当前位置:首页 > CCNP交换难点说明
一 日志:
1.syslog安全级别 syslog严重性 emergency(紧急) alert(告警) critical(严重) error warning notice(注意) information(信息) debugging(调试) 严重级别 级别0,最高级别 1 2 3 4 5 6 7 2.syslog日志格式: eg:
%SYS-5-CONFIG_I:Configured from console by cwr2000 on vty0 (192.168.64.25)
úcility(特性)+severity(严重级别)+mnemonic(助记码)+message-text(消息文本) 3.配置syslog
logging
show logging | inc LINK-3或者beg %DUAL 查看日志消息
二.SNMP
1.三元素:网络管理应用(SNMP管理器),SNMP代理(运行在被管理设备内),MIB数据库对象(以预先定义好的格式来描述信息,这个格式是代理可以用来发布数据的格式) 2.SNMP版本:
V1:get request--get next request--set request--get response--trap(陷阱) V2: get bulk request(获得批量请求)--inform request
V3安全级别:noAuthNoPriv--authNoPriv--authPriv(auth 认证,priv 隐私,加密) 3.配置 snmp:
snmp访问列表--snmp团体字符串-- snmp trap接收方--snmpv3用户 eg:
access-list 100 permit ip 10.1.1.0 0.0.0.255 any snmp-server community cisco RO 100 snmp-server community xyz123 RW 100 snmp-server trap 10.1.1.50
说明:子网10.1.1.0/24中所有PC都可以通过cisco和xyz123对本地交换机进行访问
三.IP SLA(服务水平协议)
1.SLA中技术的组成部分:网络可用性水平+就往返时间(RTT)而言的网络性能+延迟,抖动,丢包率而言的网络响应.
2.使用的端口号:控制端口:UDP 1967,传输测试包端口号:UDP 2020 3.配置IP SLA:
IP SLA检查(probe)--激活检查--追踪目标--追踪目标上的行为 eg:
ip sla monitor 11
type echo prot ipIcmpEcho 10.1.1.1 source-int f0/1 frequncy 10 exit
ip sla monitor schedule 11 life forever start-time now track 1 ip sla 11 reachability
show ip sla statistics/configuration
四.RPR(路由处理冗余性)+NFS(不间断转发)+SSO(状态化故障倒换) 配置:
redundancy mode rpr-plus exit
redundancy mode sso exit
router bgp 100 bpg graceful-restart exit
router ospf 200 nsf end
show redundancy states
五.GLBP(网关负载分担协议): 1.运作:
GLBP允许进行自动选择,并同时使用组中的所有可用网关,如A,B,C,D。GLBP组中的成员会选举一个网关来担任该组的AVG(活跃虚拟网关),如A,AVG会为GLBP组所有成员配一个虚拟MAC地址(A1,B1,C1,D1),所有路由器都会做为一个AVF(活跃虚转发者)来转发到自己虚拟MAC地址的数据帧(to A1,to B1,to C1,to D1)。当客户端(P1,P2)发送ARP请求来获得默认网关的地址(P1--A1,P2--B1)时,AVG(A)会在ARP响应中发送到相应的虚拟MAC地址(A1,B1)。一个GLBP组中最多可以有4个组成员。 2.配置GLBP:
track 10 interface f0/1 line-protocol
track 20 interface f0/2 line-protocol (f0/1和f0/2为交换机上联端口) int vlan 10
ip add 192.168.1.2 255.255.255.0 glbp 1 192.168.1.1
glbp 1 weighting 110 lower 85 upper 105 glbp 1 timers mesc 200 msec 700
glbp 1 preempt delay minimum 300
glbp 1 authentication md5 keystring xyz123 glbp 1 wighting track 10 decrement 10 glbp 1 wighting track 20 decrement 20
说明:当f0/1 down掉,110-10=100,还可以通过f0/2转发,当f0/2 down掉。110-20=90,还可以通过f0/1转发。如果f0/1与f0/2都down掉的话,110-10-20=80,路由器就不转发,直到两个端口up,weighting(权值)高于105时,才开始转发数据
六.vlan solution
1.end-to-end vlan:接入交换机上拥有所有的vlan的划分
① 各vlan遍布整个网络的所有位置
② 无论用户的物理位置何在,其都可以划分到各个vlan中 ③ 无论用户如何移动,其所在vlan关系不发生变化 ④ VP模式一T般是:client/server
⑤ 80/20原则:20流量是VLAN内部的,80是跨VLAN的
2.local vlan:接入交换机只拥有本地的vlan划分
① 创建vlan时,是在网络的物理边界,而不是终端用户的工作领域 ② 一般来说,本地vlan存在于接入层与分布层之间 ③ VTP模式为transparent
④ 使用路由协议取代二层网络的STP技术,拥有收敛时间的优势.建议每个接入交换机最大不超过3个vlan.
