ACL、ISIS、OSPF、MPLS、QOS、GVRP、VRRP、FW、BGP、STP、IV4\6、WLAN、路由策略、策略路由、LACP等都或多或少要知道,常见的哪怕没有实战,要在ensp、cisco中练过! OSPF邻居故障:
(1)route id冲突
(2)接口所属区域ID不一致
(3)认证不一致
(4)hello/dead时间不一致
(5)MA网络中互联接口掩码不一致
(6)如果开启了MTU检测则需要两端MTU检测值一直(华为默认不开启,默认值为0,思科(7)默认开启,默认值为1500)
(8)接口不能配置静默模式(不发不收hello报文)
ASE有两种类型,type1和type2,默认是type2。
(1)Type1:选路是直接比较内部cost+外部cost,数值一样则进行负载分担,如果不一样则谁小谁优先。
(2)Type2:选路是先比较外部cost,谁小谁优先,在比较内部cost,谁小谁优先,如果两者cost相同,则进行负载分担。
检查OSPF的邻居关系建立条件中的要素一:MTU值检查
要么在华为侧配置MTU值检查(华为接口下配置ospf mtu-enable命令开启检测),
要么在思科侧配置MTU值不检查(思科接口下配置ip ospf mtu-ignore)。
两个问题都可以参考这个回答 (1)优选local-pref本地优先级值(默认为100)最高的路由,不能传出IBGP,仅在本AS内有效(EBGP邻居接收到的路由除非自己在入方向加上策略,否则从EBGP邻居学习到的路由不会带有local-pref),命令为:default local-preference(如果收到的路由存在local-pre优先级则不会修改,如果路由不存在local-pre优先级则修改为本地路由器设置的local-pre值,默认为100)。
(2)优选MED值最低的路由(默认情况下不比较来自不同AS邻居的路由信息的MED值,只比较相同AS传递的路由信息MED值),可以传给EBGP邻居,只能传递一个EBGP邻居,如果接收到的EBGP邻居未做针对其他EBGP邻居的出向MED策略,则其他EBGP邻居接收到的路由信息无MED值。如果都未做MED值的策略,则A传递路由给B时MED值为0,B传递路由给C时MED值为null。
答:没在生产环境中用过,仅在模拟环境中使用过,和OSPF的区别如下:
1.IS-IS协议直接在链路层上使用,报文直接封装在链路层报文中,支持IP、OSI CLNP多种协议。
OSPF协议封装在IP中,只支持IP协议。
2.IS-IS的LSP生存时间是从20分钟(默认时间,可配置)往下计算到0来清除旧的LSP报文。
OSPF协议的LSA信息的生存时间是从0往最大值涨到60分钟(不可配置)来清除旧的LSA信息。
3.IS-IS协议中整个路由器只能全部属于一个区域,路由器的LSDB按级别来维护。
OSPF协议中是按接口来划分区域,一个路由器可以属于多个区域,每个区域维护一个LSDB数据库。
4.对骨干区域的类型定义不同,OSPF通过区域0来定义骨干区域,而IS-IS是通过链路的L2路由器来组成骨干区域。
5.IS-IS协议的DIS(DR)选举比较简单,是抢占式可预见的,优先级最高的成为DIS(DR)。
OSPF协议DR选举比较复杂,优先级最高的不一定是DR,并且有BDR的概念,而IS-IS没有BDR。
6.IS-IS只支持P2P和广播网络类型。
OSPF可以很好的支持各种网络模型,支持P2P、P2MP、BMA、NBMA。
运营商使用ISIS的原因猜测如下:
ISIS比OSPF的效率更高,建立邻居和算法更快速,扩展性强(OSPF不支持扩展IPv6,ISIS协议可直接扩展IPv6),可以支持非IP协议(IPX)。
答:3种类型
(1) L1路由器。
(2) L2路由器。
(3) L1/L2路由器。
一般使用默认类型L1/L2类型。
(1) IS-IS协议的DIS(DR)选举比较简单,是抢占式可预见的,优先级最高的成为DIS(DR)。
ISIS选举DIS:
1.选举基于接口优先级(华为设备默认为64)。
