 IPv6 网络中由上级 DHCPv6 服务器向下级网络设备（如路由器、网关）委派可聚合的 IPv6 地址前缀，下级设备再将该前缀细分后为其局域网内的主机分配 IPv6 地址。它是 IPv6 大规模部署中实现子网分层规划的关键技术，解决了 IPv6 地址空间高效分配与管理的问题。

2025-11-24 16:01:52 806

原创手机热点和无线路由器在 IPv6 工作模式上的区别

手机热点看似是“路由器”，但它的IPv6工作模式和家用路由器本质不同——家用路由器采用路由模式+DHCPv6-PD前缀划分实现WAN/LAN网段隔离，而手机热点则是桥接/共享网段模式，直接将移动网络的单/64前缀共享给WiFi客户端，因此手机和笔记本会处于同一IPv6网段。移动网络中，运营商为手机分配的是单个/64IPv6前缀（而非家用路由器的/56PD前缀），这个/64是手机自身的公网IPv6网段，手机没有额外的前缀资源用于划分内网子网。为清晰区分两者的核心差异，从。运营商仅分配单/64前缀。

2025-11-24 15:42:49 1083

原创 20 道大厂攻防演练高级蓝队面试题

在攻防对抗愈发激烈的当下，“蓝队” 作为企业网络安全的 “守方核心”，其能力直接决定了攻防演练的防御效果，也成为大厂招聘的核心考察对象。高级蓝队岗位不同于基础安全运维，更侧重三大核心能力 —— 而面试题往往围绕这三点，层层递进地验证候选人的技术深度与实战经验。本文整理的 20 道面试题，均源自近年头部大厂（互联网、金融、能源等领域）攻防演练相关岗位的真实考察场景，涵盖基础能力、场景分析、体系设计、综合素养四大维度。每道题不仅给出核心解答思路，更标注大厂关注的 “加分细节”，帮你理解考察背后的能力逻辑。

2025-11-21 11:40:42 201

原创 DHCP Relay实验配置

DHCP（动态主机配置协议）用于自动分配 IP 地址及相关网络参数；定义：一种网络管理协议，基于 UDP（端口 67/68），由客户端和服务器交互完成自动地址分配。作用自动分配 IP 地址、子网掩码、默认网关、DNS 等参数。避免手工配置错误，减少 IP 地址冲突。集中化管理，便于网络管理员统一维护。工作流程（四步握手）Discover：客户端广播请求，寻找 DHCP 服务器。Offer：服务器提供可用地址和参数。Request：客户端选择并请求某个地址。ACK：服务器确认分配，客户端正式获得地址。

2025-11-18 10:29:49 892

原创 PVE中安装OPNsense

系统启动如果使用root/opnsense登录的话，是live系统，不能保存配置，是光盘引导的系统。自从服务器有了PVE环境就释放了笔记本的虚拟机，想要在PVE中设置复杂的网络环境就需要模拟防火墙。需要提前在网络中新建多个网桥，一个网卡接外网网桥用于模拟外网，一个网卡接新建的网桥模拟内网。也可以手动创建，在内网存在多个网段的时候需要手动创建NAT规则，还需要回指路由。在这个防火墙当中都叫规则，为了区分，NAT叫规则，访问控制叫安全策略。为了方便管理，我先把WAN口的管理权限打开，可以使用wan口进行管理。

2025-11-10 10:30:40 892

原创 iSCSI存储环境多路径配置

iSCSI 多路径的核心是通过 “冗余路径 + 软件管理” 实现存储访问的高可用和性能优化，设置时需确保存储端、主机端、网络层的路径独立性，并通过多路径软件配置合适的故障切换或负载均衡策略。是通过多条独立的物理路径（由网卡、交换机、线缆等组成）连接主机（iSCSI 发起端，Initiator）和存储设备（iSCSI 目标端，Target）的技术。多路径可将存储流量分散到多条物理路径上，避免单条路径带宽饱和，提升整体存储访问性能（如并发读写时，吞吐量更高、延迟更低）。

