HCIP笔记15-扩展知识点

2024-09-04 17:52
文章标签 知识点 15 笔记 扩展 hcip

本文主要是介绍HCIP笔记15-扩展知识点,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

[sw1-ospf-1]silent-interface all 沉默所有接口

[sw1-ospf-1]undo silent-interface GigabitEthernet 0/0/24

[sw1-ospf-1]undo silent-interface Vlanif 99

沉默接口在三层架构中非常重要,可以大大减少ospf对交换网络的干扰,由于要沉默的接口太多,一般先全沉默,在开启不沉默的接口;

名词注解:

CAM--交换机转发数据依赖本地的MAC地址表,其实MAC地址表用于管理员查看;

交换机真正识别CAM表;   MAC表=CAM表

区别在于CAM表是将MAC地址表中的MAC地址+接口编号+VALNid进行哈希运算,将运算后的值储存在CAM表中进行查找---以二进制存在

哈希运算--散列函数算法--MD-1-5  SHA

哈希算法的特点:

1.不等长的输入,等长的输出

2.雪崩效应,源数据的一点变化将导致计算后的数据的巨大变化

3.不能还原

路由器查询的--路由表--TCAM表 --将路由器表计算为二进制表格,用于芯片可以直接调用

加密:key+加密--正向运算  解密--反向运算  数据变大

扩展知识点:

1.端口镜像  SPAN

[r1]observe-port interface GigabitEthernet 0/0/2 监控接口

[r1]interface g0/0/0

[r1-GigabitEthernet 0/0/0]mirror to observe-port inbound 流量抓取的接口

[r1-GigabitEthernet 0/0/0]int g0/0/1

[r1-GigabitEthernet 0/0/1]mirror to observe-port inbound

G0/0/0和G0/0/1接口间的所有流量,都镜像到G0/0/2一份;可以在连接G0/0/2接口的设备上使用数据分析软件来进行数据分析;

只抓接口上某一个特定设备的流量来监控:

C1对应源流量,B1对应监控接口。P1是将C1和B1组成一个策略,最终接口上调用P1策略;

2.DHCP 动态主机配置协议 统一分发管理IP地址

华为服务器均使用单播进行回复,Cisco或微软基于广播进行回复;

华为的单播使用准备给客户端的IP地址来作为单播回复时的目标IP地址,主要还是基于MAC地址进行回复;

成为DHCP服务器的条件:

1.该设备必须存在接口或网卡能够为所需要获取IP地址的设备提供广播服务

2.该接口或网卡必须已经配置合法IP地址,且可以正常通讯---静态IP地址基于UDP 67/68端口工作

两种配置方式:

1.基于全局地址池的DHCP服务器给客户端分配IP地址:

dhcp enable

ip pool huawei

gateway-list 192.168.1.1

network 192.168.1.0 mask 24

excluded-ip-address 192.168.1.2  排除某些地址

lease day 3 hour 0 minute 0  地址租用时间

dns-list 192.168.1.2

interface g0/0/0

ip add 192.168.1.1 24

dhcp select global

2.基于接口的DHCP服务器给客户端分配IP地址:

dhcp enable

interface g0/0/0

ip address 192.168.1.1 24

dhcp select interface

dhcp server dns-list 192.168.1.2

dhcp server excluded-ip-address 192.168.1.2 排除某些地址

dhcp server lease day 2 hour 0 minute 0 地址租用时间

【1】DHCP中继

配置:

注意:dhcp server 设备必须在和中继点单播可达的前提下,才能使用DHCP中继效果;

【2】DHCP snooping---防止dhcp攻击

防止DHCP server 的仿冒:

[r1]dhcp enable  交换机开启dhcp服务

[r1]dhcp snooping enable全局下先开启DHCP snooping功能

[r1]interface g0/0/1

[r1-GigabitEthernet0/0/1]dhcp snooping enable 所有接入层接口配置

配置后,所有接口处于非信任状态,所有非信任接口只能进行DHCP的请求,无法实现应答;之后需要在真正连接DHCP服务器的接口上配置信任,否则该DHCP服务器也不能正常工作;

[r1-GigabitEthernet0/0/1]dhcp snooping trusted

注意:以上操作完成后,交换机中将产生一个记录列表;记录所有接口IP地址的获取情况;

例:SW1的g0/0/1 连接PC1,在SW1开启了DHCP snooping功能后,一旦PC1获取ip地址成功;那么在SW1上将出现一张记录列表----PC1的mac, 获取的 ip 地址, vlan…

该记录列表最大的意义是用于防止ARP欺骗攻击;

