- 博客(278)
- 资源 (8)
- 收藏
- 关注
原创 CCNA_SEC 第五天作业
综上所述,交换机通过学习和识别物理地址(MAC地址)来决定数据包的转发路径,实现了网络中的不同设备之间的通信和数据传输。同时,交换机还具有多种功能和特性,如VLAN划分、消除回路、增加网络带宽和支持QoS等,这些功能和特性使得交换机在计算机网络中扮演着重要的角色。交换机是计算机网络中的一种关键设备,用于连接多个计算机及其他网络设备,实现数据包的转发和交换。端口状态err-disable 在端口视图 先shutdown 在 no shutdown 恢复。开启macof后交换机告警。
2024-12-02 13:51:58 809
原创 CCNA_SEC 第四天作业
Site2网络172.16.1.0/24网络通过ospf访问Site1_DMZ_DNS服务器和Site1_DMZ_HTTP服务器,Site1的FMC上放行DNS和HTTP的流量。SSLVPN_PC通过anyconnect客户端域名asa.qytangsec.com拨号到Site1_ASA。Site1_GW与Site2_GW建立SVTI隧道VPN,两个Site通过隧道建立ospf通讯。Site1_GW配置(贴关键配置,禁止贴show run)配置:(贴关键配置)Site1_GW配置。Site2_GW配置。
2024-12-01 22:35:42 689
原创 CCNA_SEC 第三天作业
放行Site1_GW到DMZ-ISE的AAA流量(RADIUS和TACACS+)Site1_GW通过VTY登陆到Site2_GW,验证本地用户名密码认证与授权。放行Inside_MGMT_PC到DMZ的ISE网管流量(https)[Site2_GW账号:自己名字 密码:自己名字 5级权限]Site2_GW通过Console登陆时需要用户名和密码认证。测试:L2L_PC通过SSH登陆Site1_GW(截图)ISE上创建账号(用户名:自己名字,密码:自己名字)安静模式仅允许L2L_PC访问Site2_GW。
2024-12-01 15:58:17 725
原创 ISE介绍
Cisco ISE作为一个通用策略引擎,让企业能够控制终端访问和管理网络设备。它可以确保合规、增强基础设施安全性并简化服务操作。Cisco ISE管理员可以收集网络的实时情景数据,包括用户和用户组、设备类型、访问时间、访问位置、访问类型(有线、无线或VPN)以及网络威胁和漏洞,并使用此信息制定网络监管决策。
2024-12-01 10:30:36 720
原创 3A报文介绍
HWTACACS报文与RADIUS报文的格式不同。所有RADIUS报文均采用相同的报文格式,而HWTACACS报文除了具有相同的报文头之外,认证授权和计费报文的格式均不同。
2024-12-01 10:00:33 946
原创 RADIUS
RADIUS协议是一种客户端/服务器模型(C/S),其中NAS(网络访问服务器)作为RADIUS服务的客户端,RADIUS服务则负责获取用户连接请求,验证用户身份,然后返回所有必要的配置信息给客户端,以便客户端向用户提供服务。RADIUS协议使用UDP协议进行通信,通常的认证端口号是1812,计费端口号是1813(也有使用1645作为认证端口,1646作为计费端口的情况)。RADIUS通信是以“请求-响应”方式进行的,即客户端发送一个请求包,服务器收到包后给予响应。
2024-12-01 09:52:02 612
原创 CCNA_SEC 第二天作业
Cisco Firepower NGFW是业内首款专注于威胁防御的下一代防火墙,它将多种安全功能集成于一身,采用统一管理,可在攻击前、攻击中和攻击后提供独一无二的高级威胁防护。这款产品旨在为企业提供全面的网络安全保障,有效抵御各种已知和未知的恶意软件和网络攻击。
2024-11-29 22:23:14 803
原创 CCNA_SEC第一天作业
DMZ,是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区,该缓冲区位于企业内部网络和外部网络之间的小网络区域内。DMZ区可以理解为一个不同于外网或内网的特殊网络区域,它通常放置一些不含机密信息的公用服务器,如企业Web服务器、FTP服务器、E-Mail服务器和论坛等。
2024-11-28 16:29:57 852
原创 CBK8软件开发安全
在这一级,组织已经将软件管理和工程两方面的过程文档化、标准化,并综合成该组织的标准软件过程。所有项目都使用经批准、剪裁的标准软件过程来开发和维护软件,软件产品的生产在整个软件过程是可见的。
2024-11-26 14:02:19 962
原创 CBK7运营安全
