HCIE学习笔记(1)之ISIS路由渗透

已于 2022-04-17 19:58:37 修改
阅读量5.8k 收藏 59
点赞数 5
分类专栏: HCIE 文章标签: 网络
于 2022-03-28 00:26:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qi__yuan/article/details/123783715
版权

文章目录

前言

关于ISIS如有渗透的相关内容,记录学习ISIS的相关心得。

一、ISIS路由渗透作用

通常情况下,Level-1区域内的路由通过Level-1路由器进行管理。所有的Level-2和Level-1-2路由器构成一个连续的骨干区域。Level-1区域必须且只能与骨干区域相连,不同的Level-1区域之间并不相连。

Level-1-2路由器将学习到的Level-1路由信息装进Level-2 LSP,再泛洪LSP给其他Level-2和Level-1-2路由器。因此,Level-1-2和Level-2路由器知道整个IS-IS路由域的路由信息。但是,为了有效减小路由表的规模,在缺省情况下,Level-1-2路由器并不将自己知道的其他Level-1区域以及骨干区域的路由信息通报给它所在的Level-1区域。这样,Level-1路由器将不了解本区域以外的路由信息,可能导致与本区域之外的目的地址通信时无法选择最佳的路由。

为解决上述问题,IS-IS提供了路由渗透功能。通过在Level-1-2路由器上定义ACL(Access Control List)、路由策略、Tag标记等方式,将符合条件的路由筛选出来,实现将其他Level-1区域和骨干区域的部分路由信息通报给自己所在的Level-1区域。

二、相关实验

1.普通的ISIS渗透

ISIS路由渗透的最重要的作用,用来解决ISIS Level-1无法感知区域外部路由导致的次优路径问题。
ISIS如有渗透拓扑1

出现的问题及解决途径:
如图1所示,RouterA发送报文给RouterF,选择的最佳路径应该是RouterA->RouterB->RouterD->RouterE->RouterF。因为这条链路上的cost值为40,但在RouterA上查看发送到RouterF的报文选择的路径是:RouterA->RouterC->RouterE->RouterF,其cost值为70,不是RouterA到RouterF的最优路由。

RouterA作为Level-1路由器并不知道本区域外部的路由,那么发往区域外的报文都会选择由最近的Level-1-2路由器产生的缺省路由发送出去,所以会出现RouterA选择次最优路由转发报文的情况。

如果分别在Level-1-2路由器RouterC和RouterD上使能路由渗透功能,Aera10中的Level-1路由器就会拥有经这两个Level-1-2路由器通向区域外的路由信息。经过路由计算,选择的转发路径为RouterA->RouterB->RouterD->RouterE->RouterF,即RouterA到RouterF的最优路由。

2.成环状的ISIS渗透

当ISIS设备成环,并且ISIS两个Level-1-2都将Level-2的路由渗透到Level-1区域中。此时会出现次优路径,相关的解决方法。
ISIS路由渗透拓扑2
出现问题
如图所示,此时AR1和AR2为Level-1-2的路由器,并且将Level-2的路由渗透到Level-1当中,全链路的Cost全部为默认值10。原本由AR2将Level-1的路由信息添加进Level-2中,这些原本属于Level-1的路由信息被当作Level-2的路由信息被AR1通过如有渗透回到了Level-1当中,反向也是如此,所以会出现环路问题。

ISIS原生解决这种环路问题的机制是通过DU(Down/Up)比特位进行解决。当Level-1-2的路由器将Level-2中的路由渗透到Level-1当中时,会将这些路由的DU比特位置位为1。结合ISIS域间防环原则,可以防止出现环路问题。但是出现了次优路径的新问题。

ISIS域间防环原则:
	1.	Level-1-2的路由器,无论是否存在Level-2的邻居,都不会计算ATT bit。
	2.	无论任何Cost,Level-1的路由总是优先于Level-2的路由,
		且Level-2路由优于DU比特位置位为1的Level-1路由
		(即Level-1 > Level-2 > Level-1*)。
	3.	Level-1-2路由器不会Level-1区域中DU比特位置位为“1”的路由,泄露到Level-2中。

如上图,因为ISIS域间防环原则的第二条,导致AR2访问非直连Level-2网段(即AR1-AR4链路)时,将通过Level-1路由进行访问,即AR2访问所有非直连网段路由时,均优选Level-1路由,导致出现次优路径问题。
ISIS路由表项

路由渗透相关命令:
@import-route isis level-2 into level-1 					
	//代表将所有Level-2的路由 渗透到Level-1的LSP中。
@import-route isis level-1 into level-2 					
	//代表将所有Level-1的路由 渗透到Level-2的LSP中。(默认存在)
@import-route isis level-2 into level-1 filter-policy 2000 	
	//Level-2向Level-1渗透的时候 执行路由过滤。
@import-route isis level-1 into level-2 filter-policy 2000 	
	//Level-1向Level-2渗透的时候 执行路由过滤。
@路由渗透的过滤策略,针对Level-1-2路由器的直连路由无效。
@渗透的时候,路由的Cost为Level-1-2路由器到达目的网络的Cost。

