- 博客(35)
- 资源 (1)
- 问答 (1)
- 收藏
- 关注
RSS订阅转载 理论随心记——网闸
**1、什么是网闸?**网闸是在两个不同安全域之间,通过协议转换的手段,以信息摆渡的方式实现数据交换,且只有被系统明确要求传输的信息才可以通过,其信息流一般为通用应用服务。网闸的“闸”字取自于船闸的意思,在信息摆渡的过程中内外网(上下游)从未发生物理连接,所以网闸产品必须要有至少两套主机和一个物理隔离部件才可完成物理隔离任务。现在市场上出现的的单主机网闸或单主机中有两个及多个处理引擎的过滤产品不是真正的网闸产品,不符合物理隔离标准。其只是一个包过滤的安全产品,类似防火墙。注:单主机网闸多以单向网闸
2020-09-18 10:05:30
1011
原创 理论随心记——防火墙NAT
该内容只是以默写总结一些知识点而已,顺便分享出来和方便翻阅。无他。有错误的地方麻烦批评指正。十分感谢。防火墙NAT私网用户访问internet源NATNO-PATNAPT公网用户访问内网服务器私网用户访问internet源NAT源NAT就是只对报文的源地址进行地址转换。NO-PAT其实学过NAT的时候我们就知道了动态NAT和NAPT了。所谓的动态NAT就是指NO-PAT,就是不转换端口,只转换地址。一个内网地址就对应地址池中的一个外网地址。当内网用户访问internet时,报文到达防火墙时处理如
2020-09-17 23:48:26
1329
原创 理论随心记——防火墙基础介绍
该内容只是以默写总结一些知识点而已,顺便分享出来和方便翻阅。无他。有错误的地方麻烦批评指正。十分感谢。防火墙与其他设备区别防火墙,故名思意就是阻止火势从一个区域蔓延到另一个区域,所以作用就是保护一个区域免受来自其他区域的攻击。我们之前常接触的设备是交换机和路由器,交换机主要是隔离冲突域和组件局域网。路由器主要是寻址路由,分组重组来使得不同网络互通。这两者的实质是转发,而防火墙的实质是控制。我们也知道,路由器其实也是有一定的防护能力的,像一些简单包过滤。那防火墙相比路由器在安全防护上有什么特点呢?我们
2020-09-17 21:07:52
1374
原创 理论随心记——IPV4向IPV6过渡技术
该内容只是以默写总结一些知识点而已,顺便分享出来和方便翻阅。无他。有错误的地方麻烦批评指正。十分感谢。以下知识内容学习于《谢希仁计算机网络第七版》以前一直用的是IPV4地址,由于如今地址不够,所以有了IPV6地址。但是不可能一下子全部整改成IPV6吧?所以在过渡阶段要考虑如何实现IPV4向IPV6过渡。有俩种策略,即双协议栈和隧道技术。双协议栈顾名思义就是一个设备同时有两个协议栈,一个IPV4,一个IPV6,这样就既可以与IPV4通信,也可以与IPV6通信。那要如何判断通信时采用哪种协议栈呢?依靠域名
2020-09-12 18:50:01
1122
原创 理论随心记——DHCPV6基础
该内容只是以默写总结一些知识点而已,顺便分享出来和方便翻阅。无他。有错误的地方麻烦批评指正。十分感谢。IPV6生成全球单播地址有俩种方式:手动配置/自动配置自动配置分为无状态地址自动配置和有状态地址自动配置。有状态地址自动配置也就是DHCPV6方式。服务器和客户端之间依靠UDP协议来交互DHCPV6报文,服务器使用的UDP端口号是547,客户端使用的UDP端口号是546。DHCPV6方式又分为DHCPV6有状态自动分配:服务器为客户端分配IPV6地址以及其他网络参数。DHCPV6无状态自动分配:服
2020-09-12 13:32:49
1369
原创 理论随心记——OSPFV3基础
该内容只是以默写总结一些知识点而已,顺便分享出来和方便翻阅。无他。有错误的地方麻烦批评指正。十分感谢。IPV6链路状态路由协议是使用OSPFV3,IPV6是OSPFV2。同样的IPV6也需要配置RID,格式是IPV4地址格式,但是不是说等同于IPV4地址。OSPFV3的RID是必须手工配置的,如果没有配置,将无法运行。OSPFV3是基于链路的而不是网段的,所以物理接口是使用本地链路单播地址(link-local address)去发送交互报文,即使配置了全局地址也一样。那么是怎么进行交互呢?OSPF3同
2020-09-12 10:35:49
533
原创 理论随心记——ipv6基础及地址分配之无状态地址自动配置
该内容只是以默写总结一些知识点而已,顺便分享出来和方便翻阅。无他。有错误的地方麻烦批评指正。十分感谢。IPV6地址有128位。IPV6报文由IPV6基本报头(40字节),IPV6扩展报头和上层协议数据单元组成。IPV6采用冒号十六进制:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxxxxxx是4个十六进制数。一个IPv6地址由IPv6地址前缀和接口ID组成。FE80::/10 链路本地地址,只在同一本地链路有效。以其为源地址或者目的地址的报文不会被转发到其他链路。
2020-09-12 00:10:46
