拓撲可以儲存到本地,然後擴大檢視,這樣才能看的更清楚。(拖動到新視窗開啟即可)
(1)ip位址規劃總結
說明:在規劃ip位址的時候,一定要考慮好連續性,比如192.168.2.x~10.x,一般情況下配合vlan來規劃,乙個vlan乙個網段,當然具體的網段範圍可以根據專案實際的需求決定,如果是小於200的話,則用24位的,如果大於200,接近254的話,那麼則要考慮後後續為了方便擴充套件,最好是23位的,這樣的話,當後續有客戶加入或者人數增加,那麼也不會導致需要重新修改ip 範圍。 保證靈活性,之前說過了一般情況下是跟vlan 配合規劃的,這樣的話方便對vlan 內或者vlan間的做控制。彙總性,由於是連續在一起的網段,可以通過彙總,在路由方面部署的時候可以節省空間,比如靜態路由條目,ospf的lsa資訊。
(2)vlan、介面模式、trunk規劃總結
說明:vlan的規劃通常情況下是乙個部門乙個vlan來規劃的,這樣的好處是,當某個部門的某台機子出現了故障,那麼它影響的只會是那個部門的範圍,而不會影響整個網路。 對於介面模式來說,面向使用者的介面都為access介面,然後劃入到對應的vlan中即可,這裡需要注意的是,如果是接無線裝置的話,要考慮好,是否有多個ssid,或者是ac+ap架構,如果是的話,則需要用hybrid或者trunk來放行,比如ac+ap架構的話,那麼hybrid的pvid定義為管理ap的vlan,也就是給ap分配位址的vlan,而業務vlan則是ac上面定義的那個,放行這2個即可。trunk的話,則是上行鏈路連線需要通過trunk連線,預設情況下只允許vlan 1通過,其餘的不能通過,這時候可以全部通過,或者明細放行,放行的流量則是下面有流量通過的vlan都需要放行。
(3)ip位址配置總結
說明:配置ip位址沒什麼可以需要注意的,基本上就是體力活 敲鍵盤即可,注意的是掩碼跟規劃的時候要一樣,細緻小心點就可以了。
(4)冗餘技術部署總結【mstp 、vrrp、 鏈路聚合】
說明:冗餘技術在該專案中部署的有mstp、vrrp、鏈路聚合功能,mstp部署的時候,需要注意例項、name保持一致,因為mstp是計算的hash值來判斷是否同乙個域,所以確保一致即可,可以刷配置。另外mstp的根與備份根定義在核心層或者匯聚層上面,主根與備份根部署的方案根據在設計的時候,vrrp的master與backup一致規定即可。
vrrp需要注意的地方就是,優先順序的定義,建議master定義為105,預設為100,這樣的好處是,當某一條鏈路出現故障的時候,優先順序減低預設是10,當然也可以規定,但是容易被疏忽了,導致不必要的麻煩。另外對安全性較高的話,可以部署認證方案,track技術需要注意的地方,如果vrrp的master的位址與介面位址一樣的話,那麼則不能部署track技術,所以建議部署的時候,建議主ip為252、備用ip為253,虛擬ip為254這樣。這裡還需要注意的是,確保vrrp與mstp的根與master一致。
鏈路聚合的部署,注意介面下預設配置即可,不要配置,所有的配置在加入到鏈路聚合組後,然後在介面組裡面做配置就行。
(5)路由技術部署總結
說明:該專案中部署的是靜態路由,由於我們使用的是vrrp技術+靜態路由,所以結構非常簡單,沒什麼需要考慮的,如果網路環境比較負責,切換機制也夠複雜的話,建議使用ospf這些動態路由協議來動態收斂即可。
(6)dhcp伺服器部署總結
說明:dhcp服務部署,這裡是在windows伺服器上面部署的,只要在定義的時候把位址池範圍、閘道器、dns引數確認正確即可,需要注意的是,如果跨越了三層環境來獲取位址,就需要部署dhcp中繼功能,只有這樣才能保證下面的pc獲取到dhcp的服務。
