HCIP笔记15-扩展知识点

施墨

于 2024-09-03 16:21:53 发布

阅读量568

点赞数 17

文章标签：笔记网络智能路由器运维

本文链接：https://blog.csdn.net/2301_81411842/article/details/141865065

版权

[sw1-ospf-1]silent-interface all 沉默所有接口

[sw1-ospf-1]undo silent-interface GigabitEthernet 0/0/24

[sw1-ospf-1]undo silent-interface Vlanif 99

沉默接口在三层架构中非常重要，可以大大减少ospf对交换网络的干扰，由于要沉默的接口太多，一般先全沉默，在开启不沉默的接口；

名词注解：

CAM--交换机转发数据依赖本地的MAC地址表，其实MAC地址表用于管理员查看；

交换机真正识别CAM表； MAC表=CAM表

区别在于CAM表是将MAC地址表中的MAC地址+接口编号+VALNid进行哈希运算，将运算后的值储存在CAM表中进行查找---以二进制存在

哈希运算--散列函数算法--MD-1-5 SHA

哈希算法的特点：

1.不等长的输入，等长的输出

2.雪崩效应，源数据的一点变化将导致计算后的数据的巨大变化

3.不能还原

路由器查询的--路由表--TCAM表 --将路由器表计算为二进制表格，用于芯片可以直接调用

加密：key+加密--正向运算解密--反向运算数据变大

扩展知识点：

1.端口镜像 SPAN

[r1]observe-port interface GigabitEthernet 0/0/2 监控接口

[r1]interface g0/0/0

[r1-GigabitEthernet 0/0/0]mirror to observe-port inbound 流量抓取的接口

[r1-GigabitEthernet 0/0/0]int g0/0/1

[r1-GigabitEthernet 0/0/1]mirror to observe-port inbound

G0/0/0和G0/0/1接口间的所有流量，都镜像到G0/0/2一份；可以在连接G0/0/2接口的设备上使用数据分析软件来进行数据分析；

只抓接口上某一个特定设备的流量来监控：

C1对应源流量，B1对应监控接口。P1是将C1和B1组成一个策略，最终接口上调用P1策略；

2.DHCP 动态主机配置协议统一分发管理IP地址

华为服务器均使用单播进行回复，Cisco或微软基于广播进行回复；

华为的单播使用准备给客户端的IP地址来作为单播回复时的目标IP地址，主要还是基于MAC地址进行回复；

成为DHCP服务器的条件：

1.该设备必须存在接口或网卡能够为所需要获取IP地址的设备提供广播服务

2.该接口或网卡必须已经配置合法IP地址，且可以正常通讯---静态IP地址基于UDP 67/68端口工作

两种配置方式：

1.基于全局地址池的DHCP服务器给客户端分配IP地址：

dhcp enable

ip pool huawei

gateway-list 192.168.1.1

network 192.168.1.0 mask 24

excluded-ip-address 192.168.1.2 排除某些地址

lease day 3 hour 0 minute 0 地址租用时间

dns-list 192.168.1.2

interface g0/0/0

ip add 192.168.1.1 24

dhcp select global

2.基于接口的DHCP服务器给客户端分配IP地址：

dhcp enable

interface g0/0/0

ip address 192.168.1.1 24

dhcp select interface

dhcp server dns-list 192.168.1.2

dhcp server excluded-ip-address 192.168.1.2 排除某些地址

dhcp server lease day 2 hour 0 minute 0 地址租用时间

【1】DHCP中继

配置：

注意：dhcp server 设备必须在和中继点单播可达的前提下，才能使用DHCP中继效果；

【2】DHCP snooping---防止dhcp攻击

防止DHCP server 的仿冒：

[r1]dhcp enable 交换机开启dhcp服务

[r1]dhcp snooping enable全局下先开启DHCP snooping功能

[r1]interface g0/0/1

[r1-GigabitEthernet0/0/1]dhcp snooping enable 所有接入层接口配置

配置后，所有接口处于非信任状态，所有非信任接口只能进行DHCP的请求，无法实现应答；之后需要在真正连接DHCP服务器的接口上配置信任，否则该DHCP服务器也不能正常工作；

[r1-GigabitEthernet0/0/1]dhcp snooping trusted

注意：以上操作完成后，交换机中将产生一个记录列表；记录所有接口IP地址的获取情况；

例：SW1的g0/0/1 连接PC1,在SW1开启了DHCP snooping功能后,一旦PC1获取ip地址成功；那么在SW1上将出现一张记录列表----PC1的mac, 获取的 ip 地址, vlan…