2393
原创 理论随心记——GRE封装解封装
该内容只是以默写总结一些知识点而已,顺便分享出来和方便翻阅。无他。有错误的地方麻烦批评指正。十分感谢。GRE封装和解封装的过程:1、设备从连接私网的接口收到报文后,根据报文的目的地址,查找出接口,如果发现出接口是隧道接口,则交给隧道模块进行处理。2、隧道模块对收到的报文进行封装,添加GRE报文头。3、然后,设备给报文添加传输协议报文头,即IP报文头。IP报文头的源地址就是隧道的源地址,目的地址就是隧道的目的地址。4、最后,设备根据新添加的IP报文头目的地址查找出接口,并发送报文。5、接收端设备收
2020-09-10 16:01:46
1045
原创 理论随心记——IPSec静态/动态配置思路
该内容只是以默写总结一些知识点而已,顺便分享出来和方便翻阅。无他。有错误的地方麻烦批评指正。十分感谢。静态①隧道两端能通②创建ACL③创建安全提议(proposal)A、安全协议(transform)B、封装模式(encapsulation)C、认证算法(authentication)D、加密算法(encryption)④创建安全策略(policy)A、应用acl(security acl)B、应用安全提议(proposal)C、本端地址(local)D、对端地址(remote)
2020-09-09 23:38:26
634
原创 理论随心记——Access/Trunk/Hybrid
Access接收:在收到数据后会添加VLAN Tag,Vlan Tag与端口的PVID相同。发送:在发送数据前会剥离Vlan Tag。Trunk接收:在收到数据时,①如果不包含Tag,则添加端口的PVID。②如果有携带Tag,则不改变。发送:在发送数据前,如果数据的VLAN ID在允许发送的VLAN ID列表中:①如果VLAN ID与端口的PVID一样,则剥离Tag后发送。②如果VLAN ID与端口的PVID不一样,则直接转发。Hybrid接收:在收到数据时,①如果数据不包含Tag,
2020-09-09 10:16:16
158
原创 Ensp实验随心记——MPLS 维皮恩(一)
理论才是实验的关键,学好理论再看实验,才知所以然。实验有步骤顺序性,愿意学能看懂的。有错误请批评指正。MPLS VPN1.ISP运行IGP,运行MPLS+ LDP:配置好基础的ip地址后,配置公网ospf进程:MPLS配置:2.在PE之间建立BGP vpnv4邻居。这样才可以用于传递VPNv4路由。3.用户提出接入。连接两个站点。先为两个站点建立VRF:...
2020-09-08 07:49:57
971
1
原创 Ensp实验随心记——MPLS-动态LSP
理论才是实验的关键,学好理论再看实验,才知所以然。实验有步骤顺序性,愿意学能看懂的。有错误请批评指正。动态LSP先用IGP协议实现路由互通(不再赘述)使用LDP协议实现LSP建立在R2 0/0/1口抓包:虽然都能通,但是接口ip的PING包却是不携带标签的。(前者来回包有携带标签,后者回包没有携带标签)华为LDP默认只会为32位主机路由分配标签。...
2020-09-05 17:05:16
936
1
原创 Ensp实验随心记——MPLS-静态LSP
理论才是实验的关键,学好理论再看实验,才知所以然。实验有步骤顺序性,愿意学能看懂的。有错误请批评指正。静态LSP运行OSPF使得网络可达。(接口:10.1.12.1;10.1.12.2;10.1.23.2;10.1.23.3)假设R3要去访问R1的1.1.1.1路由:先开启MPLS:在Ingress R3进行以下配置:static-lsp ingress net1 destination 1.1.1.1 32 nexthop 10.1.23.2 out-label 302在Tra
2020-09-05 13:31:49
970
原创 Ensp实验随心记——DHCPV6基础
理论才是实验的关键,学好理论再看实验,才知所以然。实验有步骤顺序性,愿意学能看懂的。有错误请批评指正。DHCPV6基础这部没有实际意义,只是了解下DUID的生成方式缺省是用ll;绑定的地址池要跟接口IP同个网段在接口配置DHCPV6服务器功能,需要在全局打开DHCP功能(v4和v6)关闭抑制并将M和O置1:网关是R1 0/0/0接口的link-local add,但是好像没获取到DNS。抓包:solicit报文,可以看到端口以及PC是用的自己的link-local
2020-08-27 00:12:43
3976
3
原创 Ensp实验随心记——IPV6路由基础
理论才是实验的关键,学好理论再看实验,才知所以然。实验有步骤顺序性,愿意学能看懂的。有错误请批评指正。配置基本的ospfv3尝试将IPv6地址拿掉:发现接口被down掉了,邻居起不来。因为该接口任何地址都没有所以我们可以手动让他产生link-local地址(思科的设备只要开启了v6,就会自动产生link-local addr)R2也一样:尝试ICMP:R3:...
