- 博客(102)
- 收藏
- 关注
RSS订阅原创 DHCP地址保留、DHCP地址绑定、ARP绑定以及深信服AC跨三层取MAC的问题
最后则是深信服全网行为管理,跨三层取MAC的配置,必须配置关键字为明文,其他simple cipher 均无法正常获取MAC,对接其他上网行为管理也存在该问题;#DHCP地址地址保留,仅能够做到被保留地址不被地址池分配出去,但是也无法防止IP地址冲突;#DHCP snooping 建议在接入交换机配置,并配置信任接口,核心交换机一般不配置;#ARP绑定在有线网络应用,交换机转发使用静态表项,也能防IP地址冲突;#地址绑定,一般是配合某些基于IP标识用户的应用,比如深信服AC使用;
2024-11-14 20:42:28
163
原创 某企业VRRP部署故障分析和配置改善建议
用户反馈因S8610故障,导致VRRP倒换后,PC无法通过DHCP获取到IP地址;通过对用户环境的业务重建和复原,发现交换机是通过DHCP relay来转发DHCP报文,但是锐捷和华为的配置有所区别,锐捷可以在全局下配置DHCP relay,而华为必须在网关所在interface vlanif下面配置DHCP relay,因为缺少这个部分配置,所以当用户核心交换机故障切换后,下联PC无法通过DHCP 获取到IP地址。环境如图所示:客户现场设备类型不一致,使用了VRRP。
2024-10-14 13:47:11
249
原创 H3C防火墙业务不通的排查方法和步骤
不加ACL限制,该debug输出信息会非常多,为此我们需要使用ACL限制debug匹配的报文。通过debug ip packet acl命令查看正向报文是否到达防火墙。#如果有丢包则会打印信息丢包的具体模块,如果没有丢包则不打印。#如果报文状态不合法,则会显示被aspf丢弃,需要检查来回流。#查看报文具体从哪个接口,哪个slot上来和发出的情况。明确报文到达设备后,需要查看报文是否被防火墙策略阻断。Debug信息 业务不通定位方式总结。
2024-09-24 23:13:25
537
原创 H3C 双出口,主备出口,策略路由 SSVPN配合微软AD域认证简单配置
H3C 防火墙目前购买均自带100个SSLVPN授权,管理口有1个是GE1/0/0 或者是MGMT口,通过https://192.168.0.1 默认账号是admin/admin;#创建安全策略,放行trust,local到所有,放行untrust到local 65534,放行SSLVPN到所有,最后拒绝所有。#写静态路由,包括默认路由和回程路由,其中主用电信专线链路,备用移动拨号链路;#创建策略路由,关联健康检查,VLAN10 策略路由走移动拨号,并调用健康检测,链路故障后,走电信专线。
2024-09-18 13:36:42
1088
原创 交换机定期自动备份配置设置
备份到ftp服务器对应路径,并修改文件名,ftp服务器用户名admin、密码admin123,地址10.88.142.121。#这里设置定时保存的间隔,单位是分钟,最小单位是10分钟,最大是365天 1440分钟是1天。第二步:使用H3C交换机设备SSH访问安装了该软件的服务器,选择信任并保存服务器证书。#或者使用这个命令,但是缺点同上,dis cur 显示的是真实的用户名密码。部分H3C交换机比较老,还需要更改服务器端的加密套件,点击高级设置选项。#这里输入admin的密码,系统会以密文保存。
2024-08-05 15:53:29
1075
原创 华为交换机配置准入设备需要的QOS流策略
接上篇本次设备换成了华为交换机,配置思路相同,命令有微小的差别。#动作为针对这些流量镜像到观察口1。#创建流策略,关联上述流量和动作。#流分类匹配上述感兴趣流。#捕捉准入设备感兴趣流。#捕捉准入设备感兴趣流。#在业务口调用该流策略。
2024-08-03 08:07:37
370
原创 H3C交换机配置准入设备需要的qos流策略
准入设备部分情况下用户不希望安装终端做802.1X,而是通过镜像流量来做准入。镜像流量存在的问题往往是被镜像端口的流量过大,而准入往往只有1个千兆电口,这种情况下,需要用QOS流策略来精准捕捉需要准入设备感兴趣的报文:包括TCP的3次握手报文,DNS,ICMP,DHCP,HTTP,HTTPS;二层的ARP报文。3层报文通过劫持回应包,向客户端发送HTTP 302重定向,伪造DNS ICMP ,TCP reset包,伪造ARP包等方式来达到一个阻断的效果。
