- 博客(29)
- 收藏
- 关注
RSS订阅原创 防火墙概述
防火墙的核心任务:控制和防护防火墙的原理:通过安全策略来对流量进行控制和防护防火墙的性能评判标准:吞吐量:单位时间内防护墙处理的数据量防火墙一定程度上就是二层交换机和三层路由器的集合。
2024-07-19 16:45:19
525
原创 防火墙的双机热备+带宽管理
12,对现有网络进行改造升级,将当个防火墙组网改成双机热备的组网形式,做负载分担模式,游客区和DMZ区走FW3,生产区和办公区的流量走FW1。13,办公区上网用户限制流量不超过100M,其中销售部人员在其基础上限制流量不超过60M,且销售部一共10人,每人限制流量不超过6M。16,外网访问内网服务器,下行流量不超过40M,DMZ中的每台服务器限制对外提供的最大下行带宽不超过20M。15,移动链路采用的是100M的带宽,要求游客区用户仅能占用50M,并且基于在线地址进行动态均分。
2024-07-16 21:41:08
480
原创 防火墙NAT地址转换和智能选举综合实验
7,办公区设备可以通过电信链路和移动链路上网(多对多的NAT,并且需要保留一个公网IP不能用来转换)8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。链路开启过载保护,保护阈值80%;10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;11,游客区仅能通过移动链路访问互联网。
2024-07-13 20:23:57
1214
原创 防火墙NAT策略
2)NAPT(Network address and port Translation,网络地址端口转换),NAPT是网络地址端口转换 :从地址池中选择地址进行地址转换时不仅转换IP地址,同时也会对端口号进行转换,从而实现公有地址与私有地址的1:N映射(一个公有地址对应多个私有地址),可以有效提高公有地址的利用率。1)一对一 ---- easy IP:Easy IP:实现原理和NAPT相同,同时转换IP地址、传输层端口,区别在于Easy IP没有地址池的概念,使用接口地址作为NAT转换的公有地址。
2024-07-11 23:01:46
486
原创 信息安全概述
首先攻击者会向交换机中发送大量的虚假MAC地址,将交换机中的CAM表填满,这样其他主机所发送的数据帧交换机会做洪泛处理,攻击者自己的主机就可以接收到受害者的数据帧,攻击者只需要使用抓包软件就可以获取相应的信息。TCP是基于字节流的,没有数据包的概念,在发送字节流会开辟一段存储空间:TCP数据包发送的规则是基于源ip源端口和目标IP目标端口,攻击者会更换除了目标IP的其他三个值,攻击者会不断发送直到把存储空间占完。的手段,本质就是包过滤(ACL),主要针对的是传输层和网络层,对应用层的过滤不准确。
2024-07-11 21:35:56
826
原创 企业三层架构真机实验
1、创建eth-truck通道2、创建vlan3、创建trunk、access干道;沉默access接口,设置BPDU保护4、MSTP映射配置5、D-1位实例1、0的根,实例2的备份根;D-2位实例2的根,实例1、0的备份根6、vrrp备份7、监控上行链路,抢占延时。
2024-07-10 22:02:48
107
原创 eNSP防火墙安全策略用户认证综合实验
实验要求:1、DMZ区内的服务器,生产区仅能在办公时间内(9:00-18:00)可以访问,办公区的设备全天可以访问2、生产区不允许访问互联网,办公区和游客区允许访问互联网3、办公区设备10.0.2.10不允许访问DMZ区的FTP服务器和HTTP服务器,仅能ping通10.0.3.104、办公区分为市场部和研发部,研发部ip地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定ip地址,访问DMZ区使用免认证。 游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密
2024-07-10 21:31:44
828
原创 MySQL触发器
对职工进行解聘时 工资表中也要一并删除当前员工的工资信息。对职工进行修改时 工资表中也要一并修改当前职工的信息。工资表字段:编号自增,职工工号,基础工资10000。对职工进行添加时 工资表中也要体现当前职工的信息。职工表字段:职工工号,姓名,性别,年龄。创建职工表以及职工工资表。
2024-01-26 15:15:40
197
原创 MySQL第一次作业
