2021~2022你不得不知的思科网络技术知识

伊斯电子编程

于 2022-01-05 16:28:02 发布

阅读量3.3k

点赞数

文章标签：网络服务器安全

本文链接：https://blog.csdn.net/m0_46202433/article/details/122326260

版权

构建和保护小型网络

安全威胁和漏洞

四种威胁：信息盗窃、数据丢失或操纵、身份盗窃以及服务中断。

三种主要的漏洞或弱点：技术、配置和安全策略

物理威胁分为四类：硬件、环境、电气和维护

威胁的四种类型如下：

-硬件威胁－对服务器、路由器、交换机、布线间和工作站的物理破坏。
-环境威胁－指极端温度（过热或过冷）或极端湿度（过湿或过干）。
-电气威胁－电压尖峰、电源电压不足（电气管制）、不合格电源（噪音），以及断电。
-维护威胁－指关键电气组件处理不佳（静电放电），缺少关键备用组件、布线混乱和标识不明。

网络攻击
恶意软件的类型包括病毒、蠕虫和特洛伊木马
网络攻击可分为三大类：侦察、访问和拒绝服务

侦察攻击是：互联网查询、ping 扫描和端口扫描。（ip地址有关）
访问攻击是：密码（暴力、木马、数据包嗅探器）、信任利用、端口重定向和中间人。
服务中断攻击的两种类型是：DoS 和DDoS。目的是通过消耗系统资源使用户无法正常使用（响应变慢）

网络攻击缓解
环境中部署了一些安全设备和服务，来保护组织机构的用户、资产，免遭TCP/IP威胁的侵害：VPN、ASA防火墙、IPS、ESA/WSA和AAA服务器。

缓解蠕虫攻击的最有效方法是从操作系统厂商处下载安全更新，并为所有存在漏洞的系统应用补丁。

AAA 方法用于控制可以访问网络的用户（认证）、用户可以执行的操作（授权），以及用户在访问网络时的行为（记账）

防火墙驻留在两个或多个网络之间，控制其间的流量并帮助阻止未授权的访问。

外部用户可访问的服务器通常位于称为DMZ的特殊网络中。

防火墙使用各种技术来确定允许或拒绝访问网络的内容，包括：数据包过滤、应用程序过滤、URL过滤和 SPI。

数据包过滤：ip/mac
应用程序过滤：端口号
URL过滤：特定的URL或者关键字
状态包侦测（SPI)

终端安全：杀毒软件和主机入侵防御。更全面的终端安全解决方案依赖网络访问控制。

网络侦察攻击是指未经授权搜索和映射网络和网络系统。
访问攻击和信任利用是指未经授权而操纵数据以及访问系统或用户权限。
DoS拒绝服务攻击，意图阻止合法用户和设备访问网络资源。

设备安全

要在路由器上实施 SSH，需要执行以下步骤：

-配置唯一的主机名。
-配置网络域名。
-配置用户账户以使用 AAA 或本地数据库进行认证。
-生成 RSA 密钥。
-启用 VTY SSH 会话。

在 Windows 计算机的命令行发出 ipconfig 命令来查看 Windows 主机上的 IP编址信息.
使用ipconfig /all命令可查看 MAC 地址和有关设备第 3 层编址
在 Windows 计算机系统中，输入ipconfig /displaydns命令可以显示所有 DNS 缓存条目
在Windows 中 arp -a 命令显示了已知 IP 地址及 MAC 地址绑定

思科IOS CLI show命令显示有关设备配置和运行的相关信息

使用 show命令广泛用于查看配置文件，检查设备接口和进程的状态并且验证设备运行状态。

show running-config
验证当前的配置和设置

show interfaces
验证接口状态并显示任何错误消息

show ip interface
验证接口的第 3 层信息

show arp
验证本地以太网局域网上的已知主机列表

show ip route
验证第 3 层路由信息。

show protocols
验证哪些协议是可操作的

show version
验证设备的内存、接口和许可

思科发现协议 (CDP) 在数据链路层运行
show cdp neighbor命令

思科发现协议(CDP)只能发现直接连接的思科设备
show cdp neighbors detail 命令显示相邻设备的 IP 地址

当两台思科路由器无法通过共享的数据链路进行路由时，此命令非常有用。show cdp neighbors detail命令有助于确定某个 CDP 邻居是否存在 IP 配置错误。

show ip interface brief提供路由器上所有网络接口的重要信息摘要。
show ip interface brief输出显示路由器的所有接口、分配给每个接口的 IP 地址（如果有）和接口的运行状态
show ip interface brief命令也可用于验证交换机接口的状态

故障排除流程的六个主要步骤。

第 1 步：确定问题
第 2 步：推测潜在原因
第 3 步：验证推测以确定原因
第 4 步：制定解决方案并实施方案
第 5 步 : 检验解决方案并实施预防措施
第 6 步：记录调查结果、采取措施和结果

tracert 命令用于从 Windows PC 的命令提示符下发起跟踪。
traceroute 命令用于从思科路由器或交换机发起跟踪。

调试消息，和其他 IOS 日志消息一样，默认发送到控制台线路。要将这些消息发送到终端线路，需使用 terminal monitor 命令。

要扩展网络，要求有以下几个要素：

-网络文档- 物理和逻辑拓扑
-设备清单 - 使用或组成网络的设备列表
-预算 – 逐项列出 IT 预算，包括财年设备采购预算
-流量分析 - 应当记录协议、应用程序和服务以及它们各自的流量要求

在路由器和交换机上都可以使用show interfaces命令来查看速度、双工、介质类型、MAC 地址、端口类型以及其他与第 1 层/第 2 层相关的信息。

CDP 是 CISCO 专有协议，可以通过使用no cdp run全局配置命令在全局禁用，或通过使用no cdp enable接口配置命令在特定接口上禁用。由于 CDP 在数据链路层运行，即使不存在第 3 层连接，两台或多台思科网络设备（例如路由器）也可以互相获取信息。无论是否能 ping 通邻居，show cdp neighbors detail命令都会显示邻居的 IP 地址。