2024-08-01 12:53:24
639
原创 等保二级 交换机安全配置模板(迈普-老版本)
配置DNS和STP 设置为STP根 开启FLAP防护和TC防护。#配置端口镜像 2个观察口分别接APT和数据库审计设备。迈普400技术支持热线电话:4008868669。#基础安全服务开启,包括密码加密 密码组成策略。#仅允许堡垒机访问票务服务器终端的远程桌面端口。#SSH 配置超时时间 配置允许使用的协议。#仅允许堡垒机远程访问SSH访问管理。#console使用本地账户认证。#禁止无线客户端访问其余网段。#配置时间服务器并设定时区。#配置登录出错锁定时间。
2024-07-31 21:03:52
392
原创 等保二级 交换机安全配置模板(华为)
配置console和远程登录方式 和登录超时。#创建管理员和操作员 密码锁定 分配权限。#仅允许安全设备和内网设备访问服务器。#仅允许堡垒机访问服务器的22端口。#关闭HTTP管理 TELNET。#在接服务器的接口调用ACL。#仅允许服务器访问安全设备。#打开SSH 并非用户权限。#仅允许堡垒机访问设备。#给与用户权限1的命令。
2024-07-31 21:01:03
564
原创 等保二级 交换机安全配置模板(中兴)
创建2个用户1个是管理员 另外1个是审计 (可选密码过期时间90天) 定义密码复杂度。$如果中兴作为核心和是要参照H3C一样分VLAN 做VLAN间ACL 等。$开启NTP 定义NTP服务器 定义时区。$ 配置特权密码 符合复杂度要求。$打开SSH服务并调用ACL。$仅限堡垒机访问设备。
2024-07-31 20:50:17
696
原创 等保二级 交换机安全配置模板(H3C)
使能密码控制 密码最小长度8位 密码组成3种类型 密码输错8次锁定2分钟 密码过期由于用堡垒机管理,这里选择不过期,然后关闭首次登录必须修改密码操作。#仅允许客户端网段和安全管理网段访问服务器网段 在interface vlan 下调用。#仅允许服务器网段访问安全管理网段,在interface vlan 下调用。#安全管理设备网段 仅允许服务器和客户端网段流量进入。#服务器网段 仅允许客户端和安全管理网段流量进入。#仅允许堡垒机访问核心交换机,在SSH 下调用。#仅允许堡垒机访问服务器的22端口。
2024-07-31 20:36:02
392
原创 交换机安全加固配置(H3C)
开启该功能后,如果网络中每5秒内从某IP地址向设备某接口发送目的IP地址不能解析的IP报文超过了设置的阈值,则设备将不再处理由此IP地址发出的IP报文直至该5秒结束,从而避免了恶意攻击所造成的危害。在接口上开启此功能后,当接口收到ARP报文时,将检查ARP报文的源IP地址是否和配置的被保护网关的IP地址相同。否则,认为此报文合法,继续进行后续处理。解释:ARP报文源MAC地址一致性检查功能主要应用于网关设备上,防御以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的ARP攻击。
2024-06-05 14:36:42
1474
原创 H3C大型园区网络OSPF配置案例
-------------------------------------接入交换机----------------------------------------------------------------汇聚交换机-------------------------------------------------------------------核心交换机----------------------------------3、核心层交换机配置 骨干交换机。Ctrl+o 关闭debug。
2024-05-24 15:49:19
1031
原创 基于iventoy pxe系统的实现
