网络

加密是将数据资料加密,使得非法用户即使取得加密过的资料,也无法获取正确的资料内容,所以数据加密可以保护数据,防止监听攻击。其重点在于数据的安全性。

身份认证是用来判断某个身份的真实性,确认身份后,系统才可以依不同的身份给予不同的权限。其重点在于用户的真实性。两者的侧重点是不同的。

方案一:网关设在汇聚设备上,即部门共用网关,采用superVlan或者子接口方式进入三层

业务流程:
接入设备仅仅为用户提供二层接入功能,并根据企业具体情况划分VLAN
汇聚设备作为二三层网络的分界点,为用户提供三层网关
园区接入侧通过MSTP防止网络环路接入层到汇聚层通过SmartLink或者链路汇聚(CSS)保证设备间可靠性
通过BFD+VRRP保证用户网关可靠性
园区汇聚、核心、出口均采用三层路由互联,并通过IP FRR做快速路由收敛

优点:
低成本,接入侧交换机采用二层交换机,保护和节省用户投资
满足部门内特殊业务的二层互通需求

缺点:
接入交换机和汇聚交换机之间存在二层环路风险
接入交换机和汇聚交换机之间的链路利用率低
上述两个问题,可通过汇聚交换机集群和接入交换机的堆叠技术解决

方案二:网关设在接入设备上,部门多个网关,整网没有二层广播域

业务流程:

全网路由结构,接入设备是二三层网络的分界点, 接入设备作为终端设备的网关,提供二层终结, 三层路由;
终端采用SuperVlan或者普通VLAN方式接入网关
全网采用IP FRR做快速路由收敛

优点:
纯三层结构,网络结构简单清晰,不依赖CSS等技术简化网络
扩展性强,网络拓扑依赖度低,可以任意网络拓扑形式扩展
易维护,无二层环路网络风险,无需配置生成树协议
易配置,无需规划二层配置

缺点:
成本高,对接入交换机要求较高,导致成本提升
部门内无法进行二层互通,某些特殊业务无法运行
收敛速度相对二层可能会略慢

HedEx Lite 2016 for Mac

HedEx Lite是HedEx (Huawei Electronic Documentation Explorer)华为电子文档浏览器,它能够统一管理华为产品文档,方便您集中浏览和搜索;并支持在线升级产品文档,使您可以方便地获取华为产品最新的资料。

最新2016版下载地址:http://support.huawei.com/carrier/hdxDownload

此软件只有Windows版本,没有Mac版的,又没有其他可替代产品,所以用Wineskin Winery打包了一个app,程序比较大,因为里面除了应用程序和文档,还包括了运行程序所需的Windows环境。

外网网卡把IP地址(此处是10.1.1.5)、子网掩码、默认网关、DNS都设置好。

内网网卡只设置IP地址(此处是192.168.1.5)、子网掩码。

以管理员方式打开命令提示符

第一步:route delete 0.0.0.0 删除所有的0.0.0.0的路由

第二步:route -p add 0.0.0.0 mask 0.0.0.0 10.1.1.1 添加默认路由,访问外网时走10.1.1.1这条路由,加上-p的目的是设为静态(永久)路由,防止下次重起时配置消失。

第三步: route -p add 192.168.1.0 mask 255.255.255.0 192.168.1.1 添加192.168.1.0网段路由,访问内网时走192.168.1.1这条路由。可以根据需要调整ip段和子网掩码到多网段内网路由的效果。

打开注册表(运行 regedit)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] 修改”PortNumber”键值所对应的就是端口号
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp 修改”PortNumber”键值所对应的就是端口号
检查是否有开防火墙,如果有开需要吧新端口添加到允许,重启服务器。
查看本机在用的端口 netstat -a

打开远程桌面(运行 mstsc)输入 10.1.1.1:4000(端口号)

wireshark是一个非常好用的抓包工具,有windows版本和mac版本,在mac下安装wireshark,启动后发现提示找不到网卡,google了一番,找到了一个办法可以解决。
打开终端:
cd /dev
sudo chown DMONK:admin bp*
ls -la | grep bp
DMONK是我的用户名,可以用whoami查一下

案例:组网需求

某公司内部通过 S3600-EI 以太网交换机实现各部门之间的互连,网络环境描述如下:

研发部通过端口 Ethernet 1/0/1 接入Switch C;

市场部通过端口 Ethernet 1/0/2 接入Switch C; 数据监测设备连接在 Switch C 的Ethernet 1/0/3 端口上。

网络管理员希望通过数据监测设备对研发部和市场部收发的报文进行监控。

使用本地端口镜像功能实现该需求,在 Switch C 上进行如下配置:

端口 Ethernet 1/0/1 和Ethernet 1/0/2 为镜像源端口;

连接数据监测设备的端口 Ethernet 1/0/3 为镜像目的端口。

下面是一些Mac OS X下常用的网络诊断命令。它们能帮助我们发现网络问题。文中提到的协议和网络通信原理,可参考协议森林。

有些工具,如arping, arp-scan,需要借助HomeBrew安装。

基本工具

网络诊断的第一步,是了解自己的设备,比如有哪些接口,IP地址都是什么。

ifconfig

显示网络接口(interface)信息。如接口名称,接口类型,接口的IP地址,硬件的MAC地址等。

①接收者通过IGMP报告加入组播组
②最后一跳路由器发送join消息给RP,沿途创建(*,G)表项,形成RPT树(RP为根)
组播源注册
①组播源发报文给DR
②第一跳路由器以单播形式向RP发送注册消息(携带组播数据)没有组播树,防止数据丢失。
③RP解封装,沿RPT发送组播数据
RP向DR发送join消息,沿途创建(S,G)表项,形成SPT树
④RP单播向DR发送注册停止消息
RPT向SPT切换(解决次优路径)
①最后一跳路由器向第一跳路由器沿最优路径发join消息,创建(S,G)表项,构成SPT树。
②最后一跳路由器向RP发送RP位置位的剪枝消息
③RP向第一跳路由器发剪枝