高階交換(防環,通訊,冗餘,安全)學習筆記
阿新 • • 發佈:2019-02-20
RSTP 基礎概述
定義 快速生成樹
RSTP 802.1W
STP 802.1D
MSTP 802.1S
背景 STP的速度過慢,L2,L3速度不協調
RSTP 埠狀態
1 STP埠狀態
BLOCKING 20s 阻塞資料,接受BPDU,不轉發其他資料
LISTENING 15s 埠選舉
LEARNING 15s 地址學習
FORWARDING 資料轉發
2 RSTP埠狀態 最慢6秒
Discarding 阻塞
Learning 學習
Forwarding 轉發
RSTP 埠角色
1 STP埠角色
RP 根埠,每個非根到根的埠,用於接受BPDU
DP 指定埠,每條鏈路都必須有得用於轉發BPDU
NDP阻塞埠,每個環路拓撲必須有,用於阻塞資料
2 RSTP埠角色
RP 根埠
DP 指定埠
AP 替代埠 AP作為RP的備份 當RP故障時候,AP馬上切換成RP 類似Uplinkfast
BP 備份埠 BP作為DP的備份 當DP故障時候,能夠快速切換
EP 邊緣埠 類似Postfast特性,用於加速使用者的接入
命令 spanning-tree mode rapid-pvst
RSTP 收斂機制
P/A機制:使一個指定埠儘快進入Forwarding狀態
TC機制:使網路實現加速收斂
STP收斂機制
被動式收斂
RSTP收斂機制
主動式收斂 網路變動時候,主動發起協調包
P/A機制 proposal--syn--agreement 就是兩個特殊的BPDU包
P/A機制是一中逐段收斂機制,通過每段鏈路的獨立握手過程,實現全網的鏈路收斂
P/A機制中誰會發送Proposal包給變動的DP口(處於阻塞狀態的DP口)
同步過程在做兩個事情,一個是阻塞所有口,一個是埠選舉
快速體現在哪裡
1.埠狀態從四個壓縮到三個
2.借鑑portfast和uplinkfast,引入AP和BP埠角色
3.採用主動式收斂,不再依賴計時器進行收斂,而是通過P/A機制和TC機制來主動響應網路拓撲
配置流程 Trunk--VTP--VLAN--RSTP
MSTP 多生成樹
STP:不能負載均衡,速度慢 802.1D
PVST:能負載均衡,速度慢(私有)
RSTP:不能負載均衡,速度很快 802.1W
RPVST:能負載均衡,速度很快,資源佔用大(私有)
MSTP:能負載均,速度很快,資源佔用小 802.1S
公共生成樹 所有VLAN共享一棵樹
n個VLAN,n個樹
工作原理
三要素:域名,版本號,例項
PVST:每個VLAN一棵樹
MSTP:每個例項一棵樹
MSTP是在RSTP的基礎上進行開發的,能夠整合所有RSTP的特性
MSTP的例項可以對映多個VLAN,每個例項有獨立的樹
預設情況下,所有VLAN關聯到例項0
MSTP的域名和版本號需要一致才能進行選舉
基本配置
第一步,全域性開啟MSTP
spanning-tree mode mst
第二步,定義MSTP域名,版本和例項
spanning-tree mst configuration
name PG
revision 1
instance 1 vlan 10,30
instance 2 vlan 20,40
第三步,定義主根和備根
spanning-tree mst 1 root primary
spanning-tree mst 2 root secondary
show spanning-tree mst 1
STP 安全
BPDU過濾,用於實現對接入口<access>的BPDU過濾
BPDU filter
第一種方法
spanning-tree portfast bpdufilter default
第二種方法
int f0/0
spanning-tree bpdufilter enable
檢視STP的高階特性
show spanning-tree summary totals
BPDU guard err-disable狀態 軟關閉
第一種方法
spanning-tree portfast bpduguard default
第二種方法
int f0/0
spanning-tree bpduguard enable
恢復埠狀態
errdisable recovery cause bpduguard
errdisable recovery interval 30
root guard 根防護
int f0/1
spanning-tree guard root
show spanning-tree vlan 1
protected port
int f0/1
switchport protected
同一交換機下,P口之間不能互訪,P口和正常口能相互訪問
不同交換機下,任何P口和正常口能相互訪問
多層交換基礎
資料處理
input interface--VLANacl--L2 lookup(mac)--Route acl--ip routing--Route acl--VLANacl--QoS--output interface
表項查詢
CAM L2-MAC 全域性匹配
CEF L3-IP 最長匹配
程序交換 放在記憶體中
快速交換 放在快取中,一次查詢多次轉發
CEF交換 控制平臺(計算策略表項)+轉發平臺(轉發資料)
MSFC 多層交換轉發卡
PFC 策略轉發卡
在負載均衡的過程中一般要把ip cef 給關掉
DHCP 單播包 discover-offer-request-ack
因為跨網段的廣播請求會被三層裝置丟棄,所以要將廣播包轉換為單播包
DHCP 根據中繼包中的源IP地址(VLAN的閘道器地址)確定客戶端所屬VLAN
部署
int range vlan 10 , 20
ip helper-address 172.16.1.254(dhcp伺服器的地址)
DHCP服務伺服器配置
