网络工程师俱乐部-CSDN博客

原创 NAT模式和路由模式，到底该选哪个？多数人都选错了

号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部你是这么配的吗？跑公网用 NAT 模式，看起来一切正常；拿防火墙当网关，上了双 ISP，还继续用 NAT；有公网地址，却也懒得划网段，照旧 NAT 转发……说实话，这种“哪里都 NAT”的部署方式，，但一旦网络复杂起来，出问题了，排障、扩展、甚至日常运维都可能被“反噬”。一、啥是 NAT 模式？啥是路由模式？我们说的 NAT 模式/路由模式，其实是指。NAT模式图示内网私网地址 → 公网地址；

2025-08-08 11:57:36 578

原创别再问了，三层交换机根本不可能替代路由器

号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部每年都有新手问：“都用三层交换机了，还要什么路由器？甚至面试的时候，也会被问到：“三层交换机和路由器的区别到底在哪儿？很多人一听“三层交换机也能路由”，就以为它能替代所有路由器。更有甚者，在园区网设计里，把三层交换机顶到最外网出口，完全不加边界设备。结果一出问题，全网躺平。所以今天我们就来把这个事说透，到底三层交换机能做什么，不能做什么，路由器存在的意义又是什么。这个超实用的网工实验手册你绝对不能错过。发送暗号。

2025-08-07 13:28:43 913

原创 ARP欺骗防不住？交换机配置好这几项，内网安全立马不一样

1. 先别讲配置，ARP欺骗到底咋回事？号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部在内网里搞破坏，最常见的攻击方式就是ARP欺骗了。ARP欺骗攻击组网它不需要特别高级的黑客技术，只要有访问权限，几行命令就能轻松伪装网关、劫持流量，甚至让整个局域网瘫痪。别以为你把网关设好了，启用了静态IP就安全了，只要ARP欺骗没防住，数据该去哪儿就能被拦到哪儿。——。只要这几项配对了，绝大部分ARP攻击在你网里根本施展不开。

2025-08-07 13:24:00 602

原创园区网汇聚到底该用二层还是三层？别再瞎选了

号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部上次写过一篇和园区网相关的文章，有些朋友说讲得太浅。这次来一版深入一些的，完全贴近园区网真实部署场景，不光把原理讲透，也会穿插关键配置点、实际网络设计的演进路线。一、这不是选型题，这是架构题先别急着对比“二层便宜”还是“三层高效”。选二层还是三层，本质上是在决定你这个网络未来是“小作坊架构”，还是“正规企业级架构”。用二层汇聚，一旦核心挂了、广播暴涨、VLAN 乱窜，运维全靠人顶。

2025-08-05 13:51:00 788

原创被低估的开源远程连接神器，Electerm 比 XShell 更香？

它支持多个 SSH 会话，可以同时打开多个标签页和窗口，并具有自动完成、自动重连、多种主题和自定义快捷键等功能，使得使用 SSH 会话更加高效方便。总之，electerm 是一个功能丰富、易用性强的 SSH 客户端，适用于需要频繁连接远程服务器的开发者、系统管理员和网络工程师等人群。另外，electerm 还支持 SFTP 和端口转发等功能，可以方便地传输文件和管理网络连接。提供了一些插件，例如 docker、kubernetes 等，可以扩展更多的功能。，功能特别多，SSH、FTP都能搞定，还有人用。

2025-08-05 13:42:38 156

原创都说 8.8.8.8 稳，114.114.114.114 真就不行？

号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部提到 DNS 公共解析地址，很多人第一反应是 Google 的 8.8.8.8。但在国内，老一辈网工也很熟悉另一个地址——114.114.114.114。它出自中国的运营商体系，在一段时间内甚至是各类教程、教材推荐的“默认值”。但问题来了，2025 年了，你到底该选哪一个？8.8.8.8 真的比 114 更稳定？还是只是跟风？今天我们就来从。

2025-08-04 17:04:38 564

原创 SSH/Telnet到底怎么配？华为、H3C、锐捷三家配置一把梭

交换机远程登录是网络管理的基本技能，能让运维人员不必现场操作，通过远程直接进入交换机进行配置和维护，大大提升了管理效率。目前市场上主流的三大网络设备厂商——华为、H3C和锐捷，在远程登录配置上都支持Telnet和SSH两种方式。配置完成后，推荐使用SecureCRT、PuTTY等SSH客户端远程连接，确认配置是否生效。最早的远程登录协议，使用明文传输，安全性较低，但配置简单，适合无严格安全要求的环境。基于加密的远程登录协议，支持密钥认证和加密传输，更安全，是企业首选远程管理方式。

