大嘴先生

实验拓扑图及条件：一、对每台路由器的接口配置IP、配置RIP、配置OSPFR1：syssysn R1int g0/0/0ip add 10.1.1.1 30int g0/0/1ip add 192.168.255.2 30rip 1ver 2--------------[ 配置RIPv2协议 ]network 10.0.0.0R2：syssysn R2int g0...

目录背景对流量行为的控制需求分析控制网络流量可达性调整网络流量路径-单协议简单场景路由策略定义目的作用实现机制地址前缀列表IPPrefix List语法规则Filter-Policy距离矢量路由协议（RIP）进行传递的原理链路状态路由协议（OSPF）路由传递原理OSPF只有一个区域进行路由过滤图解OSPF区域间进行过滤图解配置路由策略控制实验Route-Policy匹配规则动作配置命令 Route...

目录引入外部路由外部路由类型配置命令引入外部路由后，Forwarding-Address字段验证汇总区域间路由汇总外部路由汇总特殊区域配置Stub区域配置完全末梢区域末梢区域和完全末梢区域存在的问题NSSA区域与Totally NSSA区域配置特殊区域Stub、NSSA实验引入外部路由把不属于OSPF进程的路由进行注入，从而通过OSPF进行宣告外部路由类型如开销值相同，则E1优于E2...

目录前言HDLC协议应用HDLC配置PPP协议应用PPP组件PPP认证模式：PAP和CHAPPPP认证配置配置实验拓扑图命令配置（PAP认证）前言广域网中经常用使用串行链路来提供远距离的数据传输，高级数据链路控制HDLC（High-Level Data Link Control）和点对点协议PPP（Point to Point Protocol）是两种典型的串口封装协议.HDLC协议应用HDLC（High-Level Data Link ...

目录技术背景ARP主要攻击方式和危害仿冒网关欺骗网关ARP攻击是一种非常恶劣的网络攻击行为ARPMiss技术背景“ARP病毒”、“ARP欺骗”、“ARP攻击”，早已恶名昭著，小小的ARP协议经常让网络变得莫名其妙的奇慢无比、上不了网、甚至导致设备或网络整体瘫痪。ARP主要攻击方式和危害 攻击类型 备注 仿冒攻击 仿冒网关或其他主机 欺骗攻击 ...

目录技术背景IPSGIPSG工作原理IPSG接口角色IPSG应用场景IPSG配置配置命令技术背景随着网络规模越来越大，通过伪造源IP地址实施的网络攻击（IP地址欺骗攻击）也逐渐增多。攻击者伪造合法用户的IP地址获取网络访问权限，非法访问网络，甚至造成合法用户无法访问网络，或者信息泄露。IPSGIP Source Guard，IP源防攻击 基于二层接口的源IP地址过滤技术 防止恶意主机伪造合法主机的IP地址来仿冒合法主机 ...

目录DHCP面临的安全威胁DHCP安全威胁DHCP SnoopingDHCP Snooping端口类型DHCP Snooping绑定表DHCP Snooping配置配置命令DHCP面临的安全威胁 网络攻击行为无处不在，针对DHCP的攻击行为也不例外。例如，某公司突然出现了大面积用户无法上网的情况，经检查用户终端均未获取到IP地址，且DHCP Server地址池中的地址已经全部被分配出去了，这种情况很有可能就是DHCP收到了饿死攻击而导致的 DHCP在设计上.

目录端口安全端口安全配置MAC地址漂移配置命令MAC-Spoofing-Defend端口安全Port-Security，提供以下机制 限制MAC的数量 限制MAC的内容 将学习到的动态MAC地址转换为安全MAC地址（包括安全动态MAC、安全静态MAC和Sticky MAC），组织非法用户通过本接口和交换机通信，从而增强设备安全性。 类型 备注 安全动态MAC地址 设备重.

目录基于MAC的攻击MAC泛洪攻击MAC地址表项分类MAC地址表安全功能MAC地址表特性参数MAC安全特性配置静态MAC和禁止MAC地址学习或限制端口MAC地址学习数量的配合使用MAC刷新ARP应用场景基于MAC的攻击MAC地址泛洪和欺骗MAC泛洪攻击泛洪攻击解释：（以上图为例）原本MACA在交换机的 1端口连接，即交换机的 1端口记录着MACA的信息；端口 2记录着MAC B的信息；攻击者 MAC C向交换机发送大量的...

