本人从事网路安全工作12年，曾在2个大厂工作过，安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过，对这个行业了解比较全面。

最近遍览了各种网络安全类的文章，内容参差不齐，其中不伐有大佬倾力教学，也有各种不良机构浑水摸鱼，在收到几条私信，发现大家对一套完整的系统的网络安全从学习路线到学习资料，甚至是工具有着不小的需求。

最后，我将这部分内容融会贯通成了一套282G的网络安全资料包，所有类目条理清晰，知识点层层递进，需要的小伙伴可以点击下方小卡片领取哦！下面就开始进入正题，如何从一个萌新一步一步进入网络安全行业。

学习路线图

其中最为瞩目也是最为基础的就是网络安全学习路线图，这里我给大家分享一份打磨了3个月，已经更新到4.0版本的网络安全学习路线图。

相比起繁琐的文字，还是生动的视频教程更加适合零基础的同学们学习，这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。

网络安全工具箱

当然，当你入门之后，仅仅是视频教程已经不能满足你的需求了，你肯定需要学习各种工具的使用以及大量的实战项目，这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。

项目实战

最后就是项目实战，这里带来的是SRC资料&HW资料，毕竟实战是检验真理的唯一标准嘛~

面试题

归根结底，我们的最终目的都是为了就业，所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过！

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

断言机制名称： Assert

21.bgp中open报文包含的信息：
version、as编号、hold time消息

22.前缀列表：
可以过滤IP前缀、可匹配前缀号和前缀长度、对于路由前缀的匹配功能比访问控制列表更强。

23.AS path
它是bgp中一个非常重要的公认必遵属性，它是指在bgp路由在传输的路径中所经历的AS的列表。

24.关于虚链路的描述
网络中存在虚链路，说明网络设计存在问题，需要优化。
虚链路增加了网络的复杂度，还可能带来环路。

25.永久组播地址的描述
224.0.0.1被网段内的所有主机及路由器侦听
224.0.0.2 被所有路由器侦听
224.0.0.5所有运行OSPF的路由器侦听

25.OSPF路由器从初始到邻居，形成邻接的关系过程
Down、 Init、2-way、 Exstart、 Exchange、 Loading、 Full

26.OSPF特殊区域
Totally stub Area 作用是允许ABR发布的LSA3缺省路由，不允许自治系统外部路由和区域间的路由。Stub Area区域与它不同处在于该区域允许域间路由。NSSA区域与它不同处在于该区域不允许域间路由。

27.ISIS协议具备的特点：
报文结构简单、适用于大容量的路由传递、扩展性较好

28.ospf dr-priority命令默认值为1，取值范围为0~255

29.静态LACP模式中的抢占机制概述
当一条高优先级的接口因故障切换为非活动状态而后又恢复时，如果使能了抢占，则恢复的高优先级接口将在延时一定时间后，重新成为活动接口，如果未使能抢占，该接口不能自动成为活动接口。
为了避免由于某些链路状态频繁变化而导致整条链路传输不稳定，可以设置抢占延时。

30.Route-policy概述
一个Router-policy由多个节点构成，可包含多个if-match、apply字句，if-match字句用来定义节点的匹配条件，字句过滤规则关系是“与”，即必须全部匹配、apply子句用来定义通过过滤的路由行为，节点间的过滤关系“或”，即只要通过了一个节点的过滤，就可通过该route-policy。
route-policy能给预先定义的条件过滤设置BGP属性，所以它经常被用来针对BGPpeer的策略，也经常在路由生成时期被使用，缺省情况下所有未匹配的路由都拒绝通过route-policy。

31.BGP可选属性概述
分为可选过渡和非可选过渡两种。
可选过渡属性是BGP路由器可以选择是否在Update消息中携带这些消息，接收的路由器如果不识别此属性，可以转发给邻居，邻居可能识别并使用。
非可选过渡属性是BGP路由器可以选择是否在Update消息中携带这种属性，接收的路由如果不识别 这种属性，将丢弃，不转发给邻居。

32.BGP公认团体属性有：No-export、No-advertise、Internet。

33.BGP-Open消息携带那些信息：
本地自治系统（AS号）、BGPID、Hold Time、BGP版本

34.BGP的Origin属性：
通过import 命令注入BGP的路由，Origin属性都为Incomplete，通过network命令注入BGP的路由，Origin属性都为IGP。

35.ISIS协议路由计算包括那些步骤
邻居关系建立、链路信息交换、路由计算

STP、RSTP、MSTP

1. 在生成树网络中，关于TC报文？
   在生成树网络中，拓扑发生改变时，设备会发出TC报文通知拓扑改变信息， 并刷新ARP表项，当ARP刷新没有得到及时回应时，就可能引起丢包现象。

