学习HCIP的day.16

已于 2023-06-19 21:12:53 修改
阅读量622 收藏
点赞数
分类专栏: HCIP 文章标签: 学习
于 2023-06-19 21:12:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mxxcxy/article/details/131276270
版权

目录

扩展知识点

一、端口镜像     SPAN

二、DHCP 

三、DHCP snooping

四、端口安全

五、SSH

六、端口隔离

扩展知识点

一、端口镜像     SPAN

[r1]observe-port interface GigabitEthernet 0/0/2   监控接口



[r1]interface GigabitEthernet 0/0/0

[r1-GigabitEthernet0/0/0]mirror to observe-port inbound   流量抓取的接口

[r1-GigabitEthernet0/0/0]int g0/0/1

[r1-GigabitEthernet0/0/1]mirror to observe-port inbound

G0/0/0与G0/0/1接口间的所有流量,都镜像到G0/0/2一份;可以在连接G0/0/2的设备上使用数据分析软件来进行数据分析;

C1对应源流量,b1对应监控接口,p1是将c1和b1组成一个策略,最终接口上调用p1策略;

observe-port interface Ethernet2/0/1

ad number 2000
rule 5 permit source 192.168.1.10 0

traffic classifier c1 operator or
if-match acl 2000

traffic behavior b1
mirror to observe-port

traffic policy p1
cassifier cl behavior b1

interface Ethernet2/0/0
traffic-policy p1 inbound

二、DHCP 

动态主机配置协议,统一分发管理IP地址

华为服务器均使用单播进行回复,cisco或微软基于广播进行回复;

华为的单播使用准备给客户端的ip地址来作为单播回复时的目标ip地址,主要还是基于MAC地址进行回复;

基于全局地址池的DHCP服务器给客户端分配IP地址:

dhcp enable
ip pool HW
gateway-list 192.168.1.1
network 192.168.1.0 mask 255.255.255.0
excluded-ip-address 192.168.1.2
lease day 3 hour 0 minute 0
dns-ist 192.168.1.2

interface GigabitEthernet0/0/0
ip address 192.168.1.1 255.255.255.0
dhcp select global

基于接口的DHCP服务器给客户端分配IP地址:
 

dhcp enable
interface g0/0/0
ip address 192.168.1.1 24
dhcp select interface
dhcp server dns-list 192.168.1.2
dhcp server excluded-ip-address 192.168.1.2
dhcp server lease day 2 hour 0 minute 0

DHCP中继

配置DHCP-Server:(以基于全局地址池分配地址为例)

dhcp enable
ip pool DHCP-relay
gateway-list 192.168.1.1
network 192.168.1.0 mask 24
dns-list 10.1.1.1
interface g0/0/0
ip address 10.1.1.1 24
dhcp select global
ip route-static 192.168.1.0 24 10.1.1.2

配置DHCP中继(GW):

dhcp server group DHCP
dhcp-server 10.1.1.1
dhcp enable
interface g0/0/1
ip address 192.168.1.1 24
dhcp select relay
dhcp relay server-select DHCP
interface g0/0/0
ip address 10.1.1.2 24

注:dhcp server 设备必须和中继点单播可达的前提下,才能使用DHCP中继效果;

三、DHCP snooping

防止dhcp攻击,防止DHCP的仿冒:

[r1]dhcp enable  交换机开启dhcp服务

[r1]dhcp snooping enable    全局下先开启DHCP snooping 功能

[r1]interface GigabitEthernet 0/0/1

[r1-GigabitEthernet0/0/1]dhcp snooping enable   所有接入层接口配置

配置后,所有接口处于非信任状态,所有非信任接口只能进行DHCP的请求,无法实现应答;之后需要在真正连接DHCP 服务器的接口上配置信任,否则该dhcp服务器也不能正常工作;

[r1-GigabitEthernet0/0/10]dhcp snooping trusted 

注意:以上操作完成后,交换机中将产生一个记录列表;记录所有接口ip地址的获取情况;

例:SW1g0/0/1连接PC1,在SW1开启了DHCP snooping功能后,一旦PC1获取ip地址成功;那么在SW1上将出现一张记录列表----PC1mac,获取的ip地址,vlan ….
该记录列表最大的意义是用于防止ARP欺骗攻击:

[r1]arp dhcp-snooping-detect enable  开启ARP欺骗防御

当某一个接口下的pc进行ARP应答时,若应答包中源ip地址与MAC地址和dhcp snooping的记录列表不一致将不行转发;

源地址保护

[r1-GigabitEthernet0/0/10]ip source check user-bind enable  

该接口发出的所有数据包中源ip地址与dhcp snooping记录不一致将不能转发;

