土豆123的博客

原创 3.防火墙旁路部署

通过在交换机上配置静态路由，将流量指到防火墙上；在防火墙上对于流量进行清洗；在防火墙上将流量指到交换机的VRF2上。由于虚拟的两个交换机完全隔离开来，所以就不会产生环路了。

原创 2. 思科设备开启guestshell

conf tiox###############################################################################int virtualportgroup 0 //相当于loopbackip add 10.1.1.1 255.255.255.0exitapp-hosting appid guestshell //配置g

原创 1. ESXI安装配置

环境：ESXI7.0插入U盘，设置从U盘启动，回车开始安装。回车继续F11同意协议按F2进入控制台修改IP地址修改为我们需要的IP地址访问控制台，输入 https://10.1.1.54

原创 1. 设备配置SSH登录

1.思科设备配置SSH登录设备型号为C3850ip domain-name SW1no ip domain lookupusername tudou123 password tudou123enable password tudou123crypto key generate rsa modulus 1024ip ssh version 2line vty 0 4login localtransport input sshprivilege level 152.华为设备配置S

原创 生成树故障排查

一、组网概述与故障现象汇聚两台CE6850堆叠，现新增两台华为S5720接入交换机SW05和SW06，最初SW05和SW06的双上联口做的trunk没有做链路聚合，汇聚CE6850做链路聚合允许vlan2-4094。上架后，SW06的两个上联口UP，SW05的一个接口UP，另一个接口不UP，检查配置，将SW05的双上联口已调整为链路聚合，一个接口还是不亮，后检查原因是汇聚上对应接口配置了关闭自协商开启后正常UP。汇聚CE6850上看到SW06日志有定时发起泛洪。二、处理过程1.display inte

原创 1. VXLAN同子网实验（入门）

由于PC1和PC2不在一个广播域，因此无法直接互通。因此，在VTEP1和VTEP2之间建立起一个VXLAN的静态隧道，使得PC1和PC2各自认为在同一个广播域。拓扑图如下：配置思路采用如下思路配置相同网段用户通过VXLAN通信：1.分别在VTEP1/VTEP2/Router上配置路由协议，保证网络三层互通。2.分别在SW1/SW2上配置业务接入点实现区分业务流量。3.分别在VTEP1/VTEP2配置VXLAN隧道转发业务流量。一. PC1/PC2初始化二. SW1/SW2初始化<S

原创 2. 互联网密钥交换协议 IKE

互联网密钥交换协议 IKE（Internet Key Exchange），对建立 IPSec的双方进行认证（需要预先协商认证方式）；通过密钥交换，产生用于加密和 HMAC 的随机密钥；协商协议参数(加密协议、散列函数、封装协议、封装模式和密钥有效期)。协商完成后的结果就叫做安全关联(SA)。SA 一共有两种类型，IKE SA，ipsec SA。一. IKE组成SKEME(安全密钥交换机制)：主要使用DH来实现密钥交换。Oakley：决定了IPSec的框架设计，让IPSec能够支持更多的协议。ISAK

原创 1. IPSEC框架

生活中经常会用到加密技术，但大多使用固定的加密算法，比如：网页安全HTTPS，无线安全WEP/WPA。安全隐患：如果加密算法本身被破解，技术将被迅速舍弃。IPSec本身不规定使用哪些算法，只提供框架，使用者可选择任一支持的算法，如果算法被破解，可随时更换。一. 散列函数散列函数，也叫hash函数（1）作用：验证数据完整性（防止数据被篡改，改动文件内容）（2）常用算法：MD5，SHA-1（3）特点：散列值长度固定，MD5-128bit，SHA1-160bit雪崩效应，修改其中任一字符，得到的

原创 8. 三级等保-安全区域边界-边界防护测评

应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。step1. 查看网络拓扑图，并比对实际的网络链路，确认网络边界设备及链路接入端口明确无误step2. 通过相关命令显示设备端口、Vlan信息。华为/H3C：思科：step3. 通过网络管理平台查看是否存在非授权的网络出口。2. 应能够对非授权设备私自联到内部网络的行为进行检查或限制。1）核查网络中采取了何种准入控制措施。终端管理系统 或者 各接入交换机开启MAC/IP地址绑定2）登陆设备、系统 确认准入措施配置..