2020-08-26 00:04:44
792
原创 Ensp实验随心记——IPV6基础
理论才是实验的关键,学好理论再看实验,才知所以然。实验有步骤顺序性,愿意学能看懂的。有错误请批评指正。IPV6基础接口IP地址静态配置配置无状态自动获取IP地址配置静态路由ipv6地址解析观察ipv6重复地址检测接口IP地址静态配置配置无状态自动获取IP地址关闭IPv6 RA报文的抑制:这样如果对接的是PC,正常的话是可以获取前缀信息然后生成ipv6地址的。但是这里是路由器,下面会介绍怎么获取,这里只用来查看RA报文。路由器发现功能是IPv6地址自动配置功能的基础,主要通过以下 两种报
2020-08-23 23:53:20
3371
1
原创 Ensp实验随心记——IPSec Over gre
理论才是实验的关键,学好理论再看实验,才知所以然。实验有步骤顺序性,愿意学能看懂的。有错误请批评指正。IPSec Over gre基础配置IPSec Over gre:将GRE的数据流保护起来配置IPSec Over gre:将GRE的数据流保护起来温馨提示:此实验延用上一章实验GRE:https://blog.csdn.net/Uniqueness981121/article/details/108177494R2也要配置:这时候出现了一些问题:1.ospf被down掉了。2.
2020-08-23 00:25:48
1055
原创 Ensp实验随心记——GRE基础配置
理论才是实验的关键,学好理论再看实验,才知所以然。实验有步骤顺序性,愿意学能看懂的。有错误请批评指正。GRE基础配置确保隧道的源目的址可以互通:创建tunnel:配置隧道虚拟地址10.1.13.1; 配置隧道协议;配置源目的地址(可以是接口也可以是IP地址);发现只要一边配置好了,隧道就起来了。所以要开启Keepalive缺省是5S发送一次。这时候会发现隧道接口down了。R2配置GRE:发现隧道接口up了。配置引导静态路由:当ping ISP环回口的时
2020-08-22 23:59:36
3333
1
原创 Ensp实验随心记——IPSec基础
理论才是实验的关键,学好理论再看实验,才知所以然。实验有步骤顺序性,愿意学能看懂的。有错误请批评指正。IPSec VPN静态IPSec配置动态IKE静态IPSec配置配置思路:①网络可达;②配置ACL识别兴趣流;③创建安全提议;④创建安全策略;⑤应用安全策略。安全提议:执行ipsec proposal命令,可以创建IPSec提议并进入IPSec提议视图。配置IPSec策略时,必须引用IPSec提议来指定IPSec隧道两端使用的安全协议、加密算法、认证算法和封装模式。缺省情况下,使用ipsec pr
2020-08-14 10:07:36
3901
1
原创 Ensp实验随心记——搭建小型网络
理论才是实验的关键,学好理论再看实验,才之所以然。实验有步骤顺序性,愿意学能看懂的。有错误请批评指正。搭建网络拓扑要求实验步骤拓扑要求1:企业内网共有3个业务vlan,分别是Group1 Gropu2 和Guest,使用Vlan10 20 30。 网关路由器和5700之间运行动态路由协议。 1.1:Guest,使用Vlan30 , 可以访问互联网,但不能访问内网服务器(Server-1),该网段自动分配IP地址,地址范围:192.168.1.100 ~ 192.168.1.199
2020-08-06 00:15:40
4844
原创 Ensp实验随心记——帧中继
理论才是实验的关键,学好理论再看实验,才知所以然。实验有步骤顺序性,愿意学能看懂的。有错误请批评指正。FR动态映射静态映射动态映射先配置R1和R2 通讯是双向的。所以这两行命令是缺省配置,建议输入,才能让自己记住FR的相关知识工作原理。[R1-Serial1/0/0]fr interface-type dte //将端口设置为DTE[R1-Serial1/0/0]fr inarp //开启逆向地址解析协议通过动态ARP映射。查看虚电路是否生效。动态获取。将自己的DLCI
2020-08-04 01:03:25
2036
原创 Ensp实验随心记——PPPOE
理论才是实验的关键,学好理论再看实验,才知所以然。实验有步骤顺序性,愿意学能看懂的。有错误请批评指正。PPPOEPPPOE配置实验客户端配置服务器配置PPPOE配置实验-------------服务器配置--------------------本来原先是应该先给服务端端口配置ip地址,用户端那边自动获取。但是后面我要用到虚模板,所以地址不能配在物理端口,故这里就不能配置IP地址了。先配个环回口地址来模拟公网。①创建地址池:②Virtual-Template:虚模板,这个接口是用来创建ppp