OSPF协议

1. 哪种情况会导致OSPF建立了邻接关系，但互相收不到对方的路由？

网络类型一边为P2P，一边为广播

2. OSPF中，发现其中部分路由不断震荡，造成该现象原因有可能？

有设备的物理端口在震荡、有些设备的OSPF Router-id冲突、有些设备的认证不匹配导致邻居建立不起来

ISIS协议

ISIS是一种链路状态路由协议，它被广泛使用于大中型网络中

ISIS通过扩展TLV兼容其它网络层协议，它支持L2和L1的区域，更适合扁平化网络部署，ISIS报文封装在二层数据帧中，提高了路由报文交互的安全性。

BGP协议

1. 当网络中配置BGP协议，在路由器上使用命令查看BGP路由表能看到一条路由条目，但是在路由器的全局路由表中却找不到BGP路由，原因：

该BGP路由的AS-PATH中包含了自己的AS ID、使用了bgp-nb-only、在全局路由表中有其它优先级更高的路由条目、该BGP路由下一跳不可达。

HCIP（H12-222） V2.5

MPLS（多标签协议交换）

1. MPLS-多标签协议交换技术，是一种在开放的通信网上利用标签引导数据高速、高效传输的新技术。多协议的含义是指MPLS不但可以支持多种网络层层面上的协议，还可以兼容第二层的多种数据链路层技术。
2. MPLS中有转发等价类的概念，MPLS将具有相同转发处理方式的分组归为一类，称为FEC，FEC划分很灵活，可基于源、目标地址、源、目的端口、协议类型、服务类别或VPN等划分依据的任意组合。
3. MPLS技术的核心是标签交换。
4. MPLS Header长度为32bits，包括长度为20bit的标签，该标签用于转发；长度为3bits的EXP通常用来承载IP报文中的优先级，长度为1bit的栈底标志，用来表明是否是最后一个标签，作用类似IP头部的TTL，用来防止报文环路。
5. MPLS体系中，标签的发布方式有两种，分别是独立方式与有序方式。
6. MPLS是一种标签转发技术，对MPLS描述：

<1>控制平面实现路由信息的传递和标签的分发，数据平面实现报文在建立的标签转发路径上传送
<2>MPLS域内交换机只需要根据封装在IP头外面的标签进行转发即可
<3>对于传统的IP转发，MPLS标签转发大大提高了数据转发的效率

7. MPLS依据标签对数据进行转发，如果没有标签，对于通过MPLS域的IP报文通过普通IP转发。
8. MPLS称为多协议标签交换，关于MPLS中标签描述：
   <1>标签是一个长度固定、只具有本地意义的短标识符，用于唯一标识一个分组所属FEC
   <2>标签与ATM/VCI以及Frame Relay的DLCI类似，是一种连接标识符
   <3>MPLS支持单层标签同时也支持多层标签
   <4>MPLS体系有多种标签发布协议，如LDP就是一种标签发布协议
9. IFTF定义的多协议标签交换技术（MPLS）是一种第三层交换技术，用于向IP层提供此连接服务，MPLS网络由：标签交换路由器、标签边缘路由器组成。
   负责为网络流添加/删除标记的设备是：标签边缘路由器
10. 运行MPLS设备的标签转发表中，对于不同的路由（下一跳相同），出标签一定不同，对于相同的路由（下一跳相同），出标签一定相同。
11. 根据IP Precedentcd、MPLS EXP、802.1P信息，可将报文分为8种业务。
12. MPLS标签描述：

标签是一个长度固定、只具有本地意义的短标识符，用于唯一标识一个分组所属FEC
标签与ATM的VPI/VCI以及Frame Relay的DLCI类似，是一种连接标识符。
MPLS支持单层标签同时也支持多层标签
MPLS体系有多种标签发布协议，如LDP就是一种标签发布协议
标签栈按后进先出方式组织标签，从栈顶开始处理标签，标签封装在链路层与网络层之间，标签上固定长度4字节。

13. MPLS的标签空间描述：

16~1023是静态LSP和静态CR-LSP共享的标签空间
1024以上是LDP、RSVP-TE、MP-BGP等动态信令协议共享的标签空间。
倒数第二跳LSR进行标签交换时，如果发现交换后的标签值为3，则将标签弹出，并将报文发给最后一跳。

14. 关于MPLS中标签的封装格式的描述：

MPLS单个标签总长度为4个字节（32bit）
标签中TTL字段和IP分组中的TTL的意义相同，也具有防止环路的作用。

15. MPLS封装方式说法：

MPLS封装有帧模式和信元模式
Ethernet和PPP使用帧模式封装
ATM使用信元模式封装
以太网使用帧模式

16.MPLS支持多层标签和转发平面的特性，在很多方面得到广泛应用，部署MPLS原因有：

流量工程能力、在基于软件的路由器上简化路由查找、VPN技术

17. MPLS转发流程中，Ingress(进入)节点转发描述：

查看Nhlfe表项，可以得到出接口、下一跳、出标签和标签操作类型，标签操作类型为Push
在IP分组报文中压入获得的标签，并根据QOS策略处理EXP，同时处理TTL，然后将封装好的MPLS分组报文发送给下一跳。

18. 关于MPLS转发过程描述：

MPLS的转发平面的主要功能是对IP包进行标签添加和删除，同时依据标签转发，对收到的分组进行转发，是面向连接的
IP进入MPLS网络时，MPLS入口的LER会分析IP包的内容并为IP包添加合适标签
MPLS依然可以使用ping或traceroute来发现LSP错误，并及时定位失效节点。

LDP（标签分发协议）

标签分发协议LDP（Label Distribution Protocol）是 MPLS 体系中的一种主要协议。在 MPLS 网络中，两个标签交换路由器（LSR）必须用在它们之间或通过它们转发流量的标签上达成一致。