2.如果所有接口的优先级一样,具有最大的subnetwork point of attachment(SNPA子网连接点)的路由器将当选DIS。
3.在LAN中,SNPA指的是MAC地址。
4.在帧中继网络中,SNPA是local data link connectionidentifier(DLCI)。
5.DIS的选举是抢占式,没有规定不能参与选举的机制,当优先级为0的时候仍可以参加DIS的选举。
6.与OSPF不同,它的选举是抢占式,IS-IS中不存在备份DIS,当一个DIS不能工作时,直接选举另一个。
7.DIS发送hello数据包的时间间隔是普通路由的1/3,这样可以保证DIS失效可以被快速检测到。
(2)OSPF协议DR选举比较复杂,优先级最高的不一定是DR,并且有BDR的概念,而IS-IS没有BDR。
(1) 源IP
(2) 源端口
(3) 目的IP
(4) 目的端口
(5) 协议
主要是做不同区域网络间隔离和出口上网的业务场景,例如生产/办公之间网络隔离,以及内外网的源目NAT,还有出口互联网上网的NAT以及策略,域内NAT,各种VPN例如IPSEC VPN/SSL VPN/L2TP VPN业务等。
(1) 主机和备机启动的时候初始配置不一致。
(2) 双机状态曾经出现过故障,导致主备之间配置同步异常。
(3) 主机或备份曾经关闭过配置备份功能。
(4) 设备之间补丁和版本不一致。
(5) 设备之间心跳接口配置有误。
(6) 设备之间链路连通性出现故障。
(7) 有其他异常配置,例如any nat配置,可以导致心跳接口在互通时进行NAT转换。
都检测,ip-link功能有两种探测模式,
一种是ICMP探测,也就是周期性发送ping包,用于探测非直连链路,
一种是ARP探测,也就是周期性发送arp请求包,用于探测直连或中间跨越二层转发设备的链路。
使用场景是跨设备链路聚合,和堆叠的不同是M-LAG是将一台设备与另外一台设备进行跨设备的链路聚合,组成双活系统,主要是针对链路聚合业务,而堆叠是将2台以上的设备进行系统虚拟化,整合成一台虚拟的设备使用。
可运行也可不运行,如果是运行OSPF则两端需要配置不同的M-LAG IP地址,并且进行宣告,否则路由协议建立不起来,peer-link需要加入(因为宣告的是M-LAG IP地址)。
主导过各种网络割接,例如生产网核心、办公网核心、接入层交换机等场景割接,还有专线割接业务,新增核心设备项目等。担任项目经理/项目负责人角色。
现网中华为或华三设备使用的是RSTP生成树版本,思科设备使用rapid-pvst版本。
DP指定端口、RP根端口、BP备份端口、AP交替端口、EP边缘端口。
使用了以下4个技术:
(1) EP边缘端口
(2) stp no-agreement-check #用于将端口改为使用普通P/A协商机制,主要用于不同厂家之间对接使用,例如华为与思科,如果是同厂家则不需要使用。
(3) stp bpdu-protection #华为交换机全局模式下配置,开启BPDU报文防护
(4) error-down auto-recovery cause bpdu-protection interval 间隔时间(最少30秒) #由BPDU-protection原因关闭的端口,会经过配合的间隔时间后自动恢复UP状态
交换机、路由器、防火墙、VPN设备、存储、服务器、光交、链路负载均衡等设备,型号有例如:
(1) 华为交换机:S57、CE67、S127/128等。
(2) 思科交换机:3650、3560、4506、6509等,华三S10510X等。
(3) 防火墙:华为USG 6500、6507,华三F1090,山石SG-6000等。
(4) VPN设备:深信服SSL VPN设备。
(5) 存储:联想v5030。
有更多可以说更多
Aruba、华为、信锐,部署的都是AC+瘦模式架构,aruba则是MM+AC+UAP胖瘦一体。
分两种情况:
一种是登录中突然断开后发现无法登录:
(1) 检查设备或系统是否掉电了、关机了。
