网络安全架构与部署
高级路由、高级交换
Goallegoal
左手击筑,右手编程。
展开
-
高级交换-大中型园区网络的部署练习
高级交换-大中型园区网络的部署练习实验拓扑实验要求一、安全管理1、依据图中拓扑,为全网设备定义主机名、关闭域名解析、并在 Console 和 VTY 线路下关闭线路超时并开启输出同步。2、为实现安全远程登录,要求在设备 CS1 上创建本地用户名 PingingLab,密码 CCIE,并只允许 3 个管理员同时远程登录,其中管理员地址分别为 192.168.10.1~192.168.10...原创 2020-04-07 11:43:07 · 1457 阅读 · 0 评论 -
VRRP实现网关冗余
VRRP实现网关冗余实验拓扑配置要求1、配置 sw1、sw2、sw3之间的 trunk 链路;interface range e0/0 , e0/1switchport trunk encapsulation dot1qswitchport mode trunkshow interface trunk2、配置 sw1、sw2、R1 之间的 OSPF 协议,要求 sw1、sw2 能...原创 2020-04-03 11:53:59 · 1475 阅读 · 0 评论 -
交换安全之接入安全-AAA、802.1x
交换安全之接入安全AAA定义Authentication,认证,判断用户是否具有访问权限;Authorization,授权,允许用户使用哪些服务;Accounting,记账,记录用户使用网络资源的情况。AAA 是以上三项的简写,是一个安全模型,用于实现用户安全管理。应用学校拨号 802.1x 认证电信宽带 PPPOE设备安全管理网站后台数据库安全架构以学校拨号上网为例,...原创 2020-04-02 16:50:28 · 1154 阅读 · 0 评论 -
交换安全之流量安全-Storm-control、VACL、SPAN、PVLAN
交换安全之流量安全与流量互访策略相关。Storm-control终端接入传统交换网络时可能以单播、组播或广播的方式发送数据包,trunk 链路可以承载全网的组播与广播流,如果终端除单播流量外还有大流量的组播、广播流量,交换机默认操作是将这些流量泛洪到其余的 trunk 链路中去,此行为会产生广播风暴并消耗大量的带宽。风暴控制,进行速率上的限制,用来抑制广播风暴。部署(用于接入口):i...原创 2020-04-02 14:58:21 · 2273 阅读 · 0 评论 -
交换安全之协议安全-VLAN安全、MAC安全、DHCP安全、ARP安全、IP安全
交换安全之协议安全局域网安全老三样(DHCP、ARP、IP安全)配合端口安全是常见的安全策略。思科的《局域网安全2008》讲述了局域网安全攻防的一些例子,有兴趣可以去翻阅一下。VLAN安全vlan 跳跃攻击1、交换机默认情况从 access 口收到的包为不打标签的包,一般交换机若从接入口收到标签包则丢弃;2、特殊情况下,若接入口的标签为 native vlan 的标签,则交换机去掉此...原创 2020-04-01 21:35:58 · 678 阅读 · 0 评论 -
交换安全之设备安全-SSH、VTY、HTTPS、Banner、CDP
交换安全之设备安全本文主要阐明如何通过安全部署来保证设备本身的安全。SSH远程登录设备,在内网中使用 telnet 也是可以的,如果是通过外网来接入交换机或者服务器,会建议使用 SSH,否则密码可能会被盗取。SSH,Secure Shell,安全外壳协议,基于应用层,用于远程登录会话和其他的网络服务中防止信息泄露,保证远程管理的安全性。客户端登录服务端,会通过密钥的生成,保证通信过程中的安...原创 2020-04-01 11:21:07 · 813 阅读 · 0 评论 -
交换冗余之设备冗余
交换冗余之设备冗余思科:VSS锐捷:VSU华三:IRF这几个技术在现在的数据中心网络和很多项目场景中会用到。在网关冗余中两台设备做主备切换时仍然有延迟,于是现在使用的设备冗余技术希望将两台设备逻辑为一台。两台设备时,还需要部署 MSTP + VRRP,来做到负载均衡和主备切换;现在逻辑成一台后,不仅提供了冗余性、支持快速切换,而且还不需要再部署 MSTP 和 VRRP,直接切到虚拟化...原创 2020-03-31 21:39:41 · 1001 阅读 · 0 评论 -