2025-08-04 16:57:32 840

原创 Wireshark 过滤语法太多记不住？这一篇直接全汇总

它对数据流量起“网筛”作用，过滤掉不关心的包，节省空间和性能。今天这篇文章，我帮你把Wireshark过滤器的语法、常用命令、组合用法、实用示例全部捋一遍，帮你彻底搞懂，记得用！捕获过滤器不支持协议内部字段，只能针对包头基本字段（IP、端口、协议），不支持显示过滤器的复杂条件。显示过滤器用在抓包完成后筛选数据包，功能强大、语法复杂，能针对各种协议和字段精确过滤。Wireshark的强大在于它丰富的过滤功能，帮你从海量抓包数据中精准找出想要的包。有时候抓包数据量巨大，可以按包大小过滤，只看超过一定长度的包。

2025-08-04 16:47:34 773

原创都有 IP 地址了，配环回地址到底还图个啥？

ping 通 127.0.0.1 并不能证明网卡没坏，只能说明操作系统网络栈还在正常工作。五、Loopback 接口在路由器中的实际作用。

2025-08-01 16:03:50 561

原创拉网线修电脑还顺便装个系统？网工如何避免沦为“IT保姆”？

号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部相信很多刚入行或工作几年的网络工程师都有类似经历：明明岗位写的是“网络运维”，干的却是“帮同事换鼠标”“去现场排插座”“顺便给办公室装个Windows”；遇到网络慢、掉线、VPN连不上，没人管原始拓扑和配置问题，第一反应就是让你“重启一下”“换根网线”；更离谱的是，偶尔还得帮老板装打印机、调音响、修显示器……一圈干下来，技术没涨多少，身份却像成了“万能IT保姆”。干着最琐碎的事，背着最沉重的锅。

2025-08-01 15:58:13 523

原创名字像路由，性能像交换？三层交换机到底靠啥这么快？

很多网工刚入行时听到“三层交换机”这个名字，总会先入为主地以为它是“路由器+交换机”的杂交产品。三层交换机之所以快，是因为它用ASIC硬件芯片，把“路由”变成了“像交换一样快”的事情。号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部。：利用专用ASIC芯片实现硬件转发，只有首次需要CPU处理，后续走。下一次当你看着那台“像交换机又像路由器”的设备时，别再纠结名字了，简单来说，它是用“交换的方式来完成部分三层功能”的产物。虽然它叫“交换机”，还能“路由”，但它的。

2025-07-30 16:27:58 396

原创还在死背网关、DNS、ARP？一个故事说明白计算机网络原理

就给李大爷打了电话，说：“现在我来管理小暗的电话了，孙已经不管了”，结果李大爷就把他的通讯录改了，小明心里想“绝对不能让你联系小丽”，于是他打起了王爷爷通讯录的主意，经过细心的观察，周密的准备，终于在一个月黑风高的白天，趁着王爷爷去上厕所了，小明偷偷的摸进传达室，小心翼翼的改了王爷爷的通讯录......2、赵大妈病了，孙大爷自己到处打电话，见人就说：“我是小暗他们院子管电话的”，结果被李、王二位听到了，就记在了他们的通讯录上，然后李、王就给孙大爷回了个电话说：“我是小明(小不点)他们院子管电话的”，

2025-07-30 16:22:05 910

原创 IPv6地址管够？那为啥运营商死活不给你一个“固定的”？

号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部很多人刚接触 IPv6 的时候，第一反应就是：“哇，地址多到用不完，再也不用抢 IP 了！但实际用下来才发现——地址确实“多”，可你想要一个，运营商却往往不给，反而是动不动就换，搞得设备管理、远程连接、权限配置全乱套。这到底是为什么？IPv6 不是号称能给地球上每粒沙子都分一个 IP 吗？怎么连我一个家庭宽带都不给固定的？今天从等角度讲透这个问题。一、IPv6确实“够用”，但不代表“固定”

2025-07-29 14:55:35 890

原创 OSPF、EIGRP、BGP：你真的知道这些协议的“最佳使用场景”吗？

OSPF 的优势在于收敛速度快、层级清晰、区域划分灵活，适合规模逐渐扩大的园区网使用。在日常网络运维或设计中，很多人对路由协议的理解还停留在“能通就行”，但其实，选错协议不仅会增加网络不稳定因素，还可能造成运维负担和资源浪费。尤其是 OSPF、EIGRP、BGP 这三个协议，看似都能完成“路由学习”这件事，但本质、定位和适用范围完全不同。EIGRP 配置简单、收敛速度快，不需要像 OSPF 那样设置复杂的区域结构，也没有 BGP 那么重。Cisco设备内部的“最省事协议”，非它莫属。