1. LDF是场景为标签分发而制定的协议，它的消息类型很多种，用来宣告和维护网络中一个LSR存在的消息是：Discovery message（发现消息）。
2. LDP是专门为标签分发而制定的 协议，它的消息类型有多种，其中用来生成、改变和删除FEC的标签映射的消息是：Advertisement Message（广告消息），用来宣告和维护网络中一个LSR存在的消息是：Descovery message（发现消息）
3. Descovery message使用VDP报文，Session message、Advertisment message、Notification message都使用TCP报文。
4. LDP消息类型有多种，其中Session message可实现 监控LDP session 的TCP连接的完整性，在LDP Session建立过程中协商参数。
5. 简述LDP Session建立过程：
   两个LSR之间互相发送hello消息，Hello消息携带IP地址，双方使用IP地址建立LDP会话，较大的一方作为主动方，发起TCP连接，如果被动方能够接受相关参数，则发送初始化消息（Intialization Message），同时发送Keepalive消息给主动方。状态会迁移到Openrec。
6. LDP会话用于LSR间交换标签映射、释放等消息，关于LDP会话建立过程中报文的作用：

1.两台LSR之间通过交换hello消息来触发LDP session的建立
2.Initializtion Message用来在LDP session建立过程中协商参数
3.keepalive Message用来监控LDP Session的TCP连接的完整性

7. 在LSP建立过程中，LSR分配标签采用的标签分配控制方式：

1.标签分配控制方式分为：独立标签分配控制和有序标签分配控制
2.如果标签发布方式为DU，且标签分配方式为Indpendent，则LSR无需等待下游的标签，就会直接向上游分发标签。如果分配方式为Ordered，则LSR（transit）只有收到下游（Egress）的标签映射消息，才会向上游（Ingress）分发标签。

LSR对收到的标签进行保留，且保留方式有多种，关于LDP标签保留–自由方式描述：

保留邻居发送来的所有标签
需要更多的内存和标签空间
当IP路由收敛、下一跳改变时减少了LSP收敛时间

DU（标签分发方式）

1. DU标签分发方式下，如采用Liberal保持方式，则设备都会保留所有LDP Peer发来标签，无论该LDP Peer是否为到达目的网段的下一跳。

DHCP（动态主机配置协议）

1. DHCP减少了对网络进行管理的工作量。
2. 客户端收到DHCP NAK报文，客户端就会立即停止使用此IP地址，并返回到初始化状态，重新申请新的IP地址。
3. DHCP服务器支持多种类型的地址分配策略，如：自动分配、动态分配、手工分配。
4. DHCP在定义报文时，采用UDP进行封装。
5. DHCP在PC上使用ipconfig/renew命令申请新IP，PC向服务器发送DHCP Renew报文，使用ipconfig/release命令来主动释放IP地址，发送DHCP Release报文。
6. DHCP绑定表包含MAC地址、IP地址、相约时间
7. DHCP Relay又称为DHCP中继，关于DHCP Relay说法：

DHCP协议多采用广播报文，如果出现多个子网则无法穿越，所以需要DHCP Relay设备，DHCP Relay设备可以是一台主机。
配置DHCP Relay步骤：配置DHCP服务器组的组名、配置DHCP服务器组中DHCP服务器IP地址、配置启动DHCP Relay功能的接口编号及接口IP。

8. DHCP Server负责为客户端IP地址的分配，在配置DHCP Server时，需要：全局使能DHCP功能、采用全局地址池的DHCP服务器模式时，配置全局地址池、采取端口地址池的DHCP服务器模式时，配置端口地址池。
9. 在DHCP客户端申请IP，DHCP server分配IP过程中，DHCP Offer、 DHCP ACK以单播方式发送。
10. DHCP客户端发送DHCP Request报文对将过期IP进行续约。
11. DHCP协议中设置了Options字段启用Opentions 82字段作用是记录dhcp客户端和dhcp中继设备的地址信息。
12. DHCP服务器可以采用不同的地址范围为客户机进行分配，关于分配地址描述：

可以是DHCP服务器的数据库中与客户端MAC地址静态绑定的IP地址
可以是客户端曾经使用过的IP地址，即客户端发送的DHCP_Discover报文中请求IP地址选项的地址。
在DHCP地址池中，按顺序找可供分配的IP地址，即最先找到的IP地址。
关于DHCP服务器查询到的超过租期、发生冲突的IP地址，如果找到可用的IP地址，则可进行分配。

13. 在配置DHCP Server的步骤：

全局使能DHCP功能
采用全局地址池的DHCP服务器模式时，配置全局地址池
采用端口地址池的DHCP服务器模式时，配置端口地址池

启用DHCP服务
配置vlanif10接口下的客户端都从全局地址池获取IP
接口地址池优先于全局地址池，若接口存在接口地址池，即使全局地址池存在，客户端也会优先从接口地址池获取IP
DHCP服务器发送ping报文最大数目为10

15. 当DHCP客户端和DHCP服务器之间存在中继设备时，如果DHCP服务器全局地址池中的IP地址与中继设备上连接客户端的VLANIF接口的IP地址不在同一网段，会引起DHCP故障。

WRR（加权循环）

1. 加权循环调度算法WRR（Weighted Round Robin）是一种较强的队列调度算法,它能够有效地区分队列中所有的业务。
2. 加权循环(WRR)所有业务队列服务，并且将优先权分配给较高优先级队列。在大多数情况下，相对低优先级，WRR将首先处理高优先级，但是当高优先级业务很多时，较低优先级的业务并没有被完全阻塞。
3. WRR在循环调度的基础上演变而来，在队列之间进行轮流调度，根据每个队列的权重来调度各队列中的报文流。

