qq99899的博客

原创 SSL移动接入方案和移动资源发布

SSL VPN是一种基于SSL/TLS协议的远程安全接入技术，因其广泛兼容Web浏览器，支持“无客户端”部署，具备易于使用和维护的特点。它通过插件系统支持非Web类TCP/UDP应用，并且支持对用户的访问可以做出限制，比IPSec VPN更贴合实际应用安全需求，已成为主流的远程接入解决方案。SSL通信过程中通过数字证书保证公钥真实性，并通过会话密钥提升加密效率，结合对称与非对称加密机制，既保障安全又提升性能。：定义用户接入策略，包括客户端选项、账号控制、审计日志等，提升安全性与管理效率。

原创 IKE工作过程

对于一个用基于ISAKMP的密钥管理协议交换的消息来说，其构建方法是：将ISAKMP所有载荷链接到一个ISAKMP报头头。1、安全参数(保护的协议AH/ESP，工作模式传输/隧道，加密算法，校验算法，生命周期)：建立一个双向的、受保护的通道，用于后续IPSec SA的协商。（发起方/应答方）：防DoS攻击，基于IP、端口、时间等生成。目前定义了13种载荷，它们都是以相同格式的头开始的。协商安全策略（加密算法、哈希算法、DH组、认证方式等）。：为实际的数据传输建立单向的IPSec SA。：指示后续载荷类型。

原创 IPSEC安全基础后篇

是两个IPSec实体（主机、安全网关）之间经过协商建立起来的一种协定，内容包括采用何种IPSec协议（AH还是ESP）、运行模式（传输模式还是隧道模式）、验证算法、加密算法、加密密钥、密钥生存期、抗重放窗口、计数器等，从而决定了保护什么、如何保护以及谁来保护。如果安全策略要求建立安全、保密的连接，但又不存在与该连接相应的SA，IPSec会立刻启动IKE来协商SA。：DH使用组的概念来定义这个KDH是怎么产生的即不同的组将产生的公钥和私钥以及KDH的长度是不同的；：在不安全的网络中安全地生成共享密钥。

原创 IPSEC安全基础前篇

发送方：新网络层+AH头+原始网络层+传输层+应用层+完整性校验密钥--->HASH1。接收方：新网络层+AH头+原始网络层+传输层+应用层+完整性校验密钥--->HASH2。SHA-2/3：256/512位）发送方：（原始网络层+传输层+应用层）+ESP尾部+数据加密密钥--->加密数据。发送方：网络层+AH头+传输层+应用层+完整性校验密钥--->HASH1。接收方：网络层+AH头+传输层+应用层+完整性校验密钥--->HASH2。发送方：（传输层+应用层）+ESP尾部+数据加密密钥--->加密数据。

原创 数据传输安全 ***基础

利用公共网络来构建的私人专用网络称为虚拟私有网络，即VPN（Virtual Private Network ），是利用公共网络（如Internet、帧中继、ATM）构建的私有专用网络，提供安全性、可靠性和可管理性。：在一个公用网络中，通过某种方式虚拟出来的一条企业内部专线。费用低、业务灵活、管理简单、扩展性高、带宽高、移动性强。存在安全性问题（需通过加密和认证等手段解决）– L2TP（二层）+IPSec。– 厂商私有vpn协议（深信服）– IPSec（三层）– IPSec（三层）– PPTP（二层）

原创 AAA服务器技术

支持Start/Continue/Reply等多种报文类型，适用于Telnet等交互式登录场景。• 三种认证报文： Start、Continue、Reply。：基于UDP，端口1812（认证，授权）、1813（计费）。支持的服务包括FTP、TELNET、PPP、端口接入等。：包含版本号、类型、序列号、会话ID等字段。：验证用户身份（如用户名、密码、证书）。：授予用户访问权限（如目录、服务级别）。本地认证、RADIUS认证、CA认证等。：记录用户使用情况（如流量、时长）。认证、授权、计费分离，更灵活。

原创 AC 内容审计技术

依据《网络安全法》，企业需制定安全管理制度，监测网络运行状态，留存日志不少于6个月，并对数据进行分类、备份和加密。：通过抓包分析邮件数据包（如新浪、163邮箱），识别发件人、收件人、主题、正文等内容。：网站访问、IM聊天、邮件外发、论坛发帖、微博发布、文件上传等所有上网行为。：可按时间、用户、组、应用等条件过滤查询，支持图表化展示和报表订阅推送。：提供历史行为查询功能，支持多维度统计（流量、时长、用户行为等）。：可审计QQ聊天内容，包括发送/接收账号、聊天摘要等。终端需信任AC下发的伪造证书。

