2301_80222209的博客

原创 服务器安全检测与防御技术总结

包括蠕虫病毒（如 WannaCry 利用 MS17-010 漏洞传播）、恶意邮件、端口扫描、后门木马、间谍软件、口令暴力破解（字典法、规则法）等。Web 应用作为服务器对外服务的主要入口，面临的攻击集中且多样，Web 应用防火墙（WAF）是核心防护手段。DOS（拒绝服务）攻击通过消耗服务器资源或带宽，导致服务瘫痪，其分布式形态（DDoS）危害更甚。入侵防御系统（IPS）通过实时监控与阻断攻击，弥补入侵检测系统（IDS）仅检测不阻断的不足。

原创 终端安全检测和防御技术总结

原创 防火墙组网方式总结

区域是本地逻辑安全区域概念，用于定义和归类接口，供防火墙、内容安全、服务器保护等模块调用。区域规划需根据控制需求进行，可将一个接口划分到一个区域，或多个相同需求接口划到同一区域，一个接口仅能属于一个区域。配置方式灵活，可在区域中选择接口，也可预先设置区域名称后在接口中选择区域，常见区域包括 DMZ 区域、Trust 区域、Untrust 区域等。

原创 信息安全及防火墙总结

防火墙是位于内部网络与外部网络（或网络不同区域）之间的安全系统，通过硬件或软件形式，依据预设安全策略对网络流量进行控制，实现隔离风险、保护内部网络资源的目标。其核心功能是按照访问控制规则决定网络进出行为，防止黑客攻击，保障网络安全运行。防火墙的核心术语围绕 “安全区域” 展开：一台防火墙拥有多个接口，每个接口归属唯一的安全区域，区域通过安全级别（0-100）区分，级别越高代表安全性要求越高。访问控制规则以访问控制列表（ACL）和安全级别为主要形式，规范不同区域间的流量交互。

原创 PBR技术总结

策略路由（Policy-Based Routing，简称 PBR）是一种灵活的路由机制，与常规路由相比，其核心区别在于转发逻辑：常规路由仅基于目标 IP 和路由表进行报文转发，而 PBR 则根据用户预先制定的策略转发报文，能实现更精细的流量控制。PBR 的灵活性体现在其分类维度的多样性，可基于源 IP、源目标 IP 对、协议类型、端口号、数据包长度等参数对数据进行分类，并对分类后的数据执行特定转发策略，例如从指定出口转发或设置数据优先级。

原创 多区域OSPF总结

OSPF 单区域部署存在明显局限：LSDB（链路状态数据库）庞大，占用大量内存且 SPF 计算开销高；LSA（链路状态通告）洪泛范围广，拓扑变化影响面大；路由无法汇总，导致路由表臃肿，查找效率低。而划分多区域可有效解决这些问题：每个区域独立维护 LSDB，减小数据库规模；LSA 洪泛被限制在区域内，控制拓扑变化的影响范围；区域边界可进行路由汇总，精简路由表。同类型路由则选择开销（Cost）较小的路径。

原创 单区域OSPF总结

基于带宽计算度量值（cost），而非跳数，能更精准选择最优路径。采用 SPF 算法计算路由，从根本上避免路由环路。通过维护邻居关系实现路由更新，而非定期发送完整路由表，减少带宽消耗。收敛速度快，适用于大中型网络。报文封装在 IP 中，协议号 89，使用组播地址 224.0.0.5 和 224.0.0.6 进行通信。

原创 设备虚拟化及动态路由协议基础总结

IRF（智能弹性架构）是将多台设备通过堆叠口连接，形成一台 “联合设备” 的虚拟化技术。IRF1.0（2004 年）：仅支持低端盒式设备横向虚拟化，解决接入层扩容和管理问题。IRF2.0（2009 年）：支持全系列设备横向虚拟化，实现同层多节点合一，简化 VLAN 和路由规划，收敛时间大幅缩短，且支持框式设备堆叠。IRF3.0（2013 年）：在横向虚拟化基础上增加纵向虚拟化，将三层网络拓扑简化为大二层结构，通过将 PEX 设备虚拟化为父设备的远程业务板，提升接口密度并降低维护成本。