原创 7. 常见网络攻击欺骗手段与防护

一．ARP欺骗用户上线后，在网关上生成用户的ARP表项。如果此时其中的一个用户（攻击者）通过发送ARP欺骗报文，修改正常用户或网关的ARP表项，即可以轻易的窃取其他用户的信息或阻碍其他用户正常访问网络。攻击手段如图所示，用户上线后，在网关上生成用户的ARP表项，用户可以正常访问网络。若此时攻击者向正常用户或网关发送ARP欺骗报文来修改它们的ARP表项，将可能产生如下网络危害：（1）如果攻击者冒充网关，向局域网内正常用户发送伪造的网关ARP报文，此时网络中正常用户访问网关的流量会被重定向到一个错误

原创 6. 3级等保——知识梳理

原创 5. 3级等保-安全通信网络-网络架构测评

1. 应保证网络设备的业务处理能力满足业务高峰期需要(1) 应核查业务高峰时期一段时间内主要网络设备的 CPU 使用率和内存使用率是否满足需要；华为/H3C：思科/锐捷：(2) 应核查网络设备是否从未出现过宕机情况；查看设备在线时长华为/H3C:思科/锐捷：（3）应测试验证设备是否满足业务高峰期需求。查看各设备日志，看是否出现性能告警信息华为/H3C：思科/锐捷：2. 应保证网络各个部分的带宽满足业务高峰期需要；通过网络管理平台查看，或在业务高峰时段登录登录链路接入设.

原创 4. 防火墙与网闸的区别和等保中的适用性

如今，网络隔离技术已经得到越来越多的用户重视，因为信息的安全关系着个人、社会，乃至国家安全及稳定。网闸和防火墙一种是网络安全边界的安全卫士，其发挥的作用都不可轻视。1.防火墙防火墙是访问控制类产品，会在不破坏网络连通的情况下进行访问控制，要尽可能的保证连通。如果企业内网要支持FTP、组播、VLAN等业务，但是这些业务的数据不被放通，防火墙就要遭受被淘汰的命运。防火墙并不保证放行数据的安全性，用户必须开放80端口来提供web服务，那么基于80端口的DDOS拒绝服务攻击就很难避免了。2.网闸网闸则是在

原创 3. IPSEC-XXX与SSL-XXX的使用场景与在等保中涉及的条款

广域网存在各种安全隐患：① 网上传输的数据有被窃听的风险② 网上传输的数据有被篡改的危险③ 通信双方有被冒充的风险VPN建在互联网的公共网络架构上，一般通过加密协议，在发送端加密数据、在接收端解密数据，以保证数据的私密性。Internet Protocol Secutity(IPSec) 和 Secure Sockets Layer (SSL) 是企业部署VPN所采用的两种主要技术，它们都用来作企业远程接入的加密和认证机制，以下我们简要介绍一下两种VPN技术。1.IPSEC VPNIPSec

原创 2. 网络层对于恶意代码的防护措施

恶意代码（malware）指的是使计算机按照攻击者的意图执行以达到恶意目标的指令集。目前，网络层面的防恶意代码的设备主要有两种，一种是嵌入了反病毒引擎的防火墙设备，另一种是防病毒网关设备。一．嵌入了反病毒引擎的防火墙设备对于华为的USG6000系列防火墙V100R001及之后版本下面分别对检测和处理过程进行描述：1.病毒检测病毒检测是依靠智能感知引擎来进行的。流量进入智能感知引擎后：（1）首先智能感知引擎对流量进行深层分析，识别出流量对应的协议类型和文件传输的方向。（2）判断文件传输所使用的协议