输出控制,比如:确保打印的报告送达正确的用户,并在发放敏感文件前签署收据。欲使证据可被法庭接收,证据必须是相关的、充分的、可靠的。当公司搬回原来的场所或搬进一个新场所,公司进入再造阶段,直到公司在它原来的主站点的新设施内恢复运作,公司才脱离紧急状态。9、clearing 擦除后的信息遇到键盘攻击,是不可恢复的, purging 清除后的信息在对实验室攻击是不可恢复。基础场所(cold site):只提供基本的工作环境(布线、空调、架空的地板、吊顶),通常是建筑框架,没有其他内容。一旦发生欺诈,必有共谋。
2024-11-26 14:01:14 1060
原创 CBK5身份访问与管理
访问控制是一种安全手段,它控制用户和系统如何与其他系统和资源进行通信和交互。 主体可以是通过访问客体以完成某种任务的用户、程序或进程。 客体是包含被访问信息或者所需功能的被动实体。
2024-11-26 13:58:20 1008
原创 CBK4通信与网络安全
无线通信技术:信号频率越高,信号运载的数据越多,传输距离越短。拒绝服务攻击(DoS),本质是对安全三元组中的可用性进行破坏,导致服务或资源性能降低,或使合。移动无线通信:1G(FDMA)、2G(TDMA)、3G(CDMA)、4G(OFDM) 通信是数据在系统之间的电子传输,协议是归档计算机在网络上如何通信的一组规则。 基带:使用整个通信通道进行传输,一次只允许传输一个信号。 光缆,传输速率高,信号传送更远,更安全,价格昂贵。 双绞线,便宜,容易使用,最不安全的网络互联线缆。
2024-11-26 13:56:12 1273
原创 CBK3安全架构与工程
密码系统至少包含以下组件:软件、协议、算法、密钥。kerckhoffs原则:加密方法的强度源自算法的复杂程度、密码的机密度、密钥的长度、初始化向量以及他们如何在密码系统内协同工作。密码系统的服务机密性:除了授权实体之外,其他实体无法理解提交的数据。完整性:数据从创建到传输、存储都不会被未授权更改。身份验证:对创建信息的用户或系统的身份进行验证授权:证明身份之后,向个体提供允许访问某些资源的密钥不可否认性:确保发送方无法否认发送过信息。
2024-11-26 13:54:22 831
原创 CBK1安全与风险管理
脆弱性(Vulnerability):系统中允许威胁来破坏其安全性的缺陷威胁(Threat):利用脆弱性而带来的任何潜在危险风险(Risk):威胁源利用脆弱性的可能性以及相应的业务影响暴露(Exposure):造成损失的实例控制(Control)或对策(countermeasure):能够消除或降低潜在的风险各种安全组件之间的关系:正确使用了安全术语“漏洞”、“威胁”、“风险”和“对策”:可能存在威胁,但除非您的公司有相应的漏洞,否则公司不会暴露,也不是漏洞。
2024-11-26 13:48:09 926
原创 安全加固方案
通过SecureCRT(Version 6.5.0以上)登录设备,设置SecureCRT仿真终端为”Linux”,设置过程为:“选项”->“会话选项”->“终端”->“仿真”,选择“Linux”,如果已经连接远程设备,需要重新连接,更改的设置才会生效。5、对于语系为中文的操作系统,建议将CRT默认字符编码修改为UTF-8,即“选项”—“会话选项”—“终端”—“外观”,右边“字符编码”修改为“UTF-8”。4、务必取消SecureCRT记录会话日志选项,即取消记录“会话日志”和“会话原始日志”。
2024-11-25 15:28:47 968
原创 安装AT300 DUO卡驱动、固件
看到Device d500 的设备,说明机器已经识别到安装的卡。如果未找到说明服务器未识别到卡,可以检查是否安装到位,如果安装没问题,说明卡有问题。
2024-11-21 15:47:27 379
原创 FC 500 license申请
在申请License时,必须使用FusionCube Vision Pro平台生成的ESN号,才能保证申请到的License文件合法有效。任何不使用FusionCube Vision Pro平台生成的ESN号,都会造成申请到的License文件无法通过合法性校验,将不能正常加载到FusionCube Vision Pro平台中以管理员登录FusionCube Vision Pro管理页面,选择“系统 > 许可证管理”,进入“许可证管理”界面。在“许可证管理”页面,获取ESN信息。
2024-11-21 15:35:35 302
原创 华为FusionCube 500-8.2.0SPC100 实施部署文档
使用浏览器登录https://<fusioncube_builder_IP>:8443,输入用户admin和密码,登录部署工具界面。检查节点BMC管理是否存在用户“fc2mgmt”,如果没有需要给节点BMC添加用户“fc2mgmt”选择安装场景和虚拟化平台类型,使用默认“FusionSphere”,点击下一步。上一步校验完成后,提示是否开始安装,点击“确定”开始安装。校验配置参数,完成后点击“初始化”按钮。软件安装完成,点击“完成”按钮。初始化完成,点击“确定”按钮。设置数据冗余策略2副本。