2025-07-28 14:36:15 423

原创 MAC冲突怎么查怎么防？这篇直接讲透（含实战技巧）

号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部MAC冲突并不少见，却常常被忽视，极容易在中大型园区网、虚拟化环境、手动绑定IP的网络中出现。今天聊聊如何在“看似正常”的网络中，发现底层问题。别再只怀疑IP冲突了！真正难搞的是“MAC地址撞车”一、为什么MAC地址冲突很危险？在很多网络故障中，的根因。和IP冲突不同，MAC地址冲突不会总是立刻暴露出来，而是表现为：内网“间歇性”掉线某个业务访问失败但能Ping通主机ARP异常或网关错乱。

2025-07-28 14:28:50 747

原创别迷信 VLAN 隔离=安全，这5种配置误区才是事故根源

比如测试人员临时将某设备从 VLAN 10 接到 VLAN 20 端口，未归还、未审计，造成跨 VLAN 通道长期开放，风险巨大。：VLAN 隔离只是逻辑隔离，没有任何 ACL、端口控制或者身份认证机制，攻击者只要进入网络，可能就能轻松访问别的 VLAN。部分旧网络设备上，“某个口 Trunk 接入多个 VLAN”，但没关闭 Trunk 口，攻击者有机会扫到其他 VLAN。很多初学者会以为，“我把生产、办公、摄像头设备分别划了 VLAN，就实现了隔离，也就安全了”。

2025-07-28 14:19:47 626

原创真的是带宽不够？98%的网络拥塞根本不是加带宽能解决的

尤其是面对企业园区网、出口链路等场景，很多性能问题往往根源在设备转发、策略配置或网络结构设计上。号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部。原创：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部。加带宽固然是一个解决手段，但它通常成本高、周期长，更重要的是，但真相可能是：你盯着带宽，问题却根本不在那儿。：链路带宽飙升，Ping 丢包严重，全网卡死。：总带宽未满，但核心设备CPU飙高、处理慢。否则，钱花了、网还卡，得不偿失。

2025-07-25 11:34:29 272

原创 Ping通≠网络 OK，Ping不通也不一定真断了，背后的隐藏陷阱太多

号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部在网络排障中，“先 ping 一下”几乎成了条件反射动作。，只要 ping 不通，那就是链路挂了。实际上，如果你真这么想，那很容易掉入排障陷阱，被表象误导，错过真正的故障点。，到底哪些隐藏问题容易被掩盖或误判？一、Ping 通了，但业务却访问异常？

2025-07-25 11:27:14 943

原创嘴上说用不到，身体却很诚实：VXLAN技术一文讲透

号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部在不少网工口中，VXLAN 往往被贴上“数据中心才用得上”“企业网用不到”的标签，但真等业务量一上来、租户隔离要实现、网络边界打通要部署……身体比嘴还诚实，VXLAN 立马成了刚需。到底什么是 VXLAN？它能解决什么？怎么部署、怎么抓包、怎么排障？这篇文章一次性给你讲透。一、VXLAN 背景：为什么需要它？传统 VLAN 使用 12 位字段，最多支持 4096 个广播域，足够早期网络使用。

2025-07-23 17:34:34 308

原创 NAT怎么玩才高级？这篇工作原理+实战场景，全流程包你看懂

如图9所示，当Nginx反向代理使用NAT模式的负载均衡时，来自不同客户端的访问请求均发送至虚拟IP 50.84.8.1，Nginx再根据负载均衡算法将目标IP地址转换为某台后端服务器的IP地址，实现多台服务器向客户端提供服务，提高业务响应性能的同时也保障了业务的高可用性。选择数据包分析视图“①”，选中数据包列表窗格中编号为1的数据包“②”，在下方的解码视图中展开互联网协议节点，可以看到数据包的目标地址为50.84.8.1“③”，即图3中业务服务器的“内部全局地址”。