总结

例以上就是今天要讲的内容,简单介绍ISIS路由渗透和相关实验。

祁_鸢
关注
  • 5
    点赞
  • 59
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web渗透——路由原理
weixin_44321116的博客
10-13 609
一、路由概述 跨越从源主机到目标主机的一个互联网络来转发数据包的过程(路由器为IP包选择路径的过程) 二、路由表的形成 路由路由器中维护的路由条目的集合 路由器根据路由表做路径选择 路由表的形成 直连网段 配置ip,端口up状态 非直连网段 对于非直连的网段,需要静态路由或动态路由,将网段添加到路由表中 路由表优化: 三、静态路由 由管理员手工配置的,是单向的 缺乏灵活性 四、默认路由路由器在路由表中找不到目标网络路由条目时,路由器把请求转发到默认路由接口上 五、交换与路由对比
配置IS-IS的路由渗透功 实验详解
zszfs的博客
09-26 2071
配置IS-IS的路由渗透 实验详解
【案例分享】配置IS-IS的路由渗透功能
XMWS-IT
07-21 3384
在Router_1上持续执行ping命令到Router_2,期间在Router_3上重启IS-IS进程,查看Router_3的IS-IS协议重启时,通信未中断。在Router_4上查看IS-IS路由表,可以查看到市场部(10.100.1.0/24)的路由,无法查看到财务部(10.100.2.0/24)的路由,说明公司分部只能与市场部通信。并通过配置路由渗透功能,实现总部与分部间、市场部与分部可以正常通信,财务部与分部无法通信,且分部无法查看到财务部的路由信息。该公司的分部2使用的是OSPF路由协议。....
手机没Root?你照样可以渗透路由
weixin_34191734的博客
08-15 1039
和Metasploit差不多,RouterSploit是一个强大的漏洞利用框架,用于快速识别和利用路由器中的普通漏洞,它还有个亮点,就是可以在绝大多数安卓设备上运行。 如果你想在电脑上运行,可以阅读这篇文章,而这篇教程则会告诉你如何轻松地在未Root的安卓设备上安装RouterSploit,这样一来,只要你的智能手机可以连接这些有漏洞的路由器,你就可以渗透他们。 RouterSploit vs 路...
路由渗透路由泄露
weixin_65551798的博客
07-11 1227
因为没有路由泄露之前,r1去往r4的时候是从上面开销值比较大的地方走,但是这个路由表中,不仅有开始的默认路由,现在又多了一些明细路由,虽说路由泄露进来的路由能够感知cost,但是比默认路由小但是,,因为最长掩码匹配原则,他会选择掩码比较长的那一个。因为在r2和r3上都做了路由过滤,在路由过滤调用的acl中,只允许了去往10.0.234.0网段的路由,并且在路由协议上调用acl,在下面默认有一条拒绝所有,所以路由表里面只有这一条路由。但是因为路由泄露把骨干区域所有的路由都进行传递进来了,安全性大度降低。
ISIS路由渗透实验
将勤补拙
12-07 8194
1.组网要求 网络中的6太路由器的配置了ISIS路由协议,AR1,AR2,作为Level-1路由器,AR3,AR4,作为Level-1/2路由器,属于Area10.。AR5,AR6作为 Level-2路由器属于Area20。除了 AR3上G0/0/1接口的开销值被设为40,其他所有接口的开销值都为缺省值10。要求将Leve2区域中的路由信息渗透到Leve|-1区域,使得 AR1到 Router的路...
超牛的HCIE 数通(RS)路由交换教学笔记
10-28
超牛的HCIE 数通(RS)路由交换教学笔记 很全特别详细 ├─A-1.OSPF ├─B-2.中间系统 ├─C-3.BGP │ ├─1.BGP Basic │ └─2.BGP Advance ├─D-4.MPLS与MPLS VPN │ ├─1.MPLS │ └─2.MPLS VPN ├─E-5.组播 ...
HCIE-datacom知识点bgp路由控制方式学习笔记
最新发布
03-09
### HCIE-Datacom知识点详解:BGP路由控制方式 #### BGP路由控制概述 边界网关协议(Border Gateway Protocol,简称BGP)是互联网上使用的最重要的路由协议之一,主要用于在不同的自治系统(Autonomous System,AS...
HCIE-Datacom SR segment routing段路由学习笔记
03-07
**HCIE-Datacom SR segment路由学习笔记** 在IT领域,华为认证的HCIE-Datacom(华为认证互联网专家)是高级别的网络专业认证,它涵盖了广泛的网络技术,包括先进的段路由(Segment Routing,简称SR)。段路由是一种...
华为认证HCIE RS路由交换最新学习笔记
03-04
这份“华为认证HCIE RS路由交换最新学习笔记”包含了备考HCIE RS所需的关键内容,是准备该认证考试的重要参考资料。 学习笔记可能涵盖以下知识点: 1. **基础理论**:路由与交换的基本原理,包括OSI七层模型、TCP/...
HCIE路由交换学习指南.txt
01-04
文件内容共有800M无法上传,只能通过云盘方式下载,永久有效。