2024-11-21 15:15:49 1045
原创 IPPBX概述
IP PBX毫无疑问是CTI的又一次发展,它不再是两网简单的相加,而是彻底去掉了一套昂贵的PBX网络及两网连接设备,电话网络仅成为服务对象接入的一个手段,这种系统结构的设计使得呼叫中心的成本至少降低了30%,同时由于开放的IP PBX能够提供许多功能,使得呼叫中心的性能价格比得到极大提高。IP PBX是一种电信设备,IP PBX是一种专用交换机(企业内的电话交换系统),用于在本地线路上的VoIP(互联网协议语音或IP)用户之间切换呼叫,同时允许所有用户共享一定数量的外部电话线路。
2024-09-18 12:44:35 1047
原创 VoIP协议
我们都知道VoIP业务有着压倒性的优势。随着网络应用的多元化和低成本化发展,VoIP业务直接冲击着传统通信市场,那么目前VoIP协议目前常用的协议,如H.323、SIP、MEGACO和MGCP。
2024-09-18 11:03:34 1009
原创 SIP协议
什么是SIP,这里讲的SIP是一种VoIP网络通信协议,SIP是一种应用层协议,全称叫,也是互联网上现代交互式通信(语音通话,视频通话等)的基础。SIP(SessionInitiationProtocol,会话发起协议)是由IETF推出的一种用于建立、修改和终止多媒体会话的应用层控制协议。这些多媒体会话包括Internet多媒体会议、远程教育、Internet电话等。
2024-09-18 10:22:39 1171
原创 IPv6路由基础
RIPng是一种较为简单的内部网关协议,是RIP在IPv6网络中的应用。RIPng主要用于规模较小的网络中,比如校园网以及结构较简单的地区性网络。由于RIPng的实现较为简单,在配置和维护管理方面也远比OSPFv3和IS-IS for IPv6容易,因此在实际组网中仍有广泛的应用。
2024-09-13 15:30:26 480
原创 AAA原理与配置
RADIUS是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了基于UDP(User Datagram Protocol)的RADIUS报文格式及其传输机制,并规定UDP端口1812、1813分别作为认证、计费端口。•RADIUS服务器:一般运行在中心计算机或工作站上,维护相关的用户认证和网络服务访问信息,负责接收用户连接请求并认证用户,然后给客户端返回所有需要的信息(如接受/拒绝认证请求)。
2024-09-04 09:33:09 880
原创 ACL访问控制列表
ACL分类:标准访问控制列表(调用在接近源设备上) 1-99只能对源进行控管扩展访问控制列表(调用在接近目标设备上) 100-199命名访问控制列表时间访问控制列表acl运行规则:一.依据序列号对ACL进行逐条匹配 (顺序性)二.匹配中ACL中的一条列表既结束ACL过滤动作 (匹配任意一条,就跳出ACL动作)三.列表尾部隐式拒绝所有 (ACL默认拒绝所有流量通过)
2024-09-03 16:54:44 346
原创 网络地址转换NAT(Network Address Translation)
NAT是将IP数据报文头中的IP地址转换为另一个IP地址的过程,主要用于实现内部网络(私有IP地址)访问外部网络(公有IP地址)的功能。Basic NAT是实现一对一的IP地址转换,而NAPT可以实现多个私有IP地址映射到同一个公有IP地址上。
2024-09-03 16:34:53 392
原创 ZTP(Zero Touch Provisioning)
ZTP(Zero Touch Provisioning)开局是指新出厂或空配置设备上电启动时采用的一种自动加载开局文件(包括系统软件、配置文件、补丁文件等)的功能。
2024-09-03 15:40:32 1317
原创 S-MLAG-简单跨设备链路聚合
通过S-MLAG(Simple Multichassis Link Aggregation,简单跨设备链路聚合)功能将多台物理设备在聚合层面虚拟成一台设备实现简单的跨设备链路聚合,在服务器对接的场景中提供设备级冗余保护和流量负载分担。
2024-09-03 13:33:54 1131
原创 虚拟系统VS
虚拟系统VS(Virtual System)是指将一台物理设备PS(Physical System)虚拟成多个相互隔离的逻辑系统。每个VS独立工作,在业务功能上等同于一台独立的传统物理设备,如图2-1所示。
2024-09-03 12:53:37 1183
原创 超级虚拟交换网技术SVF
超级虚拟交换网技术SVF(Super Virtual Fabric)是指将多层网络设备纵向虚拟成一台设备,由控制设备统一管理和配置接入设备,从而达到简化管理与配置的目的,如图1所示。
