HCIP笔记15-扩展知识点

本文主要是介绍HCIP笔记15-扩展知识点，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

[sw1-ospf-1]silent-interface all 沉默所有接口

[sw1-ospf-1]undo silent-interface GigabitEthernet 0/0/24

[sw1-ospf-1]undo silent-interface Vlanif 99

沉默接口在三层架构中非常重要，可以大大减少ospf对交换网络的干扰，由于要沉默的接口太多，一般先全沉默，在开启不沉默的接口；

名词注解：

CAM--交换机转发数据依赖本地的MAC地址表，其实MAC地址表用于管理员查看；

交换机真正识别CAM表；   MAC表=CAM表

区别在于CAM表是将MAC地址表中的MAC地址+接口编号+VALNid进行哈希运算，将运算后的值储存在CAM表中进行查找---以二进制存在

哈希运算--散列函数算法--MD-1-5  SHA

哈希算法的特点：

1.不等长的输入，等长的输出

2.雪崩效应，源数据的一点变化将导致计算后的数据的巨大变化

3.不能还原

路由器查询的--路由表--TCAM表 --将路由器表计算为二进制表格，用于芯片可以直接调用

加密：key+加密--正向运算  解密--反向运算  数据变大

扩展知识点：

1.端口镜像  SPAN

[r1]observe-port interface GigabitEthernet 0/0/2 监控接口

[r1]interface g0/0/0

[r1-GigabitEthernet 0/0/0]mirror to observe-port inbound 流量抓取的接口

[r1-GigabitEthernet 0/0/0]int g0/0/1

[r1-GigabitEthernet 0/0/1]mirror to observe-port inbound

G0/0/0和G0/0/1接口间的所有流量，都镜像到G0/0/2一份；可以在连接G0/0/2接口的设备上使用数据分析软件来进行数据分析；

只抓接口上某一个特定设备的流量来监控：

C1对应源流量，B1对应监控接口。P1是将C1和B1组成一个策略，最终接口上调用P1策略；

2.DHCP 动态主机配置协议 统一分发管理IP地址

华为服务器均使用单播进行回复，Cisco或微软基于广播进行回复；

华为的单播使用准备给客户端的IP地址来作为单播回复时的目标IP地址，主要还是基于MAC地址进行回复；

成为DHCP服务器的条件：

1.该设备必须存在接口或网卡能够为所需要获取IP地址的设备提供广播服务

2.该接口或网卡必须已经配置合法IP地址，且可以正常通讯---静态IP地址基于UDP 67/68端口工作

两种配置方式：

1.基于全局地址池的DHCP服务器给客户端分配IP地址：

dhcp enable

ip pool huawei

gateway-list 192.168.1.1

network 192.168.1.0 mask 24

excluded-ip-address 192.168.1.2  排除某些地址

lease day 3 hour 0 minute 0  地址租用时间

dns-list 192.168.1.2

interface g0/0/0

ip add 192.168.1.1 24

dhcp select global

2.基于接口的DHCP服务器给客户端分配IP地址：

dhcp enable

interface g0/0/0

ip address 192.168.1.1 24

dhcp select interface

dhcp server dns-list 192.168.1.2

dhcp server excluded-ip-address 192.168.1.2 排除某些地址

dhcp server lease day 2 hour 0 minute 0 地址租用时间

【1】DHCP中继

配置：

注意：dhcp server 设备必须在和中继点单播可达的前提下，才能使用DHCP中继效果；

【2】DHCP snooping---防止dhcp攻击

防止DHCP server 的仿冒：

[r1]dhcp enable  交换机开启dhcp服务

[r1]dhcp snooping enable全局下先开启DHCP snooping功能

[r1]interface g0/0/1

[r1-GigabitEthernet0/0/1]dhcp snooping enable 所有接入层接口配置

配置后，所有接口处于非信任状态，所有非信任接口只能进行DHCP的请求，无法实现应答；之后需要在真正连接DHCP服务器的接口上配置信任，否则该DHCP服务器也不能正常工作；

[r1-GigabitEthernet0/0/1]dhcp snooping trusted

注意：以上操作完成后，交换机中将产生一个记录列表；记录所有接口IP地址的获取情况；

例：SW1的g0/0/1 连接PC1,在SW1开启了DHCP snooping功能后,一旦PC1获取ip地址成功；那么在SW1上将出现一张记录列表----PC1的mac, 获取的 ip 地址, vlan…