2025-07-23 17:29:37 624

原创三层交换机和路由器的“边界”在哪？弄懂这些，才算真正入

号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部许多人刚接触网络时，总觉得三层交换机和路由器是“类似的东西”，毕竟它们都负责网络层的工作，都涉及 IP 转发。然而它们虽然功能上有交集，但其实在一些核心特性上是有本质区别的。今天我们就把三层交换机和路由器的差异、各自擅长的场景都梳理清楚，，才能把这两个设备用得游刃有余。一、三层交换机和路由器的功能对比。

2025-07-22 15:11:13 692

原创真正会抓包的网工，早把 tcpdump 玩明白了

号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部你可能早就知道 tcpdump 是命令行抓包神器，但真到现场排障，能灵活用这个工具的网工，真不多。今天就来一篇全面实战文，把都讲清楚。一、tcpdump 的语法结构长啥样？标准格式如下：tcpdump [参数] [过滤表达式]非常好，你提供的内容很细致，补充得非常实用。下面我将原文章中【“二、常用参数一览（建议熟到写代码一样）”】部分进行。

2025-07-21 23:01:39 958

原创 ACL三种典型写法：按源IP、按目标段、按业务端口

三种 ACL 写法总结对比号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部ACL（访问控制列表）是交换机、路由器上最常见也最容易出锅的配置。稍有不慎，业务断一片；写太宽，安全等于摆设；写太窄，又封死了正常访问。那 ACL 应该怎么写？不同业务场景下，该用哪种方式来匹配？，这三种匹配方式掌握住，日常配置基本不会翻车。一、按源 IP 写：控制“谁”可以访问这种写法，用于控制哪些“主机”能访问某个网络或端口。

2025-07-21 22:58:32 869

原创静态路由优先级到底怎么算？用不对就会“被覆盖”

如果 192.168.1.1 这个地址不可达（比如对端口DOWN了），这条静态路由也不会被加入路由表。如果 OSPF 也发布了 192.168.1.0 网段，它就会“压住”你。号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部。原创：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部。此时路由表会保留两条，默认开启 ECMP，走双出口。三、还有一种情况：多条静态路由，只有一条生效？路由明明配了，设备却选了“另一条”；你配了双出口，结果全跑一边去了；

2025-07-21 22:55:52 414

原创 tcpdump才是网工真正的抓包利器

包括src、dst、dst or src、dst and src，这些关键字指明了传输的方向，比如src 192.168.1.1说明数据包源地址是192.168.1.1，dst net 192.168.0.0指明目的网络地址是192.168.0.0，默认是监控主机对主机的src和dst，即默认监听本机和目标主机的所有数据。如果不指定，默认抓取tcpdump -D 查询到的第一个网卡。别看它界面朴素，其实功能强得很，过滤表达式一套一套的，不管你是想抓某个 IP、某个端口，还是指定协议的流量，都能精准拿下。

2025-07-21 22:49:39 1100

原创网工简历别瞎写，这50个技能点，能写上的都写上

号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部简历上的一句“熟悉网络配置”，听起来很全能，实际却没分量。真正能打动技术面试官的，是那些的技能点。，涵盖交换、路由、安全、抓包、排障、设计，每一项都不空泛。（越前面越基础，如果你的技能完全可以cover后面的几个part，前面的就不要写，根据自己的能力把最强的部分写进去）

2025-07-18 11:52:09 923

原创三层交换机到底是“交换机”还是“路由器”？这几种行为最易混

项目三层交换机路由器转发方式ASIC 硬件转发软件路由表查找（或低速转发）用途局域网内高速转发广域网跨网连接、复杂路由策略接口多口并发、类似交换口接口类型多样（串口、以太网、5G模块等）干的是“本地局域网内的路由活”，速度更快、结构更清晰，但不是你网络出口那位大哥。：三层交换机适合园区网内部“高速互通”，路由器适合出口、接 ISP、跨广域网。不像传统路由器“基于软件查路由表”，三层交换机做三层转发时，也是靠芯片走的，三层交换机不是“名字带三”就是路由器，它只是具备三层转发能力的交换设备，

2025-07-17 16:41:34 537

原创作为网工，我承认——VXLAN 这辈子可能用不上，但我还是学了

可以看到，这里封装的外层源IP地址为本地VTEP（VTEP_1）的IP地址，外层目的IP地址为对端VTEP（VTEP_2和VTEP_3）的IP地址；此时VTEP_3查询ARP表项，并将原始报文的源MAC修改为BDIF 20接口的MAC（MAC_20），将目的MAC修改为VM_B的MAC（MAC_B）。例如，假设图4-2中VTEP_1连接的VM、VTEP_2连接的VM以及VTEP_3连接的VM之间需要“大二层”互通，那VTEP_1、VTEP_2和VTEP_3之间就需要两两建立VXLAN隧道，如图4-3所示。