原创 AC 应用控制技术

•DFI技术正是基于这一系列流量的行为特征，建立流量特征模型，通过分析会话连接流的包长、连接速率、传输字节量、包与包之间的间隔等信息来与流量模型对比，从而实现鉴别应用类型。•通过对应用特征信息的升级（例如http数据包中的User-Agent的位置），基于特征的识别技术可以很方便的进行功能扩展，实现对新协议的检测。•不同的应用通常依赖于不同的协议，而不同的协议都有其特殊的特征，这些特征可能是特定的端口、特定的字符串或者特定的 Bit 序列。某些应用的控制流和数据流是分离的，数据流没有任何特征。

原创 AC 用户认证技术

第四步：AC拦截PC的GET请求，并把AC自己伪装成服务器（用腾讯服务器的IP给PC发包），给PC回复HTTP 302 Moved Temporarily ，要求PC重定向请求以下URL。当用户首次上网时，会要求用户提交用户名密码信息，如果用户提交的用户名密码信息和本地（或第三方服务器）一致，则给予认证通过。1. 在【系统管理】-【在线用户管理】中强制注销在线用户 （临时用户，Dkey用户，无需认证的用户无法被强制注销）如果只添加用户，且认证方式为不需要认证，单点登录，也可以通过认证策略自动添加新用户。

原创 上网行为安全概述和组网方案

功能，即可恢复网络通信，相当于把AC当作一个物理设备使用，当用户行为管理的重要程度小于用户网络稳定的时候开启。缺乏管理导致风险：带宽滥用、监管困难、信息泄露、网络违法、安全威胁。：应对移动互联网、加密流量（HTTPS）、新型应用持续升级识别能力。：多分支场景，集成组网（IPSec VPN）、安全防护、行为管理。：企业出口部署，实现过滤、流控、审计（满足公安部82号令）。：Portal认证（短信/微信），推广公众号，集中审计日志。：员工非工作行为（聊天、炒股、游戏）降低效率。

原创 服务器安全检测和防御技术

即入侵检测系统，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果。，即入侵防御系统，可对网络、系统的运行状况进行监视，并可发现阻止各种攻击企图、攻击行为。表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL。用于保护服务器及其应用软件系统不因服务器或者软件本身存在的漏洞而。规则库进行比对，如果匹配则拒绝该数据包，从而实现应用层IPS。用于保护客户端机器及其应用软件系统不因本身的漏洞而受到攻击。无法继续攻击，有效降低入侵强度，保护服务器安全。

原创 终端安全检测和防御技术

新建策略 → 选择对象（用户/IP组）→ 指定协议（HTTP/SMTP等）→ 过滤文件类型（文档/程序等）。匹配数据包的五元组（源地址、目的地址、源端口、目的端口、协议号）来进行过滤动作，对于任何包可以立即进行拦截动作判断。检测协议异常（如80端口传输RDP）、外发流量激增（SYN/DNS Flood攻击）。基于IP/端口/特征的检测无法识别新型攻击（如潜伏黑客、异常流量）。：允许/禁止特定应用（如禁止QQ/迅雷，允许HTTP但需带宽保障）。：识别应用类型（如OA、核心业务），实施带宽保障/限制/阻断。

原创 下一代防火墙组网方案

物理接口与NGAF设备面板上的接口一 一对应（eth0为manage口），根据网口数据转发特性的不同，可选择路由、透明、虚拟网线和旁路镜像4种类型，前三种接口又可设置WAN 或非WAN属性。虚拟网线接口也是普通的交换接口，不需要配置IP地址，不支持路由转发，转发数据时，无需检查MAC表，直接从虚拟网线配对的接口转发。将多个以太网接口捆绑在一起所形成的逻辑接口，创建的聚合接口成为一个逻辑接口，而不是底层的物理接口。虚拟网线接口的转发性能高于透明接口，单进单出网桥的环境下，推荐使用虚拟网线接口部署。