(2) 检查是否在刚刚的操作进行了配置更改,可以通过例如CRT的日志记录查看操作命令记录。
(3) 如果是接入层或者汇聚层发现无法登录设备,可以在核心等上层设备上检查是否有环路的存在,如果存在例如MAC地址漂移,则表示有环路存在。
(4) 当前有线或无线网络质量不好,存在大量的丢包、延迟的情况。
(5) 本机系统网卡问题。
一种是登录时发现无法登录:
(1) 检查最近的配置是否有做过更改导致无法远程。
(2) 询问是否有其他同事进行了设备配置操作。
(3) 检查设备中是否有禁止某网段或者某IP远程的配置,例如ACL等。
(4) Ping设备IP是否存在丢包、延迟高、无法通信的情况。
(5) 当前有线或无线网络质量不好,存在大量的丢包、延迟的情况。
(6) 本机系统网卡问题。
(7) 检查设备或系统是否掉电了、关机了。
(1) 不同网络厂家之间对接设备,有需要注意的事项,例如上述描述的华为与思科对接STP的事项、例如不同厂家之间对接IPSEC VPN事项(主要是v1 v2以及感兴趣流还有NAT优先级等问题)。
(2) 服务器厂家安装系统的问题,有例如华为RH2288H V3服务器就存在安装Windows Server系统时,无法正确识别和选择盘符,只能通过反复重启来解决此BUG。
(3) 无线调优的工作,例如信号弱需要加强功率,AP太密导致干扰,AP无故假死BUG。
4种角色:客户机(Client)、非客户机(Non-Client)、始发者(Originator)、集群(Cluster)。
RR的作用以及反射规则:RR路由器反射器的路由传递,RR反射器里非客户端和非客户端之间不能经过RR服务器端传递路由信息
(1)客户端传递来的路由信息,服务器端会将该路由信息传递给其他所有邻居路由器(传递过来路由的设备也不会传递)
(2)EBGP邻居传递来的路由信息,服务器端会将该路由信息传递给其他所有邻居路由器(传递过来路由的设备也不会传递)
(3)从非客户端传递来的路由信息,服务器端会将该路由信息传递给客户端和EBGP邻居,不会传递给非客户端设备(传递过来路由的设备也不会传递)
(4)客户端不知道自己是客户端
RR路由器参数:
路由反射器环路防止机制——Originator_ID:
1.Originator_ID属性用于防止在反射器和客户机/非客户机之间产生环路。
2.Originator_ID属性长4字节,可选非过渡属性,属性类型为9,是由路由反射器(RR)产生,携带了本地AS内部路由发起者的Router ID。
3.当一条路由第一次被RR反射的时候,RR将Originator_ID属性加入到这条路由,标识这条路由的始发路由器。如果一条路由中已经存在了Originator_ID,则RR将不会创建新的Originator_ID。
4.当其他BGP对等体接收到这条路由的时候,将比较收到的Originator_ID和本的Router ID,如果两个ID相同,BGP对等体会忽略掉这条路由,不做处理。
路由反射器环路防止机制——Cluster_List:
1.Cluster_List属性用于防止AS内部的环路。
2.Cluster_List是可选非过渡属性,属性类型编码为10。
3.Cluster_List由一系列的Cluster_ID组成,描述了一条路由所经过的反射器路径,这和描述路由经过的AS路径的AS_Path属性有相似之处,Cluster_List由路由反射器产生。
4.当RR在它的客户机之间或客户机与非客户机之间反射路由时,RR会把本地Cluster_ID添加到Cluster_List的前面。如果Cluster_List为空,RR就创建一个。
5.当RR接收到一条更新路由时,RR会检查Cluster_List。如果Cluster_List中已经有本地Cluster_ID,丢弃该路由;如果没有本地Cluster_ID,将其加入到Cluster_List,然后反射该更新路由。
(1)无RR的情况,PE将路由之间传递给P设备然后递归传递给对端PE设备。
