CCNP交換難點(diǎn)說明

1、日志：安全級別syslog嚴(yán)重性嚴(yán)重級別emergency（緊急）級別0,最咼級別alert（告警）1critical（嚴(yán)重）2error3warni ng4notice（注意）5information（信息）6debugging（調(diào)試）7日志格式:eg:%facility（特性）+severity（嚴(yán)重級別）+mnemonic（助記碼）+message-text（消息文本）3. 配置 sysloglogging<J日志服務(wù)器IP>loggi ng trap發(fā)送日志給服務(wù)器loggi ng buffered 保存日志到本地show logging | inc LINK-3 或者 b

2、eg %DUAL 查看日志消息二. SNMP1. 三元素：網(wǎng)絡(luò)管理應(yīng)用（SNMP管理器）,SNMP代理（運(yùn)行在被管理設(shè)備內(nèi)）,MIB數(shù)據(jù)庫對象 （以預(yù)先定義好的格式來描述信息，這個(gè)格式是代理可以用來發(fā)布數(shù)據(jù)的格式）版本：V1:get request-get next request-set request-get response-trap（陷阱）V2: get bulk request（獲得批量請求）-inform requestV3 安全級別:noAuthNoPriv-authNoPriv-authPriv（auth認(rèn)證,priv 隱私，加密）3.配置 snmp:snmp訪問列表-snmp

3、團(tuán)體字符串-snmp trap接收方-snmpv3用戶eg:sn mp-server com munity cisco RO 100sn mp-server commu nity xyz123 RW 100三. IP SLA（服務(wù)水平協(xié)議）中技術(shù)的組成部分：網(wǎng)絡(luò)可用性水平+就往返時(shí)間（RTT）而言的網(wǎng)絡(luò)性能+延遲，抖動，丟包率而 言的網(wǎng)絡(luò)響應(yīng).2. 使用的端口號：控制端口 :UDP 1967,傳輸測試包端口號:UDP 20203. 配置 IP SLA:IP SLA檢查（probe）-激活檢查-追蹤目標(biāo)-追蹤目標(biāo)上的行為eg:ip sla mon itor 11frequncy 10exitip

4、 sla mon itor schedule 11 life forever start-time nowtrack 1 ip sla 11 reachabilityshow ip sla statistics/c on figurati on四. RPR（路由處理冗余性）+NFS（不間斷轉(zhuǎn)發(fā)）+SSO（狀態(tài)化故障倒換）配置: redundancy mode rpr-plus exit redundancy mode sso exit router bgp 100 bpg graceful-restart exit router ospf 200 nsf end show redundancy

5、 states五. GLBP（網(wǎng)關(guān)負(fù)載分擔(dān)協(xié)議）: 1.運(yùn)作:GLBP允許進(jìn)行自動選擇，并同時(shí)使用組中的所有可用網(wǎng)關(guān)，如A,B,C,D oGLBP組中的成員會選舉一個(gè)網(wǎng)關(guān)來擔(dān)任該組的AVG （活躍虛擬網(wǎng)關(guān)），如A , AVG會為GLBP組所有成員配一個(gè)虛擬 MAC 地址 （A1,B1,C1,D1） ，所有路由器都會做為一個(gè) AVF （活躍虛轉(zhuǎn)發(fā)者）來轉(zhuǎn)發(fā) 到自己虛擬 MAC地址的數(shù)據(jù)幀（to A1,to B1,to C1,to D1）。當(dāng)客戶端（P1, P2）發(fā)送ARP請 求來獲得默認(rèn)網(wǎng)關(guān)的地址（P1-A1 , P2-B1 ）時(shí)，AVG （A ）會在ARP響應(yīng)中發(fā)送到相應(yīng)的 虛擬MAC地址（A

6、1 , B1 ）o 一個(gè)GLBP組中最多可以有 4個(gè)組成員。2. 配置 GLBP:track 10 interface f0/1 line-protocoltrack 20 interface f0/2 line-protocol （f0/1 和 f0/2 為交換機(jī)上聯(lián)端口 ）int vlan 10glbp 1 weighting 110 lower 85 upper 105glbp 1 timers mesc 200 msec 700glbp 1 preempt delay minimum 300glbp 1 authentication md5 keystring xyz123glbp 1

7、 wighting track 10 decrement 10glbp 1 wighting track 20 decrement 20說明:當(dāng) f0/1 down 掉,110-10=100,還可以通過 f0/2 轉(zhuǎn)發(fā),當(dāng) f0/2 down 掉。110-20=90,還可以通 過 f0/1 轉(zhuǎn)發(fā)。如果 f0/1 與 f0/2 都 down 掉的話， 110-10-20=80,路由器就不轉(zhuǎn)發(fā) ,直到兩個(gè)端 口 up,weighting（ 權(quán)值 ） 高于 105 時(shí) ,才開始轉(zhuǎn)發(fā)數(shù)據(jù)六. vlan soluti on1.end-to-end vlan: 接入交換機(jī)上擁有所有的 vlan 的劃分 各