原创 MSTP以及VRRP总结

MSTP（Multiple Spanning Tree）即多生成树协议，通过基于实例计算多颗生成树，实现实例间的负载分担，其标准协议为 IEEE802.1s。VRRP（Virtual Router Redundancy Protocol，虚拟路由器冗余协议）是一种容错协议，通过将多台路由器加入备份组，形成一台虚拟路由器承担网关功能，简化主机配置的同时提高网络可靠性。

原创 RSTP技术总结

SWA向B和C同时发送Proposal，由于与SWC的花销较短，SWC的Agreement已经发回SWA，而SWB的proppsal仍在链路上传输。告诉其他网桥有拓扑改变了，并让收到TC置位的网桥将MAC老化时间由300s改为15s，这使得旧表项在短时间内被清除，交换机可快速学习新拓扑下的 MAC 地址。• Alternate端口/阻塞端口：端口的配置BPDU在其所属链路上不是最优的即不是指定端口，且端口 不是根端口。• 指定端口：端口的配置BPDU在其所属链路上是最优的。样可能会影响网络的稳定性。

原创 链路聚合技术总结

LACP（Link Aggregation Control Protocol，链路聚合控制协议）是一种基于IEEE802.3ad 标准的、能够实现链路动态聚合的协议。– 端口的LACP协议自动使能，与对端设备交互LACP报文。 链路聚合是把多条物理链路聚合在一起，形成一条逻辑链路。– 选择参考端口根据本端设备与对端设备交互信息。 应用在交换机、路由器、服务器间链路。– 选择参考端口根据本端设备信息。– 用户命令创建和删除静态聚合组。– 端口不与对端设备交互信息。

原创 Internet接入技术总结

企业网采用私有IP，Internet采用公有IP，私有IP的路由不允许 通告到Internet，企业网接入 Internet需要向运营商申请公有 IP。– IPv4公有IP比较稀缺，申请也需要较高的费用，普通企业只能 申请少量的IPv4公有IP。– 使用私有地址（RFC1918）和NAT技术缓解IPv4公网地址短缺的问题。– Session ID由PPPoE Server分配。– 发现PPPoE Server的MAC地址。– IPv6公有IP比较充裕，企业可以按需申请。

原创 WAN广域网技术总结

常见广域网技术常见广域网技术•HDLC概述•••••••••由于地址全1，该地址没有实际作用。• HDLC设备以轮询时间间隔为周期，向链路上发送Keepalive消息• 3个周期内无法收到对方发出的Keepalive消息，HDLC设备就认为链路不可用• 同一链路两端设备的轮询时间间隔应设为相同的值HDLC链路上有很多其它中继器•– 对于任何一种比特流都可透明传输– 全双工通讯，不必等待确认，可连续发送数据，有较高的数据链路传输效 率– 所有的帧都有FCS，传输可靠性高。

原创 ACL与包过滤总结

如图，PC0（192.168.10.1）在访问PC1（192.168.20.1）的时候，由于有一条标准ACL（deny 192.168.10.0 0.0.0.255）配置在vlan10的出接口上，pc0无法访问pc1，但我们老师说不是由于这条规则，而是因为acl的隐含规则。– 对任意一条ACL规则条目的删除、修改、插入都需要先删除整个ACL，然后重新配置。目前所学ACL有七种：传统标准ACL、传统扩展ACL、标准命名ACL、扩展命名ACL、基于时间ACL、自反ACL、二层ACL。

原创 静态路由技术总结

什么是路由什么是路由路由表网络地址/掩码长度。

原创 STP协议总结

网桥优先级取值范围0-65535（默认32768），必须是4096的倍数。对网关IP地址的ARP请求报文,经过环路的复制转发,不断地发送到网。主机网卡接收到大量的广播报文,操作系统调用大量的CPU进程资源来。广播报文在二层网络中不断泛洪,所有链路都被大量的广播报文充斥。端口优先级取值范围0-255（默认128），必须是16的倍数。关设备,网关设备的CPU压力不断增大,甚至崩溃。数据单元），来保证设备完成生成树的计算过程。端口ID由发送端口的优先级与端口号组成。环路的危害---广播风暴。

