CCNP交换总结Word文档下载推荐.docx
《CCNP交换总结Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《CCNP交换总结Word文档下载推荐.docx(16页珍藏版)》请在冰豆网上搜索。
优先级次高的路由器,一直监视活跃路由器,并传输Hello包将自己的角色和状态告知组中其他路由器。
在活跃路由器出现故障是取代他的位置。
其他HSRP成员:
监视活跃和备用路由器,在它们出现故障时取代他们的位置。
HSRP建立过程中的状态:
1。
初始状态:
刚刚配置结束,不发送Hello包。
2。
学习状态:
路由器还不知道虚拟IP地址,也没收到活跃路由器发的Hello包,而是等待Hello包
3。
监听状态:
路由器刚知道虚拟IP地址,但还不知道谁是活跃,备用路由器。
所有路由器都在这种状态时,准备选举活跃,备用路由器。
4。
发言状态:
处于此状态的路由器定期发送Hello包,积极参与选举。
除非被选为活跃或备用路由器,否则一直处于此状态。
选举:
一开始所有路由器都宣布自己是备用路由器,然后比较优先级,若相同再看谁的IP地址高,选出活跃路由器,再选备用路由器。
5。
活跃状态:
活跃路由器的状态。
6。
备用状态:
备用路由器的状态。
配置HSRP
SW1(config-if)#standby100ip192.168.12.1//100是组号,IP地址为虚拟IP地址
SW1(config-if)#noipredirects
//关闭ICMP重定向,防止客户端发现路由器的真实IP,MAC地址
SW1(config-if)#standby100preempt
//配置HSRP抢先,在活跃路由器恢复后可以重新被选举为活跃路由器
SW1(config-if)#standby100timers515
//配置定时器,5为hello包时间间隔,15为保持时间,单位秒
SW1(config-if)#standby100trackf1/150//配置接口跟踪,监视自己出数据的接口,默认打开,在F1/1挂掉时降低自己的优先级50,默认为10
VRRP,国际标准化组织的,与HSRP几乎完全相同。
一点区别:
HSRP虚拟IP地址不可以分配给具体设备,VRRP可以将虚拟IP分配具体设备
HSRP的活跃路由器是要竞争的,VRRP分为两种情况:
一是在虚拟IP地址没分配给具体设备时,要竞选;
二是虚拟IP地址分配给具体设备,则它为活跃状态。
原理:
某个接口的IP地址被用作VRRP的虚拟IP地址时,拥有该接口的路由器将是VRRP组的主虚拟路由器。
此外其优先级配为255,防止优先级高的接口赢得选举。
VRRP组路由器使用224.0.0.18组播地址来互相通信。
配置:
SW1(config)#intfa1/1
SW1(config-if)#noswitchport//三层交换机上默认为2层接口,要转为3层接口
SW1(config-if)#ipadd129.1.1.1255.255.255.0
SW1(config-if)#vrrp100ip129.1.1.1//将虚拟IP确定到本端口,100为VRRP组号
SW1(config-if)#vrrp100priority150//优先级150
SW1(config-if)#vrrp100trackfa1/1//端口跟踪
GLBP,思科私有的协议,旨在自动选择和同时使用多个网关,并自动检测活跃网关故障以切换到冗余路径。
GLBP组可以有4台路由器用作IP的默认网关,它们被称作AVF(活动虚拟转发者),GLBP自动管理虚拟MAC地址的分配,决定谁负责处理转发工作,并确定跟踪接口出现故障时依然存在转发路径,这是由组中的AVG(活动虚拟网关)完成的。
GLBP虚拟出一个IP地址并且不分配给具体设备,但此IP对应多个虚拟MAC地址。
SW1(config)#intvlan4
SW1(config-if)#ipadd10.1.1.5255.255.255.0
SW1(config-if)#glbp100ip10.1.1.1//配虚拟IP,必须在同一网段
SW1(config-if)#glbp100priority150//优先级
SW1(config-if)#glbp100timersmsec250msec750//Hello包时间间隔和保持时间
20无线技术
无线网络解决了无线环境下的数据交换问题,扩频无线技术主要使用三个无授权频段:
900MHz,2.4GHz,5GHz,其中,900MHz和2.4GHz被称为ISM(工业,科学,医疗)频段,5GHz被称为UNII(无授权国家信息基础实施)频段。
具体对应的频率:
900MHz频段--902MHz~928MHz
2.4GHz频段--2.4GHz~2.483GHz
5GHz频段--5.150GHz~5.350GHz,5.725GHz~5.785GHz
与有线通信的区别:
首先在于是否存在通信介质线缆,以太网采用CSMA/CD算法来避免冲突,无线采用CSMA/CA(载波侦听多路访问冲突避免)机制。
CA是当站点要等到活动站点传输完数据后它才能传输数据,就是这么一个过程,当一个站点传输数据时,其他站点就会向网络中通告自己通话的时间长度,其中活动站点传输完数据后发一个信息给其他站点,然后其他站点才能传输数据。
如果这个时间两个站点传输数据了,其他站点就收不到这个信息,就认为是冲突,这两个站点通过后退算法计算等待时间。
保密机制,无线的保密机制比较弱,容易被攻破,而以太网保密技术已经比较成熟。
移动性,无线终端具有一定的移动性,并且可以在移动中通信,实现漫游,而有线则不具有这个优势。
21无线技术使用的协议802.11a802.11b802.11g,及其区别
802.11a工作在5GHz频段,编码方式为OFDM信道为12~23,都不互相重叠。
802.11b和802.11g都工作在2.4GHz频段,802.11b编码方式为DSSS,802.1g编码方式为DSSS和OFDM。
因此802.11g向后兼容802.11b,并使用相同的非重叠信道,它们支持3个非重叠信道:
1,6,11。
它们定义了安全、加密、验证的标准。
802.11b数据速率分别为11、5.5、2、1Mbps.