多门课程,一门课程提供给多个学生学习,所以学生和课程是多对多联系(n:m)一个系,而一个系可以包含多个班级,所以专业和班级是一对多联系(1:n)多个专业,一个专业包含多门课程,所以专业和课程是多对多联系(n:m)学生属性:学号,姓名,性别,所在班级,电话,专业。学生和班级:一个班由多个学生组成,一个学生只能归。课程属性:课程号,课程名,学时,学分,所属专业。某个班,所以班级和学生是一对多的联系(1:n)实体:学生、班级、课程,专业。班级属性:班级编号,班级名称。专业属性:专业编号,专业名字。
2024-01-20 19:59:59
347
原创 给openlab搭建web网站实验
1.基于域名[www.openlab.com](http://www.openlab.com)可以访问网站内容为 welcome to openlab。
2023-11-15 17:17:38
175
原创 三层交换机实验
内网基于 172.16.0.0/16进行划分,实验两个三层交换机各需要一个网段,VLAN1和2也需要两个网段,所以此实验共需要4个网段。172.16.0.0/24 可用范围 1-31 骨干借到30位预留IP。SW1和SW2起eth-trunk,并划入接口。左边骨干:172.16.0.0/30。右边骨干:172.16.0.4/30。
2023-08-21 17:02:11
1138
1
原创 生成树协议总结
STP协议生来就是为了冗余而存在的,单纯树型的网络无法提供足够的可靠性,由此我们引入了额外的链路,这才出现了环路这样的问题。但单纯是标准的802.1D STP协议并不能实现真正的冗余与负载分担。STP为IEEE 802.1D标准,它内部只有一棵STP tree,因此必然有一条链路要被blocking,不会转发数据,只有另外一条链路出现问题时,这条被blocking的链路才会接替之前链路所承担的职责,做数据的转发。无论怎样,总会有一条链路处于不被使用的状态,冗余是有了,但是负载分担是不可想象的。
2023-08-19 17:22:12
236
原创 VLAN接口模式实验(接入、中继、混杂)
在SW1与R1连接的接口上配置vlan 2打标签进入R1创建一个子接口为其划分IP,再配置vlan 3 to 6剥离标签进入R1用物理接口为其划分IP。在交换机上都创建vlan2-6。
2023-08-18 15:08:00
205
1
原创 MPLS VPN实验
上图将r2对公司的接口绑定到空间里,然后配IP,这样公司的路由不会出现的r2的公有路由表里,因为路由存储在空间里了。且r1能ping通r2但是r2不能通r1,因为r2的正常路由表里没有r1的路由)上面的所有步骤已经完成了所有的建邻桥梁,都是在控制层面完成的,剩下的就是数据层面,就剩r1把路由给r5、r5把路由给r1。(上图就是创建名为b1的VRM空间并且创造RD和RT值,两个都叫1:1,建议同一家公司的RD和RT值相同;查看mp-bgp邻居关系(R2通过BGP与R4建邻,将R1的路由给到R4从而给到R5)
2023-08-15 21:58:56
390
1
原创 BGP知识点总结(超详细!)
AS—自治系统:标准AS编号 16位二进制 0-65535扩展AS编号 32位二进制路径矢量(一个AS为一跳)--- 距离矢量(一个路由器为一跳)BGP协议本身不产生路由,而是转发本地路由表中来自其他协议生成的路由条目;AS之间正常存在大量的BGP邻居关系,且BGP协议不会计算最佳路径;因此在BGP协议中管理员需要进行策略来干涉选路;IGP协议追求:1、无环(选路佳) 2、收敛快 3、占用资源少EGP协议的追求:1、可控性强(管理员可以方便进行策略干涉选路)
2023-08-14 11:22:37
1344
原创 BGP的路由反射器和联邦(有条件的打破IBGP的水平分割)
在一个AS中一台设备运行了BGP协议,那么正常应该都连接了其他的AS,存在EBGP邻居关系;又由于IBGP的水平分割规则,导致从外部学习到的路由传递给本地AS时,需要和本AS中所有运行BGP协议的设备逐一建立IBGP邻居关系;----两两间均为IBGP邻居关系,建立数量成指数上升;172.16.2.0/24 172.16.3.0/24 172.16.4.0/24 6个。--AS-BY-AY;172.16.0.0/24 要分6个网段IP借3位。并在R2和R7上修改多少链路的本地邻居的下一跳。
2023-08-12 14:23:48
295
1
原创 BGP的基础配置
我们查看R1/2/3//4/5的路由表,发现1.1.1.0/24在R1和R2路由表中是优秀,但是在R3/4中不是,只是i,在R5中则没有(优秀的条件:1、同步问题(默认不关注) 2、下一跳可达;再查看路由表,R3/4的1.1.1.0/24变为了优秀,R5中也出现1.1.1.0/24并且变为了优秀。解决办法:删掉在R4的5.5.5.0/24的静态路由,让R4和R5之间建立邻居的和传递的环回不是同一个。规则,所以是在R2传递给R3、R4的过程开始变为了不优秀,所以在R2修改BGP路由传递给。