交换冗余之网关冗余HSRP、VRRP、GLBP
交换冗余之网关冗余先看一张图,上图拓扑中部署 PVST 希望 pc1 流量往左边链路走,pc2 流量从右边链路走,如果 pc1 流量要到达的 sw1 网关断掉,启用 sw2 的网关作为备网关。但做实验时发现,即便部署了主备网关,在 sw1 网关断掉的情况下,pc1 流量仍然不会往 sw2 方向走。这是因为来自 pc1 的数据包目的 MAC 仍然是 sw1 的 MAC 地址。为解决该问题,引入网...原创 2020-03-31 21:21:54 · 1118 阅读 · 0 评论 -
交换冗余之链路冗余
交换冗余之链路冗余cp :为了保持网络的稳定性,在多台交换机组成的网络环境中,通常都使用一些备份连接,以提高网络的健壮性、稳定性,这里的备份连接也称为备份链路或者冗余链路。L3 以太通道应用在 汇聚层或核心层部署interface range e0/1 - 2no switchportchannel-group 1 mode oninterface port-channel 1ip...原创 2020-03-31 15:57:37 · 1459 阅读 · 0 评论 -
交换通信之多层交换原理、方式及DHCP中继
交换通信研究数据包经过交换机时的处理流程。多层交换基础三层交换机(现在的交换机已经不仅仅是三层了)具备二层交换机的 CAM 表转发和路由器的三层转发。数据处理二层交换机转发数据处理流程。收到数据包后丢到接口中;数据包进入交换机后,若交换机部署了 ACL,则查找 ACL 来确定是否接受该数据包,这里的 VLAN ACL 是专门用在交换机环境,即便 VLAN 有数据,也要进行 ACL 的过...原创 2020-03-31 15:22:10 · 996 阅读 · 0 评论 -
STP Security之Loop Guard、UDLD
STP Security生成树用来解决交换环路,而 Loop Guard 和 UDLD 用来解决生成树的环路。Loop Guard实际交换机之间的网线里面有8根芯,其中有两根用来发送,两根用来接收,此时出现的故障是 sw2 用来发送数据包到 sw3 的两根芯坏掉了,导致 sw2 不能发送消息到 sw3,但是反过来可以。接收等待时间超时后,sw3 的 AP 口会切换为 DP 口,并向 sw2...原创 2020-03-30 20:11:46 · 833 阅读 · 0 评论 -
STP Security之BPDU Filter、BPDU Guard、Root Guard
STP SecurityBPDU Filter定义BPDU 过滤,用于实现对接口 < access > 的 BPDU 过滤。原理存在这样一种攻击方式,有一名黑客使用一台攻击机,通过交换机的 access 口接入到交换网络中,伪装成优先级高的交换机,向交换网络发送 BPDU 包并将其优先级修改为 0,将会导致同一 vlan 涉及的设备中原本一条链路断掉;或者不断地修改优先级,导...原创 2020-03-30 17:05:31 · 1122 阅读 · 0 评论 -
MSTP多生成树协议
MSTP 多生成树协议定义MSTP,multiple STP,多生成树。生成树对比STP:不能负载均衡、速度很慢、IEEE 802.1DPVST:能负载均衡、速度很慢、思科私有RSTP:不能负载均衡、速度很快、IEEE 802.1WRPVST:能负载均衡、速度很快、资源占用大、思科私有MSTP:能负载均衡、速度很快 、资源占用小、IEEE 802.1S原理MSTP 多生成树协议...原创 2020-03-30 15:28:08 · 800 阅读 · 0 评论 -
RSTP快速生成树协议
RSTP 快速生成树协议STP 回顾STP,生成树协议,Spanning-Tree Protocol。交换网络中存在环形拓扑,其拓扑设计和交换机转发原则会形成数据环路,数据环路将会导致广播风暴、资源(CPU、带宽等)消耗、CAM 表不稳定(用于二层交换的地址表,内有 MAC 地址与出接口的对应关系)等。为解决该问题,提出了使用 STP 解决局域网交换网络中的环路问题,其原理是将环路中的某个端...原创 2020-03-30 13:23:39 · 362 阅读 · 0 评论 -