该记录列表最大的意义是用于防止ARP欺骗攻击；

[r1]arp dhcp-snooping-detect enable 开启ARP欺骗防御

当某一个接口下的PC进行ARP应答时，若应答包中源IP地址与MAC地址和dhcp snooping的记录列表不一致将不进行转发；

源地址保护

[sw-GigabitEthernet0/0/1]ip source check user-bind enable -该接口发出的所有数据包中源IP地址与dhcp snooping记录不一致将不能转发；

[huawei]display dhcp snooping user-bind all 查看dhcp snooping绑定地址表

【3】端口安全--解决更换MAC来不停请求IP地址，导致DHCP池塘枯竭；

还可以防止MAC地址攻击；

交换机存在的mac地址表，存在条目数量限制，存在老化时间(默认5min)

PC等终端设备默认存储ARP表格为180s---2h；但若交换机的缓存被溢出或超时，再来转发终端的单播流量时，出现未知单播帧问题---处理方案洪泛

因此终端设备若不停修改MAC地址来导致交换机缓存溢出便可实现MAC地址攻击

依赖端口安全进行保护

端口安全

[sw-Ethernet0/0/4]port-security enable 开启端口安全

[sw-Ethernet0/0/4]port-security max-mac-num 1 现在MAC地址数量

[sw-Ethernet0/0/4]port-security protect-action ?

protect Discard packets 丢弃-不告警

restrict Discard packets and warning 丢弃-告警（默认）

shutdown Shutdown 丢弃---关闭接口 --必须管理员手工开启

[sw-Ethernet0/0/4]port-security aging-time 300 老化时间

以上动作完成后，对应接口将自动记录第一个通过该接口数据帧中的源MAC地址；

其他mac将不能通过；若300s内，该记录mac没有再经过该接口，将刷新记录；

设备重启或接口关闭再开启也将刷新记录；

[sw-Ethernet0/0/4]port-security mac-address sticky 粘贴MAC（不老化）

自动记录通过该接口传递的mac地址，但记录后将永不删除

也可手工填写

[sw-Ethernet0/0/4]port-security mac-address sticky aaaa-aaaa-aaaa-aaaa vlan 1

【4】 SSH 安全外壳协议---安全的Telnet行为:

Telnet远程登录-基于tcp的23号端口工作;数据被明文传输；

SSH也是远程登录-基于TCP的22号端口工作，数据包安全保障传输;

存在版本V1/V2两种-实际版本号大于1小于2均为 V2;

SSH是在保障安全性基础上来进行telnet设备；

安全性：

1.私密性---对数据进行加密

2.完整性---对数据进行校验哈希 SHA MD5

3.不可否认性---不能被冒充共享密钥数字签名

加密算法(保障数据的私密性)

- 必须存在秘钥可以反向计算(解密) 源数据增大

对称加密 --同一个秘钥来进行加密和解密（24h换一次）秘钥交换问题密码管理数量呈指数上升加解密速度快加密后数据增大量少 DES 3DES AES

非对称加密-存在两把秘钥 A 加密 B解密（1h换一次）不存在秘钥交换问题，密码数量可以仅一对加解密速度慢加密后数据增大量大 --- RSA DH (IPSEC vpn专用)当下秘钥长度要大于1024才相对安全；

校验算法（保障数据的完整性） --没有秘钥不能反向计算不等长输入，等长输出 --散列函数的摘要算法雪崩效应--源数据微小变化导致计算结果的巨大变化

MD-MD5-128 SHA-SHA-1 -128 -256 -521

[R2]stelnet server enable 开启ssh

[R2]rsa local-key-pair create 密钥生成

[R2]ssh user lito authentication-type password 定义ssh基于秘钥来加解密

登录信息

[R2]aaa

[R2]local-user lito password cipher huawei

[R2]local-user lito service-type ssh

[R2]user-interface vty 0 4

[R2]authentication-mode aaa

[R2]protocol inbound ssh 仅允许ssh登录

若使用华为设备作为终端设备，通过ssh方式登录其他的系统，需要开启ssh客户端功能

[r1]ssh client first-time enable

[r1]stelnet 99.1.1.1

【5】端口隔离

[sw]interface g0/0/5

[sw-Ethernet0/0/5]port-isolate enable group 1 相同配置接口被隔离，无法直接通讯

施墨

关注

17
点赞
踩
10

收藏

觉得还不错? 一键收藏
0
评论
HCIP笔记15-扩展知识点

sw-GigabitEthernet0/0/1]ip source check user-bind enable -该接口发出的所有数据包中源IP地址与dhcp snooping记录不一致将不能转发；校验算法（保障数据的完整性） --没有秘钥不能反向计算不等长输入，等长输出 --散列函数的摘要算法雪崩效应--源数据微小变化导致计算结果的巨大变化。[sw-Ethernet0/0/4]port-security max-mac-num 1 现在MAC地址数量。
复制链接

扫一扫