[Huawei]display dhcp snooping user-bind all 查看dhcp snooping绑定记录表

四、端口安全

解决更换MAC来不停请求ip地址,导致DHCP池塘枯竭;还可以防止MAC地址攻击;交换机存在的mac地址表,存在条目数量限制,存在老化时间(默认5min),而PC等终端设备默认存储ARP表格为180s---2h;但若交换机的缓存被溢出或超时,再来转发终端的单播流量时,出现未知单播帧问题---处理方案洪泛,因此终端设备若不停修改mac地址来导致交换机缓存溢出便可实现mac地址攻击,所以依赖端口安全进行保护:

端口安全

[sw-Ethernet0/0/4]port-security  enable  开启端口安全

[sw-Ethernet0/0/4]port-security max-mac-num 1   现在MAC地址数量

[sw-Ethernet0/0/4]port-security protect-action ?

  protect   Discard packets           丢弃 – 不告警

  restrict  Discard packets and warning  丢弃—告警  (默认)

   shutdown  Shutdown   丢弃--关闭接口 –必须管理员手工开启

[sw-Ethernet0/0/4]port-security aging-time 300  老化时间

以上动作完成后,对应接口将自动记录第一个通过该接口数据帧中的源mac地址;其他mac将不能通过;若300s内,该记录mac没有再经过过该接口,将刷新记录;设备重启或接口关闭再开启也将刷新记录;

[sw-Ethernet0/0/4]port-security mac-address sticky   粘粘MAC(不老化)

自动记录通过该接口传递的mac地址,但记录后将永不删除,但也可手工填写

[sw-Ethernet0/0/4]port-security mac-address sticky aaaa-aaaa-aaaa vlan 1

五、SSH

安全的Telnet行为;  Telnet远程登录基于tcp23号端口工作;数据被明文传输;SSH也是远程登录基于TCP22号端口工作,数据包安全保障传输;存在版本V1/V2两种-实际版本号大于1小于2均为V2

加密算法(保障数据的私密性),必须存在秘钥可以反向计算(解密),加密后源数据增大

对称加密:同一个秘钥来进行加密和解密,比较经典的算法为:DES、3DES、AES  

非对称加密:存在两把秘钥,A加密、B解密,经典算法为RSA、DHIPSEC vpn专用),在当下秘钥长度需要大于1024才相对安全;非对称算法较对称算法最大的缺点:加密后源数据量增幅巨大;加密计算很慢;

校验算法(保障数据的完整性):没有秘钥不能反向计算,进行不等长输入,并等长的输出

散列函数的摘要算法

          雪崩效应:源数据微小变化导致计算结果的巨大变化

          MD -MD5-128     SHA-SHA-1  -128   -256  -521

配置命令:

[R2]stelnet server enable  开启ssh 

[R2]rsa local-key-pair create       秘钥生成

[R2]ssh user openlab authentication-type password  定义ssh基于秘钥来加解密

登录信息

[R2]aaa

[R2-aaa]local-user openlab password cipher huawei  

[R2-aaa]local-user openlab  service-type ssh

配置aaa认证

[R2]user-interface vty 0 4

[R2-ui-vty0-4]authentication-mode aaa

[R2-ui-vty0-4]protocol inbound ssh   仅允许SSH登录

若使用华为的设备作为终端设备,通过ssh方式登录其他的系统,需要开启ssh 客户端功能

[r1]ssh client  first-time enable

[Huawei]stelnet 99.1.1.1

六、端口隔离

端口隔离是一种网络安全措施,旨在限制不同设备或系统之间的网络连接和通信,以减少潜在的攻击风险和漏洞。具体来说,端口隔离通过限制某些网络端口的使用,使得仅特定的设备或用户能够使用这些端口进行网络通信。

在实际应用中,通常会将不同的设备或用户分配到不同的虚拟局域网(VLAN)中,每个VLAN都有自己的IP地址和网络端口,然后使用网络设备(如交换机、路由器等)对不同VLAN之间的网络流量进行隔离和管理。这样做可以有效地限制不同设备或用户之间的直接通信和访问,从而提高网络安全性和可靠性,并防止横向攻击。

需要注意的是,在进行端口隔离时,需要仔细规划和维护网络拓扑结构,并确保各个网络设备和系统的配置相容。此外,还需根据实际需求进行必要的访问控制和权限管理,以保证数据传输的安全性和正确性。