GNS3 IOU 安装及使用方法
GNS3 IOU 安装及使用方法IOU 概述IOS on Unix,思科官方基于 Linux(debian) 的 IOS 操作系统,可以模拟真实交换机和路由器操作系统,一般学习交换技术或者 CCIE LAB 会用到。IOU 原理搭建网络拓扑使用的老版本的 GNS3 虽然可以满足大部分的实验需求,但是模拟交换技术非常有限。GNS3 新版本设计思路和旧版本不一样,引入了新的网络操作镜像 IOU...原创 2020-03-29 16:19:51 · 4259 阅读 · 0 评论 -
IPv6协议原理与实践
IPv6 协议原理与实践IPv4 的局限性1、从地址空间角度IP 地址空间的危机由来已久,并正是升级到 IPv6 的主要动力。2、从技术实现角度(吐槽,简单略过就行)IPv4 地址分配杂乱无章,没有层次性,网络设备需要维护庞大的路由表项。IPv4 包头过于复杂,使得网络节点处理的效率不高。NAT:破坏了 Internet 端到端的网络模型。3、从配置难易角度对于 IPv4 节点的...原创 2020-03-27 23:03:14 · 597 阅读 · 0 评论 -
边界网关协议BGP(九)
边界网关协议BGP(九)继续学习 BGP,上接 边界网关协议BGP(八)团体属性定义团体属性,community,用于影响路由传递的范围,可以对路由进行标记,实现更优化部署。分类研究团体属性影响路由的传播范围,会涉及到团体属性的第一个分类,即公有团体属性;另一个分类,私有团体属性用于给路由条目打标记。公有 community部署在 R1 上部署,之后到其他路由器查看效果...原创 2020-03-27 12:07:11 · 212 阅读 · 0 评论 -
边界网关协议BGP(八)
边界网关协议BGP(八)继续学习 BGP, 上接 边界网关协议BGP(七)路由反射定义路由反射,Route Reflector(简称“RR”),是为了解决全互联拓扑中邻居数量过多的问题。通过 RR 技术结合部分互联拓扑,能够有效降低邻居数量。原理通过反射服务器和反射客户端,实施强制的发行,类似 VTP 中的 client 和 server。部署图中拓扑,默认 R1 传递路由...原创 2020-03-26 22:28:14 · 192 阅读 · 0 评论 -
边界网关协议BGP(七)
边界网关协议BGP(七)继续学习 BGP,上接 边界网关协议BGP(六)对等体组定义peer-group,用于简化配置。原创 2020-03-26 14:07:07 · 302 阅读 · 0 评论 -
边界网关协议BGP(六)
边界网关协议BGP(六)继续学习 BGP,上接 边界网关协议BGP(五)路径属性当使用 show ip bgp 命令时,看到的后面5列就是常用的路径属性。观察上图,R3 的两个 loopback 口(3.3.3.3 和 33.3.3.3)目的地相同,路径却一左一右(next hop 前标有 “>” 符号的,是选中的 best 路径),没有看到一条路由带有两个 “>” ne...原创 2020-03-25 11:37:43 · 285 阅读 · 0 评论 -
边界网关协议BGP(五)
边界网关协议BGP(五)继续学习 BGP 协议,上接 边界网关协议BGP(四)经典问题:为什么 BGP 在配置的时候要关闭 BGP 同步?BGP 网络设计BGP 网络拓扑发展演变BGP 是运行边缘路由传递方向,R1 将 1.1.1.1 路由通过 EBGP 丢给 R2,R2 和 R4 隔空通过 loopback 口建立的邻居,中间的 R3 是内部路由器,R4 再通过 EBGP 将路由传...原创 2020-03-24 17:37:59 · 283 阅读 · 0 评论 -
边界网关协议BGP(四)
边界网关协议BGP(四)继续学习 BGP 协议,上接 边界网关协议BGP(三)BGP 邻居建立R1 和 R2 之间跨运营商建立的连接为单链路连接。BGP 使用 neighbor 命令指向的对方地址不能是 BGP本身学到的地址,例如通过 show ip route bgp 查看发现 2.2.2.2 是一条已学到的路由条目,就不能再用 neighbor 命令指向 2.2.2.2。EBGP ...原创 2020-03-23 20:24:31 · 316 阅读 · 0 评论 -