ip dhcp pool vlan10
network 192.168.10.0 255.255.255.0
default-router 192.168.10.254
dns-server 114.114.114.114
lease 7
要做返回的路由
ip route 192.168.10.0 255.255.255.0 e0/3 保證DHCP包能夠返回
交換機中需要no switchport
鏈路冗餘
L2在匯聚層、接入層
int range e0/2 , e0/3
sw tr en do
sw mo tr
channel-group 1 mo on
show int port-channel 1
show etherchannel summary
部署
LACP--標準
PAGP--思科私有
L3在匯聚層、核心層
int range e0/2 , e0/3
no switchport
channel-group 1 mo on
int port-channel 1
ip add 172.16.23.1 255.255.255.0
show etherchannel summary
閘道器冗餘
HSRP 熱備份路由協議
應用層 基於UDP 1985
虛擬閘道器(Active Standby)
虛擬地址(IP MAC)
虛擬MAC:廠商程式碼+協議程式碼+組程式碼
虛擬IP:自由規則<一般最前或最後>
Active/Standby priority(0-255) 越高越優先,預設為100
部署
int vlan10
ip add 192.168.10.253 255.255.255.0
standby 10 ip 192.168.10.254
standby 10 priority 200
int vlan10
ip add 192.168.10.252 255.255.255.0
standby 10 ip 192.168.10.254
standby 10 priority 100
show standby brief
STP的負載均衡--HSRP要對應起來
HSRP分組 Hello分組(3s週期,10s Holdtime),Coup政變,Resign 辭職
int vlan 10
standby 10 preempt 開啟搶佔
HSRP狀態機
Initial Learn Listen Speak Standby Active
HSRP認證
int vlan10
standby 10 authentication md5 key-string pinginglab
鏈路追蹤
int vlan 10
standby 10 track f0/0 150
standby 10 track f0/2 150
VRRP 業界標準 協議號,112 組播地址224.0.0.18
HSRP vs VRRP
角色:master backup
時間: Hellotime 1s,Holdtime 3s
層次:HSRP:應用層 VRRP:傳輸層
配置:standby--vrrp
分組:vrrp--advertise
VRRP部署 基於vlan組的負載均衡
int vlan10
ip add 192.168.10.253 255.255.255.0
vrrp 10 ip 192.168.10.254
vrrp 10 priority 200
vrrp 10 authentication md5 key-string pinginglab
track 1 int f0/0 line-protocol
int vlan 10
vrrp 10 track 1 decrement 150
GLBP 閘道器負載均衡協議 基於mac地址的負載均衡
可以實現同網段的負載均衡
原理
閘道器角色 AVG(活動虛擬閘道器) AVF(活動虛擬轉發器)
虛擬地址 一個虛擬IP 多個虛擬MAC
部署:
int vlan 10
ip add 192.168.10.253 255.255.255.0
glbp 10 ip 192.168.10.254
glbp 10 priority 200
glbp 10 preempt
HSRPVRRPGLBP
虛擬IP不能為物理介面地址可為物理介面地址不能為物理介面地址
虛擬MAC0000.070c0000.5e00最多4個AVG分配
組播地址UDP1985224.0.0.2IP 112 224.0.0.18UDP3222 224.0.0.102
資料包hello,resign,coupvrrp通告報文hello
Hello間隔 3s,10s1s,3s3s,10s
路由器角色 active,standby,listen master,backupAVF,AVG(active,standby)
搶佔功能 預設關閉預設開啟預設關閉
負載均衡 多組負載均衡多組負載均衡組內負載均衡(基於主機加權輪詢)
轉發路由器 ActivemasterAVF
High Availablity
高可用技術建立在冗餘的硬體基礎只上
引擎冗餘
引擎(裝置的心臟/CPU)主控板
主要技術:RPR;RPR+;SSO;NSF
虛擬化技術
思科:VSS
銳捷:VSU
華三:IRF
上行鏈路冗餘
兩個引擎各連線不同上游交換機
電源冗餘
主要是連線不同的電源,例如UPS不間斷供電
SSH
secure shell 安全套接字
加密版的telnet
SSH 服務端配置
ip domain-name cisco.com 定義域名
crypto key generate rsa
ip ssh authentication-retires<0-5> 定義登陸次數
ip ssh version 2
username PL password 0 cisco
line vty 0 4
login local
ssh 客戶端登陸
