上次不是装了一个ensp,这次是续集。
测试内容
利用华为eSNP网络模拟器,搭建与图1相对应的网络拓扑。在实验拓扑中共有3个网段(网1、网2和网3),其网络参数参见表1。每个网段使用1台交换机。
路由器R1连接网1与网2,路由器R2连接网2与网3
网1、网2与网3的网络参数
网1 255.255.255.0 192.168.1.0
网2 255.255.255.0 192.168.5.0
网3 255.255.255.0 192.168.3.0
测试要求
1、主机A与主机B的IPv4地址、子网掩码以及默认网关等参数由网络设备中的DHCP服务自动分配;
2、主机C和主机D的IPv4地址、子网掩码以及默认网关等参数由手动分配,且地址的最后一个字节必须设置为任一组员学号的后三位,否则测试不通过。
3、对主机A所连接的网络设备端口进行限速,其中入方向和出方向均限制为端口最大速率的50%。
4、选择合适的网络设备,配置至少两种防ARP泛洪攻击功能以及至少两种防ARP欺骗攻击功能。
基本配置
拓扑长这样:
具体的配置方法:
主机:直接写ip,子网掩码,网关什么的,dhcp的主机在ipv4设置里不要选静态选dhcp就可以。
路由器:要配置路由器的两个端口,以及路由表。
常用命令:
sys //从用户视图切换至系统视图
quit //退出当前模式
save //保存
int G0/0/1 //设置端口GE0/0/1
ip addr 192.168.x.x (加上子网掩码)//设置ip地址
ip route-static 目的地址 子网掩码 下一跳//路由表配置
display ip routing-table //查看当前设备路由表
//配置路由器以开启DHCP
dhcp enable //开启DHCP服务
ip pool (名称) //建立IP地址池
network 192.168.1.0 mask 255.255.255.0 //设置IP
gateway-list 192.168.1.5//设置网关
quit
int g0/0/0
dhcp select global //开启全局分配
12题基本做完了。
限速
qos lr inbound命令用来配置对接口入方向上的报文进行流量监管。当从高速链路向低速链路传输数据时,带宽会在低速链路接口处出现瓶颈,导致数据丢失严重。这时,需要限制数据流量的速率。通过执行qos lr inbound命令配置了接口入方向的流量监管速率后,如果接口入方向上收到报文的速率大于流量监管速率,那么该报文将被丢弃。
qos lr outbound命令用来配置对接口出方向上的报文进行流量整形。为了防止下游网络因相邻的上游网络发送数据流量过大,造成拥塞或大量报文的直接丢弃,可以通过执行qos lr outbound命令在当前网络设备的出接口上配置流量整形功能,限制流出某一连接的流量与突发,使报文均匀地向外发送。
总结:两个方向,出入都限速,不满足则丢弃。
使用实例
限制GE0/0/1接口向外发送数据的承诺信息速率为20000kbit/s,承诺突发尺寸为375000字节。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] qos lr outbound cir 20000 cbs 375000
[HUAWEI-GigabitEthernet0/0/1] quit
我们的交换机是千兆以太网接口。端口最大速率应该是1000Mbps=1000000kbps。故端口最大速率的50%为500000kbps,类似实例配一下就好。
ARP欺骗和ARP泛洪
- ARP:
地址解析协议(Address Resolution
Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址。 - ARP欺骗:
欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。送至特定的IP地址的流量会被错误送到攻击者所取代的地方。 - ARP泛洪:
攻击者向设备发送大量目的IP地址无法解析的伪造ARP请求报文或免费报文,造成设备上的ARP表项溢出,无法缓存正常用户的ARP表项,从而影响正常的报文转发。 - 解决办法:ARP欺骗与泛洪,博主提供了一些方法可以参考。
这里提供一些方法:
- 在网关设备上使能ARP表项严格学习功能。只有本设备主动发送的ARP请求报文的应答报文才能触发本设备学习ARP,其他设备主动向本设备发送的ARP报文不能触发本设备学习ARP,这样,可以拒绝大部分的ARP报文攻击。
<Huawei> system-view
[Huawei] arp learning strict
- 让路由器对ARP报文进行限速
使能ARP报文限速功能后,可以在全局或接口下执行本命令配置ARP报文的限速值和限速时间。在ARP报文限速时间内,如果收到的ARP报文数目超过ARP报文限速值,设备会丢弃超出限速值的ARP报文。
int g0/0/0
arp anti-attack rate-limit enanble
arp anti-attack rate-limit 200 10//配置接口Eth0/0/0在10秒钟内最多允许200个ARP报文通过。
- 交换机开启ARP表项固化功能,如果设备收到的ARP报文中的MAC地址与ARP表中对应条目的MAC地址不匹配,则直接丢弃该ARP报文;如果匹配,但是收到报文的接口或VLAN信息与对应ARP条目不匹配,则可以更新对应ARP条目中的接口和VLAN信息。
fixed-mac方式适用于用户MAC地址固定,但用户接入位置频繁变动的场景。当用户从不同接口接入设备时,设备上该用户对应的ARP表项中的接口信息可以及时更新。
sys
arp anti-attack entry-check fixed-mac enable
- PC绑定mac地址,感觉不太实际哈。
arp -a//查看网关mac地址。
arp -s 网关ip 网关MAC//绑定
扫一扫
5808
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