边界网关协议BGP(三)
边界网关协议BGP(三)继续学习 BGP 协议,上接 边界网关协议BGP(二)BGP 路由分组完整的抓到四个分组包,可以使用 clear ip bgp * (硬清除)命令清除邻居,或者在硬清除命令后加 soft 改为软清除。软清除是只重新交互 update 包。open 分组open 包和其他协议的 hello 包是一样的,但是 open 包不做邻居的周期性维持,只出现在第一次邻居建...原创 2020-03-23 17:05:04 · 267 阅读 · 0 评论 -
边界网关协议BGP(二)
边界网关协议BGP(二)继续学习 BGP 协议,接 边界网关协议BGP(一)基本部署已经在 R1 和 R2 之间部署了 BGP,接下来进行 AS 内部的 R2 和 R3 的连通。一种常见的部署方法是首先运行 OSPF 让 R2 和 R3 成为邻居,在此基础上再部署 BGP。推荐使用 loopback 口建邻居,如果使用物理口建立邻居后发生断开,邻居就会消失,而使用 loopback...原创 2020-03-23 15:29:28 · 226 阅读 · 0 评论 -
边界网关协议BGP(一)
边界网关协议BGP(一)背景介绍BGP,Border Gateway Protocol,边界网关协议,是一种在 TCP 上运行的自治系统的路由协议,被唯一用来妥善处理不相关路由域间的多路链接协议。BGP 的 AS 号(自治系统号,自治系统可以被理解为一组被统一管理的路由器),范围是1~65535(其中 1-64511为公有,64512-65535为私有),为事先规定,需要运营商去购买,不能随...原创 2020-03-23 14:30:25 · 523 阅读 · 0 评论 -
策略路由
策略路由定义PBR,policy-based route,策略路由功能用于实现基于源的流量控制(可以根据 发送者从哪里来 进行抓取,再丢到希望去的目的地)。原理路由器与交换机配合使用,实现在只有一个路由器的情况下对不同专线的流量进行分流。部署实验需求:1、内网192.168.14.0/24访问互联网,走电信链路;2、内网192.168.15.0/24访问互联网,走网通链路;...原创 2020-03-22 16:23:21 · 679 阅读 · 0 评论 -
路由策略route-map
路由策略 route-map定义route-map,路由图,用于实现路由策略。功能部署route-map NM permit 10match ip address 1 2match ip address 1match ip address 2match interface f0/0 f1/0route-map NM deny 20match ip address 2set...原创 2020-03-22 11:38:38 · 2010 阅读 · 0 评论 -
路由过滤
路由过滤定义使用路由协议是为了学习路由条目,而路由过滤刚好与其相反,可以把一些不需要的路由条目过滤掉。包括三个列表prefix-list 前缀列表之前抓路由条目会使用ACL,在这里介绍的前缀列表抓路由会更加的方便。二者进行对比,ACL除了可以抓取路由条目,还可以抓流量(ICMP、HTTP等),但是前缀列表只能抓路由,不具备协议、端口的概念,更像是一个数学工具。ACL使用回顾acce...原创 2020-03-21 18:14:12 · 3941 阅读 · 0 评论 -
路由重分发
路由重分发定义redistribute 路由重分发,在多种路由协议之间实现信息互导,即路由共享。分类原理1、边界路由器与各边不同路由协议网络互通,但是默认情况下不同路由协议的网络被隔离,此时需要通过重分发技术解决。2、对于静态路由,没有重分发的概念,如需实现全网连通,要通过指定静态路由和默认路由的方式。3、不同路由协议的 metric 值不同,路由重分发使用 seed metric...原创 2020-03-20 22:57:35 · 1088 阅读 · 0 评论