8、 vlan 遍布整個(gè)網(wǎng)絡(luò)的所有位置 無論用戶的物理位置何在 ,其都可以劃分到各個(gè) vlan 中 無論用戶如何移動 ,其所在 vlan 關(guān)系不發(fā)生變化 VP 模式一 T 般是 :client/server 80/20 原則:20 流量是 VLAN 內(nèi)部的， 80是跨 VLAN 的2.local vlan: 接入交換機(jī)只擁有本地的 vlan 劃分 創(chuàng)建vian時(shí),是在網(wǎng)絡(luò)的物理邊界，而不是終端用戶的工作領(lǐng)域 一般來說,本地vian存在于接入層與分布層之間 VTP 模式為 tran spare nt 使用路由協(xié)議取代二層網(wǎng)絡(luò)的STP技術(shù),擁有收斂時(shí)間的優(yōu)勢建議每個(gè)接入交換機(jī)最大不超過3個(gè)vian.

9、20/80原則3. vian實(shí)施方案：reference to design document（相關(guān)設(shè) 計(jì)文檔）-roii back guideiines（回 退指導(dǎo)-detailed implementation on pians（詳細(xì)實(shí)計(jì)劃 ）-time required to perform the impiementation（ 所需時(shí)間）4. vtp vian 設(shè)計(jì):nu mber of ip sub nets-locati on of via n- detaiis of vlan assig nmen ts-e nd to end trun ks-vtp modes5. voice

10、包的優(yōu)先級：voice-video in teractive-video stream in g-caii sig nali ng-ip rout ing-n etwork man ageme nt6.iocai vian+三層轉(zhuǎn)發(fā)方案：vlan soluti on related questi on s-is there in ter-switch conn ectivity-what vers ion of VTP is being used-what via ns are available on each switch-what switch ports are available i

11、n each buildi ng 7.AP與AC連接順序：AP 在 layer 2 mode 用 LWAPP 找 AC-AP 管理者發(fā)送 join request 用 least number-AC 用管理 地址發(fā)送 discovery response 回應(yīng)-AP 通過 unicast 發(fā)送 WAPP discovery request 來獲取 AC 的 管理地址-AP要求通過 DHCP來獲取IP地址-AP用3層上 WAN.8.STP各種保護(hù)機(jī)制： ioopguard（環(huán)路保護(hù)）：當(dāng)冗余拓?fù)渲械?STP阻塞端口錯(cuò)誤地過渡到轉(zhuǎn)發(fā)狀態(tài)的時(shí)候 ， 而會產(chǎn)生環(huán)路,啟用loopguard后,過渡的時(shí)候

12、會進(jìn)行檢查,使端口進(jìn)入”不一致環(huán)路 （loop-ineonsistent）"的阻塞狀態(tài)，直到這個(gè)端口接受到 BPDU的時(shí)候，這端口才會自動重新過渡到STP狀態(tài).一般是在根端口與替代端口上啟用該特性 全局portfast bpdufiiter是防止在portfast特性的接口上再發(fā)送 BPDU,可以防止主機(jī)發(fā)送不必要的BPDU,所以交換機(jī)這些端口收到BPDU,那么portfast和bpdufiiter都會禁用，轉(zhuǎn)變成正常的STP端口進(jìn)行收發(fā) BPDU數(shù)據(jù)包。接口 portfast bpdu：此端口不收發(fā)任何 BPDU portfast bpduguard （在已經(jīng)是 portfast端

13、口上配置）在交換機(jī)的端口一旦收到BPDU包時(shí)，立刻關(guān)閉端口（進(jìn)入err-disabie狀態(tài)），避免了更大范圍的廣播風(fēng)暴. portfast特性是不接收 BPDU,如果接收到BPDU,就表示配置有誤9.交換機(jī)攻擊手段：攻擊方法描述緩解步驟MAC flood ing具有唯一且無效的 source MAC地址的數(shù)據(jù)幀向交 換機(jī)泛洪，消耗完交換機(jī)的 CAM表空間，從而使有效 的MAC地址無法加入CAM表中.去往無效主機(jī)的流 量會向所有端口泛洪端口安全,MAC地址via n ACLvia nhopp ing（跳 轉(zhuǎn)）通過修改trunk鏈路中圭寸裝的數(shù)據(jù)包的 vlan ID,攻擊 設(shè)備可以發(fā)送或接收不冋