ssh -l PL 172.16.24.2
VTY
line vty 0 2 同時允許的人數
login local
transport input ssh
transport output ssh
line vty 3 15 關閉3-15的登陸
transport input none
transport output none
VTY限制:通過IP+協議的方式來實現
access-list 1 permit host 192.168.1.1
line vty 0 4
access-class 1 in
HTTPS
配置
ip http server
ip http secure-server
ip http authentication enable 開啟HTTP認證
ip http authentication local 呼叫本地使用者名稱資料庫
username cisco priviliege 15 password cisco 定義使用者名稱和密碼
Banner
banner login #字元# 進來前
banner motd #字元# 進來後
CDP 思科發現協議
方法一 全域性關閉
no cdp run
方法二 介面下關閉
int f0/0
no cdp enable
show cdp nei
VLAN安全
VLAN跳躍攻擊
1.交換機預設情況從Access口收到的包為不打標籤的包,一般交換機若從接入口收到標籤包則丟棄
2.特殊情況下,若接入口的標籤為Nation vlan的標籤,則交換機去掉次標籤,並轉發到TRUNK,黑客根據此特性進行二層標籤包封裝並夾帶病毒等進行攻擊
3.要解決以上問題,修改預設native vlan;關閉特殊解包環境-不轉發從接入口過來的標籤資料
MAC安全
int f0/2
sw access vlan 10
sw mo acc
sw port-security
sw port-security maximum 2
sw port-security mac-add sticky
errdisable recovery cause psecure-violation
errdisable recovery interval 30
DHCP 安全
ip dhcp snooping
ip dhcp snooping vlan 10
int f0/1
ip dhcp snooping trust
ip dhcp snooping database flash:dhcp_snooping.db
show ip dhcp bind
show ip dhcp snooping bind
關閉DHCP增強屬性
no ip dhcp snooping information option
現象:若部署了DHCP偵聽,則違反規則後,介面丟棄OFFER和ACK包
dhcp snooping 偵聽
trusted 不需偵聽,可允許私有DHCP包
untrusted 需偵聽,無法接受offer、ack
DHCP偵聽表,四個要素 MAC-IP-PORT-VLAN
ARP安全
ip arp inspection vlan 10
int f0/1
ip arp inspection trust
現象:若部署了ARP防護,則違反規則後,介面處於err-disable狀態
三個要素 IP-MAC-PORT
IP安全
int f0/1
ip verify source
show ip verify source IP源檢測
IP--PORT
總結,
DHCP偵聽,防止DHCP欺騙攻擊,非信任口不能傳送offer/ack包生成DHCP偵聽表,用於後續其他安全技術呼叫
動態ARP檢測,防止ARP欺騙攻擊,非信任口無法傳送非法ARP包,違反規則後接口關閉
IP源防護,防止IP地址欺騙,檢測埠無法傳送非法IP包,違反規則介面正常,但是丟棄IP包
流量安全
風暴控制
no spanning-tree vlan 1
int f0/1
sw mo acc
spanning-tree portfast
storm-control broadcast level 10.00限制廣播包最大為埠的百分之十
storm-control multicast level pps 2m限制組播包每秒兩百萬個
storm-control unicast level bps 1m限制單播包沒叫一百萬位元
storm-control action shutdown若超過閥值,則關閉埠
storm-control action trap若超過閥值,告知網管平臺
show storm-control broadcast
show storm-control unicast
errdisable recovery cause storm-control
errdisable recovery interval 30
VACL 區域網互訪策略
功能:實現不同VLAN的互訪控制
RACL 路由
VACL 虛擬區域網
PACL 埠
原理 VLAN流量隔離
由於VLAN間通訊需要經過三層交換機,所有VLAN的互訪控制VACL也需要在三層匯聚層交換機上執行
第一步,定義感興趣流
access-list 1 permit 192.168.30.0 0.0.0.255
第二步,定義VACL
vlan access-map deny30 10
action drop執行拒絕動作
match ip address 1匹配感興趣流量
vlan access-map deny30 20
action forward執行轉發動作
第三步,呼叫到VLAN中
vlan filter DENY30 vlan-list 10 在VLAN 10中呼叫DENY30的策略
SPAN
概述 埠映象 抓包 流量分析
LOCAL SPAN 本地SPAN
被監聽和監聽埠處於同一交換機