2025-11-07 14:51:02 1093

原创二层通讯中的MAC地址介绍

类型特征（二进制标识）用途示例全球单播（UAA）厂商分配的唯一单播地址本地单播（LAA）用户手动设置的单播地址（第 2 字节）组播（含 IPv6 映射）I/G=1一对多通信（IPv6）（IPv4）广播所有位为 1（I/G=1 的特殊形式）一对所有通信在 MAC 地址中，I/G（Individual/Group）位和 U/L（Universal/Local）位都位于第一个字节中。I/G 位：是第一个字节的最低位（即第 8 位）。

2025-10-20 15:01:33 886

原创 Git 简明教程：从原理到实战

当时 Linux 内核开发团队使用的分布式版本控制工具 BitKeeper 停止免费授权，Linus 不满于现有工具的性能和可靠性，花了两周时间亲自编写了 Git 的核心代码。场景：完成本地开发后，将代码推送到远程仓库，供团队其他成员使用。场景：发布正式版本时，给重要的提交打上标签，方便后续追溯。场景：团队协作时，通过用户名和邮箱区分不同开发者的提交。场景：开发新功能时，创建专门的分支，避免影响主分支。场景：多人协作时，先获取远程最新代码，避免冲突。场景：提交前检查修改内容，或比较不同分支的差异。

2025-09-21 16:12:24 952

原创本地设备ipv6默认网关和路由器ipv6默认网关的区别

IPv6 网络中，终端设备的网关（链路本地地址）与路由器的网关（公网 IPv6 地址）是两个独立的概念，分别服务于不同层级的通信需求。这种设计既保证了网络的动态性和稳定性，又实现了公网与内网的安全隔离。通过邻居发现协议（NDP）和 DHCPv6 的协同工作，IPv6 在简化配置的同时，提供了比 IPv4 更高效、灵活的路由机制。

2025-09-21 15:59:18 2169

原创家用路由器ipv6获取过程及数据包转发过程

IPv6网络通信过程详解：运营商通过DHCPv6-PD为路由器分配专属子网前缀，路由器再划分/64子网给LAN口设备。设备通过SLAAC或DHCPv6获取地址，通信时无需NAT转换，仅需更新数据链路层MAC地址。核心特点包括：1)设备网关为路由器LAN口链路本地地址；2)网络层IPv6地址全程不变；3)运营商分配的专属子网实现分层管理。IPv6的全球单播地址直接通信机制消除了IPv4的NAT需求。

2025-09-21 15:56:31 1741

原创 Docker是否需要CPU虚拟化技术

在Linux系统中，Docker通常不需要开启CPU虚拟化技术（如Intel VT-x或AMD-V），因为它直接利用Linux内核的Namespace和Cgroups实现进程隔离和资源限制。然而，在两种情况下需要开启虚拟化：1）使用Docker Desktop（依赖内置虚拟机）；2）运行非原生架构容器（需要QEMU加速）。可通过grep -E '(vmx|svm)' /proc/cpuinfo命令检查虚拟化支持。建议开启BIOS中的虚拟化选项以备未来需求，但对纯命令行Docker Engine无影响。

2025-09-19 09:01:40 1202

原创 40分钟的Docker实战攻略

本文系统介绍了Docker容器化技术的核心概念与应用实践。首先阐述了Docker通过镜像标准化和容器隔离机制解决环境一致性、依赖管理等开发痛点；详细讲解了镜像、容器等关键术语及安装配置方法。随后重点分析了Docker网络架构与自定义桥接网络的优势，并介绍了Dockerfile自动化构建和多容器编排工具Docker Compose的使用。全文从基础概念到实际应用，为开发者提供了一套完整的Docker技术学习路径。