⑤ 20/80原则
3.vlan实施方案:
reference to design document(相关设计文档)--roll back guidelines(回退指导)--detailed implementation on plans(详细实计划)--time required to perform the implementation(所需时间)
4.vtp vlan设计:
number of ip subnets--location of vlan-- details of vlan assignments--end to end trunks--vtp modes
5.voice包的优先级:
voice--video interactive--video streaming--call signaling--ip routing--network management
6.local vlan+三层转发方案:
vlan solution related questions--is there inter-switch connectivity--what version of VTP is being used--what vlans are available on each switch--what switch ports are available in each building
7.AP与AC连接顺序:
AP在layer 2 mode用LWAPP找AC--AP管理者发送join request 用least number--AC用管理地址发送discovery response回应--AP通过unicast发送WAPP discovery request来获取AC的管理地址--AP要求通过DHCP来获取IP地址--AP用3层上WAN.
8.STP各种保护机制:
① loopguard(环路保护):当冗余拓扑中的STP阻塞端口错误地过渡到转发状态的时候,而会产生环路,启用loopguard后,过渡的时候会进行检查,使端口进入\不一致环路(loop-inconsistent)\的阻塞状态,直到这个端口接受到BPDU的时候,这端口才会自动重新过渡到STP状态.一般是在根端口与替代端口上启用该特性.
② 全局portfast bpdufilter是防止在portfast特性的接口上再发送BPDU,可以防止主机发送不必要的BPDU,所以交换机这些端口收到BPDU,那么portfast和bpdufilter都会禁用,转变成正常的STP端口进行收发BPDU数据包。接口portfast bpdu:此端口不收发任何BPDU
③ portfast bpduguard (在已经是portfast端口上配置)在交换机的端口一旦收到BPDU包时,立刻关闭端口(进入err-disable状态),避免了更大范围的广播风暴.
④ portfast特性是不接收BPDU,如果接收到BPDU,就表示配置有误
9.交换机攻击手段: 攻击方法 MAC flooding 描述 具有唯一且无效的source MAC地址的数据帧向交换机泛洪,消耗完交换机的CAM表空间,从而使有效的MAC地址无法加入CAM表中.去往无效主机的流量会向所有端口泛洪 通过修改trunk链路中封装的数据包的vlan ID,攻击设备可以发送或接收不同vlan中的数据包,而绕过三层安全性机制 即使公共vlan中的设备,也需要逐一进行保护,尤其是在为多个客户提供设备的服务提供商网段中尤为如此 攻击设备可以在一段时间内,消耗完DHCP服务器上的可用地址空间,或者在中间人攻击中,把自己伪装成DHCP服务器 攻击设备伪装成STP拓扑中的根网桥,成功后,网络攻击都可以看到各种数据帧 攻击设备伪装成当前CAM表中合法MAC地址,这样交换机就会把去往设备的数据帧转发到攻击设备上 攻击设备故意为合法伪造ARP应答.攻击设备的MAC地址就会成为合法网络设备所发出的数据帧的二层目的地址 通过CDP发送的信息是明文形式且未加密,若攻击者截获CDP消息,就可以获悉网络拓扑信息 telnet数据包可以以明文形式查看.SSH可以对数据包进行保护,但v1仍有安全问题 缓解步骤 端口安全,MAC地址vlan ACL vlan hopping(跳转) 公共vlan设备之间攻击 DHCP耗竭和DHCP 欺骗 spanning-tree欺骗 MAC欺骗 ARP欺骗 加强trunk配置和未使用端口的协商状态,把未使的端口放入公共vlan PVLAN DHCP snooping 主动配置主与备根设备,guard root 使用DHCP侦听,端口安全 使用动态ARP检测,DHCP侦听,端口安全 在没有使用的端口上禁用CDP 使用SSHv2,使用telnet结合VTY ACL CDP修改 SSH和telnet攻击
① MAC泛洪攻击:
1,二层交换机是基于MAC地址去转发数据帧的。
2,转发过程中依靠对CAM表的查询来确定正确的转发接口。
3,一旦在查询过程中无法找到相关目的MAC对应的条目,此数据帧将作为广播帧来处理。 4,CAM表的容量有限,只能储存不多的条目,当CAM表记录的MAC地址达到上限后,
本文作者:...共分享92篇相关文档
