本文主要是介绍HCIP笔记15-扩展知识点,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
[sw1-ospf-1]silent-interface all 沉默所有接口
[sw1-ospf-1]undo silent-interface GigabitEthernet 0/0/24
[sw1-ospf-1]undo silent-interface Vlanif 99
沉默接口在三层架构中非常重要,可以大大减少ospf对交换网络的干扰,由于要沉默的接口太多,一般先全沉默,在开启不沉默的接口;
名词注解:
CAM--交换机转发数据依赖本地的MAC地址表,其实MAC地址表用于管理员查看;
交换机真正识别CAM表; MAC表=CAM表
区别在于CAM表是将MAC地址表中的MAC地址+接口编号+VALNid进行哈希运算,将运算后的值储存在CAM表中进行查找---以二进制存在
哈希运算--散列函数算法--MD-1-5 SHA
哈希算法的特点:
1.不等长的输入,等长的输出
2.雪崩效应,源数据的一点变化将导致计算后的数据的巨大变化
3.不能还原
路由器查询的--路由表--TCAM表 --将路由器表计算为二进制表格,用于芯片可以直接调用
加密:key+加密--正向运算 解密--反向运算 数据变大
扩展知识点:
1.端口镜像 SPAN
[r1]observe-port interface GigabitEthernet 0/0/2 监控接口
[r1]interface g0/0/0
[r1-GigabitEthernet 0/0/0]mirror to observe-port inbound 流量抓取的接口
[r1-GigabitEthernet 0/0/0]int g0/0/1
[r1-GigabitEthernet 0/0/1]mirror to observe-port inbound
G0/0/0和G0/0/1接口间的所有流量,都镜像到G0/0/2一份;可以在连接G0/0/2接口的设备上使用数据分析软件来进行数据分析;
只抓接口上某一个特定设备的流量来监控:
C1对应源流量,B1对应监控接口。P1是将C1和B1组成一个策略,最终接口上调用P1策略;
2.DHCP 动态主机配置协议 统一分发管理IP地址
华为服务器均使用单播进行回复,Cisco或微软基于广播进行回复;
华为的单播使用准备给客户端的IP地址来作为单播回复时的目标IP地址,主要还是基于MAC地址进行回复;
成为DHCP服务器的条件:
1.该设备必须存在接口或网卡能够为所需要获取IP地址的设备提供广播服务
2.该接口或网卡必须已经配置合法IP地址,且可以正常通讯---静态IP地址基于UDP 67/68端口工作
两种配置方式:
1.基于全局地址池的DHCP服务器给客户端分配IP地址:
dhcp enable
ip pool huawei
gateway-list 192.168.1.1
network 192.168.1.0 mask 24
excluded-ip-address 192.168.1.2 排除某些地址
lease day 3 hour 0 minute 0 地址租用时间
dns-list 192.168.1.2
interface g0/0/0
ip add 192.168.1.1 24
dhcp select global
2.基于接口的DHCP服务器给客户端分配IP地址:
dhcp enable
interface g0/0/0
ip address 192.168.1.1 24
dhcp select interface
dhcp server dns-list 192.168.1.2
dhcp server excluded-ip-address 192.168.1.2 排除某些地址
dhcp server lease day 2 hour 0 minute 0 地址租用时间
【1】DHCP中继
配置:
注意:dhcp server 设备必须在和中继点单播可达的前提下,才能使用DHCP中继效果;
【2】DHCP snooping---防止dhcp攻击
防止DHCP server 的仿冒:
[r1]dhcp enable 交换机开启dhcp服务
[r1]dhcp snooping enable全局下先开启DHCP snooping功能
[r1]interface g0/0/1
[r1-GigabitEthernet0/0/1]dhcp snooping enable 所有接入层接口配置
配置后,所有接口处于非信任状态,所有非信任接口只能进行DHCP的请求,无法实现应答;之后需要在真正连接DHCP服务器的接口上配置信任,否则该DHCP服务器也不能正常工作;
[r1-GigabitEthernet0/0/1]dhcp snooping trusted
注意:以上操作完成后,交换机中将产生一个记录列表;记录所有接口IP地址的获取情况;
例:SW1的g0/0/1 连接PC1,在SW1开启了DHCP snooping功能后,一旦PC1获取ip地址成功;那么在SW1上将出现一张记录列表----PC1的mac, 获取的 ip 地址, vlan…
该记录列表最大的意义是用于防止ARP欺骗攻击;
[r1]arp dhcp-snooping-detect enable 开启ARP欺骗防御
当某一个接口下的PC进行ARP应答时,若应答包中源IP地址与MAC地址和dhcp snooping的记录列表不一致将不进行转发;
源地址保护
[sw-GigabitEthernet0/0/1]ip source check user-bind enable -该接口发出的所有数据包中源IP地址与dhcp snooping记录不一致将不能转发;
[huawei]display dhcp snooping user-bind all 查看dhcp snooping绑定地址表
【3】端口安全--解决更换MAC来不停请求IP地址,导致DHCP池塘枯竭;
还可以防止MAC地址攻击;
交换机存在的mac地址表,存在条目数量限制,存在老化时间(默认5min)
PC等终端设备默认存储ARP表格为180s---2h;但若交换机的缓存被溢出或超时,再来转发终端的单播流量时,出现未知单播帧问题---处理方案洪泛
因此终端设备若不停修改MAC地址来导致交换机缓存溢出便可实现MAC地址攻击
依赖端口安全进行保护
端口安全
[sw-Ethernet0/0/4]port-security enable 开启端口安全
[sw-Ethernet0/0/4]port-security max-mac-num 1 现在MAC地址数量
[sw-Ethernet0/0/4]port-security protect-action ?
protect Discard packets 丢弃-不告警
restrict Discard packets and warning 丢弃-告警 (默认)
shutdown Shutdown 丢弃---关闭接口 --必须管理员手工开启
[sw-Ethernet0/0/4]port-security aging-time 300 老化时间
以上动作完成后,对应接口将自动记录第一个通过该接口数据帧中的源MAC地址;
其他mac将不能通过;若300s内,该记录mac没有再经过该接口,将刷新记录;
设备重启或接口关闭再开启也将刷新记录;
[sw-Ethernet0/0/4]port-security mac-address sticky 粘贴MAC(不老化)
自动记录通过该接口传递的mac地址,但记录后将永不删除
也可手工填写
[sw-Ethernet0/0/4]port-security mac-address sticky aaaa-aaaa-aaaa-aaaa vlan 1
【4】 SSH 安全外壳协议---安全的Telnet行为:
Telnet远程登录-基于tcp的23号端口工作;数据被明文传输;
SSH也是远程登录-基于TCP的22号端口工作,数据包安全保障传输;
存在版本V1/V2两种-实际版本号大于1小于2均为 V2;
SSH是在保障安全性基础上来进行telnet设备;
安全性:
1.私密性---对数据进行加密
2.完整性---对数据进行校验 哈希 SHA MD5
3.不可否认性---不能被冒充 共享密钥 数字签名
加密算法(保障数据的私密性)
- 必须存在秘钥 可以反向计算(解密) 源数据增大
对称加密 --同一个秘钥来进行加密和解密(24h换一次) 秘钥交换问题 密码管理数量呈指数上升 加解密速度快 加密后数据增大量少 DES 3DES AES
非对称加密-存在两把秘钥 A 加密 B解密(1h换一次) 不存在秘钥交换问题,密码数量可以仅一对 加解密速度慢 加密后数据增大量大 --- RSA DH (IPSEC vpn专用)当下秘钥长度要大于1024才相对安全;
校验算法(保障数据的完整性) --没有秘钥 不能反向计算 不等长输入,等长输出 --散列函数的摘要算法 雪崩效应--源数据微小变化导致计算结果的巨大变化
MD-MD5-128 SHA-SHA-1 -128 -256 -521
[R2]stelnet server enable 开启ssh
[R2]rsa local-key-pair create 密钥生成
[R2]ssh user lito authentication-type password 定义ssh基于秘钥来加解密
登录信息
[R2]aaa
[R2]local-user lito password cipher huawei
[R2]local-user lito service-type ssh
[R2]user-interface vty 0 4
[R2]authentication-mode aaa
[R2]protocol inbound ssh 仅允许ssh登录
若使用华为设备作为终端设备,通过ssh方式登录其他的系统,需要开启ssh客户端功能
[r1]ssh client first-time enable
[r1]stelnet 99.1.1.1
【5】端口隔离
[sw]interface g0/0/5
[sw-Ethernet0/0/5]port-isolate enable group 1 相同配置接口被隔离,无法直接通讯
这篇关于HCIP笔记15-扩展知识点的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!