2025-07-17 16:30:51 981 1

原创抓包就靠 tcpdump？别只会 -i eth0，这些技巧才是核心操作

tcpdump -i eth0 arp # 抓 ARP 请求/响应。tcpdump -i eth0 port 443 # 抓 HTTPS 流量。tcpdump -i eth0 icmp # 抓 ping 包。tcpdump -i eth0 tcp port 22 # 抓 SSH。tcpdump -i eth0 udp port 53 # 抓 DNS。

2025-07-16 16:03:59 720

原创有了 MAC 地址，为什么还需要 IP 地址？这事很多人都理解错了

号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部“既然 MAC 地址能唯一标识设备，那干嘛还要搞个 IP 地址？这个问题其实不简单，甚至在某些网络考试里也是送分or送命题。如果你只会说“MAC 是物理地址，IP 是逻辑地址”，那还只是停留在表面。一、MAC 地址，能不能干掉 IP 地址？你先设想一下：我把公司所有电脑都设置好 MAC 地址，交换机也能学到 MAC 表。那我直接通过 MAC 发数据就好了，干嘛还多一层 IP？

2025-07-15 15:49:29 298

原创懂Ping的不稀奇，能玩转这5个场景的才叫高手

正如图7中所示，序列号值为“0x11”和“0x14”的Echo Message得到了Echo Reply Message回应，序列号值为“0x12”和“0x13”的Echo Message未得到任何数据包回应，因此被记录为请求超时（见图4），默认情况下，如果一个Echo Message发出2秒后未收到回应，将被记录为请求超时。如图4所示，Windows主机执行ping命令后收到了来自主机“50.84.8.1”的回复（2次），2个请求超时，包括本次探测的统计信息，丢包率50%、平均往返时间0ms等等。

2025-07-15 15:41:00 364

原创主机互通背后细节全解析：交换机端口到底咋配？ARP到底咋转发？

只要交换机支持 L3 转发、VLANIF 接口 UP，配置好 VLAN 关联端口，就能实现跨 VLAN + 跨网段通信。掩码：255.255.255.0 → 网络号都是 192.168.10.0 → 同网段，不找网关，直接 ARP。号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部。原创：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部。主机能否互通，80%的问题都出在“端口类型、VLAN、ARP转发”这三件事上。

2025-07-14 16:52:24 567

原创 tracert 到底是怎么工作的？这篇文章带你彻底搞懂

网络排障中，一定要配合 ping、display ip routing-table、display interface 等命令一起用，才能真正还原“数据到底走了哪”。它靠着设置 TTL，诱使网络设备“暴露自己”返回 ICMP 报文，才让我们看到每一跳的路径。号主：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部。tracert -d www.baidu.com ← 不解析域名，加快速度。原创：老杨丨11年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部。

2025-07-14 16:46:55 759

原创 OSPF 为啥能天然防环？区域结构到底怎么起作用？

算出到每个目的网段的最短路径。这时候就不会存在“你说A，我说B”的混乱，也就不会有“你指给我一个错误的回路”。但 OSPF 每个链路都有 Cost，每个设备拿到全图自己算 SPF 树，不存在“我听你说几跳”，也就不会被骗。说完协议层，再说说工程配置中，我们可以怎么规避“看起来不像环，实则是回路”的坑。“哇，OSPF真牛，不用你配什么防环机制，它就能自动避免环路。OSPF 区域划分后，LSA 不再全网广播，而是只在区域内泛洪。→ 你无法靠转来转去“制造假信息”，这就断了“信息成环”的根。

2025-07-14 16:38:34 388

原创全网最细，拆解OSPF防环底层逻辑，网工看完直呼内行

但是一旦R2-R3之间的邻接关系建立起来，R3将不能再使用R4下发的Type-3 LSA计算路由，而仅能使用从Area0中收到的、R 2下发的Type-3 LSA进行区域间路由计算，所以此时R3路由表中1.1.1.0/ 24路由的下一跳为R2，而且即使这条路径的Cost要比从R4走更大（例如将R3连接R 2的接口Cost调大）。然后，R3向R4通告这些区域间的路由时也携带者自己到达目标网段的Cost，而R4到达目标网段的Cost则是在R3的通告值基础上累加自己到R3的Cost——典型的距离矢量行为。

2025-07-11 11:50:12 670

空空如也

空空如也