[r1]arp dhcp-snooping-detect enable  开启ARP欺骗防御

当某一个接口下的PC进行ARP应答时,若应答包中源IP地址与MAC地址和dhcp snooping的记录列表不一致将不进行转发;

源地址保护

[sw-GigabitEthernet0/0/1]ip source check user-bind enable -该接口发出的所有数据包中源IP地址与dhcp snooping记录不一致将不能转发;

[huawei]display dhcp snooping user-bind all 查看dhcp snooping绑定地址表

【3】端口安全--解决更换MAC来不停请求IP地址,导致DHCP池塘枯竭;

还可以防止MAC地址攻击;

交换机存在的mac地址表,存在条目数量限制,存在老化时间(默认5min)

PC等终端设备默认存储ARP表格为180s---2h;但若交换机的缓存被溢出或超时,再来转发终端的单播流量时,出现未知单播帧问题---处理方案洪泛

因此终端设备若不停修改MAC地址来导致交换机缓存溢出便可实现MAC地址攻击

依赖端口安全进行保护

端口安全

[sw-Ethernet0/0/4]port-security enable 开启端口安全

[sw-Ethernet0/0/4]port-security max-mac-num 1  现在MAC地址数量

[sw-Ethernet0/0/4]port-security protect-action ?

 protect Discard packets   丢弃-不告警

 restrict Discard packets and warning   丢弃-告警  (默认)

 shutdown Shutdown  丢弃---关闭接口 --必须管理员手工开启

[sw-Ethernet0/0/4]port-security aging-time 300 老化时间

以上动作完成后,对应接口将自动记录第一个通过该接口数据帧中的源MAC地址;

其他mac将不能通过;若300s内,该记录mac没有再经过该接口,将刷新记录;

设备重启或接口关闭再开启也将刷新记录;

[sw-Ethernet0/0/4]port-security mac-address sticky  粘贴MAC(不老化)

自动记录通过该接口传递的mac地址,但记录后将永不删除

也可手工填写

[sw-Ethernet0/0/4]port-security mac-address sticky aaaa-aaaa-aaaa-aaaa vlan 1

【4】 SSH 安全外壳协议---安全的Telnet行为:

Telnet远程登录-基于tcp的23号端口工作;数据被明文传输;

SSH也是远程登录-基于TCP的22号端口工作,数据包安全保障传输;

存在版本V1/V2两种-实际版本号大于1小于2均为 V2;

SSH是在保障安全性基础上来进行telnet设备;

安全性:

1.私密性---对数据进行加密

2.完整性---对数据进行校验  哈希 SHA MD5

3.不可否认性---不能被冒充  共享密钥  数字签名

加密算法(保障数据的私密性)  

- 必须存在秘钥       可以反向计算(解密)       源数据增大

对称加密 --同一个秘钥来进行加密和解密(24h换一次) 秘钥交换问题  密码管理数量呈指数上升  加解密速度快 加密后数据增大量少  DES  3DES   AES

非对称加密-存在两把秘钥  A 加密 B解密(1h换一次) 不存在秘钥交换问题,密码数量可以仅一对   加解密速度慢 加密后数据增大量大  --- RSA      DH (IPSEC vpn专用)当下秘钥长度要大于1024才相对安全;

校验算法(保障数据的完整性) --没有秘钥  不能反向计算  不等长输入,等长输出 --散列函数的摘要算法   雪崩效应--源数据微小变化导致计算结果的巨大变化

MD-MD5-128   SHA-SHA-1 -128  -256  -521

[R2]stelnet server enable 开启ssh

[R2]rsa local-key-pair create    密钥生成

[R2]ssh user lito authentication-type password 定义ssh基于秘钥来加解密

登录信息

[R2]aaa

[R2]local-user lito password cipher huawei

[R2]local-user lito service-type ssh

[R2]user-interface vty 0 4

[R2]authentication-mode aaa

[R2]protocol inbound ssh 仅允许ssh登录

若使用华为设备作为终端设备,通过ssh方式登录其他的系统,需要开启ssh客户端功能

[r1]ssh client first-time enable

[r1]stelnet 99.1.1.1

【5】端口隔离

[sw]interface g0/0/5

[sw-Ethernet0/0/5]port-isolate enable group 1 相同配置接口被隔离,无法直接通讯

这篇关于HCIP笔记15-扩展知识点的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1136615

相关文章

Ilya-AI分享的他在OpenAI学习到的15个提示工程技巧

Ilya(不是本人,claude AI)在社交媒体上分享了他在OpenAI学习到的15个Prompt撰写技巧。 以下是详细的内容: 提示精确化:在编写提示时,力求表达清晰准确。清楚地阐述任务需求和概念定义至关重要。例:不用"分析文本",而用"判断这段话的情感倾向:积极、消极还是中性"。 快速迭代:善于快速连续调整提示。熟练的提示工程师能够灵活地进行多轮优化。例:从"总结文章"到"用