原创 1. 等级保护的政策与标准

1. 信息安全的重要性（1）国家信息安全形势严峻（敌对势力），针对基础信息系统的违法犯罪持续上升（网上诈骗、入侵、网上盗窃）。（2）维护国家安全的需求（基础信息网络【互联网、电信网、广电网】及重要信息系统【银行、铁路、电力、海关】已经成为国家的关键基础设施）。（3）信息安全非传统安全。2. 什么是等级保护？网络安全等级保护是指对国家秘密信息、法人或其他组织及公民专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的安全产品实行按等级管理，对信息系统中发生的信

原创 6 DHCPV6原理

1. 交互方式DHCPv6四步交互地址分配过程如下：1.DHCPv6客户端发送Solicit报文，请求DHCPv6服务器为其分配IPv6地址和网络配置参数。2.如果Solicit报文中没有携带Rapid Commit选项，或Solicit报文中携带Rapid Commit选项，但服务器不支持快速分配过程，则DHCPv6服务器回复Advertise报文，通知客户端可以为其分配的地址和网络配置参数。3.如果DHCPv6客户端接收到多个服务器回复的Advertise报文，则根据Advertise报文中的

原创 5. NDP

NDP（Neighbor Discovery Protocol）NDP实现了IPv6中诸多重要机制。路由器发现：该功能帮助设备发现链路上的路由器，并获得路由器通告的信息。无状态自动配置：无状态自动配置是IPv6的一个亮点功能，它使得IPv6主机能够非常便捷地连入到IPv6网络中，即插即用，无需手工配置繁冗的IPv6地址，无需部署应用服务器（例如DHCP服务器）为主机分发地址。无状态自动配置机制使用到了ICMPv6中的路由器请求报文（RS）及路由器通告报文（RA）。重复地址检测：重复地址检测是一个非常

原创 4. ICMPV6

1. ICMPV6ICMPv6是IPv6的基础协议之一，用于向源节点传递报文转发的信息或者错误。协议类型号（即IPv6 Next Header）为58。在IPv6中，ICMPv6除了提供ICMPv4的对应功能之外，还有其它一些功能的基础，如邻居发现、无状态地址配置、重复地址检测、PMTU发现等。报文解释：Type：表明消息的类型，0至127表示差错报文类型，128至255表示消息报文类型。Code：表示此消息类型细分的类型。Checksum：表示ICMPv6报文的校验和。2. ICMPV6+N

原创 3. 接口标识生成方法

对于IPv6 单播地址来说，如果地址的前三bit不是000，则接口标识必须为64位，如果地址的前三位是000，则没有此限制。关于接口ID：接口ID为64bit，用于标识链路上的接口，在每条链路上接口ID必须唯一。接口ID可通过3种方法生成：手工配置、系统自动生成和IEEE EUI-64规范生成。①手工配置：建议在服务器和重要网络设备上配置。②系统通过软件自动生成：保护主机的私密性。③IEEE EUI-64规范自动生成：最常用的方法。接口ID有许多用途，最常见的用于就是黏贴在链路本地地址前缀后面，形

原创 2. IPV6报头格式

1. 基本报头-格式IPv6基本报头有8个字段，固定大小为40字节，每一个IPv6数据包都必须包含报头。基本报头提供报文转发的基本信息，会被转发路径上面的所有路由器解析。2. 扩展报头-格式扩展报头是可选的，只有需要该扩展报头对应的功能时，数据的发送者才会添加相应扩展报头。在IPv4中，IPv4报头包含可选字段Options，内容涉及security、Timestamp、Record route等，这些Options可以将IPv4报头长度从20字节扩充到60字节。在转发过程中，处理携带这些Opti

原创 1. ipv6地址

一. 地址表示IPv6地址长度为128比特，每16比特划分为一段，每段由4个十六进制数表示，并用冒号隔开。IPv6地址包括网络前缀和接口标识两部分。每一组中的前导“0”都可以省略。地址中包含的连续全为0的组，可以用双冒号“::”来代替。仅使用一次二. IPv6地址类型单播地址（Unicast Address）：标识一个接口，目的地址为单播地址的报文会被送到被标识的接口。在IPv6中，一个接口拥有多个IPv6地址是非常常见的现象。组播地址（Multicast Address）：标识多个接口

原创 带圈字符

①②③④⑤⑥⑦⑧⑨⑩⑪⑫⑬⑭⑮⑯⑰⑱⑲⑳⓪

原创 跨域MPLS Option B（RR）

实验需求本实验使用Option B完成跨域的MPLS-VPN，R9/10是CE，R1/7是PE，R3/5是ASBR，R2/6是P设备，R4/8是反射器RR。所有涉及到Router-id的协议，全部手动指定Loopback0地址为RID。所有BGP协议全部关闭自动建立ipv4单播邻居，若有需要手动建立邻居。所有要求建立邻居关系的需求，请配置完成后自行检查，正文不再赘述。一、ISP公网1.1 部署IGP1.1.1 AS100和AS200内运行OSPF，进程1.1.1.2 除与其他AS互联的接口

原创 组播综合实验

实验需求本实验模拟跨域的组播网络环境，主要实现RP自动选举，组播与单播流量分离。一、基础配置1.1 所有设备的IPv4地址已配置，请自行查看。1.2 配置OSPF协议，进程1，要求同AS内各设备环回口互通，不同AS的IGP不得互通。二、部署PIM-SM2.1 所有设备开启组播功能2.2 除R3/4的Serial接口以外，所有物理接口开启PIM-SM。2.3 R6的G0/0/2开启IGMP版本2。2.4 R2/5使用Loopback0作为源接口，配置为候选BSR和候选RP。2.5

原创 策略路由与NQA

实验需求本实验模拟企业网双出口的网络环境，根据内网主机选择不同出口。一、企业内网基础1.1 二层交换1.1.1 SW1创建vlan 10 201.1.2 连接主机和R1的接口配置为access链路。1.1.3 PC1属于vlan10；PC2/3属于vlan20；R1属于vlan1001.1.4 创建vlanif10/20/100，IP地址分别为：vlanif10：192.168.10.254/24vlanif20：192.168.20.254/24vlanif100：192.168.1

原创 BGP特性实验

实验需求本实验模拟大规模BGP网络部署，使用4字节AS号，传递IPv6路由。预配说明：各设备已启用ipv6，都有Loopback0接口，AS内部已配置OSPFv3，AS边界之间已配置ISIS。一、部署BGP4+1.1 建立IBGP邻居。1.1.1 R7与R1-6建立IBGP邻居。1.1.2 R5与R8/9建立IBGP邻居。1.1.3 R12与R10/11建立IBGP邻居。1.1.4 R7要求使用对等体组配置，组名称为IBGP。1.1.5 AS号如图所示。1.1.6 确认邻居关系。1

原创 8. 监管，整形，限速

一. 监管（入接口）1. 监管的组成2. 基于接口的监管3. 基于类的监管4. 混合监管二. 整形（出接口）1. 整形的工作过程2. 基于接口的流量整形3. 基于队列的流量整形4. 基于MQC的流量整形三. 限速注：（1）PCT是按百分比进行限速（2）CIS是按实际的值进行限速四. 监管qos car 、限速 qos lr 和整形之间的区别...

原创 7. 令牌桶

1. 令牌桶分类2. 单速令牌桶参数3. 单速单桶双色4. 单速双桶三色5. 双速率令牌桶参数6. 双速双桶三色7. 单速双桶与双速双桶的区别

原创 6. 拥塞避免

1. 传统的尾部丢包策略2. RED3. WRED（1）配置基于队列的WRED（2）配置基于MQC的WRED

原创 BGP选路实验

实验需求本实验模拟多个AS使用BGP协议传递路由的网络环境，根据选路需求修改BGP属性。预配：各设备物理接口和环回口已配置必要的IPv4和IPv6地址。一、部署IGP1.1 部署OSPF1.1.1 在AS100和AS400中部署OSPF，进程1，RID使用Loopback0地址。1.1.2 全部划入区域0，通配符0.0.0.01.1.3 不宣告与其他AS互联的地址。1.1.4 确认OSPF邻居关系。1.1.5 确认环回口互通。1.2 部署OSPFv31.2.1 在AS100和AS40