4、外部DHCP也可以协助工作但是需要支持一些额外的参数 推荐用它自带的DHCP 仅用于安装系统用 平时不打开 安装系统时打开。www.iventoy.com 提供windows 和 linux平台 2个版本下载。3、WINDOWS 和 LINUX镜像都可以上传 只要是ISO格式的即可。从网络引导启动 一般是F12 UEFI legacy 都可以。1、免费版 可以同时有20个终端执行安装。2、每个终端可以选择不同的操作系统安装。安装完毕后上传镜像到ISO目录。设置默认启动镜像的等待时间。
2024-05-19 19:00:10
1109
3
原创 思科交换机局域网防护指南
在交换机全局启用DHCP snooping 之后,在本地会生成一个DHCP snooping数据库,结合该数据库配合适当的命令语句就能实现上述局域网防护功能。在CCNP SWITCH 交换教材里提到了DHCP snooping 的作用有3个 分别是 DHCP 防护,IP源防护和动态ARP检验(DAI)5-6、将上联DHCP服务器的24口设置为DHCP snooping trust信任端口,使其可以发送DHCP reply 等相关回复报文。DHCP snooping 用于局域网DHCP防护:范例。
2024-05-19 18:52:11
490
原创 windows server 2016系统配置指南-精选
2、按照管理权限范围大小 组范围分别为 通用组大于全局组大于域本地组 典型的内建范例为 Enterprise admins 范围大于 Domain admins 大于 Administrators Administrators是系统内建的域本地组,administrator是系统内建的该组中的一个成员,该成员同时也是Enterprise admins和Domain admins组的成员,也是多domain users 组成员。特别注意文件夹的本地用户权限和共享文件夹的共享权限的区别。
2024-05-18 18:27:53
1445
1
原创 深信服上网行为管理器-IM聊天信息解密功能部署详解
深信服通过AD在电脑中静默安装 INgress 软件,并且设置软件卸载密码,用于加密软件的代理,从而达到对IM等加密流量的解密,并且无需AC安装解密卡,这波操作可谓是真溜。步骤如下,首先通过这个界面下载好客户端软件,并且勾选 开启准入网络控制静默模式和设置准入客户端卸载密码,并通过AD安装这个MSI安装包。所以在部署了深信服AC的公司 你的加密流量:包括IM (QQ 微信),邮件都是可以审计的,QQ聊天记录和外发文件都是可以审计的。在部署了深信服AC的公司就千万别以为老板啥都不知道。
2024-05-18 18:26:27
1199
原创 免费ARP的作用
当网络中存在VRRP备份组时,需要由VRRP备份组的Master路由器周期性的向网络内的主机发送免费ARP报文,使主机更新本地ARP地址表,从而确保网络中不会存在IP地址与Master路由器VRRP虚拟IP地址相同的设备。开启该功能后,网关接口上将按照配置的时间间隔周期性发送接口主IP地址和手工配置的从IP地址的免费ARP报文。如果攻击者仿冒网关发送免费ARP报文,就可以欺骗同网段内的其它主机,使得被欺骗的主机访问网关的流量被重定向到一个错误的MAC地址,导致其它主机用户无法正常访问网络。
2024-05-18 18:16:25
682
原创 交换机端口使用portfast的原因和注意事项
如果配置了portfast bpdu filter那么,很明显,端口会过滤BPDU报文,而不会关闭端口;采用portfast特性的2个原因分别是:首先,正常的生成树状态转换会产生一定的时延,它会引起启动故障(DHCP 等待回应超时)。生产实践,非思科交换机一般配置接入端口portfast 其他厂商也叫edge-port 边缘端口,思科可以外加portfast bpdu guard + err-disable auto recovery ,但是和交换机互联的trunk 口,不配置portfast。
2024-05-18 18:07:30
454
原创 精简IPV6概述