2025-09-14 22:34:57 1575

原创安装Openwrt后如何扩容

本文详细介绍了三种OpenWrt系统的扩容方法：1. x86 ext4 efi版本：通过安装工具、分区格式化、挂载新分区完成扩容；2. x86 squashfs efi版本：使用fdisk调整分区，修改UUID并更新启动项；3. ARM squashfs版本（树莓派4为例）：删除重建分区，保持起始位置不变，最后调整文件系统大小。所有方法均需安装必要工具，并包含详细的分区操作步骤和注意事项。

2025-08-25 09:31:40 3382

原创移动宽带光猫改桥接

本文详细记录了作者将中国移动光猫HX5-9hsaLite改为桥接模式的全过程。通过重置光猫获取超级管理员权限（CMCCAdmin/aDm8H%MdA），开启FTP和Telnet服务修改配置文件，最终成功建立桥接连接。过程中发现移动会下发配置文件覆盖部分设置，但桥接模式仍可保留。文章提供了具体操作步骤和注意事项，包括VID记录、注册码获取、配置文件修改等，并分析了移动光猫的配置管理机制。最终作者在不清楚完整恢复机制的情况下，通过实践成功实现了桥接模式上网。

2025-08-08 01:03:35 8570 7

原创在新建word中使用以前文件中的列表样式

摘要：本文介绍了两种在Word文档中保存并复用自定义多级列表样式的方法。第一种方法是将样式另存为Word模板（.dotx），需要每次新建文档时手动应用；第二种更推荐的方法是将文档另存为启用宏的模板（.dotm），通过"管理器"功能将样式复制到Normal.dotm模板中，实现一劳永逸的效果。第二种方法虽然步骤较多，但可以永久保留自定义多级列表样式，方便后续所有新建文档使用。

2025-08-07 18:26:01 1038

转载 CTF靶场集合大放送

本文对GitHub上主流的CTF靶场平台进行了系统调研。重点分析了CTFd（3.5.1版本）的源码架构、搭建方法及常见问题，同时介绍了H1ve、Vulfocus等特色平台的功能特点。文章还分类整理了Web安全（DVWA、sqli-labs）、专项漏洞（SSTI、XXE）等不同类型的靶场项目，并对比了RootTheBox等综合平台的优缺点。最后指出后续将重点关注Vulfocus和RootTheBox两个平台的发展，为安全人员选择和使用CTF靶场提供了实用参考。

2025-07-22 22:32:32 131

转载 CISP-PTS考题解析

本文详细介绍了PTS渗透测试考试的解题过程，包含6个靶机（4基础+2综合）共10个KEY的获取方法。基础题涉及信息泄露、命令执行、文件上传和流量分析；综合题则结合XSS、SQL注入、文件包含、SSRF和Redis漏洞利用等技术。文章强调考试环境限制（无外网、文件传输受限），提供具体漏洞利用步骤和工具使用技巧，如使用.htaccess绕过上传限制、通过SSRF操作Redis写入webshell等。每个KEY获取后都需要手动核对，总分100分。通过掌握这些实战技巧可顺利通过PTS认证考试。

2025-07-21 17:09:21 301

原创虚拟机下的OpenWrt磁盘Overlay扩容

查看系统现有的磁盘和分区信息，我使用的是原版的OpenWrt，默认只有120M大小的磁盘，安装几个插件，空间就已经捉襟见肘了。最简单的方式，关闭需要调整分区的虚拟机，创建一个新的虚拟机，然后将需要调整分区的磁盘挂载给新的虚拟机。使用fdisk进行分区操作，然后重新创建新的分区，新的分区起始扇区和原来的分区保持一致，但是结束扇区比原来的大，以此达到扩容的目的。从上面的结果可以看到，loop1p2就是我们需要扩容的分区，虽然已经扩展到1G，但是识别到的仍然是原来的大小。读取loop设备的分区信息，加载到系统。

2025-05-21 16:16:15 2899

空空如也

空空如也