monitor session 1 source int f0/24
monitor session 1 destination int f0/23
REMOTE SPAN 遠端SPAN
第一步,定義Remote VLAN 所有經過的交換機都需要部署
VLAN 100
remote-span
第二步,在被監聽交換機上將流量引入remote vlan
monitor session 1 source f0/24
monitor session 1 destination remote vlan 100 reflect-port f0/5
第三步,在監聽交換機上將流量引入監聽埠
monitor session 1 destination int f0/23
monitor session 1 source remote vlan 100
PVLAN
概述 private VLAN 私有vlan IDC資料中心
角色
主VLAN
子 隔離VLAN 團體VLAN(聯盟VLAN)
子VLAN,隔離VLAN不能互訪 團體VLAN可以互訪
部署
vtp mode transparent
1.設定主VLAN
vlan 200
private-vlan primary
2.設定二級子VLAN
vlan 201
private-vlan isolated設定隔離VLAN
vlan 202
private-vlan community設定聯盟VLAN
3.將子VLAN劃入主VLAN中,建立一個聯絡或者關聯
vlan 200
private-vlan association 201-202
vlan 200
private-vlan association add 203加入一個子VLAN
private-vlan association remote 203移除一個子VLAN
4.將埠設定一個模式
int f0/1
switchport mode private-vlan host設定埠模式,根據子VLAN型別成為相應埠
switchport private-vlan host-association 200 201 將埠劃入VLAN200中的子VLAN201
show vlan private-vlan
int f0/1
switchport mode private-vlan promiscuous設定混雜埠
switchport private-vlan mapping 200 201-202 設定混雜埠所能管理的子VLAN
switchport private-vlan mapping 200 add/remove 203 增加或移除一個可管理的子VLAN
AAA
概述 安全模型,用於實現使用者安全認證
Authentication 認證 能否通過
Authorization 授權 能做什麼
Accounting 審計 做了什麼
應用
802.1x PPPOE 安全裝置管理
協議
面向伺服器
radius 業界標準
tacacs+ 思科私有
配置
第一步,部署AAA伺服器(acs.4.2.124.win進行操作)
建立使用者名稱和密碼
定義AAA客戶端、協議(在network config處配置AAA client資訊)
第二步,部署AAA客戶端(三層交換進行操作)
aaa new-model 開啟AAA 功能
aaa authentication login cisco group tacacs+ 定義認證列表
將認證列表應用到vty下
line vty 0 4
login authentication cisco(同上面定義的名字要一致)
指定AAA伺服器
ip tacacs source-interface vlan 1 指定本地與伺服器通訊地址
tacacs-server host 192.168.1.253(AAA伺服器地址) key cisco123(定義客戶端時候的密碼)
show users
test aaa group tacacs+ pinginglab cisco(使用者登陸的帳號密碼) new-code
802.1x 面向使用者的
使用者接入安全協議,發源於無線網路技術
配置
第一步AAA伺服器的配置
定義AAA客戶端,認證使用者名稱密碼,並放置到特定的vlan
network config 選擇Radius型別
interface config 勾選64,65,81項
tunnel-type 選擇vlan型別
tunnel-medium-type 選擇802
tunnel-private-group-id 選擇進入vlan號
user setup 要勾上
第二步交換機上的配置
1.開啟AAA和dot1x
aaa new-model
dot1x system-auth-control 開啟802.1x功能
radius-server host 192.168.1.253 cisco123
ip radius source-interface vlan 1
2.為dot1x開啟認證和授權功能
aaa authentication dot1x default group radius 編寫認證列表
aaa authorization network default group radius編寫授權列表
3.介面下配置dot1x
int f0/2
sw mo acc
dot1x port-control auto 介面開啟受控自動單元
spanning-tree portfast
第三步,客戶端配置(win7)
雙擊dot1xMD5.reg載入登錄檔,開啟WIN7網絡卡的MD5質詢功能
開啟網絡卡認證服務(我的電腦--管理--服務和應用程式--服務 wired autoconfig設定為自動並開啟)
檢視網絡卡屬性(身份驗證--MD5-challenge--其他設定--指定身份驗證模式(使用者驗證模式))