802.11g数据速率分别为54、48、36、24、28、12、9、6Mbps。
22WEP,WPA,WPA2三种无线加密方式的区别
WEP安全加密方式
全称为有线对等保密(WiredEquivalentPrivacy,WEP)是一种数据加密算法,用于提供等同于有线局域网的保护能力。
使用了该技术的无线局域网,所有客户端与无线接入点的数据都会以一个共享的密钥进行加密,密钥的长度有40位至256位两种。
WPA安全加密方式
WPA加密即Wi-FiProtectedAccess,其加密特性决定了它比WEP更难以入侵。
WPA作为IEEE802.11通用的加密机制WEP的升级版,在安全的防护上比WEP更为周密,主要体现在身份认证、加密机制和数据包检查等方面,而且它还提升了无线网络的治理能力。
WPA、WEP对比
WPA与WEP不同,WEP使用一个静态的密钥来加密所有的通信。
WPA不断的转换密钥。
WPA采用有效的密钥分发机制,可以跨越不同厂商的无线网卡实现应用。
另外WPA的另一个优势是,它使公共场所和学术环境安全地部署无线网络成为可能。
而在此之前,这些场所一直不能使用WEP。
WEP的缺陷在于其加密密钥为静态密钥而非动态密钥。
这意味着,为了更新密钥,IT人员必须亲自访问每台机器,而这在学术环境和公共场所是不可能的。
另一种办法是让密钥保持不变,而这会使用户轻易受到攻击。
WPA2支持“AES”加密方式。
除此之外,与过去的WPA相比在功能方面没有大的区别。
23MAC,VLAN攻击的具体原理和解决方案
MAC攻击原理:
交换机主动学习客户端的MAC地址,并建立和维护端口和MAC地址的对应表以此建立交换路径,这个表就是通常我们所说的CAM表。
CAM表的大小是固定的,不同的交换机的CAM表大小不同。
MAC/CAM攻击是指利用工具产生欺骗MAC,快速填满CAM表,交换机CAM表被填满后,流量以洪泛方式发送到所有接口,这时攻击者可以利用各种嗅探攻击获取网络信息。
同时,trunk接口上的流量也会发给所有接口和邻接交换机,会造成交换机负载过大,网络缓慢和丢包甚至瘫痪。
防御方法:
思科PortSecurity特性可以防止MAC和MAC/CAM攻击。
通过配置PortSecurity可以控制:
•端口上最大可以通过的MAC地址数量
•端口上学习或通过哪些MAC地址
•对于超过规定数量的MAC处理进行违背处理
端口上学习或通过哪些MAC地址,可以通过静态手工定义,也可以在交换机自动学习。
交换机动态学习端口MAC,直到指定的MAC地址数量,交换机关机后重新学习。
目前较新的技术是StickyPortSecurity,交换机将学到的mac地址写到端口配置中,交换机重启后配置仍然存在。
对于超过规定数量的MAC处理进行处理一般有三种方式(针对交换机型号会有所不同):
•Shutdown这种方式保护能力最强,但是对于一些情况可能会为管理带来麻烦,如某台设备中了病毒,病毒间断性伪造源MAC在网络中发送报文。
•Protect丢弃非法流量,不报警。
•Restrict丢弃非法流量,报警,对比protect,交换机CPU利用率上升但是不影响交换机的正常使用。
推荐使用这种方式。
配置:
Cat4507(config)#intfastEthernet3/48
Cat4507(config-if)#switchportport-security //打开接口安全特性
Cat4507(config-if)#switchportport-securitymaximum2 //定义最大MAC地址数
Cat4507(config-if)#switchportport-securitymac-address0000.f092.ad32//具体地址
Cat4507(config-if)#switchportport-securityviolationshutdown //违背处理方式
Cat4507(config)#errdisablerecoverycausepsecure-violation //恢复方法
Cat4507(config)#errdisablerecoveryinterval30
此外,采用DAI(动态ARP解析)技术也可以防范MAC地址欺骗,在后面会讲到。
VLAN攻击包括两种方式:
第一种是交换机端口的默认选择auto模式的干道,再接收到DTP帧后,交换机将形成干道端口。
攻击者恶意发送DTP帧,接到该帧后交换机形成干道端口,攻击者能够访问攻击干道上的任何VLAN中的设备。
防护这种攻击的方法相对简单。
通过将所有的用户端口配置为access模式或host模式就可以了。