目录IPSec工作流程中的专业术语安全联盟SAIKE协商阶段主模式和野蛮模式的区别IPSec SA建立模式IPSecVPN配置步骤命令配置配置两端命令对比IPSec工作流程中的专业术语 术语 备注 Negotiate 协商，两个节点要开始安全发送数据之前，必须完成的事情 SA Security Association 安全联盟 协商的结果，类似...

目录两种加密算法的结合信息摘要公钥加密技术数据加密数字签名解决了两个方面的问题证书CA的作用证书的颁发过程PKI协议两种加密算法的结合在实际使用中，通信双方通常会使用公钥密码学来交接密钥素材，双方最终计算出密钥，而用对称密码学来加密实际的数据，两者配合使用，保证了加密速度和安全性。上图解释：初始阶段，双方交换自身公钥； A 使用 [B的公钥] 对算法（协商共同需要使用的密钥）进行加密，B 收到后使用自身密钥解密。从而：A、B双方计算出..

目录PKI基础机密性技术加密技术分类非对称加密PKI基础Public Key Infrastructure ，公钥基础架构 通过公钥技术与数字证书确保信息安全的体系； 由公钥加密技术、数字证书、CA、RA等共同组成 PKI体系能够实现的功能有： 机密性 完整性 身份验证 不可否认性 机密性技术 明文：需要被隐蔽的消息 密文：明文经变换形成的隐蔽形式 加密.

目录技术背景BFDBFD工作机制BFD状态机制BFD会话工作方式BFD报文格式BFD运行模式会话建立前模式会话建立后模式BFD应用场景BFD检测IP链路BFD单臂回声功能BFD与其他协议联动BFD与接口状态联动BFD与静态路由联动BFD与OSPF联动BFD与BGP联动BFD与VRRP联动技术背景故障检测需求及主要方法为了减小设备故障对业务的影响、提高网络的可用性，设备需要能够尽快检测到与相邻设备间的通信故障，以便能够..

目录VRRP跟踪VRRP配置VRRP跟踪当Master上行链路故障时，自动修改优先级，重新选举Master。解释： 右边主机默认走汇聚层上面的交换机； 当汇聚层的上层链路出现故障； 如果不配置跟踪，那么主机还是会走上面的交换机，但是走上面的交换机并没有用处，还是需要走下面的交换机。 Reduce 30表示：当上行链路出现故障，并检测出来时，将优先级减多少（默认减10） 下图解释： 默认左为Master主VRR...

目录前言组网中遇到的问题链路聚合应用场景链路聚合概述链路聚合模式手动负载分担模式LACP模式LACP模式活动链路的选取LACP模式的抢占机制链路聚合条件链路聚合负载分担类型数据流链路聚合配置（手工）链路聚合配置（LACP）前言随着网络规模不断扩大，用户对骨干链路的带宽和可靠性提出了越来越高的要求。在传统技术中，常用更换高速率的接口板或更换支持高速率接口板的设备的方式来增加带宽，但这种方案需要付出高额的费用，而且不够灵活。采用链路...

目录前言STP、RSTP面临的问题MSTP多生成树协议MSTP基本概念术语及特点MSTP各种树CST、IST、CIST、总根和域根MSTP计算方法公共生成树计算内部生成树（IST）计算实例生成树（MSTI）计算转发过程MSTP计算结果及分析MSTP配置命令STP、RSTP、MSTP的兼容性STP各版本对比前言 RSTP在STP基础上进行了改进，实现了网络拓扑快速收敛。但由于局域网内所有的VLAN共享一棵生成树，因此被阻塞后链...

目录技术背景BPDU保护解决办法命令根保护解决办法命令环路的产生环路保护机制命令TC保护命令推荐方案技术背景为了更好的保证RSTP协议在网络不稳定的情况下，尽可能的保证流量的正常转发，在标准协议中新增了4种保护功能。 保护机制 应用端口 作用 BPDU保护 边缘端口 边缘端口收到BPDU后，把边缘端口shutdown...