show dot1x int f0/2
定義 快速生成樹
RSTP 802.1W
STP 802.1D
MSTP 802.1S
背景 STP的速度過慢,L2,L3速度不協調
RSTP 埠狀態
1 STP埠狀態
BLOCKING 20s 阻塞資料,接受BPDU,不轉發其他資料
LISTENING 15s 埠選舉
LEARNING 15s 地址學習
FORWARDING 資料轉發
2 RSTP埠狀態 最慢6秒
Discarding 阻塞
Learning 學習
Forwarding 轉發
RSTP 埠角色
1 STP埠角色
RP 根埠,每個非根到根的埠,用於接受BPDU
DP 指定埠,每條鏈路都必須有得用於轉發BPDU
NDP阻塞埠,每個環路拓撲必須有,用於阻塞資料
2 RSTP埠角色
RP 根埠
DP 指定埠
AP 替代埠 AP作為RP的備份 當RP故障時候,AP馬上切換成RP 類似Uplinkfast
BP 備份埠 BP作為DP的備份 當DP故障時候,能夠快速切換
EP 邊緣埠 類似Postfast特性,用於加速使用者的接入
命令 spanning-tree mode rapid-pvst
RSTP 收斂機制
P/A機制:使一個指定埠儘快進入Forwarding狀態
TC機制:使網路實現加速收斂
STP收斂機制
被動式收斂
RSTP收斂機制
主動式收斂 網路變動時候,主動發起協調包
P/A機制 proposal--syn--agreement 就是兩個特殊的BPDU包
P/A機制是一中逐段收斂機制,通過每段鏈路的獨立握手過程,實現全網的鏈路收斂
P/A機制中誰會發送Proposal包給變動的DP口(處於阻塞狀態的DP口)
同步過程在做兩個事情,一個是阻塞所有口,一個是埠選舉
快速體現在哪裡
1.埠狀態從四個壓縮到三個
2.借鑑portfast和uplinkfast,引入AP和BP埠角色
3.採用主動式收斂,不再依賴計時器進行收斂,而是通過P/A機制和TC機制來主動響應網路拓撲
配置流程 Trunk--VTP--VLAN--RSTP
MSTP 多生成樹
STP:不能負載均衡,速度慢 802.1D
PVST:能負載均衡,速度慢(私有)
RSTP:不能負載均衡,速度很快 802.1W
RPVST:能負載均衡,速度很快,資源佔用大(私有)
MSTP:能負載均,速度很快,資源佔用小 802.1S
公共生成樹 所有VLAN共享一棵樹
n個VLAN,n個樹
工作原理
三要素:域名,版本號,例項
PVST:每個VLAN一棵樹
MSTP:每個例項一棵樹
MSTP是在RSTP的基礎上進行開發的,能夠整合所有RSTP的特性
MSTP的例項可以對映多個VLAN,每個例項有獨立的樹
預設情況下,所有VLAN關聯到例項0
MSTP的域名和版本號需要一致才能進行選舉
基本配置
第一步,全域性開啟MSTP
spanning-tree mode mst
第二步,定義MSTP域名,版本和例項
spanning-tree mst configuration
name PG
revision 1
instance 1 vlan 10,30
instance 2 vlan 20,40
第三步,定義主根和備根
spanning-tree mst 1 root primary
spanning-tree mst 2 root secondary
show spanning-tree mst 1
STP 安全
BPDU過濾,用於實現對接入口<access>的BPDU過濾
BPDU filter
第一種方法
spanning-tree portfast bpdufilter default
第二種方法
int f0/0
spanning-tree bpdufilter enable
檢視STP的高階特性
show spanning-tree summary totals
BPDU guard err-disable狀態 軟關閉
第一種方法
spanning-tree portfast bpduguard default
第二種方法
int f0/0
spanning-tree bpduguard enable
恢復埠狀態
errdisable recovery cause bpduguard
errdisable recovery interval 30
root guard 根防護
int f0/1
spanning-tree guard root
show spanning-tree vlan 1
protected port
int f0/1
switchport protected
同一交換機下,P口之間不能互訪,P口和正常口能相互訪問
不同交換機下,任何P口和正常口能相互訪問
多層交換基礎
資料處理
input interface--VLANacl--L2 lookup(mac)--Route acl--ip routing--Route acl--VLANacl--QoS--output interface
表項查詢
CAM L2-MAC 全域性匹配
CEF L3-IP 最長匹配
程序交換 放在記憶體中
快速交換 放在快取中,一次查詢多次轉發
CEF交換 控制平臺(計算策略表項)+轉發平臺(轉發資料)
MSFC 多層交換轉發卡
PFC 策略轉發卡
在負載均衡的過程中一般要把ip cef 給關掉
DHCP 單播包 discover-offer-request-ack
因為跨網段的廣播請求會被三層裝置丟棄,所以要將廣播包轉換為單播包
DHCP 根據中繼包中的源IP地址(VLAN的閘道器地址)確定客戶端所屬VLAN
部署
int range vlan 10 , 20
ip helper-address 172.16.1.254(dhcp伺服器的地址)
DHCP服務伺服器配置
ip dhcp pool vlan10