(7)部署無線總結【ac+ap,二三層漫遊、優化等】
說明:在無線部署這塊,需要注意的地方比較多點 1、ap上線的問題,如果上線的話需要記錄ap的mac或序列號sn。 2、wlan-ess介面,必須untagged介面 3、其他策略都可以預設,比如流量模板、射頻模板等,安全模板的話可以根據需求來定義是open還是psk或者dot1x等。 4、服務集模板:用來關聯流量模板、安全模板、wlan-ess介面、業務介面,ssid等策略。 5、ap射頻,如果是雙頻的話,0代表2.4g,1代表5g,可以同時支援。 6、ap射頻關聯射頻模板與服務集 7、最後下放策略
8、**模式分為本地**與隧道模式,一般情況下為預設的直連**即可。 9、埠隔離與acl的呼叫都是在服務集上面呼叫的。 10、mac認證與dot1x都是在wlan-ess介面呼叫的。 11、二層漫遊:注意的問題,只要ssid與安全策略一致即可。 12、三層漫遊:注意的地方,wlan-ess介面untagged需要的vlan,另外置入交換機這些也需要放行流量。當然也要保證ssid與安全策略一致。 13、優化功能都是在ac上面部署的,最終下放即可。 14、負載均衡模式,可以根據實際需求是否需要部署負載均衡。
(8)伺服器部署總結
說明:防火牆上面需要注意的地方也比較多,比如策略的放行、nat的部署,包括訪問internet、nat server對映,vpn部署,雙線路接入技術。
1、策略的部署,需要根據需求進行部署,比如是否需要加入時間引數,控制哪個時間段可以上網,是否控制某乙個網段不受限制,這個都要考慮好策略部署的順序,如果順序不對導致策略的匹配不一樣。 2、nat的包括2個模組,乙個是源nat,用來訪問internet的,它部署完畢後,還需要用策略來放行才行,否則流量通過不了防火牆。 另外乙個就是nat server了,nat server 可以直接在全域性輸入即可,如果是多個isp的話,需要加zone引數,否則乙個伺服器只能對映在乙個ip位址上面。 vpn的部署分為2大塊,乙個是l2tp over ipsec,另外乙個是gre over ipsec,l2tp的話比較簡單,只要開啟服務,然後定義使用者名稱等即可,注意的是ike與ipsec的策略一定要是3des、sha這樣的,這樣方便pc客戶端與移動客戶端接入,匹配主流策略。 gre over ipsec策略的話,注意兩邊是否都是固定公網ip位址,如果是的話,則可以用公網源目ip位址做tunnel的源和目的,如果不是的話,則必須通過建立環迴口來建立,然後總部這邊部署動態模板。 最後乙個問題就是vpn與nat共存的時候,必須在nat中deny掉vpn的流量,不然vpn可以建立。流量通訊不了,因為nat的處理過程比vpn要優先,但是gre over ipsec不存在該問題。雙isp技術的部署,要考慮好ip-link技術與策略路由的部署,然後應用到內網介面【注意acl的匹配,除了匹配需要按照規劃好的走的網段以外,還需要記住不能影響內網之間的互通,如果內網之間需要通過防火牆互通的話則必須用acl deny掉】。 如果內網使用者希望通過公網位址或公網網域名稱訪問內部伺服器的話,則必須部署域內nat,另外在策略路由上面必須注意deny掉內網訪問伺服器的流量,這樣才能正常轉換,否則走策略路由了,不能正常的完成域內nat轉換。
(9)管理部署總結