该记录列表最大的意义是用于防止ARP欺骗攻击；

[r1]arp dhcp-snooping-detect enable  开启ARP欺骗防御

当某一个接口下的PC进行ARP应答时，若应答包中源IP地址与MAC地址和dhcp snooping的记录列表不一致将不进行转发；

源地址保护

[sw-GigabitEthernet0/0/1]ip source check user-bind enable -该接口发出的所有数据包中源IP地址与dhcp snooping记录不一致将不能转发；

[huawei]display dhcp snooping user-bind all 查看dhcp snooping绑定地址表

【3】端口安全--解决更换MAC来不停请求IP地址，导致DHCP池塘枯竭；

还可以防止MAC地址攻击；

交换机存在的mac地址表，存在条目数量限制，存在老化时间(默认5min)

PC等终端设备默认存储ARP表格为180s---2h；但若交换机的缓存被溢出或超时，再来转发终端的单播流量时，出现未知单播帧问题---处理方案洪泛

因此终端设备若不停修改MAC地址来导致交换机缓存溢出便可实现MAC地址攻击

依赖端口安全进行保护

端口安全

[sw-Ethernet0/0/4]port-security enable 开启端口安全

[sw-Ethernet0/0/4]port-security max-mac-num 1  现在MAC地址数量

[sw-Ethernet0/0/4]port-security protect-action ?

 protect Discard packets   丢弃-不告警

 restrict Discard packets and warning   丢弃-告警  （默认）

 shutdown Shutdown  丢弃---关闭接口 --必须管理员手工开启

[sw-Ethernet0/0/4]port-security aging-time 300 老化时间

以上动作完成后，对应接口将自动记录第一个通过该接口数据帧中的源MAC地址；

其他mac将不能通过；若300s内，该记录mac没有再经过该接口，将刷新记录；

设备重启或接口关闭再开启也将刷新记录；

[sw-Ethernet0/0/4]port-security mac-address sticky  粘贴MAC（不老化）

自动记录通过该接口传递的mac地址，但记录后将永不删除

也可手工填写

[sw-Ethernet0/0/4]port-security mac-address sticky aaaa-aaaa-aaaa-aaaa vlan 1

【4】 SSH 安全外壳协议---安全的Telnet行为:

Telnet远程登录-基于tcp的23号端口工作;数据被明文传输；

SSH也是远程登录-基于TCP的22号端口工作，数据包安全保障传输;

存在版本V1/V2两种-实际版本号大于1小于2均为 V2;

SSH是在保障安全性基础上来进行telnet设备；

安全性：

1.私密性---对数据进行加密

2.完整性---对数据进行校验  哈希 SHA MD5

3.不可否认性---不能被冒充  共享密钥  数字签名

加密算法(保障数据的私密性)  

- 必须存在秘钥       可以反向计算(解密)       源数据增大

对称加密 --同一个秘钥来进行加密和解密（24h换一次） 秘钥交换问题  密码管理数量呈指数上升  加解密速度快 加密后数据增大量少  DES  3DES   AES

非对称加密-存在两把秘钥  A 加密 B解密（1h换一次） 不存在秘钥交换问题，密码数量可以仅一对   加解密速度慢 加密后数据增大量大  --- RSA      DH (IPSEC vpn专用)当下秘钥长度要大于1024才相对安全；

校验算法（保障数据的完整性） --没有秘钥  不能反向计算  不等长输入，等长输出 --散列函数的摘要算法   雪崩效应--源数据微小变化导致计算结果的巨大变化

MD-MD5-128   SHA-SHA-1 -128  -256  -521

[R2]stelnet server enable 开启ssh

[R2]rsa local-key-pair create    密钥生成

[R2]ssh user lito authentication-type password 定义ssh基于秘钥来加解密

登录信息

[R2]aaa

[R2]local-user lito password cipher huawei

[R2]local-user lito service-type ssh

[R2]user-interface vty 0 4

[R2]authentication-mode aaa

[R2]protocol inbound ssh 仅允许ssh登录

若使用华为设备作为终端设备，通过ssh方式登录其他的系统，需要开启ssh客户端功能

[r1]ssh client first-time enable

[r1]stelnet 99.1.1.1

【5】端口隔离

[sw]interface g0/0/5

[sw-Ethernet0/0/5]port-isolate enable group 1 相同配置接口被隔离，无法直接通讯

这篇关于HCIP笔记15-扩展知识点的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---