network 192.168.10.0 255.255.255.0
default-router 192.168.10.254
dns-server 114.114.114.114
lease 7
要做返回的路由
ip route 192.168.10.0 255.255.255.0 e0/3 保證DHCP包能夠返回
交換機中需要no switchport
鏈路冗餘
L2在匯聚層、接入層
int range e0/2 , e0/3
sw tr en do
sw mo tr
channel-group 1 mo on
show int port-channel 1
show etherchannel summary
部署
LACP--標準
PAGP--思科私有
L3在匯聚層、核心層
int range e0/2 , e0/3
no switchport
channel-group 1 mo on
int port-channel 1
ip add 172.16.23.1 255.255.255.0
show etherchannel summary
閘道器冗餘
HSRP 熱備份路由協議
應用層 基於UDP 1985
虛擬閘道器(Active Standby)
虛擬地址(IP MAC)
虛擬MAC:廠商程式碼+協議程式碼+組程式碼
虛擬IP:自由規則<一般最前或最後>
Active/Standby priority(0-255) 越高越優先,預設為100
部署
int vlan10
ip add 192.168.10.253 255.255.255.0
standby 10 ip 192.168.10.254
standby 10 priority 200
int vlan10
ip add 192.168.10.252 255.255.255.0
standby 10 ip 192.168.10.254
standby 10 priority 100
show standby brief
STP的負載均衡--HSRP要對應起來
HSRP分組 Hello分組(3s週期,10s Holdtime),Coup政變,Resign 辭職
int vlan 10
standby 10 preempt 開啟搶佔
HSRP狀態機
Initial Learn Listen Speak Standby Active
HSRP認證
int vlan10
standby 10 authentication md5 key-string pinginglab
鏈路追蹤
int vlan 10
standby 10 track f0/0 150
standby 10 track f0/2 150
VRRP 業界標準 協議號,112 組播地址224.0.0.18
HSRP vs VRRP
角色:master backup
時間: Hellotime 1s,Holdtime 3s
層次:HSRP:應用層 VRRP:傳輸層
配置:standby--vrrp
分組:vrrp--advertise
VRRP部署 基於vlan組的負載均衡
int vlan10
ip add 192.168.10.253 255.255.255.0
vrrp 10 ip 192.168.10.254
vrrp 10 priority 200
vrrp 10 authentication md5 key-string pinginglab
track 1 int f0/0 line-protocol
int vlan 10
vrrp 10 track 1 decrement 150
GLBP 閘道器負載均衡協議 基於mac地址的負載均衡
可以實現同網段的負載均衡
原理
閘道器角色 AVG(活動虛擬閘道器) AVF(活動虛擬轉發器)
虛擬地址 一個虛擬IP 多個虛擬MAC
部署:
int vlan 10
ip add 192.168.10.253 255.255.255.0
glbp 10 ip 192.168.10.254
glbp 10 priority 200
glbp 10 preempt
HSRPVRRPGLBP
虛擬IP不能為物理介面地址可為物理介面地址不能為物理介面地址
虛擬MAC0000.070c0000.5e00最多4個AVG分配
組播地址UDP1985224.0.0.2IP 112 224.0.0.18UDP3222 224.0.0.102
資料包hello,resign,coupvrrp通告報文hello
Hello間隔 3s,10s1s,3s3s,10s
路由器角色 active,standby,listen master,backupAVF,AVG(active,standby)
搶佔功能 預設關閉預設開啟預設關閉
負載均衡 多組負載均衡多組負載均衡組內負載均衡(基於主機加權輪詢)
轉發路由器 ActivemasterAVF
High Availablity
高可用技術建立在冗餘的硬體基礎只上
引擎冗餘
引擎(裝置的心臟/CPU)主控板
主要技術:RPR;RPR+;SSO;NSF
虛擬化技術
思科:VSS
銳捷:VSU
華三:IRF
上行鏈路冗餘
兩個引擎各連線不同上游交換機
電源冗餘
主要是連線不同的電源,例如UPS不間斷供電
SSH
secure shell 安全套接字
加密版的telnet
SSH 服務端配置
ip domain-name cisco.com 定義域名
crypto key generate rsa
ip ssh authentication-retires<0-5> 定義登陸次數
ip ssh version 2
username PL password 0 cisco
line vty 0 4
login local
ssh 客戶端登陸
ssh -l PL 172.16.24.2
VTY