即使交换机端口关闭了链路聚集特性,也仍然可能发生第二种形式的VLAN攻击。
攻击者发送双重802.1Q标记的帧。
这种攻击不仅要求客户端位于攻击交换机之外的其他交换机中,还要求两台交换机通过与攻击者相同的VLAN连接到一起。
由于trunk链路一般默认处于nativeVLAN上,所以上述两条要求容易满足。
如图:
攻击者发送的带有双重802.1Q标记的帧外部标记为攻击者所处的VLAN10,内部标记为要攻击的VLAN20。
接受到帧后,交换机2将删除外部标记,但不能删除内部标记,因为它不能识别这个标记,他的MAC地址表中没有相应的条目,所以该帧将被泛洪到VLAN10的所有端口,从而传递到下一交换机3,然后交换机3将删除VLAN20的标记,并将数据包转发给位于VLAN20的主机D,达到攻击的目的。
为了防护双重标记802.1Q的VLAN攻击,需要交换机之间的干道nativevlan不是用户的VLAN。
如把交换机2和3之间的trunk链路划到其他的VLAN中就可以限定攻击流量在其自己的VLAN中。
24VLAN中的ACL(VACL)
VACL又称为VLAN访问控制列表,应用于VLAN中的所有通信流。
同路由中的ACL一样,其顺序也非常重要。
VACL的操作:
转发:
向通常那样转发帧
丢弃:
流与某个ACL丢弃条目匹配后将其丢弃
重定向:
流与某个ACL重定向条目匹配后将从某个确切的接口转发
配置步骤:
1,指定VACL的名称和序列号
valnaccess-mapmap-namenumber
2,配置match子句
matchipaddressacl-number/acl-name
或matchmacaddressacl-number/acl-name
3,配置ACL操作
actiondrop/forward/redirectfa1/2
4,VACL应用于VLAN
vlanfiltermap-namevlan-listlist
例子:
交换机丢弃所有通过TCP端口10000进入的信息流。
实际用途是防止internet蠕虫通过TCP端口10000传输信息。
SW1(config)#configterminal
SW1(config)#access-list100permittcpanyanyeq10000
SW1(config)#vlanaccess-mapCCNP
SW1(config-access-map)#matchipaddress100
SW1(config-access-map)#actiondrop
SW1(config-access-map)#exit
SW1(config)#vlanCCNPvlan-list10
SW1(config)#end
25私有VLAN(PVLAN)
私有VLAN(PrivateVLAN),是能够为相同的VLAN内不同的端口之间提供隔离的VLAN。
每个PVALN包括两种VLAN:
主VLAN:
是PVLAN中的高级VLAN。
主VLAN由多个辅助VLAN组成,并且辅助VLAN助于主VLAN的相同的子网。
辅助VLAN:
是主VLAN的子代,并映射到一个主VLAN。
每台设备都连接到辅助VLAN。
PVLAN中定义了混合端口(promiscuous),它能够与PVLAN中全部设备通讯。
混合端口通常是主VLAN的一部分。
每个混合端口可以映射到多个辅助VLAN。
混合端口通常是路由器端口、备份服务端口。
辅助VLAN又包括如下两种类型:
团体VLAN--同一个团体VLAN中的端口可以互相通讯,并且还可以与PVLAN中的混合端口通信。
隔离VLAN--如果端口属于隔离VLAN,那么它就只能与混合端口通信,不能与相同隔离VLAN中的其他端口通信。
隔离VLAN中的端口称为隔离端口或受保护端口。
注意:
1,PVLAN配置要求VTP版本1或2,并且工作在transparent模式。
2,禁止将第三层VLAN接口配置为辅助VLAN。
3,EtherChannel或span目标端口不支持私有VLAN。
配置例子:
如图
要求:
VLAN100为主VLAN,VLAN200为团体VLAN,VLAN300为隔离VALN。
VLAN100接口允许对VLAN200V和LAN300的辅助VLAN入口流量进行路由选择。
SW1#configt
SW1(config)#vtpmodetransparent//注意为透明模式
SW1(config)#vlan100
SW1(config-vlan)#private-vlanprimary//主VLAN
SW1(config-vlan)#vlan200
SW1(config-vlan)#private-vlancommunity//团体VLAN