2020-08-03 01:02:26
2005
原创 Ensp实验随心记——PPP
理论才是实验的关键,学好理论再看实验,才知所以然。实验有步骤顺序性,愿意学能看懂的。有错误请批评指正。PPPPPP认证PAPCHAPIPCP动态地址协商(NCP协商)配置好接口IP地址和相关路由。缺省是PPP接口。如果配置了与对端的IP地址冲突。PPP认证PAP对于认证来说,作为认证方,在接口上开启认证功能。被认证方会发送它的用户密码信息发到认证方,所以认证方本地需要有对应的给予比较认证。故认证方要先有对方的用户名密码。被认证方需要把用户名密码发给运营商cipher 或
2020-08-02 00:53:49
2542
原创 Ensp实验随心记——HDLC基础
理论才是实验的关键,学好理论再看实验,才知所以然。实验有步骤顺序性,愿意学能看懂的。有错误请批评指正。HDLC地址借用地址借用配置好接口IP地址。缺省是PPP接口,故而会提示是否切换。不同的厂商设备不建议用HDLC协议,因为这个协议本身虽然是公有的,但是它是可以进行扩充的,所以逐渐变成私有的。这时候只有R2有借用,R1没有,所以两个不同网段,ping不通。但是,前面我们配置过PC到PC的路由,且用的是下一跳接口。所以ping得通。...
2020-08-02 00:27:06
460
原创 Ensp实验随心记——NAT
理论才是实验的关键,学好理论再看实验,才之所以然。实验有步骤顺序性,愿意学能看懂的。有错误请批评指正。NAT静态NAT动态NATEasy IPNAT服务器NAT综合配置静态NAT假如要ping通,我们可以通过配置路由协议就可以,但是我们的AR2模拟的是internet,是不能有192.168这些内网地址的。所以不可以这样做。这里我们将192.168.1.100转成200.1.1.3/24。192.168.1.200转成200.1.1.4/24 。这里的静态路由是必须要的,不然路由器无法知
2020-07-28 00:27:02
1927
1
原创 Ensp实验随心记——ACL
理论才是实验的关键,学好理论再看实验,才之所以然。实验有步骤顺序性,愿意学能看懂的。有错误请批评指正。ACL基本ACL配置高级ACL配置ACL实验环境基本ACL配置做控制列表之前要保证全网通。开始做acl策略匹配了5个报文一个端口只能调用一个acl,所以第二条策略也要编辑进2000同样PC4也不能访问,因为通讯是双向的。高级ACL配置如果不知道ensp的服务器如何使用,可以事先百度。这里是为了取消上面的基本ACL调用。所有设备已经能够互通了。开
2020-07-26 00:20:58
968
原创 Ensp实验随心记——AAA基础
AAA基础配置理论才是实验的关键,学好理论再看实验,才之所以然。实验有步骤顺序性,愿意学能看懂的。有错误请批评指正。分别创建认证方案和授权方案: authentication-scheme authentication-scheme-name 命令用来配置域的认证方案。缺省情况下,域使用名为“default”的认证方案。 authentication-mode { hwtacacs | radius | local } 命令用来配置认证方式,local指定认证模方式为本地认证。缺省情况下,认证
2020-07-25 23:36:08
4137
原创 Ensp实验随心记——DHCP基础
DHCP基础DHCP全局和接口地址池DHCP全局和接口地址池开启服务,定义地址池,配置地址范围,配置网关,配置DNS,配置租期。在路由器上可以直接进接口。但是交换机是进vlan还是接口呢?网关地址配在哪,一般就进入到哪个地方配。所以这里要进入vlan进行配置。DHCP只分配ip就可以运行该服务了,其他的都是我们自己可以附加上去的。当有一个服务器,也是在vlan20,但服务器是固定ip,所以我们要预留一部分地址不允许下发。配置接口DHCP:抓包:
2020-07-24 00:51:57
385
原创 Ensp实验随心记——OSPF(IA)