14、vlan中的數(shù)據(jù)包，而繞過三 層安全性機(jī)制加強(qiáng)trunk配置和未使 用端口的協(xié)商狀態(tài)，把未 使的端口放入公共 vlan公共vian設(shè)備之間攻擊即使公共vlan中的設(shè)備，也需要逐一進(jìn)行保護(hù)，尤其 是在為多個(gè)客戶提供設(shè)備的服務(wù)提供商網(wǎng)段中尤為 如此PVLANDHCP耗竭攻擊設(shè)備可以在一段時(shí)間內(nèi)，消耗完DHCP服務(wù)器上DHCP sn oop ing和 DHCP欺騙的可用地址空間，或者在中間人攻擊中，把自己偽裝 成DHCP服務(wù)器spa nnin g-tr ee欺騙攻擊設(shè)備偽裝成 STP拓?fù)渲械母W(wǎng)橋，成功后，網(wǎng)絡(luò) 攻擊都可以看到各種數(shù)據(jù)幀主動配置主與備根設(shè)備,guard rootMAC欺騙攻擊設(shè)備偽裝

15、成當(dāng)前 CAM表中合法MAC地址，這樣 交換機(jī)就會把去往設(shè)備的數(shù)據(jù)幀轉(zhuǎn)發(fā)到攻擊設(shè)備上使用DHCP偵聽端口安 全ARP欺騙攻擊設(shè)備故意為合法偽造ARP應(yīng)答.攻擊設(shè)備的MAC地址就會成為合法網(wǎng)絡(luò)設(shè)備所發(fā)出的數(shù)據(jù)幀 的二層目的地址使用動態(tài) ARP 檢 測,DHCP偵聽，端口安全CDP修改通過CDP發(fā)送的信息是明文形式且未加密，若攻擊 者截獲CDP消息，就可以獲悉網(wǎng)絡(luò)拓?fù)湫畔⒃跊]有使用的端口上禁用CDPSSH 和 telnet攻擊telnet數(shù)據(jù)包可以以明文形式查看.SSH可以對數(shù)據(jù)包進(jìn)行保護(hù)，但v1仍有女全冋題使用SSHv2,使用tel net 結(jié)合VTY ACL MAC泛洪攻擊：1, 二層交換機(jī)是

16、基于 MAC地址去轉(zhuǎn)發(fā)數(shù)據(jù)幀的。2, 轉(zhuǎn)發(fā)過程中依靠對 CAM表的查詢來確定正確的轉(zhuǎn)發(fā)接口。3, 旦在查詢過程中無法找到相關(guān)目的MAC對應(yīng)的條目，此數(shù)據(jù)幀將作為廣播幀來處理。4，CAM表的容量有限，只能儲存不多的條目，當(dāng)CAM表記錄的MAC地址達(dá)到上限后，新的條目將不會添加到CAM表中。基于以上原理。某臺 PC不斷發(fā)送去往未知目的地的數(shù)據(jù)幀，且每個(gè)包的源MAC地址都不同，當(dāng)這樣的數(shù)據(jù)包發(fā)送的速度足夠快之后，快到在刷新時(shí)間內(nèi)將交換機(jī)的 CAM表迅速填滿。CAM表被這些偽造的 MAC地址占據(jù)，真實(shí)的MAC地址條目卻無法進(jìn)入 CAM表。 那么任何一個(gè)經(jīng)過交換機(jī)的正常單播數(shù)據(jù)幀都會以廣播幀的形式來處理

17、。 中間人攻擊：一種攻擊者利用正常的協(xié)議處理行為來更改兩個(gè)終端之間的正常通信數(shù)據(jù)流而形成的一種攻擊技術(shù)，首先一個(gè)黑客會廣播許多含有欺騙性MAC地址的DHCP請求（動態(tài)主機(jī)配置請求），從而耗盡合法 DHCP服務(wù)器上的地址空間，一旦其空間地址被耗盡，這個(gè)“不可 靠”的DHCP服務(wù)器就開始向“用戶”的DHCP請求進(jìn)行應(yīng)答了，這些應(yīng)答信息中將包括DNA服務(wù)器和一個(gè)默認(rèn)網(wǎng)關(guān)的信息，這些信息就被用來實(shí)施一個(gè)MitM攻擊（中間人攻擊）。措施：在所有Layer 2端口上，一個(gè)叫做“ DHCP snooping（監(jiān)聽）”的功能應(yīng)該被啟用， 這個(gè)功能定義了可信任端口，這些端口可以發(fā)送DHCP請求或者回應(yīng)信息，還可以定義只能轉(zhuǎn)發(fā)DHCP請求的不可信任端口。 vlan跳轉(zhuǎn)攻擊：充分利用了 DTP（DYNAMIC TRUNK PROTCOL） ，在VLAN跳躍攻擊中，黑客可以欺 騙計(jì)算機(jī)，冒充成另一個(gè)交換機(jī)發(fā)送虛假的DTP協(xié)商消息，宣布它想成為中繼；真實(shí)的交換機(jī)收到這個(gè) DTP消息后，以為它應(yīng)當(dāng)啟用中繼功能，而一旦中繼功能被啟用，通過所有 VLAN的信息流就會發(fā)送到黑客的計(jì)算機(jī)上.協(xié)議： HSRP六種狀態(tài)：ini tal-learn-liste nin g-speaki ng-sta ndby-activelearn:路由器還未