[sw]interface Eth0/0/5

[sw-Ethernet0/0/5]port-isolate enable group 1  相同配置间接口被隔离

晴空星雨
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HCIP学习总结.pdf
11-04
HCIP学习总结.pdf
2021华为数通HCIP PPT.zip
03-30
2021华为数通HCIP PPT.zip
HCIP材料.pdf
11-05
2019年10月底刚刚通过,把这个题刷两遍,记住选择之,绝对能过~~ 考试时总共60题,满分1000分,通过600分,本人考了800分上下~~~各位童鞋,加油刷题,必通过!!
我赢职场HCIP视频.zip
01-22
目录网盘文件永久链接 1序 2ospf协议 3bgp协议 4路由控制 5IP组播 6.高LAN技术 7高级生成树 8接入层技术 9.IPQOS
华为HCIP整理.exe
09-10
华为HCIP整理.exe
FME学习之旅---day27
summer_corner的博客
05-17 214
我们付出一些成本,时间的或者其他,最终总能收获一些什么。
使用多实例学习进行乳腺癌组织病理学图像分类和定位
qq_47896523的博客
05-16 1123
乳腺癌是女性最主要的死亡原因,病理学家根据病理切片中观察到的各种视觉特征(例如细胞核的形态特征、细胞核的微观和宏观结构等)做出决定。计算机辅助诊断(CAD)系统可以帮助病理学家自动做出决策。卷积神经网络是最广泛使用的深度学习框架,用于学习图像类别之间的复杂判别特征。多年来,VGG16 [3] 和 ResNet18 [4] 等各种 CNN 架构在海量 ImageNet 数据集上产生了出色的结果。CNN 被用于医学图像以产生最先进的结果。为图像中存在的所有类别提供了定位信息。
WEB转Flutter基础学习笔记(内含vue和flutter对比)
小易不止于搬砖的博客
05-17 701
笔者是一名web前端,记录在转栈flutter时的学习笔记,内涵和vue的对比,能够辅助前端同学更容易理解flutter
引用实战学习
qiuzhiuser的博客
05-19 104
【代码】引用实战学习
学习kong官方文档
好好学习日记
05-17 286
当然,我会用更简洁的方式重新解释这两个概念:Helm和Kubectl是Kubernetes生态系统中常用的两个工具,它们各自有不同的用途:
C语言查漏补缺学习【精简版】
qq_49288362的博客
05-18 640
逗号的组合关系是自左向右,所以左边的表达式会先计算,而右边的表达式的值就留下来作为逗号运算的结果。枚举类型名字通常并不真的使用,要用的是在大括号里的名字,因为它们就是常量符合,它们的类型是int,值则一次从0到n。当要传递的参数的类型比地址大的时候,这是常用的手段:既能用比较少的字节数传递值给参数,又能避免函数对外面的变量的修改。当需要一些可以排列起来的常量值时,定义枚举的意义就是给了这些常量的值的名字。16.*:是一个单目运算符,用来访问指针的值所表示的地址上的变量。
DB类的学习
2301_77523055的博客
05-15 370
"不返回结果集" 意味着执行 SQL 语句后,你不会得到一个可以逐行读取的数据集。相反,你可能会得到一个表示受影响的行数的整数,或者只是一个表示命令是否成功执行的确认。
llama-factory学习个人记录
最新发布
qq_55736201的博客
05-22 619
1.llama-factory部署在LLaMA-Factory项目中,单显卡可以用命令或训练,多显卡只能用用命令的方式。
Android OpenMAX(八)如何学习OMXNodeInstance
青山渺渺
05-15 239
OMXNodeInstance学习技巧
学习笔记】后端(Ⅰ)—— NodeJS(Ⅱ)
Eddie_hyh的博客
05-21 289
NodeJS(Ⅱ)
【AI学习】简单聊聊后训练(Post-Training)的重要性
bylander的博客
05-17 644
模型生成的输出质量比网上的大多数内容都要高。因此,让模型自己思考似乎更有道理,而不仅仅是训练来模仿网络上的内容。所以,我认为从第一性原理上来说,这是有说服力的。我会说,我们通过后训练取得了很多进步。
canvas学习笔记-透明度
m0_51181022的博客
05-17 457
在上面画一系列半径递增的半透明圆。圆叠加得越多,原先所画的圆的透明度会越低。通过增加循环次数,画更多的圆,从中心到边缘部分,背景图会呈现逐渐消失的效果。方法类似,就多了一个用于设置色彩透明度的参数。它的有效范围是从 0.0(完全透明)到 1.0(完全不透明)。里所有图形的透明度,有效的值范围是0.0(完全透明)到1.0(完全不透明),默认值是1.0。第二个例子和上面的那个类似,不过不是画圆,而是画矩形。可以分别设置轮廓和填充样式,因而具有更好的可操作性和使用灵活性。
Java入门基础学习笔记41——实体类
CCH2024的专栏
05-19 103
Java入门基础学习笔记
GAMES101学习笔记
qq_34738754的博客
05-18 549
这里的笔记原先是Excel形态,被复制到MarkDown中。创建时间是2022年5月2日,最后一次修订是2022年9月11日。观看体验不太好是真的,因为早期没有什么经验。。。建议作为查找用的资料使用,想要知道什么,试试在这里面查找一下,说不定会有收获。我之后会不定期继续修订这个笔记。🙏🏻🙏🏻。
hcip-transmission pan.baidu
12-01
HCIP-Transmission中,学员可以通过Pan.baidu平台获取一些学习资料和资源,这些资料包括教材、视频、案例等。通过Pan.baidu,学员可以方便地下载和存储这些学习资料,并可以与其他学员分享学习心得和经验。 此外...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值