前文我们了解了二层端口安全技术相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/16631222.html:今天我们来聊一聊MAC地址防漂移技术: 首先我们来了解下什么叫做MAC地址漂移呢?所谓MAC地址漂移是指在交换机上的一个端口学习到的MAC在同VLAN下的其他端口也学习到了相同的MAC地址:即该MAC地址在同一交换机下的相同VLAN的多个端口之间来回漂浮,一会在这口,一会在那口:我们把这种现象叫做MAC地址漂移现象:发生MAC地址漂移现象的原因…

前文我们了解了GRE over IPSec 相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/16601491.html:今天我们来聊一聊mac安全相关话题: 先来回顾下二层交换机的工作原理 我知道对于一台二层交换机来说,它的核心功能就是根据mac地址来转发数据:之所以能够根据mac地址来转发数据,是因为交换机的工作原理:交换机收到一个帧就会记录对应的帧的源mac和对应接口做对应:这样一来,当交换机收到对应目标mac的帧的时候,它就知道该把这个帧从那…

前文我们了解了MAC地址防漂移技术,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/16632239.html:今天我们来了解下DHCP安全相关话题: 回顾DHCP工作流程 DHCP的主要作用是主要作用是动态分配TCP/IP信息(ip地址,子网掩码,网关,DNS等等):其工作过程是客户端发送DHCP discover类型的包,来寻找DHCP服务器,通常以广播的形式发送:如果局域网有DHCP服务,当服务收到Discover类型的包,就会发送DHCP offer…

前文我们聊到了组播技术背景,单播.广播在点到多点应用中的问题,以及组播对比单播.广播在点到多点的网络环境中的优势.劣势,相关回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15600788.html:今天我们来聊一聊组播地址相关话题: 组播服务模型 在聊组播地址之前我们先来说说组播服务模型:所谓组播服务模型就是指针对接收者对源的选择来讲的:组播服务模型有两种,一种是ASM(Any-Source Multicast)任意源组播:一种是SSM(Source-Sp…

前文我们了解了端口隔离相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/16186451.html:今天我们来聊一聊ARP代理相关话题: 端口隔离之破解之道 前文我们通过抓包可以看到,当同一vlan下的端口做了双向端口隔离或者单向端口隔离以后,对应的端口就不能正常通信:其中最主要的原因是通信双方在通信时,拿不到对方的mac:拿不到通信对方的mac,以太网二层封装就封装不了,从而导致通信无法正常进行:那怎么打破端口隔离这样的限制呢?其实也很简单,我们找…

前文我们了解了DHCP安全相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/16637627.html:今天我们来聊一聊IP安全相关话题: 技术背景 随着网络规模越来越大,通过伪造源IP地址实施的网络攻击(IP地址欺骗攻击)也逐渐增多:所谓源IP地址欺骗攻击是指攻击者伪造合法用户的ip地址获取网络访问权限,非法访问网络:甚至造成合法用户无法正常访问网络,或者信息泄露: 提示:如上图所示,非法主机修改自己的ip地址为合法主机的ip地址和网关通信:如果我…

前文我们了解了IP安全相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/16652367.html:今天我们来聊一聊ARP安全相关话题: 什么是ARP? ARP是Address Resolution Protocol的首字母缩写,翻译成中文就是地址解析协议:它主要是将ip地址解析成对应设备的mac地址:我们知道以太网设备之间通信都是需要二层mac地址的封装:那么我们平常配置的ip地址给设备,它是怎么和对端通信的呢?首先本端要发送ARP请求通信目标ma…

前文我们了解了PPPoE协议相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15182512.html:今天我们聊聊一聊OSPF中的网络类型相关话题: 在na的笔记里,我们也提到过ospf的网络类型:ospf的网络类型是根据对应接口二层封装来进行分类的:对于二层链路是以太网封装的,在ospf里叫广播型网络类型:这种网络类型支持广播和组播,也是我们最常见的一种ospf网络类型:对于二层链路是ppp点到点封装的,在ospf里叫点到点网络类型,该网络类型…

前文我们了解了IS-IS的报文结构和类型相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15260670.html:今天我们来聊一聊IS-IS建立邻居.同步LSDB数据库和拓扑计算及路由形成相关话题: IS-IS动态路由协议的工作流程和OSPF工作流程大致一样:都是先发送Hello包,通过hello包建立邻居,在邻居建立完成以后,同步LSDB数据库.计算拓扑和路由:细微的差别在于IS-IS整个建立邻居的过程没有OSPF那么复杂,相对来说IS-IS更…

前文我们了解了BGP的邻居建立条件.优化以及BGP认证相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15395723.html:今天我们来聊一聊BGP报文结构.类型和状态相关话题: BGP报文结构和类型 提示:BGP工作在应用层,其端口号为179:报文结构是7层封装,BGP报文主要由两种报文头部组成,公共头部和类型头部:公共头部主要用来描述bgp AS号,包头长度,报文类型,版本信息等等信息,类型头部主要用来描述不同类型的BGP报文相关属性:BG…