OSPF基础配置基本的ospf配置OSPF负载分担接口认证配置基本的ospf配置完基本的接口ip地址。(略)提示我们要重启OSPF进程。因为前面我们启动了ospf进程了,但是被我们退出后重新配置了ospf。所以后者是不生效的。我们可以查看:自动选择了一个物理口最大的地址。因为我们并没配置RouterID或者环回口。重新启动:已经生效为我们所要的配置。然后进入区域,宣告网段。在R2上也要配置ospf然后会收到状态变迁查看验证:display ip routing-table
2020-07-24 00:36:33
1270
原创 Ensp实验随心记——RIP
RIP基础配置动态路由协议的优势入方向接口附加度量出入方向接口附加度量实验步骤都是有顺序性的,真心学的话,看懂并不难,反而有益于建立思路。基础配置如果有多个接口属于同一个主网,那么只需要写一个。注:1、RIP路由聚合有俩种,分自动和手动。V2缺省启动路由聚合功能。但一般不会用自动聚合。所以启动rip后一般会输入版本号,然后undo summary always。2、V2是支持组播和广播,V1只能广播。但我们用v2的时候,默认是用组播方式,假如有台老旧设备,
2020-07-23 01:22:06
963
原创 Ensp实验随心记——静态路由
静态路由静态路由配置静态路由的负载分担配置主备静态路由路径选择静态不足之处静态路由配置disp ip route静态路由的负载分担再分别写静态路由配置主备实际工作中更多的是做备份。现假设如下:静态路由是无法辨识哪个是百兆千兆的,但我们这肯定要先走千兆。设置优先级比60大的数字(静态路由优先级缺省为60)静态路由路径选择当R1和R3直连链路断了,走R1->R2>R3当恢复时,则默认走R1->R3
2020-07-23 00:42:11
339
原创 Ensp实验随心记——链路聚合
文章目录手工配置静态lacp三层链路聚合手工配置这里只有200M,即使SW5有2G,但是实际只能转发200M。静态lacpSW5同理lacp有差错校验的效果。三条链路1:1:1,最大活跃是8。将其中一条链路作为备份。记住两边都需要修改假如我们将0/0/1down掉,实现备份效果。将SW5和SW6也修改:需要先删掉原先的。这是有问题的。不知道是模拟器问题还是说在真机操作的时候是配不了。按理两端会自动协商。三层链路聚合如果要在路由器上配置
2020-07-22 01:14:54
1066
原创 Ensp实验随心记——VLAN互通
VLAN互通一个VLAN对应一条物理连接单臂路由三层交换机一个VLAN对应一条物理连接原则上路由器默认情况下不能接收和发送带有vlan标记的数据帧,所以将access端口划分不同的vlan。但是以下成本过高,且繁琐。 路由器的接口利用率很低。因此,实际应用中一般不会采用这种方案来解决VLAN间的通信问题。配置PC1(192.168.10.100 24 192.168.10.1)配置PC2(192.168.20.100 24 192.168.20.1)单臂路由在交换机和路由器之间
2020-07-21 00:42:01
1305
原创 Ensp实验随心记——RSTP
文章目录RSTP实验RSTP实验SW1和SW2和SW3都同样改为rstp。将SW1设置为根交换机。此时SW2的g0/1端口没有配置边缘端口,我们将PC1停止然后重启,可以发现g0/1端口会处于discarding状态15S,随后处于learning状态15S,再进入forwarding。不是都设置为RSTP了吗?我们要注意,P/A机制是交换机与交换机之间,PC并不能发送BPDU,所以这里有两个转换时延。接着我们将其配置为边缘端口。再次关闭重启。发现几乎看不到有任何延迟进入
2020-07-16 18:21:10
2546
原创 Ensp实验随心记——ARP
这里写自定义目录标题基础ARP实验ARP代理实验TMD,做个最简单的实验发个文章太浪费时间了。估计不弄了。以后要是发大一点的拓扑实验,不得头破?有兴趣交流学习就进QQ群吧。532593532基础ARP实验实验拓扑配置PC1(192.168.10.100 255.255.255.0)配置R1 GE0/0/1口[R1]int g 0/0/1[R1-GigabitEthernet0/0/1]ip add 192.168.10.254 24查看PC1 ARP缓存表:PING 192.168.
2020-07-13 21:45:32
2626
1
请问如何让wireshark选择Npcap。而ensp选择wincap?
2020-07-14
TA创建的收藏夹 TA关注的收藏夹
TA关注的人