原创 TCP/IP之常用协议总结

简言之，UDP 的核心功能是通过牺牲可靠性，换取快速、轻量的无连接数据传输能力，满足实时性优先的通信需求。• 1（ARP请求，二层封装广播，目的MAC为FFFF-FFFF-FFFF），如果本地查询不到，该DNS服务器将查询其他的DNS服务器， 直到查到结果。– FTP采用客户端/服务器架构，基于TCP，采用双TCP连接方式。– UDP是不可靠的，发送端不管接收端是否能收到数据，UDP传输。– DNS服务器收到迭代查询请求后，如果本地查询不到，将返回一。

原创 TCP/IP 协议基础总结

OSI 参考模型由国际标准化组织（ISO）于 1984 年提出，目标是 解决不同厂商网络设备的兼容性问题，通过分层设计将复杂的网络通信拆解为独立模块，让各层专注于特定功能，便于协议开发、故障排查和技术迭代。 TCP（Transmission Control Protocol，传输控制协议） 是面向连接的，传输需经建立连接、传输数据、断开连接三阶段；支持全双工通信，能双向同时传输；提供有序、可靠传输（含校验和、超时重传），通过滑动窗口实现流量控制，适合可靠性要求高的应用。 作用：标识 通信的应用进程（区

原创 IP地址基本概念总结

• 如11000000 10101000 00000001 00000001可表示为 192.168.1.1。例如：192.168.1.0/24的子网掩码是 255.255.255.0。• 用连续的“1”表示IP地址的网络号，用连续的“0”表示主。– IP地址由32位二进制组成，可用点分十进制表示。• 主机号：标识本IP子网内的某台主机。– 用来区分IP地址的网络号和主机号。• 网络号：表示某一个IP子网。– IP地址分成2个部分。子网掩码简写表示：/n。

原创 DHCP技术总结

动态IP地址分配需求。动态IP地址分配需求。

原创 VLAN间路由技术总结

通常是交换机内部转发使用的私有 MAC（如用于模块间通信），外部接口收到目的 MAC 为背板 MAC 的帧时，因不属于正常转发范围，会直接丢弃。• 如果是需要处理的，上送交换机控制层面处理，如：开启了 STP的接口收到BPDU报文，开启了Dot1x的接口收到 EAPoL报文。• 如果是三层报文，同时会转发一份给SVI接口，SVI接口再根 据情况进行处理，处理方法与三层接口相同。– 查找转发表后，如果发现出接口与入接口相同，也按普 通数据包做三层转发处理，与路由器相同。

原创 VLAN技术总结

当办公区某台电脑发送 ARP 广播请求时，只有 VLAN 10 内的设备会响应，支付服务器（VLAN 20）和监控设备（VLAN 30）不会收到该广播，从而减少无效流量，保障核心业务（如支付交易）的网络性能。：VLAN 将物理网络划分为多个逻辑广播域，广播报文（如 ARP 请求、DHCP 广播）仅在所属 VLAN 内传播，避免广播风暴拖累整个网络。：突破物理位置限制，通过逻辑配置将不同区域的设备归为同一 VLAN，实现跨物理位置的 “虚拟组网”，简化网络调整。该图有3个广播域，5个 冲突域（半双工）

原创 TCP/IP 课程总结

包括同轴电缆（coaxial cable ）、双绞线（twisted pair ）、光纤（fiber ），不同线缆有各自传输特点（如光纤传输快、距离远、抗干扰强 ）。：分段上层数据，依据需求提供面向连接（如 TCP ）或无连接（如 UDP ）服务，建立、维护端到端连接，保障可靠传输，进行流量控制。展示从下到上的网络分层，包括物理层、数据链路层、网络层、传输层、、会话层、表示层、应用层。：进行传输资源控制，合理分配链路资源；：展示从下到上的网络分层，包括物理层、数据链路层、网络层、传输层、应用层。