组播技术背景 随着internet网络的不断发展,网络中交互的各种数据.语音.视频信息数量突增:新型的在线直播.网络电视.视频会议等应用也在逐渐兴起:这些业务大多符合点到多点的模式,对信息安全性.传播范围.网络带宽提出了较高的要求: 为什么要使用组播技术呢? 我们知道网络通信中分单播.组播.广播这三种:其中单播主要用在点到点通信中,而后者的广播和组播多用在点到多点的环境中:当网络中部署点到多点通信应用时,若采用单播时,网络传输的信息量与需要该信息的用户量成正比:即多份相同内容的信息发送给不同用户…

前文我们了解了组播协议IGMP相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15700550.html:今天我们来聊一聊二层交换机处理组播报文所面临的问题,以及IGMP-Snooping相关话题: 我们知道二层交换机在单播通信中的工作原理就是根据构建mac地址表来转发数据,如果二层交换机收到一个未知的单播或广播报文,那么它会泛洪出去:对于组播信息它会如何处理呢?其实二层交换机收到组播报文,默认情况下,它会把组播报文当作广播处理,即 收到组播报文,…

前文我们了解了组播技术中组播分发树相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/16019334.html:今天我们来聊一聊组播路由协议PIM相关话题:组播路由协议和我们前边学习的单播路由协议本质上没有什么不同,不同的是组播路由协议主要生成描述组播数据转发路径,而单播路由协议是用来生成描述单播数据转发路径: 组播路由协议PIM PIM(Protocol Independent Multicast,翻译成中文就是协议无关组播):所谓协议无关是指给组…

前文我们了解了vlan优化,vlan聚合技术super vlan相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/16208997.html:今天我们来聊一聊RSTP相关话题: 我们知道二层网络中一旦产生环路,将导致整个网络瘫痪不可用,为了防止二层环路,stp技术由此诞生:stp主要作用就是通过阻断冗余链路来消除网络中可能存在的环路,同时当活动链路发生故障时,激活冗余链路及时恢复网络连通性,从而实现网络的可靠性: RSTP技术背景 STP协议虽然能够…

前文我们了解了RSTP相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/16240348.html:今天我们来聊一聊RSTP保护相关话题: 我们知道RSTP优化了STP收敛速度,同时也加入了边缘端口的机制,但是如果有人恶意使用stp特有的属性发起攻击,对于STP网络来说它也会造成网络不稳定:为了更好的保证RSTP协议在网络不稳定情况下,尽可能的保证流量的正常转发,在标准协议中新增了4中保护功能: 1.BPDU保护 提示:我们知道边缘端口的属性就是不参…

前文我们了解了MSTP相关话题,回顾清参考https://www.cnblogs.com/qiuhom-1874/p/16268682.html:今天我们来聊一聊链路聚合相关话题: 链路聚合是链路高可用的一种方式,它不仅可以有冗余备份的链路来提高链路的可靠性,同时也可以将多个链路聚合在一起,使得链路的带宽增加:我们知道随着网络规模不断扩大,用户对骨干链路的带宽和可靠性提出了越来越高的要求:在传统技术中,常用更换更高速率的接口板或更换支持高速率接口板的设备的方式来增加带宽,但这种方案需要付出额外的…

前文我们了解了链路高可用技术链路聚合相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/16279078.html:今天我们来聊一聊另一种高可用技术,网关高可用vrrp相关话题: 技术背景 提示:通常一个网段内只有一个网关,当然一旦网关出现故障,对应网段内的主机将无法正常和其他网段主机通信,这也意味着该网段就被孤立了:那该怎么办呢?我们可以不可以提供多台网关呢? 提示:我们知道一个网关就对应一个ip地址,多台网关就意味着有多个ip地址且彼此都是不同的i…

前文我们了解了二层MAC安全相关话题和配置,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/16618201.html:今天我们来聊一聊mac安全的综合解决方案端口安全: 端口安全(Port-security) 什么是端口安全呢?端口安全是对端口的一种保护机制:我们知道MAC安全特性中,默认情况没有配置任何配置的端口,它能够学习很多动态MAC,并且老化时间为5分钟:即我们没有限制端口学习MAC的数量:没有限制数量这意味着只要有一个MAC帧,对应端口都会学习源…

前文我们了解了BGP路由宣告相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15440860.html:今天我们来聊一聊BGP防环机制和路由聚合相关话题: BGP防环机制 我们知道BGP的邻居类型分IBGP和EBGP,对于不同类型邻居关系,它们宣告路由的规则各有不同,对于邻居类型为IBGP,它们宣告路由只会传递一跳:对于邻居类型为EBGP,它们宣告路由是可以传递多跳和IGP传递路由相似,同时IBGP传递路由时,它们不会更改更新源,即宣告者是谁,对应…

前文我们了解了IS-IS动态路由协议基础相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15249328.html:今天我们来聊一聊IS-IS动态路由协议的报文结构和类型相关话题: IS-IS报文结构 提示:IS-IS动态路由协议是封装在数据链路层之上,主要由IS-IS头部和IS-IS可变长字段CLVs组成:其中IS-IS头部里面又分为通用头部和专用头部: 实验:如下拓扑,配置IS-IS R1的配置 sys sys R1 int g0/0/0 ip…