2023-08-10 20:35:49
563
1
原创 OSPF综合实验/HCIP
开启R3的伪广播,默认的接口工作方式为P2P,我们需要修改为broadcast,并在R5/R6/R7修改接口优先级使得DR为R3。二、R3----R5/6/7为MGRE环境,以R3为中心站点,给R3/5/6/7分配的是33.1.1.0的网段。R3---R5/6/7为MGRE环境,R3为中心站点,其他为站点找R3注册,1、R3/4/5/6/7所直连路由器为公有IP,R4为ISP area0。在R5/6/7上可以查到四条MAP,三天其他的,一条本身的。3、除了R4、R12的环回IP:10个环回。
2023-08-07 16:30:28
125
1
原创 HICP/OSPF+MGRE实验
在MGRE中,由于MGRE和GRE均使用tunnel接口,故工作方式均默认为p2p,在普通的GRE中,由于GRE本身就是点到点网络类型,所有p2p工作方式正常;而MGRE为多点的MA环境,再使用p2p工作方式将出现故障:解决办法:修改该网段所有接口为broadcast。由于分支站点之间没有伪广播,无法知道对端的存在,故DR/BDR选举将混乱;由于默认的工作方式还是p2p,所以还是需要手动将所有接口工作方式改成broadcast。R2上查看MAP,先ping一下R3,就会自动补全MAP ,R3类似。
2023-08-05 14:34:25
238
1
原创 TCP/IP的三次握手和四次挥手
服务器第一次收到客户端的 SYN 之后,就会处于 SYN_RCVD 状态,此时双方还没有完全建立其连接,服务器会把此种状态下请求连接放在一个队列里,我们把这种队列称之为半连接队列。当然还有一个全连接队列,就是已经完成三次握手,建立起连接的就会放在全连接队列中。如果队列满了就有可能会出现丢包现象。这里在补充一点关于SYN-ACK 重传次数的问题:服务器发送完SYN-ACK包,如果未收到客户确认包,服务器进行首次重传,等待一段时间仍未收到客户确认包,进行第二次重传。
2023-08-02 13:18:44
74
1
原创 ACL第一次实验
1、配置IP,这里将路由器当作PC端,由于路由器没有网关,我们给它手动添加一条缺省路由。3、 常见扩展ACL:由于扩展ACL精确匹配流量源、目地址,故调用时尽量靠近。(在R1的g0/0/0进行创建)2、在R1和R2上预设登录的账号及密码。
2023-07-24 19:47:40
40
原创 OSPF基础实验
192.168.1.0/24 划分为两个网段注:交换机连接的区域属于一个网段!!!区域0:192.168.1.0/25 (在划分为三个环回接口IP)192.168.1.0/27 骨干环回:192.168.1.32/27 R1区域1:192.168.1.128/25。
2023-07-23 21:06:42
47
原创 rip实验第一次
192.168.1.0/24分给三个路由器借2位192.168.1.0/26--骨干192.168.1.64/26--骨干192.168.1.128/26 R1(再划分为2个环回接口的ip,借1位)
2023-07-22 17:51:30
54
1
原创 静态路由综合实验
手工汇总: 路由器访问多个连续子网(可以被汇总的网段)时,若全部基于相同的下一跳时,可以将这些目标网段进行汇总计算后,仅编写到达汇总网段的路由条目即可--- 减少路由表条目的数量思路:每个路由器有两个环回接口,为了减少路由条目,拿一个ip分为两个ip;一共要拿5个IP分,我们就要借3位(8个一共,用五个留三个);再从这里分好的IP在借一位分为两个环回接口的IP(划分为五个子网借3位)----做直连线路的骨干网络。
2023-07-21 21:54:09
104
1
原创 HCIA第一次作业
1.system-view进入到下一层,不同层有不同的作用,简洁口令:一楼看二楼管三楼配。2.再建一个Client浏览器,配置好IP,通过IP可以对读取服务器获取的内容。2.因为不同网段的电脑不能直接进行访问,需要用路由器(网关)将其连接在一起。1.新建一个serviceHHHT服务器,配置好IP,对文件夹进行获取内容。1.用交换机将一个网段的电脑连接在一起,不同的网段需要用多个的交换机;1.新建一个服务器DNF配置好IP,在服务器信息添加主机域名。3.配IP:ip address 合理ip 掩码。
2023-07-18 18:56:07
56
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人