报文分类、标记、拥塞避免机制

1. 可以根据源、目的MAC、协议类型、源、目的IP、报文长度进行复杂流分类。
2. 可以用MAC地址、源IP、目标IP、EXP信息、IP DSCP、IP Precedence、802.1p对报文信息进行标记或重标记。
3. 网络管理主要目标

确保网络用户收到期望的网络服务质量和技术服务信息，帮助网络工程师面对复杂的网络数据，并确保数据能够快速全面的呈现给使用者。

4. 拥塞避免机制中的丢弃策略有RED、WRED。

ASPF（应用层报文过滤）

ASPF：应用层报文过滤（application specific packet filter）： 是针对应用层的包过滤，即基于状态检测的报文过滤。也称为状态防火墙，它维护每一个连接的状态，并且检查应用层协议的数据，以此决定数据包是否被允许通过 。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。aspf能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。

1. ASPF是一种基于应用层的包过滤，它会检查应用层协议信息并且监控链接的应用层协议状态，并通过了Server map 表实现了特殊的安全机制。
2. 关于ASPF和Server map 表的说法：
   ASPF监控通信过程中的报文，ASPF动态创建和删除过滤规则，ASPF通过servermap表实现动态允许多通道协议数据通过。
3. ASPF技术使得防火墙能够支持如FTP等多通道协议，同时还可以对复杂的应用制定相应的安全策略

防火墙

1. USG防火墙的servermap表的三要素：目的IP、目的端口号、协议号
2. USG防火墙默认安全区域有四个：

Trust:该区域内网络的受信任程度高，通常用来定义内部用户所在的网络。
Untrust:该区域代表的是不受信任的网络，通常用来定义Internet 等不安全的网络。
DMZ（Demilitarized非军事区）:该区域内网络的受信任程度中等，通常用来定义内部服务器(公司OA系统，ERP系统等)所在的网络。
Local:防火墙上提供了Local 区域，代表防火墙本身。比如防火墙主动发起的报文（我们在防火墙执行ping测试）以及抵达防火墙自身的报文（我们要网管防火墙telnet、ssh、http、https）

3. 安全级别（Security Level）,在华为防火墙上，每个安全区域都有一个唯一的安全级别，用1-100 的字表示，数字越大，则代表该区域内的网络越可信。对于默认的安全区域，它们的安全级别是固定的：

Local 区域的安全级别是100，Trust 区域的安全级别是85，DMZ 区域的安全级别是50，Untrust 区域的安全级别是5。

4. 防火墙的工作模式：路由、透明、混合
   路由模式
   防火墙在路由模式下工作，需要连接网络的接口配置IP地址，这个时候华为防火墙就相当于一台路由器，同时也提供防火墙的其他服务。大多数情况下，防火墙都是处于这个模式下，介于公司的内网和外网之间。
   透明模式
   在这个模式下，它的作用又比较像交换机，接口没有配置IP，但是因为这种模式太过奢侈，除非特殊的情况，才会把华为防火墙当作交换机使用。
   混合模式
   混合模式就是将以上两种模式进行结合使用，如果华为防火墙即存在路由模式的接口(接口配置了IP)，又存在工作在透明模式的接口(接口无IP地址)，则防火墙工作在混合模式下。
5. 包过滤防火墙

提供了对分片报文进行检测过滤的支持，它可以过滤：后续分片报文、非分片报文
包过滤防火墙对网络层的数据报文进行检查
包过滤防火墙的主要特点：能够完全控制网络信息的交换，控制会话过程，具有较高的安全性。

6. 状态检测防火墙

<1>状态检测防火墙对报文进行检查时，只需要对该链接的第一个数据包进行访问规则的匹配，该链接的后续报文直接在状态表中进行匹配。
<2>状态检测防火墙处理非首包的数据流时，比包过滤、代理、软件防火墙效率高，它的特点：后续包处理性能优异。
<3>状态检测防火墙使用会话表来追踪激活的TCP会话和UDP会话，由防火墙安全策略决定建立哪些会话，数据包只有与会话相关联的时候才会被转发。

7. 如果防护墙没有配置安全策略，或查找安全策略，所有的安全策略都没有命中，则默认执行域间的缺省包过滤动作：拒绝通过。
8. 在防火墙ping防火墙某接口IP时，这些报文将交给防火墙内部模块处理，并不被转发出去。
9. 同一安全区域的主机与服务器互访时同样需要NAT进行地址转换。
10. 域间安全策略按照排列顺序匹配，排列在前的优先匹配。
11. 包过滤防火墙只对网络层的数据报文进行检查，包过滤防火墙能够完全控制网络信息的交换机，控制会话过程，具有较高的安全性。
12. 关于USG防火墙两接口被划分到同一区域，那么两目的端口数据包流动也必须经过域间包过滤处理过程。
13. 在vAR应用场景，可将AR路由器的防火墙、VOIP、NAT、VPN功能虚拟化到server上。
14. 关于配置防护墙安全区域的安全级别的描述：