前文我们了解了BGP防环机制和路由聚合相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15458110.html:今天我们来聊一聊BGP路由属性和选路规则相关话题: BGP路由属性 先来看一看BGP路由表 提示:BGP路由表主要显示了BGP路由,其中主要由路由状态代码,目标网络地址,下一跳,med属性值,本地优先级,路由首选值,以及路由的AS_path和起源属性组成:状态代码中,星号(*)表示该路由可用,如果没有星号,表示该路由不可用,一般情况不可…

前文我们了解了组播地址相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15616740.html:今天我们来聊一聊组播协议中IGMP协议相关话题: 组播技术架构 提示:组播通信中,发送者将组播数据发送到特定的组播地址.要使组播报文最终能够到达接收者,需要某种机制使与连接潜在的接受者网段的组播路由器能够了解到该网段内有哪些组播接收者,保证接收者可以加入到相应的组播组中接受数据:从上面的组播基础架构中我们可以看到,组播通信主要分三个阶段,第一阶段是组播…

前文我们了解了组播技术中的igmp-snooping相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15860484.html:今天我们来聊一聊组播技术中的另一个话题组播分发: 所谓组播分发我们可以理解为单播里面的路由:对于组播来说,它也会根据组播路由来转发数据:不同于单播,组播关心的是源在何处,而单播关心的是目标在何处:在了解组播路由之前我们先来聊一聊组播分发树: 组播分发树 所谓组播分发树就是指描述组播数据在网络中的转发路径,由组播路由协议建立…

前文我们了解了VLAN隔离技术MUX VLAN相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/16196936.html:今天我们来聊一聊VLAN优化Super VLAN相关话题: Super VLAN技术背景 提示:传统VLAN部署中,一个VLAN对应一个网段和一个三层VLANIF接口实现不同VLAN间通信,这样部署有一个问题就是一旦VLAN特别多很容易导致IP地址的浪费: Super VLAN Super VLAN 又称VLAN Aggrega…

前文我们聊了下BFD相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/16487842.html:今天来聊一聊DHCP中继相关话题: DHCP的作用 DHCP(Dynamic Host Configure Protocol,动态主机配置协议)是应用层协议,使用UDP封装,服务端工作在UDP的67号端口,客户端工作在68号端口:它是BOOTP(Bootstrap Protocol)协议发展而来:主要作用是动态分配TCP/IP信息(ip地址,子网掩码,网…

前文我们了解了OSPF的网络类型.帧中继交换机映射以及路由器帧中继映射相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15195762.html:今天我们来聊一聊OSPF中的虚连接相关话题: 在ospf里,为了避免区域间的环路,ospf规定不允许直接在两个非骨干区域之间发布路由信息,只允许在一个区域内部或者在骨干区域和非骨干区域之间发布路由信息:因此,每个ABR(区域边界路由器)都必须连接到骨干区域:即要求所有非骨干区域必须和骨干区域相连,同时骨干…

前文我们了解了OSPF中的虚连接相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15202348.html:今天我们来聊一聊OSPF数据包中LSA类型相关话题: 我们知道OSPF的核心就是通过LSA建立LSDB数据库,然后根据SPF算法从LSDB数据库中的内容计算出对应的路由:其中LSA并不是ospf的数据包类型,它存在于LSU当中:对于不同类型的LSA,其作用和内容也各不相同: LSA头部 提示:LSA是ospf链路状态信息的载体,是LSDB的最…

前文我们了解了OSPF的4类.5类LSA,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15222969.html:今天我们来聊一聊外部路由类型和forwarding address相关话题: 我们知道在ospf中外部路由主要由asbr通过发送5类LSA,将对应的路由信息传递给其他区域的ospf路由器:如果对应ospf路由器和asbr不在同一区域,则对应区域的ABR会产生4类LSA,用来描述对应去往ASBR路由:通过4类和5类LSA,一条外部路由就成功被其…

前文我们了解了OSPF外部路由类型以及forwarding address字段的作用,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15225673.html:今天我们来聊一聊OSPF LSA更新规则以及路由汇总相关话题: LSA更新规则 我们知道在ospf的LSDB中,每个LSA都有一个序列号,最小以80000001开始,每更新一次LSA对应序列号都会加1(除删除):默认情况下,如果一个LSA没有什么变化,ospf会每个30分钟自动更新一次:如果对应LS…

前文我们了解了OSPF LSA更新规则以及路由汇总相关话题,回顾请参考https://www.cnblogs.com/qiuhom-1874/p/15231880.html:今天我们来聊一聊OSPF的特殊区域相关话题: OSPF的特殊区域,主要目的是屏蔽相关LSA,从而到达精简LSDB数据库和路由条目的目的:它和路由汇总都是优化技术,但和路由汇总又有差别,路由汇总是将多个子网合并成一个子网,但本质上该有的3类.4类.5类LSA也会有:对于ospf特殊区域来讲,它主要是屏蔽3.4.5类LSA,通过…