說明:在內部部署管理策略是有必要的,因為在網路穩定後,管理人員不可能要修改配置或者其他的都要往機房跑,所以要用乙個管理的電腦或者終端統一管理這些裝置,也只能該終端進行管理。 1、定義多個使用者名稱,不同的許可權,比如a只能telnet、ssh訪問,並且許可權級別2, 而管理員帳號可以登陸console口,web等。 2、開啟使用者名稱與密碼認證,而不是簡單的認證功能。 3、定義acl來限制特定的源來訪問。
(10)接入層與無線安全策略部署總結
說明:安全策略部署這塊是非常重要的,因為通常情況下,對於攻擊來說,外網對內網的攻擊難度較大,而內網之間的攻擊要容易的多,很多攻擊都是來自內網,所以我們必須保證內網的安全,必須部署對應的技術。1、部署埠隔離 ,那麼就算乙個使用者中毒了,或者進行攻擊,也不會影響該vlan內的其他pc,訪問。 2、dhcp snooping部署解決的是,防止使用者私接dhcp 伺服器,導致內網位址獲取到不正確的網段,影響整個網路的執行。 3、dai與ip source guead功能,是在部署了dhcp snooping功能後,然後利用動態生成的表項來防止arp攻擊與ip/mac位址欺騙功能,也可以實現內網使用者只能通過內網dhcp獲取到位址後才能訪問公司內網網路與外網,其餘部分訪問不了。 4、mac位址與dot1x的部署, 如果內網需要對接入裝置進行控制的話,那麼dot1x與mac位址是最可靠的,mac位址對於客戶來說是透明的,只要客戶的網絡卡的mac位址與定義的一致即可接入到網路,沒有任何限制,但是注意的是,該過程需要統一記錄才行,否則很容易導致有些ap上不了網。 而dot1x就比較簡單點,通過使用者名稱密碼來驗證,通過後即可加入到內網中,訪問內網資源或者是公網,如果認證失敗則部署在guest vlan,我們通常只允許訪問公網。 另外乙個優勢是可以用外部資料庫進行聯動,比如radius,然後ad等。這樣不需要重複的輸入使用者名稱密碼了。
5、無線部分的安全,一般就是黑白名單,它是在使用者接入的時候檢查定義的mac位址表,如果接入使用者正確的話則允許接入,否則拒絕。 埠隔離技術可以實現無線之間的使用者不能互訪,這樣也很大的保護了內網的安全,因為有時候有訪客提供訪問,但是只能訪問公網環境,隔離的話就有效的防止來賓使用者如果從外面的網路感染了病毒或者是裝了某些不安全的軟體,如果沒開啟隔離技術,容易被攻擊,開啟後則有效的阻擋了攻擊。另外可以部署暴力破解、imcp泛洪等攻擊,這樣的話防止ssid的密碼破解。mac認證與dot1x的作用 跟有線是一樣的,所以就不在提到。/
滲透思路全方面總結
一 針對 程式,不考慮伺服器。1 查詢注入,注意資料庫使用者許可權和站庫是否同服。2 查詢xss,最近盲打很流行,不管怎樣我們的目的是進入後台。3 查詢上傳,一些能上傳的頁面,比如申請友鏈 會員頭像 和一些敏感頁面等等,注意檢視驗證方式是否能繞過,注意結合伺服器的解析特性,比如典型的iis6.0 阿...
滲透思路全方面總結
原文出處 針對新手寫一點滲透的小思路 小技巧,主要講的是思路,技術需要時間沉澱。一 針對 程式,不考慮伺服器。1 查詢注入,注意資料庫使用者許可權和站庫是否同服。2 查詢xss,最近盲打很流行,不管怎樣我們的目的是進入後台。3 查詢上傳,一些能上傳的頁面,比如申請友鏈 會員頭像 和一些敏感頁面等等,...
MT全方面總結經驗
3 電源ic和穩壓管並用 一般以電源ic作為邏輯供電電源,待邏輯部分啟動後再根據需要來驅動穩壓管輸出射頻電路供電。手機供電常見故障有不開機,大電流等,如何檢修則按照上述的工作流程進行跟蹤測量.cpu故障維修 一 cpu啟動 當相應電路得到供電工作後,cpu就應立即啟動,cpu啟動需要三個條件。1 供...