原创 下一代防火墙技术

在NAT的实际应用过程中，NAT仅对网络层报文的报文头进行IP地址的识别和转换，对于应用层协议协商过程中报文载荷携带的地址信息则无法进行识别和转换，因此在有NAT处理的组网方案中，NAT利用ALG技术可以对多通道协议进行应用层的报文信息的解析和地址转换，保证应用层上通信的正确性。与过滤防火墙不同，状态防火墙保持连接状态的跟踪；防火墙是一个位于内部网络与外部网络之间的安全系统（网络中不同区域之间），是按照一定的安全策略建立起来的硬件或软件系统，用于流量控制的系统（隔离），保护内部网络资源免受威胁（保护）。

原创 等级保护2.0

根据信息、信息系统在国家安全、经济建设、社会生活中重要程度；遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度；将信息系统划分为不同的安全保护等级并对其实施不同的保护和监管。

原创 信息安全概述

防止任何对数据进行未授权访问的措施，或者防止造成信息有意无意泄漏、破坏、丢失等问题的发生，让数据处于远离危险、免于威胁的状态或特性。计算机网络环境下的信息安全。

原创 arp欺骗

1.2.3.4.5.6.7.结果。

原创 策略路由—PBR

如果下一跳不可达，按顺序试验后面的下一跳；一个路由图可以由多个策略组成，策略按序号大小排列，只要符合了前面策略，就退出路由图的执行。set ip next-hop <下一跳地址> [<下一跳地址> ……• 定义满足匹配规则后，路由器对符合规则的数据包进行IP优先值和下一。定义策略路由，一个route-map可定义多个节点，按节点序号执行。route-map <名字> permit <节点序号>match length <长度>：匹配数据包的长度。将策略路由绑定到接口，影响从接口进来的数据包。

原创 ospf多区域实验

AR7和AR12配置末梢区域stub，两个路由器命令一样。AR7和AR12配置完全末梢区域totally stub。区域2配置完全非纯末梢区域NSSA。区域2配置非纯末梢区域NSSA。查看ospf参数的部分命令。

原创 OSPF路由协议多区域

完全非纯末梢区域的ABR将不仅阻塞AS外部LSA，而且阻塞所有的汇总LSA，但除了通告缺省路由的那一条类型3的LSA。为实现这一功能，在NSSA区域内的ASBR将始发类型7的LSA来通告那些外部的目的网络。OSPF区域外部的目的地在哪里，在区域1中的路由都必须发送数据包到达ABR路由器，以便到达那个ASBR路由器。完全末梢区域的ABR将不仅阻塞AS外部LSA，而且阻塞所有的汇总LSA，但除了通告缺省路由的那一条类型3的LSA。• 在类型相同的情况下，选择路由开销（Cost）较小的路由。

原创 ospf单区域实验

Huawei-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255（1.当前网段会被ospf的进程1学习到然后通告出去；2.如果接口的IP地址处于这个网段中，那么当前这个接口就可以发送并接收ospf相关的报文）

原创 ospf路由协议单区域

仅以跳数为度量值（例：64Kbps链路与2Mbps链路均算1跳）实际带宽差异导致传输延迟差异显著（32s vs 3s）最大跳数15跳（16跳即不可达），限制大型网络部署– 更新计时器：定期路由更新的时间间隔，默认30秒。– 失效计时器：失效计时器内未收到更新，路由失效，默认180秒。– 清除计时器：清除计时器内未收到更新，路由清除，默认240秒。– OSPF英文全称Open Shortest Path First (开放式最短路径优先)

原创 动态路由协议基础

动态路由协议表示当前路由器到达目标网络的路径开销，越小越优先，主要参考因素有跳数、带宽、时延、负载、MTU等，不同路由协议的度量值参考因素不同。每个路由进程都单独维护自己的路由表，并把优选的路由安装到 全局路由表用于数据包转发，全局路由表中只存储最优路由。– 度量值只在同一路由进程内部比较，不同路由进程之间没有意义。– 表示路由协议的优先级，即路由协议的优劣，越小越优先。– 在不同路由进程学习到相同路由的时候，比较管理距离。发现自己的路由信息（收集直连网段信息）。2.常见路由协议的工作协议栈。

原创 设备虚拟化—IRF

与Master保持同步。当Master工作异常时，IRF将选择其中一台Slave成为新的。IRF采用1:N冗余，即Master负责处理业务，Slave作为Master的备份，随时。Master，接替原Master继续管理IRF系统，不影响网络转发。