(2)有RR的情况,PE将路由传递给RR,由RR反射给其他PE设备。
NAT用过源目NAT
作用:
(1) 源NAT,可以做互联网出口NAT也可以做专线内网源NAT转换,还可以做域内NAT转换,将内网源地址转换后可以解决域内NAT的问题。
(2) 目的NAT,一般是做静态映射,也就是外网访问内网时做的NAT 映射转换。
(1)不配置LACP的话,华为和华三设备默认使用手工负载分担模式,手工负载分担模式下所有接口都处于转发状态,平均分担流量。
(2)LACP模式下,接口处于活动状态与非活动状态,也就是冗余模式。
(3)不配置LACP的话,可能会导致厂家之间对接出现问题,例如思科默认使用PAGP模式,如果不配置LACP的话,思科与华为等厂家对家会导致无法协商成功从而无法对接成功。
(4)LACP主要解决冗余问题,手工负载分担模式下所有接口都处于转发状态,而LACP的话,会有备份链路的存在,所以当某条活动链路出现故障时,备份链路可以顶上。而手工负载分动模式则没有备份链路的概念。
(1) BFD通常是使用在链路层的场景或者IGP协议对接时使用。
(2) NQA通常使用在静态路由的场景下使用,需要感知对端IP是否存活的情况下使用。
(3) 如果是连接出口运营商的链路使用,那肯定是使用NQA,因为NQA可以针对静态路由做配置,例如当有多出口冗余负载时,配置了NAQ后,某条链路NQA检测到无法通信,则会自动在路由表中删除此链路相关的静态路由,当链路恢复后路由也会恢复,不会影响到通信。
串连直连,旁挂引流
在Windows服务器端和交换机端都部署过,交换机端部署DHCP会减少DHCP报文传递,不用配置dhcp relay或者help-addree等配置,缺点是当配置N条IP与MAC绑定时会导致接口下的配置增加导致影响配置检查工作,配置热备操作比较繁琐,热备的操作依赖于VRRP,如果无VRRP协议则无法完成热备。
在Windows服务器端上配置则可以进行图形化的操作,并且各个功能模块分开,方便查看,同时域内多台DC设备存在可以配置故障转移热备。
Web常见攻击技术:
(1)SQL 注入:Web 应用未对用户提交的数据做过滤或者转义,导致后端数据库服务器执行了黑客提交的 sql 语句。黑客利用 sql 注入攻击可进行拖库、植入 webshell,进而入侵服务器。
(2)XSS 跨站:Web 应用未对用户提交的数据做过滤或者转义,导致黑客提交的 javascript 代码被浏览器执行。黑客利用 xss 跨站攻击,可以构造恶意蠕虫、劫持网站 cookie、获取键盘记录、植入恶意挖矿 js 代码。
(3)命令注入:Web 应用未对用户提交的数据做过滤或者转义,导致服务器端执行了黑客提交的命令。黑客利用登入注入攻击,可以对服务器植入后门、直接反弹 shell 入侵服务器。
(4)CSRF:Web 应用对某些请求未对来源做验证,导致登录用户的浏览器执行黑客伪造的 HTTP 请求,并且应用程序认为是受害者发起的合法请求的请求。黑客利用 CSRF 攻击可以执行一些越权操作如添加后台管理员、删除文章等。
(5)目录遍历:Web 应用对相关目录未做访问权限控制,并且未对用户提交的数据做过滤或者转义,导致服务器敏感文件泄露。黑客利用目录遍历攻击,可获取服务器的配置文件,进而入侵服务器。
(6)木马后门:Web 应用未对用户提交的数据做过滤或者转义,导致木马代码执行。黑客利用木马后门攻击,可以入侵服务器。
(7)缓冲区溢出:http 协议未对请求头部做字节大小限制,导致可以提交大量数据因此可能导致恶意代码被执行。
(8)文件上传:Web 应用未对文件名后缀,上传数据包是否合规,导致恶意文件上传。文件上传攻击,将包含恶意代码的文件上传到服务器,最终导致服务器被入侵。
(9)扫描器扫描:黑客利用漏洞扫描器扫描网站,可以发现 web 应用存在的漏洞,最终利用相关漏洞攻击网站。
(10)高级爬虫:爬虫自动化程度较高可以识别 setcookie 等简单的爬虫防护方式。
(11)常规爬虫:爬虫自动化程度较低,可以利用一些简单的防护算法识别,如 setcookie 的方式。