line vty 0 2 同時允許的人數
login local
transport input ssh
transport output ssh
line vty 3 15 關閉3-15的登陸
transport input none
transport output none
VTY限制:通過IP+協議的方式來實現
access-list 1 permit host 192.168.1.1
line vty 0 4
access-class 1 in
HTTPS
配置
ip http server
ip http secure-server
ip http authentication enable 開啟HTTP認證
ip http authentication local 呼叫本地使用者名稱資料庫
username cisco priviliege 15 password cisco 定義使用者名稱和密碼
Banner
banner login #字元# 進來前
banner motd #字元# 進來後
CDP 思科發現協議
方法一 全域性關閉
no cdp run
方法二 介面下關閉
int f0/0
no cdp enable
show cdp nei
VLAN安全
VLAN跳躍攻擊
1.交換機預設情況從Access口收到的包為不打標籤的包,一般交換機若從接入口收到標籤包則丟棄
2.特殊情況下,若接入口的標籤為Nation vlan的標籤,則交換機去掉次標籤,並轉發到TRUNK,黑客根據此特性進行二層標籤包封裝並夾帶病毒等進行攻擊
3.要解決以上問題,修改預設native vlan;關閉特殊解包環境-不轉發從接入口過來的標籤資料
MAC安全
int f0/2
sw access vlan 10
sw mo acc
sw port-security
sw port-security maximum 2
sw port-security mac-add sticky
errdisable recovery cause psecure-violation
errdisable recovery interval 30
DHCP 安全
ip dhcp snooping
ip dhcp snooping vlan 10
int f0/1
ip dhcp snooping trust
ip dhcp snooping database flash:dhcp_snooping.db
show ip dhcp bind
show ip dhcp snooping bind
關閉DHCP增強屬性
no ip dhcp snooping information option
現象:若部署了DHCP偵聽,則違反規則後,介面丟棄OFFER和ACK包
dhcp snooping 偵聽
trusted 不需偵聽,可允許私有DHCP包
untrusted 需偵聽,無法接受offer、ack
DHCP偵聽表,四個要素 MAC-IP-PORT-VLAN
ARP安全
ip arp inspection vlan 10
int f0/1
ip arp inspection trust
現象:若部署了ARP防護,則違反規則後,介面處於err-disable狀態
三個要素 IP-MAC-PORT
IP安全
int f0/1
ip verify source
show ip verify source IP源檢測
IP--PORT
總結,
DHCP偵聽,防止DHCP欺騙攻擊,非信任口不能傳送offer/ack包生成DHCP偵聽表,用於後續其他安全技術呼叫
動態ARP檢測,防止ARP欺騙攻擊,非信任口無法傳送非法ARP包,違反規則後接口關閉
IP源防護,防止IP地址欺騙,檢測埠無法傳送非法IP包,違反規則介面正常,但是丟棄IP包
流量安全
風暴控制
no spanning-tree vlan 1
int f0/1
sw mo acc
spanning-tree portfast
storm-control broadcast level 10.00限制廣播包最大為埠的百分之十
storm-control multicast level pps 2m限制組播包每秒兩百萬個
storm-control unicast level bps 1m限制單播包沒叫一百萬位元
storm-control action shutdown若超過閥值,則關閉埠
storm-control action trap若超過閥值,告知網管平臺
show storm-control broadcast
show storm-control unicast
errdisable recovery cause storm-control
errdisable recovery interval 30
VACL 區域網互訪策略
功能:實現不同VLAN的互訪控制
RACL 路由
VACL 虛擬區域網
PACL 埠
原理 VLAN流量隔離
由於VLAN間通訊需要經過三層交換機,所有VLAN的互訪控制VACL也需要在三層匯聚層交換機上執行
第一步,定義感興趣流
access-list 1 permit 192.168.30.0 0.0.0.255
第二步,定義VACL
vlan access-map deny30 10
action drop執行拒絕動作
match ip address 1匹配感興趣流量
vlan access-map deny30 20
action forward執行轉發動作
第三步,呼叫到VLAN中
vlan filter DENY30 vlan-list 10 在VLAN 10中呼叫DENY30的策略
SPAN
概述 埠映象 抓包 流量分析
LOCAL SPAN 本地SPAN
被監聽和監聽埠處於同一交換機
monitor session 1 source int f0/24