目录前言STP的问题点问题一：设备从初始状态到完全收敛至少需要30s问题二：直连端口故障，将另外端口转换为RP端口，需要至少30s问题三：非直连端口故障问题四：终端连接上来，需要至少30s问题五：拓扑变更STP的不足之处不足之处--端口角色不足之处--端口状态RSTP特点RSTP端口状态RSTP BPDU格式针对不同问题的解决办法针对问题一：P/A机制针对问题二：根端口快速切换根桥针对问题三：次优BPDU处理机制针对问题四：边缘端口..

技术背景传统VLAN部署中，一个VLAN对应一个万股单和一个VLANIF三层接口实现不同VLAN间通信，但这样的部署很容易导致IP地址的浪费。SuperVLAN又称为VLANAggregation，VLAN聚合 实现位于相同网段但不同VLAN间的用户通信 只需一个VLANIF接口作为不同VLAN的共同网关 引入了Super-VLAN和Sub-VLAN概念 目的：节约IP地址，防止过度浪费 术语 备注...

目录端口隔离配置命令代理ARPMUXVLANMUXVLAN技术术语MUX-VLAN实验要求拓扑图端口隔离实现同一VLAN内端口之间的隔离 交换机端口之间的一种访问控制安全控制机制 配置端口隔离后，无论是哪个VLAN，都不能互相通信 配置命令 命令 备注 解释 port-isolate enable group 5 开启端口隔离功能，默...

目录前言路由器如何转发组播报文组播路由协议概述PIM：协议无关组播PIM模式PIM-DM密集模式PIM-DM工作流程选举DR：充当IGMPv1的查询器组播报文扩散过程剪枝/加入过程SPT的形成PIM-DM状态刷新机制嫁接过程断言机制PIM-DM配置PIM配置实现PIM-SM稀疏模式PIM-SM工作流程邻居发现和DR选举加入过程组播源注册RPT向SPT的切换RP发现RP选举规则PIM-SM配置命令...

组播分发树 描述组播数据在网络中的转发路径，由组播路由协议建立 有两种类型：SPT（最短路径树）和RPT（共享树） 组播分发表示方法 形式 备注 （S，G） 通常用来表示最短路径树，或者由组播源S发往组播组G的组播报文。 “S”代表特定组播源，“G”代表特定组播组G （*，G） 通常用来表示共享树，或者由任意组播源发往组播组G的组播报文。...

技术背景二层中组播数据转发的数据 组播数据在二层被泛红，造成： 网络资源浪费 存在安全隐患 IGMP Snooping概述 解决组播报文在二层泛洪的问题 运行在数据链路层，是二层交换机上的组播约束机制，用于管理和控制组播组 通过监听IGMP报文，建立组播MAC地址表 下图中：路由端口表示上游接口（接收组播源数据）成员端口表示下游接口（对组播数据进行分发） ...

技术背景通常，一个网段内只有一个网关。因此一旦网关出现故障，该就被孤立。VRRP虚拟路由器冗余协议Virtual Router Redundancy Protocol 将多个物理网关加入到备份组中，形成一台虚拟网关，承担物理网关功能 只要备份组中仍有一台物理网关正常工作，虚拟网关就仍然正常工作 两个版本：VRRPv2基于IPv4，VRRPv3基于IPv6 VRRP备份组VRRP Group 将局域网内的一组网关设备划分在一起，...

目录前言组播组管理协议工作机制IGMPIGMP版本IGMPv1报文格式IGMPv1的简单实验IGMPv1的工作机制IGMPv1成员加入IGMPv1问题一：组成员离开IGMPv1问题二：查询器选举IGMPv2报文格式IGMPv2工作机制IGMPv2对IGMPv1的改进：组成员的离开IGMPv3概述SSM模型中的新需求IGMPv3工作机制及改进之处IGMPv3主机和路由器交互过程-普遍组查询IGMPv3主机和路由器交互过程-特定源组查询.

NAT应用场景 私有地址不能在公网中路由 NAT一般部署至连接内网和外网对的网关设备上 NAT优点 有效避免来自外网的攻击，可以很大程度上提高网络安全性 控制内网主机访问外网，同时也控制外网主机访问内网，解决了内网和外网不能不同的问题 NAT静态 静态NAT实现了私有地址和公有地址的一对一映射 一个公网IP指挥分配给唯一且固定的内网主机 如果希望一台主机优先使用某个关联地址，或者想要外部网络使用一个指定的公...