只能为自定义的安全区域设定安全级别
安全级别一旦设定，不允许更改
同一系统中，两个安全区域不允许配置相同的安全级别，但不同接口可以配置属于同一安全区域

15. 在防火墙查询NAT转换结果的命令是：disp nat translation

Security

1. 单包攻击分为三类

扫描窥探攻击、畸形报文攻击、特殊报文攻击。

3. 中间人攻击或IP/MAC Spoofing

中间人攻击或IP/MAC Spoofing攻击都会导致信息泄露等危害，且在内网中比较觉，为了防止中间人或IP/MAC Spoofing攻击，可以在交换机上配置DHCP Snooping域DAI或IPSG进行联动。

4. MAC地址欺骗攻击描述

<1>利用了交换机MAC地址学习机制
<2>攻击者可以通过伪造的源MAC地址数据帧发送给交换机来实施MAC地址欺骗攻击
<3>会导致交换机要发送到正确目的地的数据被发送给攻击者

5. ARP欺骗

ARP欺骗会导致：设备ARP缓存表资源被耗尽、用户发送的数据被攻击者窃取、过多的ARP报文造成设备的cpu负荷过重、用户无法访问外网或反复掉线。

7. DHCP Snooping

DHCP Snooping是一种DHCP安全特性，可以用于防御多种攻击
<1>用来防止DHCP Server仿冒者攻击
<2>用来防止ARP欺骗攻击
<3>防御改变Chaddr值的饿死攻击
<4>防御中间人攻击和IP/MAC Snooping攻击
<5>防止对DHCP服务器的DOS攻击、结合IPSG功能对数据包的源IP地址进行检查（解决源IP欺骗攻击）。

7. 网络层攻击（缺乏每种攻击的补充，后续补上）

IP攻击
ICMP攻击
Smurf攻击：攻击者通过发送ICMP应答请求，并将请求包的目的地址设为受害网络的广播地址，以实现攻击目的。

8. 关于DHCP Server仿冒者攻击

仿冒者通过仿冒DHCP服务器向终端下发错误的IP地址和网络参数，导致用户无法上网，在华为二层交换机上使用DHCP Snooping功能并开启信任接口能够有效保障客户端从合法DHCP Server上获取IP地址和网络参数。

7. 关于DHCP Server拒绝服务攻击？

DHCP拒绝服务攻击通过不断修改DHCP request报文中CHADDR字段来消耗地址资源，会将DHCP地址池中的IP地址资源快速耗尽，DHCP服务器地址资源被耗尽后将不会再处理和响应DHCP请求报文。

9. Web服务器中勒索病毒？

企业内网有一对外的网站服务，由于未及时修复服务器补丁，该网站服务器感染了勒索病毒，服务器主机中的文件被加密，IT经理批准立即使用备机恢复网站正常运营，作为IT管理员，你应该如何处理？
1.备机上线前完成补丁修复工作
2.联系安全服务工程师应急响应，协助割接
3.已感染的服务器拔掉网线隔离处理
修改备用服务器地址作为主服务器地址

10. ARP Miss与ARP Miss攻击

ARP Miss描述：设备在转发时因匹配不到对应的ARP表项而上报的消息，首先这个Arp miss不是一种报文，而是一种“流程”
一个192.168.0.0/24的网段，如果192.168.0.1和192.168.0.2通信，那么正常的情况下192.168.0.1会发送一条Arp请求，目的是为了获取192.168.0.2的mac地址，这是正常的arp，
但192.168.0.1所在的网段是192.168.0.0/24网段，如果192.168.0.1要和10.1.1.1通信，正常情况下，192.168.0.1依旧会发送一条Arp请求，但很明显，在该网段是请求不到10.1.1.1的mac地址的，那么这个网段的“网关”收到这条Arp请求后，会向192.168.0.1发送一条代理Arp（我不知道楼主知不知道代理Arp，意思是说网关会告诉192.168.0.1我就是10.1.1.1），但是网关毕竟不是真正的10.1.1.1，网关会使用cpu向“去往10.1.1.0/24网段的下一跳”发送一条arp请求，询问谁是10.1.1.1这个过程就是Arp-miss的过程。
说起这个Arp miss，可以谈起一种网段扫描的攻击方式就是耗尽arp缓存，从而实现拒绝服务。
（ARP Miss消息处理需要发送ARP请求出去，会消耗CPU资源，然而资源有限）
如果一台电脑，在不停的询问某个非本地网段里的所有ip地址时（比如地址扫描）
此时会产生大量的arp 请求，说不定就耗尽了资源，从而实现了攻击
对此华为有Arp miss的抑制手段
“对于同一个源IP发送的触发ARP-MISS流程的报文，一秒钟内如果超过门限值（默认为5个），系统会认为这是一种非法的攻击报文，就会针对该ip地址下发一条ACL规则，丢弃该源IP发送的所有需要上送CPU处理的报文；如果50s之内系统没有再次检测到该源ip发送的报文有arp-miss超过门限的情况，该ACL规则会自动删除，触发arp-miss流程的报文可以继续上送CPU处理。”（转至百度）

12. 五元组：源IP地址、目的IP地址、协议号、源端口、目的端口

VRRP（虚拟路由冗余协议）

1. VRRP的IP地址和虚拟IP可以相同，报文支持认证，VRRP报文的IP协议号是112。
2. VRRP可以同接口track、BFD、NQA、ip-link机制结合来监视上行链路的连通性。
3. VRRP设备在备份组中的默认优先级为：100，
4. 关于VRRP描述：

1.VRRP组中的路由器根据优先级选举出Master
2.Master路由器通过发送免费ARP报文，将自己的虚拟MAC地址通知给与它连接的设备或主机
3.如果Master路由器出现故障，虚拟路由器中的Backup路由器将根据优先级重新选举新的Master。

5. 配置VRRP抢占时延的命令
   Vrrp vrid 1 preempt-mode timer delay 20
6. 关于VRRP master设备的描述：

定期发送VRRP报文
以虚拟MAC地址响应对虚拟IP地址的ARP请求
转发目的MAC地址为虚拟MAC地址的IP报文

7. 关于VRRP slave设备描述：

当slave收到master发送的vrrp报文时，可判断master状态是否正常，
当收到优先级为0的vrrp报文时，slave会直接切换到master，
slave会丢弃目的mac为虚拟mac地址的ip报文。

8.在VRRP中，当设备状态变成Master后，会立刻发送免费ARP来刷新下游设备的MAC表项，从而把用户的流量引到此台设备上来。

BFD

1. BFD概述
   BFD是一种双向转发检测机制，可以提供毫秒级的检测，可以实现链路的快速检测，BFD通过与上层路由协议联动，可以实现路由的快速收敛，确保业务的永续性。
2. BFD Echo报文采用UDP封装，目的端口号为3784，源端口号在49152到65535的范围内。
3. BFD控制报文封装在UDP报文中进行传输，那么多跳BFD控制报文的目的端口号是4784。
4. 设备所有接口都开启BFD和OSPF联动使用命令:bfd all-interface enable
5. BFD控制报文封装在UDP报文中进行传送，多跳BFD控制报文的目的端口号为：4784，VRP版本支持的BFD 版本号是version1。
6. 在不使用BFD检测机制的情况下，通过以太网链路建立邻居关系的OSPF路由器，在链路故障后，最长需要40S才会中断邻居关系。
7. 如果两台设备相连，一台支持BFD检测，另一台不支持，这种情况支持BFD的设备可以使用单壁回声特性来实现。
8. 设备间建立BFD会话过程中，会经历Down、Init、UP
9. 关于BFD会话建立方式：

静态配置BFD会话是指通过命令行，手工配置BFD会话参数，包括本地标识符和远端标识符。
动态建立BFD会话时，动态分配本地标识符。
系统通过划分标识符区域的方式，来区分静态BFD会话和动态BFD会话。

10. BFD检测可以同哪些协议模块联动：VRRP、OSPF、BGP、静态路由

Agile Controller（业务编排）

业务编排模块可以实现在网络接入设备上对特定组流量指定策略，按照指定的编排顺序进行流量调度，规定流量需要被哪些安全设备处理，以及处理的先后顺序。对于访客、不安全区域的用户流量往往需要进行业务流调度至安全资源中心进行检测；
业务编排将原来物理设备的能力，抽象成虚拟服务概念，对用户屏蔽具体的物理形态，针对具体的业务，将业务流量引流至相应的处理服务结点；

1. Agile Controller服务器的角色有：业务控制器、业务管理器、安全态势管理器。
2. Aglie Controller功能组件：业务随行、业务编排、准入控制、安全协防
3. 关于Agile Controller 的访客账号申请方式可以由接待员工创建
4. Agile Controller支持802.1x、portal、MAC旁路、SACG准入方式
5. 业务编排亮点：
   <1>灵活组网：基于三层GRE隧道进行编排，业务设备的组网方式，部署位置更加灵活
   <2>可视化编排，简化管理：通过拓扑可视化进行业务编排，配置简单，管理便捷
   <3>方便扩展：业务设备的增删不改变现网转发路由不改变现网物理拓扑
6. 业务编排的访客接入管理的场景：
   <1>客户访问企业公共资源或Internet
   <2>民众通过公共单位提供的网络访问Internet
7. 关于Agile Controller业务随行描述：
   1.管理员在配置业务随行时，应该选择合适的用户认证点和策略执行点
   2.在业务随行中，通过矩阵关系来描述一个安全组到另一个安全组的访问权限关系
   3.在业务随行中，通过指定某些VIP用户所属安全组的转发优先级，来保证这部分人员的网络使用体验
8. 关于Agile Controller的业务编排概念：
   <1>业务编排中，用户控制列表是针对用户级别的ACL控制，使用数据包的源安全组、目的安全组、端口号等内容定义的规则。
   <2>编排设备是指对业务流进行有序引导的设备，一般指交换机
   <3>业务设备是指对编排设备引入的业务流进行安全业务处理的设备，主要包括防火墙、防病毒设备和上网行为控制设备。
9. 对Agile Controller的准入控制技术的应用场景描述：

<1>MAC认证中，用户终端以MAC地址作为身份凭据认证服务器上进行认证，MAC地址认证主要用于IP电话、打印机等终端设备的认证。
<2>802.1x认证使用EAP认证协议，实现客户端、设备端和认证服务器之间认证信息交换。
<3>portal认证也称为web认证，用户通过web认证页面，输入用户账号信息，实现对终端用户身份的认证。

10. 对Agile Controller的业务随行应用场景的描述：

<1>各部门人员访问服务器资源时，权限策略都由 Agile Controller统一部署，而管理员只需要关注部门间互访关系的设定，并选取园区中关键位置设备作为策略执行点，部署完成后，无论用户在何位置，以何种方式接入，都可以获得访问权限。
<2>可实现外包人员与内部员工协作办公，并基于策略与IP，结合策略自动部署功能，可以快速实现多团队一起办公，同时保证每个用户都能够拥有正确的网络访问权限，还可以根据需要控制团队成员间的数据共享行为，保障企业数据安全。
<3>当网关资源有限时，可结合自动优选网管和VIP优先上线，实现保证VIP用户可享有优质网络的体验。

11. 在Agile Controller的无线准入控制场景中：

推荐为内部员工和设置不同的SSID控制接入来控制内部员工和访客接入网络。

RADIUS

1. 什么是RADIUS？
   radius 是一种用于在需要认证其链接的网络访问服务器（NAS）和共享认证服务器之间进行认证、授权和记帐信息的文档协议。
2. Radius服务器作用？
   RADIUS 服务器负责接收用户的连接请求、认证用户，然后返回客户机所有必要的配置信息以将服务发送到用户。
3. 802.1x和Radius关系：802.1x和Radius是不同的技术，但经常配合在一起使用，共同完成对终端用户的准入控制。

NFV（网络功能虚拟化）

1. 什么是NFV？
   网络功能虚拟化（ NFV），一种对于网络架构的概念，利用虚拟化技术，将网络节点阶层的功能，分割成几个功能区块，分别以软件方式实作，不再局限于硬件架构。
2. NFV框架内的功能组件：VIM、VNF、VNFM
3. NFV中的VIM管理模块主要功能包括资源发现、资源分配、资源管理及故障处理。
4. NVF常常部署在数据中心、网络节点、用户接入侧。
5. NFV的定义是网络功能虚拟化。
6. NFV优点：减少设备成本、缩短网络运营业务创新周期、单一平台为不同应用、租户提供服务。
7. 在NFV架构中具体底层物理设备主要包括：存储设备、网络设备、服务器

SDN（软件定义网络）

软件定义网络（Software Defined Network，SDN）是由美国斯坦福大学CLean State课题研究组提出的一种新型网络创新架构，是网络虚拟化的一种实现方式。其核心技术OpenFlow通过将网络设备的控制面与数据面分离开来，从而实现了网络流量的灵活控制，使网络作为管道变得更加智能，为核心网络及应用的创新提供了良好的平台。

1. SDN采用分层的开放架构，定义集中式架构和Openflow的是ONF。
2. SDN基本工作过程包括哪些步骤：拓扑信息搜集、网元资源信息收集、生成内部交换路由。
3. SDN控制器可以根据网络状态智能调整流量路径，以达到提升整网吞吐的目的。
4. SDN网络体系架构主要分为协同应用层、控制层与转发层。

TCP全局同步、NAT、FTP、H.323

TCP同步指的是收发两方的同步。本来收发双方是异步的，发端不知道网络的容量，不知道收端的实时接收速度，发端不知道收端的情况。但是通过滑动拥塞窗口，通知接收窗口和ACK clocking等机制，实现了拥塞控制和流量控制

1. 为避免TCP全局同步，可使用RED和WRED这两种拥塞避免机制。
2. 多通道协议：FTP、H.323

在传统电话系统中，一次通话从建立系统连接到拆除连接都需要一定的信令来配合完成。同样，在IP电话中，如何寻找被叫方、如何建立应答、如何按照彼此的数据处理能力发送数据，也需要相应的信令系统，一般称为协议。在国际上，比较有影响的IP电话方面的协议包括ITU-T提出的H.323协议和IETF提出的SIP协议

3. 在网络层中，报文长度、源、目标IP、TOS字段都可以对报文进行分类。
4. 地址转换技术优点：

使内部网络用户更便捷访问Internet
使内部局域网的主机共享一个IP地址上网
可以屏蔽内部网络的用户，提高内部网络安全性

5. Round Robin

Round Robin（中文翻译为轮询调度）是一种以轮询的方式依次将一个域名解析到多个IP地址的调度不同服务器的计算方法。
Round Robin调度方式是按每个队列定义的字节数轮询发送的，而且每个队列的带宽比例等于本队列定义的字节数与所有队列字节数之和的比值。

镜像

镜像简介：
镜像是指将经过指定端口（源端口或者镜像端口）的报文复制一份到另一个指定端口（目的端口或者观察端口）。
镜像目的：
在网络运营与维护的过程中，为了便于业务监测和故障定位，网络管理员时常要获取设备上的业务报文进行分析。
镜像可以在不影响设备对报文进行正常处理的情况下，将镜像端口的报文复制一份到观察端口。网络管理员通过网络监控设备就可以分析从观察端口复制过来的报文，判断网络中运行的业务是否正常。
端口镜像是指设备复制从镜像端口流经的报文，并将此报文传送到指定的观察端口进行分析和监控。端口镜像根据监控设备在网络中位置的不同，分为本地端口镜像和远程端口镜像。

流镜像是对某些流进行镜像，每个连接都有两个方向的数据流，对于交换机来说这两个数据流是要分开镜像的。有二层流镜像和三层流镜像，针对出口流的镜像，入口流的镜像。端口镜像就是指定特定端口的数据流量映射到监控端口，以便集中使用数据捕获软件进行分析。流镜像是指按照一定的数据流分类规则对数据进行分流，然后将属于指定流的所有数据映射到监控端口，以便进行数据分析。端口镜像顾名思义就是针对端口所做的镜像操作。流镜像可以通过acl匹配合适的流，所以功能更加强大.
流镜像可以通过ACL做也可以通过MQC做

1. 镜像分为两种，分别是流镜像、端口镜像
2. 流镜像也分为两种，分别是本地流镜像、远程流镜像
3. 在华为路由器上配置远程端口镜像功能，实现将远程端口镜像出去的报文，可以通过三层IP网络传送到监控设备，命令是：

Observe-server destination-ip 10.1.1.1 source-ip 192.168.1.1

4. 在华为路由器上，将接口配置为本地观察端口的命令是：

Observe-port interface ethernet 2/0/1

5. 数据采集的方法：分光器物理采集、通过端口镜像采集、NMS集中采集
6. 镜像要求所采集的数据实时、真实、可靠
7. 镜像端口的主要角色分为镜像端口、本地观察端口、远程镜像端口

eSight平台

提供存储、服务器、应用、交换机、路由器、防火墙、WLAN、PON网络、无线宽带集群设备、视频监控、IP话机、视讯设备等多种设备的统一管理

1. 华为的企业网管产品是esight，有精简、标准、专业三个版本，专业比标准版多了支持分层的管理模型。
2. 在eSight中可以根据生效时间、生效时段、告警源及告警条件来设置告警屏蔽规。
3. eSight网管支持的远程告警通知方式是邮件和短信。
4. 使用eSight对历史告警进行查询时，可以按照下列条件进行告警：告警级别、首次发生时间、告警源、告警名称。
5. 在eSight中，网元发现方式支持的协议：SNMP、ICMP协议
6. 使用eSight初始添加设备后，拓扑元素的排列都是随机的，不能体现实际网络结构，所以还需要根据实际的网络组网进行位置调整或选择拓扑提供的自动布局功能。
7. eSight缺省角色有administrator、monitor、operator
8. 传统网络的局限性：

网络协议实现复杂，运维难度较大
流量路径的调整能力不够灵活
网络新业务升级的速度较慢

9. 华为eSight支持如指定某IP、指定某网段或通过excel表格（指定IP）进行导入。
   10.华为eSight描述：向导式安装，轻量级系统、面对不同的客户提供相应的解决方案、支持对多厂商设备进行同一管理。
   11.eSight物理拓扑监控的功能描述：

图形化的展示网元、子网、链路的布局及状态
精确可视化的监控全网网络运行状态
系统的展现全网网络结构及网络实体在业务上的关系
整个网络监控的入口，实现高效运维

10. 在eSight网管侧，需要配置的参数有模板名称、SNMP版本、读写团体字、网元端口、超过时间以及重发次数。其中：SNMP版本、网元端口、读写团体字必须与设备上配置信息所吻合。
11. eSight系统日志

主要记录eSight发生的事件，如eSight运行异常、网络故障、eSight受到攻击等，有利于分析eSight运行状态，排除故障。

12. 华为eSight创建的缺省角色：Administrator、Monitor、Operator

VXLAN

VXLAN是一种网络虚似化技术，可以改进大型云计算在部署时的扩展问题，是对VLAN的一种扩展。VXLAN是一种功能强大的工具，可以穿透三层网络对二层进行扩展。它可通过封装流量并将其扩展到第三层网关，以此来解决VMS（虚拟内存系统）的可移植性限制，使其可以访问在外部IP子网上的服务器。
VMware ESXi、Open vSwitch、当前主流的网络芯片均已支持VXLAN：它备受业界关注，未来有可能成为网络虚拟化技术当中的主流技术之一

1. VXLAN支持的常用配置方式：虚拟化软件配置、SDN控制器配置
2. VXLAN的广播域被称为桥域，
3. VXLAN用户可以通过VXLAN接口访问Internet

QOS（服务质量）

QoS（Quality of Service，服务质量）指一个网络能够利用各种基础技术，为指定的网络通信提供更好的服务能力，是网络的一种安全机制， 是用来解决网络延迟和阻塞等问题的一种技术。

1. QOS服务模型：best-effort service（尽力服务）、integrated service（综合服务）、differentiated service（差异化服务）
2. QOS中，integrated service（综合服务）与differentiated service（差异化服务）主要区别是：

在DS（differentiated service）无需为每个流维护状态信息，它适用于大型骨干网络。

3. QOS针对各种不同的需求，提供不同的服务质量，以下属于QOS所提供的功能有：支持位用户提供专用宽带、可以减少报文的丢失率、避免和管理网络拥塞。
4. 关于QOS丢包：

<1>路由器在收到数据包的时候，可能会因为CPU繁忙，没办法处理数据包，导致出现丢包现象。
<2>在把数据包调度到丢列的时候，可能会因为队列被装满而导致丢包
<3>数据包在链路上传输的时候，可能会因为链路故障等原因而导致丢包

5. 网络进行管理的主要目标：确保网络用户收到期望的网络服务质量与技术服务信息，帮助网络工程师面对复杂的网络数据，并确保数据能够快速全面的呈现给使用者。
6. 对于IPv4报文，可以根据报文的DSCP信息、IP Precedence 信息来进行简单流分类
7. 关于时延和抖动：

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G，朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》，可以扫描下方二维码领取（如遇扫码问题，可以在评论区留言领取哦）~

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！