当你在PC_A发起一个Ping PC_B的时候PC_A 先发送一个ICMPV6 TYPE 135的NS报文,源IP地址为FEC0::1:0:0:1:A 目的IP是PC_B的被请求节点组播地址,也就是FE02::1:FF01:B;然后这个接口开始使用::地址为源IPV6地址,向被FF02::1:FF00:1 地址发送NS消息,看看有没有主机也加入了这个组播组,如果有主机加入了这个组播组,那就意味着另外一台主机也使用了相同的IPV6地址,那么这个新配置的IPV6地址2000::1就地址重复,不能再使用了。
2024-05-18 18:03:27
1005
原创 思科交换机常用show命令
查看处于errdisable状态的端口(还原一般采用先 shut 再 unshut或者等待超时,一般应该先排除造成该现象的原因再还原)验证交换机IP源防护状态(通过结合DHCP snooping 形成表项根据ARF做的一个端口和MAC IP 的合法性检测)查看处于CEF glean 状态的邻接(IP地址没有对应的MAC回应叫做 CEF glean状态)查看DAI状态信息(通过结合DHCP SNOOPING 的状态化表项做ARP动态检测的技术)查看supervisor引擎模块的冗余模式和状态。
2024-05-17 14:35:23
5909
原创 思科交换机常用命令(CCNP级别)
switch(config)#snmp-server host 192.168.3.99 informs version 2c trapsecrect 发送trap的那台PC。switch(config)#snmp-server community Monitor ro 10 只读权限 明文密码 Monitor。switch(config)#snmp-server host 192.168.3.99 发送trap的那台PC。switch(config-if)#udld (仅使用光纤环境)
2024-05-17 14:31:02
533
原创 以太网传输特征和标准总结大全-重要
使用CAT6A 线缆 100m 以上2个是2009年底才通过的新的标准 也是适合数据中心低成本的机柜间服务器连接交换机 交换机互联的标准和方案,只是标准出来比较迟,支持的交换机型号不多,但目前还是有不少公司使用该标准作为数据中心互联方案,并且有替代其他方案的趋势。10GBASE-CX4 使用 Infiniband连接的4线铜缆 15m 数据中心低成本的机柜间服务器和交换机使用方案,应用非常广泛,但是其最长传输距离仅15米 是它应用的缺陷。
2024-05-17 13:01:24
388
原创 MPO光纤极性
采用类型B制作的MPO转LC跳线工厂生产图纸,注意LC端的结构,第一对是12发1收;第三对是10发3收;需要注意的是MPO模块的收发定义,如果是8芯MPO模块,那么1-4芯为发送端,5-8芯为接收端,1发8收为一对;类型B 可以理解为交叉线,线缆在中间位置统一翻转了180度,B极是最常用的结构,一般用于设备间直连,比如交换机与交换机;类型C 是两两交叉类型,比如2发1收 4发3收 6发5收 8发7收 10发9收 12发11收 ,这个极性的线缆一般用于配线架传输,所以它的使用率也相对较少。
2024-05-17 12:19:07
665
原创 理解VLAN1
VLAN1不仅包括控制平面流量,而且还包括用户流量。并且,尽管能够从trunk中修剪VLAN1的用户流量,但却不能对控制平面流量执行这种操作。无论trunk是否已经修剪掉了VLAN1,控制平面的流量(VTP,CDP,PAGP,LACP,STP,LLDP)都被标记为VLAN1,并且在trunk上继续转发;这也是为什么,trunk上native vlan不同,思科会给出错误提示native vlan mismatch,因为CDP和LLDP始终位于VLAN1,并且在trunk上转发。
2024-05-17 11:29:09
442
原创 CCNP EI - 思科最佳实施建议(待续)
丢包一般是由于接口拥塞导致的,在减少丢包的措施上推荐的第一步就是增加线路速度(带宽),带宽够用当然就不丢包,但是现实中,带宽永远不够用,所以才有QOS,QOS剩下的4个部件拥塞避免,拥塞管理 congestion-avoidance and congestion-management;在数据中心或者其他特定场景下自己区域作为传输区域也是普遍存在的,如果1个WAN AS 挂了,那么流量从自己区域走的带宽将大于从其他不同运营商的AS中转,如下图,自己仔细想想,为什么特意设计成传输区域。