OSPF基础：https://blog.csdn.net/weixin_45839854/article/details/105781556OSPF不同网络类型通讯、虚连接的应用：https://blog.csdn.net/weixin_45839854/article/details/106268793不同的网络类型对OSPF五种包操作方法 Hello DBD LSR L...

OSPF邻居建立过程手动建立邻居OSPF支持通过单播方式建立邻居关系。对于不支持组播的网络可以通过手动配置实现邻居的发现和维护命令：OSPF的数据库（LSDB）同步过程选举主从路由器选举方式：比较RouterID选举结果：从路由器跟随主路由器的序列号开始发送数据，主路由器可以对序列号+1①：Seq：序列号（随机值） I：是否第一个包 M：后面是否还有包 MS：主 还是 从 （双方第一个包默认为主...

重点：ACL规则、类型、原理、配置、应用难点：ACL规则、原理理解作用根据不同的规则，设备根据这些规则对数据包进行分类，并针对不同类型报文进行不同的处理，从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。ACL应用场景ACL可通过定义规则来允许或拒绝流量的通过ACL工作原理 ACL由一条或多条规则组成 每条规则必须选择动作（允许或拒绝...

查看配置DHCP服务器可用IP地址命令（理论值）：dis ip poolDHCP（Dynamic Host Configure Protocol），动态主机配置协议 从BOOTP（BootstrapProtocol）协议发展而来（如使用Wireshark抓包，应过滤关键词为 bootp）； UDP封装，服务器=67，客户端=68； 动态分配TCP/IP信息（IP地址、子网掩码、默认网关、DNS服务器等） 分配出去的信息是有租约的 ...

技术背景为了提高网络可靠性，交换网络中通常会使用冗余链路。然而，冗余链路会给交换网络带来环路风险，并导致广播风暴以及MAC地址表不稳定等问题，进而会影响到用户的通信质量。生成树协议STP（Spanning Tree Protocol）可以在提高可靠性的同时又能避免环路带来的各种问题。二层网络设计需求和问题 为了提高可靠性，交换机之间会通过多条链路相连，从而避免...

GARP（通用属性注册协议），是为处于同一个交换网内的交换机之间提供了一种分发、传播、注册某种信息（VLAN属性、组播地址等）的手段。主要用于大中型网络中。GVRP是GARP的一种具体应用或实现，主要用于维护设备动态VLAN属性 通过GVRP协议，一台交换机上的VLAN信息会迅速传播到整个交换网络 GVRP实现了LAN属性的动态分发、注册和传播，从而减少了网络管理员的工作量，也...

传统VLAN路由VLAN路由——单臂路由单臂路由：将路由器与交换机之间链路配置为Trunk，且将路由器的一个物理口划分为多个逻辑子接口；单臂路由配置： 命令 备注 dot1q termination vid 10 关联子接口和VLAN arp broadcas...

技术背景 交换机所有接口属于一个广播域，往往也是一个逻辑子网； 用户无法根据业务需要灵活的在交换机上进行广播域的隔离； 随着网络规模变大、数据变多，广播风暴将给网络带来重大问题。 VLAN优点 有效控制广播域范围 增强局域网的安全性 灵活构建虚拟工作组 简化网络管理 VLAN特点 将一个物理局域网在逻辑...

简介由于RIP基于距离矢量算法，存在收敛慢（30s）、易产生路由环路（需要水平分割、毒性反转等防环）、可拓展性差（16跳不可达）等问题，所以被OSPF取代。OSPF（开放式最短路径优先协议）特性：大中型网络上使用最为广泛的IGP协议链路状态路由协议无类使用组播（224.0.0.5和224.0.0.6）收敛较快以开销（Cost）作为度量值采用的SPF算法可以有效避免环路触发...

特性：距离矢量路由协议，属于IGP协议适用于中小型网络，有RIPv1和RIPv2两个版本基于UDP，目标端口号520周期性更新（约30s更新一次）支持水平分割、毒性逆转和触发更新等防环特性RIP数据包封装结构RIP工作原理当设备都开启RIP协议后，每台设备会向对方发送request请求包；收到请求的路由器会发送自己的RIP路由进行响应RIP度量值（开销、cost值等）...