原创 SMTP+VRRP实验

Huawei-Vlanif10]vrrp vrid 10 track interface g0/0/1 reduced 20（接口故障后当前路由器组10优先级的值减20）

原创 VRRP-虚拟路由器冗余协议

新Master产生时，主动发送免费ARP刷新交换机MAC表，避免二层转发故障。：多个虚拟路由器同时承担业务，分流内网与外网流量（需配置多个VRRP组）。：若路由器真实IP与虚拟IP一致（IP地址拥有者），自动成为Master。目的：提高网络可靠性，简化主机配置（主机仅需配置虚拟IP为网关）。默认开启：优先级更高的路由器恢复后，立即抢占Master角色。：单虚拟路由器，仅Master转发流量（Backup监听）。：每1秒（默认）发送组播通告，激活虚拟IP和MAC。优先级范围：0-255（默认100），

原创 MSTP多生成树协议

【代码】MSTP多生成树协议。

原创 RSTP快速生成树协议

原创 链路聚合技术

• LACP链路捆绑（IEEE 802.3ad标准链路聚合协议）– 两边不需要链路捆绑协议的协商，直接进行捆绑。– LACP的工作方式。

原创 ensp综合实验

Huawei-ui-vty0-4]user privilege level 15(可以将登陆进来的所有设备优先级都改成15，“有风险”)[Huawei]int g0/0/1(需要在出接口配置NAT)

原创 可靠性概述及要求

【代码】可靠性概述及要求。

原创 思科模拟器配置NAT

动态PAT第二种写法。

原创 上公网——Internet接入

转换IP地址和端口，节省公网IP地址。路由器的NAT地址转换表由内网设备上公网的数据流触发形成的。只转换IP地址，没有节省地址。路由器的NAT地址转换表由内网设备上公网的数据流触发形成的。转换IP地址和端口，节省公网IP地址。路由器的NAT地址转换表由管理员手工固定。只转换IP地址，没有节省地址。路由器的NAT地址转换表由管理员手工固定。

原创 CHAP配置

Huawei-Serial2/0/0]ppp authentication-mode chap（ppp用chap认证）[Huawei-Serial2/0/0]link-protocol ppp（链路的协议设置为ppp）[Huawei-Serial2/0/0]ppp chap user wjy（chap的用户名wjy）[Huawei-Serial2/0/0]ppp chap user wjy（发送的用户名是wjy）

原创 长途互联——WAN广域网技术

• MP（Multilink PPP）将多个PPP链路捆绑后当作一条链路使用• MP可以实现增加带宽、负载分担、链路备份以及降低报文时延的目的。

原创 4个ACL的配置

Switch(config-std-nacl)#15 deny 192.168.200.0 0.0.0.255（这时可以加在中间）Switch(config)#no access-list 1 permit any（任意删除一条整个ACL条目都将被删除）在3的基础上不让vlan10的主机访问DNS服务器。

原创 业务访问控制——ACL与包过滤

例如：上班时间（9：00~18：00）不允许员工的主机（172.16.1.0/24）访问Internet，下班时间可以访问Internet上的Web服务。增删改：每条ACL中的规则都有唯一序号，按照序号从小到大依次匹配，可以按照序号新增，可以单独删除某一条规则。增删改：每条ACL中的规则都有唯一序号，按照序号从小到大依次匹配，可以按照序号新增，可以单独删除某一条规则。– 第二步 ACL包过滤：将ACL绑定到设备接口上，进行数据包过滤。– QoS流分类ACL：只对数据包进行匹配，或者说对数据包进行流量分类。

原创 静态路由技术

RTB] ip route-static 10.1.1.1 255.255.255.255 2.2.2.1 preference 100 # 备。[RTB] ip route-static 10.1.1.1 255.255.255.255 1.1.1.1 # 主（Pre=60）[RTB] ip route-static 0.0.0.0 0.0.0.0 1.1.1.1 # 指向下一跳。

原创 DHCP中继，vlan间通信，telnet综合实验

不同网段之间可以互相通信。

原创 二层环路避免-STP生成树协议

• 通过在桥之间交换BPDU（Bridge Protocol Data Unit，桥协议数据单元），来保证设备完成生成树的计算过程。• STP（Spanning Tree Protocol，生成树协议）是用于在局域网中消除数据链路层物理环路的协议。