2024-05-17 11:25:51
707
原创 数据中心网络结构案例解析-核心(华为CE12808E)
这个实例说明数据中心可以通过像华为CE12808这样的多板卡设备来绑定大于8条链路,华为文档说最大支持绑定128条,并且状态都是select,去往ISP的流量将在这20条物理链路上实现负载均衡(CE12800系列交换机的hash取值范围是1~13。缺省值均为1。参照华为产品文档)因为华为CE12808没有做堆叠(那要投资翻倍),所以现在我们直接看12808下联交换机是怎么连的,新建端口聚合组eth-trunk5 ,用来连接一台IP91.1结尾的spine交换机。
2024-05-17 11:04:40
1167
原创 scsi协议总结
根据物理层的区别有些是星型结构,有些是环形结构,有些是总线型接口。USB协议,SATA协议,FC协议,SCSI-3协议。由于是C/S结构,所有SCSI开始传输数据前需要客户端先发链接到服务端注册KV值有客户端的名称和服务端的名称,注意它是个4层协议,应用层协议。2、发起方申请SCSI总线,SCSI总线经历空闲阶段、总线仲裁和选择阶段,使得发起方获得对总线使用权以及对目标方的选择和寻址。下一个阶段是客户端和服务端协商传输参数,包括数据包大小,超时时间,重传次数等,注意它是双向通信的,双发各要发一个包。
2024-05-16 18:00:53
605
原创 数据中心网络结构案例解析-汇聚层交换机(arista)
基础配置做完了,但是还没有把底下服务器的路由宣告进BGP进程,可以选择直接在地址族下直接宣告网段C.D.91.0/24,或者使用重分布将 OSPF 1 的路由重分布进BGP进程,并且调用之前写的ROUTE-MAP将路由的起源属性修改为igp,这样的结果就更加准确(因为底下服务器可能并没有使用完/24网段的地址);配置NTP,使用了域名形式的NTP服务器地址,它的好处是可以对NTP服务器做查询的负载均衡(相对于IP形式),劣势是在查询前需要先做DNS解析。下联接入交换机的是二层的聚合端口,仔细看。
2024-05-16 17:54:48
556
原创 使用Wireshark解决网络故障(木马)的一个典型案例
使用conversation统计,可以看到明显的内网主机中木马的特征:顺序产生的源端口,按照列表扫描木马客户端的目的IP,目的端口都是445,字节大小是固定的66字节,短时间的大量并发连接,但是大多数木马客户端都是不在线的。1、安全设备如果配置不当,将无法起到安全作用,形同虚设,安全设备默认外网对内网访问端口必须全部关闭,只允许必要的端口开放,并且需要做7层或者3层的ACL来限制外来ip的登录,并且做AAA部署。这是一个正常的客户请求一个图片的下载的TCP序列,可以看到,发生了很多重传导致速度极慢。
2024-05-15 13:16:33
659
原创 H3C数据中心交换机无法堆叠问题
金华移动遇到2台H3C S6805-54HF交换机,堆叠起不来的情况,硬件平台和软件都是一样的,排除堆叠线缆兼容性问题,最后发现是交换机的基础配置不一致造成。按照官方的堆叠配置做完之后,交换机给出的报错。并且堆叠起不来。报错只有这句话,有点懵,设备重启后终于给出具体原因如下:大概意思就是2台做堆叠的设备的基础配置不一致造成的。
2024-05-15 11:43:59
837
原创 由一例数据中心交换机故障引发的深思
不通的原因是路由器0 上面人为写了一条黑洞路由, ip route 192.168.1.2 255.255.255.255 null0,这样路由器0收到路由器1的ICMP PING包的时候,查询路由表,发现黑洞路由是明细路由,比直连网段路由来的短,根据路由的最长匹配原则,数据包应该走黑洞路由,这样路由器1就收不到路由0的回包。所有的3层数据包都需要查路由表(路由器还要查ACL和NAT转换,防火墙有更多的表要查),即使是同一个网段,3层的数据包也需要查路由表来通信。答案好像显而易见,明显是能够通信的。
2024-05-15 11:06:09
254
原创 HP DL388 G9 阵列卡排错