这15个Vue指令,让你的项目开发爽到爆

1. V-Hotkey 仓库地址: github.com/Dafrok/v-ho… Demo: 戳这里 https://dafrok.github.io/v-hotkey 安装: npm install --save v-hotkey 这个指令可以给组件绑定一个或多个快捷键。你想要通过按下 Escape 键后隐藏某个组件,按住 Control 和回车键再显示它吗?小菜一碟: <template

csu 1446 Problem J Modified LCS (扩展欧几里得算法的简单应用)

这是一道扩展欧几里得算法的简单应用题,这题是在湖南多校训练赛中队友ac的一道题,在比赛之后请教了队友,然后自己把它a掉 这也是自己独自做扩展欧几里得算法的题目 题意:把题意转变下就变成了:求d1*x - d2*y = f2 - f1的解,很明显用exgcd来解 下面介绍一下exgcd的一些知识点:求ax + by = c的解 一、首先求ax + by = gcd(a,b)的解 这个

基本知识点

1、c++的输入加上ios::sync_with_stdio(false);  等价于 c的输入,读取速度会加快(但是在字符串的题里面和容易出现问题) 2、lower_bound()和upper_bound() iterator lower_bound( const key_type &key ): 返回一个迭代器,指向键值>= key的第一个元素。 iterator upper_bou

科研绘图系列:R语言扩展物种堆积图(Extended Stacked Barplot)

介绍 R语言的扩展物种堆积图是一种数据可视化工具,它不仅展示了物种的堆积结果,还整合了不同样本分组之间的差异性分析结果。这种图形表示方法能够直观地比较不同物种在各个分组中的显著性差异,为研究者提供了一种有效的数据解读方式。 加载R包 knitr::opts_chunk$set(warning = F, message = F)library(tidyverse)library(phyl

【学习笔记】 陈强-机器学习-Python-Ch15 人工神经网络(1)sklearn

系列文章目录 监督学习:参数方法 【学习笔记】 陈强-机器学习-Python-Ch4 线性回归 【学习笔记】 陈强-机器学习-Python-Ch5 逻辑回归 【课后题练习】 陈强-机器学习-Python-Ch5 逻辑回归(SAheart.csv) 【学习笔记】 陈强-机器学习-Python-Ch6 多项逻辑回归 【学习笔记 及 课后题练习】 陈强-机器学习-Python-Ch7 判别分析 【学

系统架构师考试学习笔记第三篇——架构设计高级知识(20)通信系统架构设计理论与实践

本章知识考点:         第20课时主要学习通信系统架构设计的理论和工作中的实践。根据新版考试大纲,本课时知识点会涉及案例分析题(25分),而在历年考试中,案例题对该部分内容的考查并不多,虽在综合知识选择题目中经常考查,但分值也不高。本课时内容侧重于对知识点的记忆和理解,按照以往的出题规律,通信系统架构设计基础知识点多来源于教材内的基础网络设备、网络架构和教材外最新时事热点技术。本课时知识

Spring框架5 - 容器的扩展功能 (ApplicationContext)

private static ApplicationContext applicationContext;static {applicationContext = new ClassPathXmlApplicationContext("bean.xml");} BeanFactory的功能扩展类ApplicationContext进行深度的分析。ApplicationConext与 BeanF

论文阅读笔记: Segment Anything

文章目录 Segment Anything摘要引言任务模型数据引擎数据集负责任的人工智能 Segment Anything Model图像编码器提示编码器mask解码器解决歧义损失和训练 Segment Anything 论文地址: https://arxiv.org/abs/2304.02643 代码地址:https://github.com/facebookresear

两个月冲刺软考——访问位与修改位的题型(淘汰哪一页);内聚的类型;关于码制的知识点;地址映射的相关内容

1.访问位与修改位的题型(淘汰哪一页) 访问位:为1时表示在内存期间被访问过,为0时表示未被访问;修改位:为1时表示该页面自从被装入内存后被修改过,为0时表示未修改过。 置换页面时,最先置换访问位和修改位为00的,其次是01(没被访问但被修改过)的,之后是10(被访问了但没被修改过),最后是11。 2.内聚的类型 功能内聚:完成一个单一功能,各个部分协同工作,缺一不可。 顺序内聚: