HCIP第十三章（拓展知识点）

一。哈希算法

CAM--交换机转发数据依赖本地的MAC地址表，其实MAC地址用于管理员查看

交换机真正识别CAM表，MAC表=CAM表

区别在于CAM表是将MAC地址表的MAC地址+接口编号+VLANid进行哈希运算，将运算后的值存储在CAM表进行查找（以二进制存在）

哈希运算--散列函数算法--MD-1-5    SHA

哈希算法的特点：

1.不等长输入，等长的输出

2.雪崩效应，源数据的优点变化将导致计算后数据的巨大变化

3.不能还原

注意：路由器查询的路由表（TCAM表）-将路由器表计算为二进制表格，用于芯片可以直接调用

二。端口镜像（SPAN）

配置命令：

observe-port intertacr g0/0/2（监视接口）

int g0/0/0

mirror to observe-port inbound（抓取流量的接口）

g0/0/0接口间的流量，镜像到g0/0/2中去，可以在g0/0/2的设备上使用数据分析软件来进行数据的分析1

c1对应源流量（抓取），b1对应监控流量，p1是将c1和b1组成一个策略，最终接口上调用p1策略

三。DHCP（动态主机配置协议）

目的：同一分发管理ip地址

C/S（客户/服务器）

称为DHCP服务器的条件：

1.该设备必须存在接口或网卡能够为所需要获取ip地址的设备提供广播服务

2.该接口或网卡必须配置合法ip地址，且可以正常通讯--静态ip地址（不能变化）

基于UDP 67 68端口工作（Client基于68号端口，Server基于67号端口）

华为模拟器均使用单播进行回复，cisco或微软基于广播进行回复

华为的单播使用准备给客户端的ip地址来作为单播回复时的目标ip地址，主要还是基于MAC地址进行回复

注释：

excluded-ip-address 192.168.1.2（表示在DHCP分配IP时候排除掉该地址，不进行分配）

lease day 3 hour 0 minute 0（表示在DHCP分配地址后3天后进行重新获取，或则断开，不调整默认一天）

注释：当过去时间为一半时候，发送一个request请求DHCO地址，当时间为8/1时候再次进行请求，如果发送ACK包则进行继续DHCP，否则DHCP地址取消

四。DHCP

1.DHCP中继

dhcp server设备必须和中继点单播可达的前提下，才可以使用DHCP中继效果

2.DHCP snooping（防止dhcp攻击）

防止DHCP服务器仿冒

查看snooping：display dhcp snooping user-bind all

配置：

dhcp enable

dhcp snooping enable

int g0/0/0（进入所有的接口）

dhcp snooping enable

配置完成后，所有接口处于非信任状态，所有非信任接口只能进行DHCP的请求，无法进行应答，之后需要在真正连接DHCP服务器的端口上配置信任，否则该dhcp服务器也不能进行正常工作，若要进行应答：dhcp snooping trusted（进入信任接口），才能进行dhcp服务

拓展：开启ARP欺骗防御：arp dhcp-snooping-detect enable

当某一个接口下的pc进行ARP应答，若应答包中源ip地址和MAC地址和dhcp snooping的记录列表不一致将不进行转发

3.源地址保护：

ip source check user-bind all（进入接口）

该接口发出的所有的数据包中源ip地址和dhcp snooping记录不一致将不能进行转发

4.交换机端口安全：

目的：解决更换MAC来不停请求ip地址，导致DHCP池塘枯竭，还可以防止MAC地址攻击；需要不停的修改mac地址来导致交换机缓存溢出便可以实现mac地址攻击，依赖端口进行保护

配置：

port-security enable（进入接口，开启端口安全）

port-security max-mac-num 1（现在MAC地址数量）

port-security protect-action{

(1)protect Discard packets 丢弃-不告警

(2)restrict Discard packets and warning 丢弃 告警（默认

(3)shutdown Shutdown 丢弃，关闭接口（必须管理员手工开启）

}

port-security aging-time 300（配置老化时间）

port-security mac-address sticky（粘贴MAC，不老化，记录将不被删除）

以上动作完成后，对应接口将自动记录第一个通过接口数据帧中的源mac地址，其他的mac将不能通过，若300s后，该记录mac没有再经过该接口，将刷新纪录，设备重启或接口关闭再开启也将刷新记录

五。SSH-安全的Telnet行为

1.普通telent协议：

基于TCP的23号端口进行工作，不加密数据传输

配置命令：

aaa

local-user 用户名 privilege level 15 password cipher 123456

local-user 用户名 service-type telnet

q

user-interface vty 0 4

authentication-mode aaa

2.SSH安全的telent（基于TCP的22端口）：

SSH是在保障传输的安全性基础来进行telent设备

安全性：

1.私密性：对数据进行加密

2.完整性：对数据进行校验（哈希，SHA，MD5）

3.不可否认性：不能被冒充（共享密钥，数字签名）

配置命令：

注意：配置前先配置aaa用户，local-user 用户名 service-type ssh

stelent server enable

rsa local-key-pair create（开启RSA加密，长度自行设定1024）

ssh user 用户名 authentication-type password

q

user-interface vty 0 4

authentication-mode aaa

protocol inbound ssh

六。加密算法：

对称加密：同一个key来进行加密和解密（24h切换一次，自动生成），存在密钥交换问题

特点：加解密的速度快，加密后数据增大量少

主流：DES，3DES，AES

非对称加密：公钥和私钥，一个key加密，另外一个解密（1h切换一次），不存在密钥交换问题，密钥数量可以只有一对（私钥）

特点：加解密的速度慢，加密后数据增大量很大

主流：RSA，DH

七。端口隔离：

int g0/0/0

port-isolate enable group 1相同配置间接口被隔离，只能和没有配置该接口的才能进行交流