SW1(config-vlan)#vlan300
SW1(config-vlan)#private-vlanisolated//隔离VALN
SW1(config-vlan)#vlan100
SW1(config-vlan)#private-vlanassociation200,300
//把主VLAN100与辅助VALN200,300关联起来
SW1(config-vlan)#intfa1/1
SW1(config-if)#switchportmodeprivate-vlanpromiscuous//定义为混合端口
SW1(config-if)#switchportprivate-vlanmapping100200
//把fa1/1端口划入VLAN100中,可以与VLAN200中的所有设备通信
SW1(config-if)#switchportprivate-vlanmapping100300
//把fa1/1端口划入VLAN100中,可以与VLAN300中的所有设备通信
SW1(config-if)#intfa1/11
SW1(config-if)#switchportmodeprivate-vlanhost//定义为主机模式
SW1(config-if)#switchportprivate-vlanhost-association100200
//表示此端口可以同VLAN100通信
SW1(config-if)#intfa1/12
SW1(config-if)#switchportprivate-vlanhost-association100300
SW1(config-if)#intvlan100
SW1(config-if)#ipadd192.168.10.1255.255.255.0
SW1(config-if)#private-vlanmappingadd200,300
SW1(config-if)#nosh
26DHCP欺骗
采用DHCPserver可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数,简化了用户网络设置,提高了管理效率。
但在DHCP管理使用上也存在着一些令网管人员比较头疼的问题,常见的有:
•DHCPserver的冒充。
•DHCPserver的Dos攻击。
•有些用户随便指定地址,造成网络地址冲突。
由于DHCP的运作机制,通常服务器和客户端没有认证机制,如果网络上存在多台DHCP服务器将会给网络照成混乱。
由于用户不小心配置了DHCP服务器引起的网络混乱非常常见,足可见故意人为破坏的简单性。
通常黑客攻击是首先将正常的DHCP服务器所能分配的IP地址耗尽,然后冒充合法的DHCP服务器。
最为隐蔽和危险的方法是黑客利用冒充的DHCP服务器,为用户分配一个经过修改的DNSserver,在用户毫无察觉的情况下被引导在预先配置好的假金融网站或电子商务网站,骗取用户帐户和密码,这种攻击是非常恶劣的。
对于DHCPserver的Dos攻击可以利用前面讲的PortSecurity和后面的DAI技术解决;
对于有些用户随便指定地址,造成网络地址冲突也可以利用IPSourceGuard和DAI技术。
先介绍DHCP监听技术:
DHCPSnooping技术是DHCP安全特性,通过建立和维护DHCPSnooping绑定表过滤来自网络中主机和其他设备的不信任的DHCP信息。
DHCPSnooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID接口等信息。
交换机支持在每个VALN基础上启用DHCP监听特性,拦截2层VLAN域中所有的DHCP包,把入站模块,端口,VLAN,MAC地址等信息添加到数据包中。
DHCP服务器能够跟踪DHCP地址池中所分配的地址。
通过这种特性,交换机能够限制终端用户(非信任端口)只能发送DHCP请求,并且将丢弃来自用户端口的所有其他DHCP包。
信任端口能够发送或接受所有DHCP报文,交换机也只允许DHCP服务器能过通过的DHCP响应来分发DHCP地址。
这种方法能够避免用户自己建立自己的DHCP服务器来分发非授权的地址。
一般的拓扑中配置如下图:
需求:
在交换机SW1上配置VLAN10的DHCP监听。
DHCP服务器接在Fa4/10端口,客户机接在模块Fa3的所有端口。
此外为了避免DHCP的DOS攻击,配置DHCP请求的限速。
SW1(config)#ipdhcpsnooping//打开DHCP监听功能
SW1(config)#ipdhcpsnoopingvlan10//定义哪些VLAN启用DHCP监听
SW1(config)#int
升级会员 