2024-09-03 12:18:58 1276
原创 PPPoE原理与配置
PPPoE(PPP over Ethernet)协议是一种把PPP帧封装到以太网帧中的链路层协议。PPPoE可以使以太网网络中的多台主机连接到远端的宽带接入服务器。
2024-09-02 21:33:07 1191
原创 帧中继了解
帧中继工作在OSI参考模型的数据链路层,是数据链路层使用简化的方法传送和交换数据单元的一种方式。帧中继的重要特点之一是将X.25分组交换网中分组节点的差错控制、确认重传、流量控制、拥塞避免等处理过程进行简化,缩短了处理时间,这对有效利用高速数字传输信道十分关键。帧中继主要应用在广域网中,支持多种数据型业务。主要解决以下问题:•帧中继在初期运用时非常容易在原有的X.25的接口上进行软件升级来实现。
2024-09-02 17:50:51 1058
原创 HDLC 和 PPP 原理与配置
PPP协议是一种点到点链路层协议,主要用于在全双工的同异步链路上进行点到点的数据传输。PPP既支持同步传输又支持异步传输,而X.25、FR(Frame Relay)等数据链路层协议仅支持同步传输,SLIP仅支持异步传输。PPP协议具有很好的扩展性,例如,当需要在以太网链路上承载PPP协议时,PPP可以扩展为PPPoE。PPP提供了LCP(Link Control Protocol)协议,用于各种链路层参数的协商。
2024-09-02 17:33:47 1212
原创 GARP、VTP和VLAN间的路由
GARP(Generic Attribute Registration Protocol)协议主要用于建立一种属性传递扩散的机制,以保证协议实体能够注册和注销该属性。GARP作为一个属性注册协议的载体,可以用来传播属性。将GARP协议报文的内容映射成不同的属性即可支持不同上层协议应用。GVRP(GARP VLAN Registration Protocol)是GARP的一种应用,用于注册和注销VLAN属性。GARP协议通过目的MAC地址区分不同的应用。
2024-09-02 14:39:56 627
原创 VLAN原理和配置
TPID:Tag Protocol Identifier,2字节,固定取值,0x8100,是IEEE定义的新类型,表明这是一个携带802.1Q标签的帧。干道链路(Trunk Link):连接交换机和交换机的链路称为干道链路。干道链路上通过的帧一般为带Tag的VLAN帧。接入链路(Access Link):连接用户主机和交换机的链路称为接入链路。如本例所示,图中主机和交换机之间的链路都是接入链路。VLAN标签长4个字节,直接添加在以太网帧头中,IEEE802.1Q文档对VLAN标签作出了说明。
2024-09-02 13:04:31 319
原创 LACP链路聚合
如果一条活动链路发生故障,该链路传输的数据被切换到一条优先级最高的备份链路上,这条备份链路转变为活动状态。为了避免这种情况的发生,Eth-Trunk采用逐流负载分担的机制,这种机制把数据帧中的地址通过HASH算法生成HASH-KEY值,然后根据这个数值在Eth-Trunk转发表中寻找对应的出接口,不同的MAC或IP地址HASH得出的HASH-KEY值不同,从而出接口也就不同,这样既保证了同一数据流的帧在同一条物理链路转发,又实现了流量在聚合组内各物理链路上的负载分担,即逐流的负载分担。
2024-09-02 12:51:01 2186
原创 企业网络高级解决方案概述
将网络在逻辑上分为不同的区域:接入、汇聚、核心区域,数据中心区域,DMZ区域,企业边缘,网络管理区域等。此网络使用了一个三层的网络架构,包括核心层,汇聚层,接入层。在网络中使用冗余架构,可以尽可能地保证无论任何设备或链路发生故障,用户业务都不会被影响。但冗余不能过度使用,因为太多的冗余节点难以维护,并且增加了整体开销。能够支持各种应用对网络的需求,包括高密度的用户接入,移动办公,VoIP,视频会议和视频监控的使用等,满足了客户对于可扩展性,可靠性,安全性,可管理性的需求。
2024-09-02 10:08:01 286
原创 Spine-Leaf 架构设计综述
表 1 Cisco FabricPath 网络特性表 2 Cisco VXLAN flood-and-learn 网络特性控制平面学习到 end-host 的 L2 和 L3 可达性信息(MAC 和 IP),然后通过 EVPN 地址 族分发这些信息,因此提供了 VXLAN overlay 网络的桥接和路由功能。这种方案减少了网 络泛洪,以及本地 VTEP 上的 ARP suppression。三层内部流量直接通过 ToR 上的分布式 网关路由,扩展性(scale-out)比较好。
2024-08-28 09:39:10 2122
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人