敏感信息泄露:web 应用过滤用户提交的数据导致应用程序抛出异常,泄露敏感信息,黑客可能利用泄露的敏感信息进一步攻击网站。
服务器错误:Web 应用配置错误,导致服务器报错从而泄露敏感信息,黑客可能利用泄露的敏感信息进一步攻击网站。
(12)非法文件下载:Web 应用未对敏感文件 (密码、配置、备份、数据库等) 访问做权限控制,导致敏感文件被下载,黑客利用下载的敏感文件可以进一步攻击网站。
(13)第三方组件漏洞:Web 应用使用了存在漏洞的第三方组件,导致网站被攻击。
(14)XPATH 注入:Web 应用在用 xpath 解析 xml 时未对用户提交的数据做过滤,导致恶意构造的语句被 xpath 执行。黑客利用 xpath 注入攻击,可以获取 xml 文档的重要信息。
(15)XML 注入:Web 应用程序使用较早的或配置不佳的 XML 处理器解析了 XML 文档中的外部实体引用,导致服务器解析外部引入的 xml 实体。黑客利用 xml 注入攻击可以获取服务器敏感文件、端口扫描攻击、dos 攻击。
(16)LDAP 注入防护:Web 应用使用 ldap 协议访问目录,并且未对用户提交的数据做过滤或转义,导致服务端执行了恶意 ldap 语句,黑客利用 ldap 注入可获取用户信息、提升权限。
(17)SSI 注入:Web 服务器配置了 ssi,并且 html 中嵌入用户输入,导致服务器执行恶意的 ssi 命令。黑客利用 ssi 注入可以执行系统命令。
(18)Webshell 黑客连接尝试去连接网站可能存在的 webshell,黑客可能通过中国菜刀等工具去连接 webshell 入侵服务器。
(19)暴力破解:黑客在短时间内大量请求某一 url 尝试猜解网站用户名、密码等信息,黑客利用暴力破解攻击,猜解网站的用户名、密码,可以进一步攻击网站。
(20)非法请求方法:Web 应用服务器配置允许 put 请求方法请求,黑客可以构造非法请求方式上传恶意文件入侵服务器。
(21)撞库:Web 应用对用户登入功能没做验证码验证,黑客可以借助工具结合社工库去猜网站用户名及密码。
SQL注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
SQL 注入可影响任何使用了 SQL 数据库的网站或应用程序,例如常用的数据库有 MySQL、Oracle、SQL Server 等等。攻击者利用它,便能无需授权地访问你的敏感数据,比如:用户资料、个人数据、商业机密、知识产权等等。SQL 注入是一种最古老、最流行、也最危险的网站漏洞。
SQL注入攻击的原理是什么?
当应用程序使用输入内容来构造动态SQL语句以访问数据库时,会发生SQL注入攻击。如果代码使用存储过程,而这些存储过程作为包含未筛选的用户输入的字符串来传递,也会发生 SQL 注入。SQL注入可能导致攻击者使用应用程序登陆在数据库中执行命令。如果应用程序使用特权过高的帐户连接到数据库,这种问题会变得很亚重。在某些表单中,用户输入的内容直接用来构造动态 SQL命令,或者作为存储过程的输入参数,这些表单特别容易受到SQL注入的攻击。而许多网站程序在编写时,没有对用户输入的合法性进行判断或者程序中木身的变量处理不当,使应用程序 存在安全隐患。这样,用户就可以提交一段数据库查询的代码,根据程序返回的结果,获得一些敏感的信息或者控制整个服务器,于是SQL注入就发生了。
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web 页面访问没什么区别。所以目前市面的防火墙都不会对 SQL注入发出警报,如果管理员没查看 IS 日志的习惯。可能被入侵很长时间都不会发觉。但是,SQL 注入的手法相当灵活,在注入的时候会碰到很多意外的情况,需要构造巧妙的 SQL 语句,从而成功获取想要的数据。
扫一扫
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