基本可以确定是阵列卡电池失效导致的报错,阵列卡电池用于维持阵列卡cache中的数据,在主机掉电的时候不丢失,在主机通电后将缓存数据写入硬盘的操作。如果电池失效,将导致阵列卡使用直通模式读写数据,从而导致阵列卡缓存机制失效。1台HP DL388 G9服务器面板指示灯亮橙色,通过ILO接口登录,在system information 中首先看到的是HP smart arry P440 cache mode status 状态是 degraded 降级了。更换阵列卡电池后故障修复。
2024-05-15 10:52:56
841
原创 思科ASA防火墙的双线双NAT实现
这个配置是关键,当匹配到所有来自interface wifi-data的数据包的时候,下一跳设置为电信拨号线路的网关,防火墙查找路由表发现数据包要通过10.0.0.2这个内网端口发出去,然后撞上NAT转换规则,转换成10.0.0.2这个IP,实现了双线双NAT的效果,这里可以match更多的IP地址配合之前定义的PAT来做到灵活选路,从而实现多线多NAT的效果,充分利用线路带宽。track的计划时间等。这是电信拨号线路,IP地址是电信的拨号路由器底下的LAN口分配的,这里手工写一个LAN范围内的IP。
2024-05-15 10:48:19
641
原创 思科anyconnect 证书报错问题解决方案
所以在设备自签发证书的时候以思科ASA防火墙为例(使用ASDM,定位到证书管理页面,点击新增自签发证书),这里的CN(common name)应该填写设备外网的企业专线的IP地址,而不应该是系统默认的设备的hostname,客户端虽然不能解析公司内部域名,却可以到达专线IP地址。这样就不会报证书无效的错误,因为公网IP客户端是可以解析的,然后客户端去证书颁发机构查询该证书是否有效的时候(时间 用途 颁发给谁)就能够找到证书办法机构,从而验证证书的有效性。(记住证书是有用途的,用途不同,客户端也会报错)
2024-05-15 10:44:05
1156
原创 华为交换机3线机房策略路由和QoS的配置
*HUAWEI-Eth-Trunk1]#新建三层接口用于和移动ISP互联,本端IP为192.168.1.2,对端为192.168.1.1并且调用之前写的ACL用于阻止入方向UDP协议的NTP协议,端口号123,可能是为了防止NTP流量放大攻击。匹配目的为本地的流量的IP precedence 为 0 ,源为移动的IP precedence 为 5,源为联通的IP precedence 为 10,数值越小优先级越高,这里仅仅是给流量打上了标签,待后续设备处理。4、使用了端口聚合组技术(3层端口,负载均衡)
2024-05-15 10:37:31
707
原创 ACL在安全检测和预防上的一些独特应用
Cisco IDS 有一种成为shunning屏蔽的机制,该机制允许在网络边缘设备上动态的配置ACL,阻止来自网络攻击源IP地址的访问。大部分专业攻击者使用欺骗IP地址而不是使用他们真实的IP地址来实施攻击。攻击者很容易使用带有不同IP地址的机器进行攻击,或者他们简单的开始欺骗另外一个源IP地址。当攻击者实施网络攻击时,他们也可能使用RFC1918地址空间的地址作为伪造的源地址。可以将ACL作为一种临时的解决方案来阻塞某些确定的IP地址访问一个网络,这些IP地址包含在恶意活动中,它们已经被识别出来。
2024-05-15 10:36:33
299
原创 思科无线控制器在中小企业的最佳实践
等客户端重新关联AP,可以看到客户端获得了正确的IP地址,Data Switching 为本地交换,认证为中心WLC认证,表明设置成功,这样数据在AP本地交换,数据交换速率从原本的2504 100M capwap隧道改为1000M AP直接发给交换机,再到防火墙。这里假设WLC个AP在同一个VLAN,首先创建一个WLAN 我用到的是很老的2504型号的WLC,由于是使用H-REAP模式,这里的interface 选择management就可以,不需要创建capwap隧道对应的接口。
2024-05-15 10:34:23
328
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人