monitor session 1 destination int f0/23
REMOTE SPAN 遠端SPAN
第一步,定義Remote VLAN 所有經過的交換機都需要部署
VLAN 100
remote-span
第二步,在被監聽交換機上將流量引入remote vlan
monitor session 1 source f0/24
monitor session 1 destination remote vlan 100 reflect-port f0/5
第三步,在監聽交換機上將流量引入監聽埠
monitor session 1 destination int f0/23
monitor session 1 source remote vlan 100
PVLAN
概述 private VLAN 私有vlan IDC資料中心
角色
主VLAN
子 隔離VLAN 團體VLAN(聯盟VLAN)
子VLAN,隔離VLAN不能互訪 團體VLAN可以互訪
部署
vtp mode transparent
1.設定主VLAN
vlan 200
private-vlan primary
2.設定二級子VLAN
vlan 201
private-vlan isolated設定隔離VLAN
vlan 202
private-vlan community設定聯盟VLAN
3.將子VLAN劃入主VLAN中,建立一個聯絡或者關聯
vlan 200
private-vlan association 201-202
vlan 200
private-vlan association add 203加入一個子VLAN
private-vlan association remote 203移除一個子VLAN
4.將埠設定一個模式
int f0/1
switchport mode private-vlan host設定埠模式,根據子VLAN型別成為相應埠
switchport private-vlan host-association 200 201 將埠劃入VLAN200中的子VLAN201
show vlan private-vlan
int f0/1
switchport mode private-vlan promiscuous設定混雜埠
switchport private-vlan mapping 200 201-202 設定混雜埠所能管理的子VLAN
switchport private-vlan mapping 200 add/remove 203 增加或移除一個可管理的子VLAN
AAA
概述 安全模型,用於實現使用者安全認證
Authentication 認證 能否通過
Authorization 授權 能做什麼
Accounting 審計 做了什麼
應用
802.1x PPPOE 安全裝置管理
協議
面向伺服器
radius 業界標準
tacacs+ 思科私有
配置
第一步,部署AAA伺服器(acs.4.2.124.win進行操作)
建立使用者名稱和密碼
定義AAA客戶端、協議(在network config處配置AAA client資訊)
第二步,部署AAA客戶端(三層交換進行操作)
aaa new-model 開啟AAA 功能
aaa authentication login cisco group tacacs+ 定義認證列表
將認證列表應用到vty下
line vty 0 4
login authentication cisco(同上面定義的名字要一致)
指定AAA伺服器
ip tacacs source-interface vlan 1 指定本地與伺服器通訊地址
tacacs-server host 192.168.1.253(AAA伺服器地址) key cisco123(定義客戶端時候的密碼)
show users
test aaa group tacacs+ pinginglab cisco(使用者登陸的帳號密碼) new-code
802.1x 面向使用者的
使用者接入安全協議,發源於無線網路技術
配置
第一步AAA伺服器的配置
定義AAA客戶端,認證使用者名稱密碼,並放置到特定的vlan
network config 選擇Radius型別
interface config 勾選64,65,81項
tunnel-type 選擇vlan型別
tunnel-medium-type 選擇802
tunnel-private-group-id 選擇進入vlan號
user setup 要勾上
第二步交換機上的配置
1.開啟AAA和dot1x
aaa new-model
dot1x system-auth-control 開啟802.1x功能
radius-server host 192.168.1.253 cisco123
ip radius source-interface vlan 1
2.為dot1x開啟認證和授權功能
aaa authentication dot1x default group radius 編寫認證列表
aaa authorization network default group radius編寫授權列表
3.介面下配置dot1x
int f0/2
sw mo acc
dot1x port-control auto 介面開啟受控自動單元
spanning-tree portfast
第三步,客戶端配置(win7)
雙擊dot1xMD5.reg載入登錄檔,開啟WIN7網絡卡的MD5質詢功能
開啟網絡卡認證服務(我的電腦--管理--服務和應用程式--服務 wired autoconfig設定為自動並開啟)
檢視網絡卡屬性(身份驗證--MD5-challenge--其他設定--指定身份驗證模式(使用者驗證模式))
show dot1x int f0/2