端口镜像 SPAN
[r1]observe-port interface GigabitEthernet 0/0/2 监控接口
[r1]interface GigabitEthernet 0/0/0
[r1-GigabitEthernet0/0/0]mirror to observe-port inbound 流量抓取的接口
[r1-GigabitEthernet0/0/0]int g0/0/1
[r1-GigabitEthernet0/0/1]mirror to observe-port inboundG0/0/0与G0/0/1接口间的所有流量,都镜像到G0/0/2一份;可以在连接G0/0/2的设备上使用数据分析软件来进行数据分析;
C1对应源流量,b1对应监控接口,p1是将c1和b1组成一个策略,最终接口上调用p1策略;
DHCP 动态主机配置协议
统一分发管理IP地址,基于UDP 67,68端口工作;
成为DHCP服务器的条件:
1.该接口必须存在接口或网卡能够为所有所需要获取IP地址的设备提供广播服务;
2.该接口或网卡必须已经配置合法IP地址,且可以正常通讯(手写IP)
华为服务器均使用单播进行回复,cisco或微软基于广播进行回复;
华为的单播使用准备给客户端的ip地址来作为单播回复时的目标ip地址,主要还是基于MAC地址进行回复;
租期:
DHCP中继
DHCP Server和DHCP Relay必须手写IP
注:dhcp server 设备必须和中继点单播可达(G0/0/0和G0/0/1能通)的前提下,才能使用DHCP中继效果;
DHCP snooping --防止dhcp攻击
防止DHCPserver的仿冒:
[r1]dhcp enable 交换机开启dhcp服务
[r1]dhcp snooping enable 全局下先开启DHCP snooping 功能
[r1]interface GigabitEthernet 0/0/1
[r1-GigabitEthernet0/0/1]dhcp snooping enable 所有接入层接口配置配置后,所有接口处于非信任状态,所有非信任接口只能进行DHCP的请求,无法实现应答;之后需要在真正连接DHCP 服务器的接口上配置信任,否则该dhcp服务器也不能正常工作;
[r1-GigabitEthernet0/0/10]dhcp snooping trusted 注意:以上操作完成后,交换机中将产生一个记录列表;记录所有接口ip地址的获取情况;
例:SW1的g0/0/1连接PC1,在SW1开启了DHCP snooping功能后,一旦PC1获取ip地址成功;那么在SW1上将出现一张记录列表----PC1的mac,获取的ip地址,vlan ….
该记录列表最大的意义是用于防止ARP欺骗攻击:
开启ARP欺骗防御
[r1]arp dhcp-snooping-detect enable当某一个接口下的pc进行ARP应答时,若应答包中源ip地址与MAC地址和dhcp snooping的记录列表不一致将不行转发;
源地址保护
[sw-GigabitEthernet0/0/10]ip source check user-bind enable --该接口发出的所有数据包中源ip地址与dhcp snooping记录不一致将不能转发;[Huawei]display dhcp snooping user-bind all 查看dhcp snooping绑定记录表
交换机端口安全
解决PC更换MAC来不停请求ip地址,导致DHCP池塘枯竭;还可以防止MAC地址攻击;
交换机存在的mac地址表,存在条目数量限制,存在老化时间(默认5min)
PC等终端设备默认存储ARP表格为180s---2h;但若交换机的缓存被溢出或超时,再来转发终端的单播流量时,出现未知单播帧问题---处理方案洪泛
因此终端设备若不停修改mac地址来导致交换机缓存溢出便可实现mac地址攻击
依赖端口安全进行保护:
端口安全
[sw-Ethernet0/0/4]port-security enable 开启端口安全
[sw-Ethernet0/0/4]port-security max-mac-num 1 现在MAC地址数量
[sw-Ethernet0/0/4]port-security protect-action ?
protect Discard packets 丢弃 – 不告警
restrict Discard packets and warning 丢弃—告警 (默认)
shutdown Shutdown 丢弃--关闭接口 –必须管理员手工开启
[sw-Ethernet0/0/4]port-security aging-time 300 老化时间以上动作完成后,对应接口将自动记录第一个通过该接口数据帧中的源mac地址;
其他mac将不能通过;若300s内,该记录mac没有再经过过该接口,将刷新记录;
设备重启或接口关闭再开启也将刷新记录;
[sw-Ethernet0/0/4]port-security mac-address sticky 粘粘MAC(不老化)
自动记录通过该接口传递的mac地址,但记录后将永不删除
也可手工填写
[sw-Ethernet0/0/4]port-security mac-address sticky aaaa-aaaa-aaaa vlan 1SSH ---安全的Telnet行为;
Telnet远程登录—基于tcp的23号端口工作;数据被明文传输(不加密);
SSH也是远程登录—基于TCP的22号端口工作,数据包安全保障传输;
存在版本V1/V2两种-实际版本号大于1小于2均为V2;
安全性:
- 私密性:对数据进行加密
- 完整性:对数据进行校验(哈希 SHA、MD5)
- 不可否认性:不能被冒充(1.共享密钥;2.数字签名)
加密算法(保障数据的私密性)
– 必须存在秘钥 可以反向计算(解密) 源数据增大
对称加密 -- 同一个秘钥来进行加密和解密(24h切换一次) DES 3DES AES
存在密钥交换问题,密码管理数量成指数上升
非对称加密 – 存在两把秘钥 A加密、B解密 (1h切换一次) --- RSA DH(IPSEC vpn专用)
当下秘钥长度需要大于1024才相对安全;
非对称算法较对称算法最大的缺点:加密后源数据量增幅巨大;加密计算很慢;
校验算法(保障数据的完整性) --没有秘钥 不能反向计算 不等长输入,等长输出 –
散列函数的摘要算法
雪崩效应—源数据微小变化导致计算结果的巨大变化
MD -MD5-128 SHA-SHA-1 -128 -256 -521
[R2]stelnet server enable 开启ssh
[R2]rsa local-key-pair create 秘钥生成
[R2]ssh user openlab authentication-type password 定义ssh基于秘钥来加解密登录信息
[R2]aaa
[R2-aaa]local-user openlab password cipher huawei
[R2-aaa]local-user openlab service-type ssh
[R2]user-interface vty 0 4
[R2-ui-vty0-4]authentication-mode aaa
[R2-ui-vty0-4]protocol inbound ssh 仅允许SSH登录若使用华为的设备作为终端设备,通过ssh方式登录其他的系统,需要开启ssh 客户端功能
[r1]ssh client first-time enable
[Huawei]stelnet 99.1.1.1端口隔离
[sw]interface Eth0/0/5
[sw-Ethernet0/0/5]port-isolate enable group 1 相同配置间接口被隔离
380
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