iPhone/iPad通过iSH安装Routersploit对路由器进行渗透【AlpineLinux】【Routersploit】【踩坑&绕坑】
TangYuanMaster's Blog
03-04 2621
【最后一次更新:2023.3.4】 请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任~ 「文末见iOS整活计划」 文章目录 1.RSF「routersploit」简介 2.安装RSF 3.RSF渗透演示 3.1RSF模块与其它说明 3.1扫描漏洞 3.2利用漏洞 4.警告 【转载请注明出处及原作者】 1.RSF「routersploit」简介 RouterSploit包含了2
is-is实验-路由渗透(ip)
PAOMIAN_HAOCHI的博客
12-02 755
r1 [r1]isis 1 [r1-isis-1]net [r1-isis-1]network-entity 49.0001.1111.1111.1111.00 Nov 30 2021 10:19:49-08:00 r1 %%01ISIS/4/START_ENABLE_ISIS(l)[0]:ISIS 256 enable d all ISIS modules. [r1-isis-1]q [r1]int lo0 [r1-LoopBack0]isis enable 1 [r1-LoopBack0]q.
内网渗透命令大全
Bul1et的博客
03-11 2419
1.域常用操作命令: net group /domain //获得所有域用户组列表 net group qq_group /domain //显示域中qq_group组的成员 net group qq_group /del /domain //删除域中qq_group组 net group qq_group qq /del /domain //删除域内qq_group 群组中的成员QQ net ...
无线渗透 | Wi-Fi渗透思路
m0_60571990的博客
12-02 1473
无线渗透 | Wi-Fi渗透思路
内网渗透之跨路由访问
qq_56426046的博客
11-16 1327
渗透测试过程中,经常拿到web主机与数据库不同在一个网段,可以得出这台主机还连着一个内网, 如果想要继续渗透内网,可以把这台web主机当作跳板机,对内网进行渗透。kali无法直接访问目标主机 但是kali获取受害者的权限 得知可以访问目标主机,所以可以通过受害者做 跳板访问目标主机 获取内网网卡命令。msf使用隧道模块 默认是使用socks5 也可以选择socks4a。绑定路由 不绑定路由就没法访问目标主机。使用代理隧道nmap扫描内网主机。末将于禁,愿为曹家世代赴汤蹈火。msf 使用代理访问目标。
华为isis路由渗透up/down置位作用
weixin_52114667的博客
06-13 1231
引入路由渗透可能引发环路以及次优问题 解决次优和环路:up/down位 问题的产生和解决
常用域渗透命令整理
weixin_30394633的博客
04-01 315
查询域管理员用户:net group “domain admins” /domain 查询域用户:net user /domain 查询域名称:net view /domain 查询域内计算机:net view /domain:XX 查询域控制器:net time /domain 查询所有域控制器:dsquery server 例:dsquery server -domain supe...
内网渗透常见命令收集整理
j448998943的博客
01-07 451
1,执行如下命令,可以获取当前机器是否处在内网中、有几个内网、内网段分别是多少、是否是域内网、网关 IP 地址、DNS 指向的 IP 地址等信息 ipconfig /all 2,获取系统和版本信息 systeminfo | findstr /B /I /C:“os name” /C: “OS Version” 3,/B: 在一行开始匹配,/I:不区分大小写 /C:string :使用指定的字符串作为文字搜索字符串 如果是中文操作系统,输入如下命令 systeminfo | findstr /B
华为数通hcie学习笔记
08-18
关于华为数通HCIE学习笔记,可以参考华为数通HCIE-RS超强知识点文档,该文档包含了多个专题,如LAN、MPLS、TCP/IP基础知识、VRRP等。这些文档提供了必备的知识点和备考材料。另外,还可以参考其他相关的学习资料,如《华为认证网络工程师教程(第五版)》等。这些学习资料将为你提供丰富的知识和理论基础,有助于你准备HCIE考试。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [HCIA----数通 学习笔记](https://blog.csdn.net/shy1017/article/details/129394202)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [华为数通HCIE-RS超强知识点文档笔记 备考必备](https://download.csdn.net/download/u010575833/85847178)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值