原创 IGP双栈综合实验

实验需求本实验模拟ISP网络结构，R1/2组成国家骨干网，R3/4组成省级网络，R5/6/7组成数据中心网络。 所有ipv4地址已配置，请自行测试直连。一、部署ISIS(IPv4)在R1/2/3/4/5/6/7上都有环回口Loopback0作为设备的管理地址，使用ISIS进程1发布该地址，使得管理员可以从数据中心的R7访问这些地址。具体需求如下：1.1 系统ID所有ISIS路由器系统ID前16位全0，后32位使用Loopback0的IPv4地址。注意十进制转换为十六进制。提示100.1.1.1=

原创 5.队列技术（拥塞管理）

一. Queue-profile1. PQ调度优点：对高优先级的报文提供了优先转发。缺点：低优先级队列可能出现“饿死”现象。2. WRR 调皮优点：避免了PQ调度的“饿死”现象。缺点：基于报文个数来调度，容易出现包长尺寸不同的报文出现不平等调度；低时延业务得不到及时调度。3. DRR 调皮4. WFQ (Weighted Fair Queue )调皮优点：可完全按照权重分配带宽；自动分类，配置简单。缺点：低时延业务仍得不到及时调度；无法实现用户自定义分类规则。5. PQ+WRR

原创 4. 流标记

1. 设备内部优先级和报文优先级的关系2. 优先级映射3. 优先级种类（1）802.1p（2）mpls exp(3) IPP(4)DSCP

原创 3. 流分类

1. 接口使用 ACL2. 使用 MQC 流分类（复杂流分类）

原创 2. QOS部署工具

1. 传统的QOS工具2. MQC（模块化QOS命令行）（1）流分类( traffic classifer )（2）流行为( traffic behavior )（3）流策略( traffic policy )（4）应用流策略

原创 1. QOS模型

1. QOS模型种类2. QOS工具种类

原创 8. 中间系统到中间系统----收敛步骤

IGP的收敛可以总体描述为如下状态D+O+F+SPT+RIB+DD：（1）D状态为从链路出现故障以后到路由器发现链路故障所用的时间。（2）O状态为生成LSP，用来描述新的网络拓扑结构所需要的时间。（3）F状态为从发现链路故障一直到向邻居发布FIB更新的时间。（4）SPT状态为运行SPF算法，计算最短路径树的时间。（5）RIB状态为用主CPU更新RIB表项和FIB表项的时间（6）DD状态为从主控板向线卡上发布更新路由信息的延迟RIB状态和DD状态一般与路由器的硬件有关，如主CPU、线卡CPU、.

原创 7. 中间系统到中间系统----拓扑结构

1. IS-IS整体拓扑：为了支持大规模的路由网络，IS-IS在自治系统内采用骨干区域与非骨干区域两级的分层结构。一般来说，将Level-1路由器部署在非骨干区域，Level-2路由器和Level-1-2路由器部署在骨干区域。每一个非骨干区域都通过Level-1-2路由器与骨干区域相连。拓扑中为一个运行IS-IS协议的网络，它与OSPF的多区域网络拓扑结构非常相似。整个骨干区域不仅包括Level-2的所有路由器，还包括Level-1-2路由器。Level-1-2级别的路由器可以属于不同的区域，在Le.

原创 6. 中间系统到中间系统----DIS选举

1.DIS与伪节点：（1）DIS是指指定中间系统（Designated IS）。（2）伪节点是指在广播网络中由DIS创建的虚拟路由器。2.DIS的特点：在广播网络，需要选举DIS，所以在邻居关系建立后，路由器会等待两个Hello报文间隔再进行DIS的选举。Hello报文中包含Priority 字段，Priority值最大的将被选举为该广播网的DIS。若优先级相同，接口MAC地址较大的被选举为DIS。IS-IS中DIS发送Hello时间间隔默认为10/3秒，而其他非DIS路由器发送Hello间隔为1.