-
【转载】交换高级特性 —— DHCP snooping(DHCP欺骗泛红攻击)
目录 一、DHCP欺骗泛洪攻击 (1)钓鱼网站简介: (2)DNS的作用: (3)DHCP中继技术简介: (3-1)核心交换机DHCP配置命令: (4)dhcp欺骗详解: 第一步:pc2作为恶意攻击者会耗尽DHCP Sever的地址池,让DHCP Server不能给p c1分配地址池 第二步:pc2充当DNS和DHCP 欺骗pc1 (4-1)图解: 二、防御——DHCP snooping (1)开启DHCP SNOOPING之后的效果: (2)配置案列 一、DHCP欺骗泛洪攻击 (1)钓鱼网站简介: • 钓鱼网站是指欺骗用户的虚假网站。“钓鱼网站”的页面与真实网站界面基本一致,欺骗消费者或者窃取访问者提交的账号和密码信息。钓鱼网站一般只有一个或几个页面,和真实网站差别细微 [1] 。钓鱼网站是互联网中最常碰到的一种诈骗方式,通常伪装成银行及电子商务、窃取用户提交的银行账号、密码等私密信息的网站。 (2)DNS的作用: • 把域名翻译为IP, 客户机向DNS服务器发送域名查询请求;DNS服务器告知客户机web服务器的IP地址,客户机与web服务器通信 (3)DHCP中继技术简介: • 一般情况下,DHCP Server和DCHP Client都必须处于同一个网络中,这是因为DHCP的报文有些是以广播的形式发送,如果不位于同一个网络,则这些广播的报文就无法跨越三层路由设备传输。而在有些情况下,DHCP服务必须跨越不同的网络,这时,我们就可以配置DHCP中继服务。DHCP中继,其实就是在与DHCP Server不同而又需要申请DHCP服务的网络内,设置一个中继器,中继器在该网络中代替DHCP Server服务器接收DHCP Client的请求,并将DHCP Client发给DHCP Server的DCHP报文,以单播的形式发送给DHCP Server。DHCP Server在收到由DHCP发送来的DHCP 报文后,同样会把响应的DHCP报文发送给DHCP 中继。这样,DHCP其实是充当了一个中间人的作用,起到了在不同的网络中运行DHCP的目的。 (3-1)核心交换机DHCP配置命令: interfa……
SE_You
2024-04-09
303 0 0 -
【转载】CPU保护机制 —— COPP技术 (案列+配置) |||| SDN——转控分离
目录 一、一机双平面(转控分离): (1) SDN——详细: 二、copp技术简介: (1)DDOS攻击(分布式拒绝服务攻击): (2)DOS攻击(拒绝服务式攻击): 三、相关配置: (1)控制层端口: (2)基于传输层端口进行过滤(去往CPU的传输层流量执行过滤) (3)利用ACL 四、实验案例: 一、一机双平面(转控分离): (1) SDN——详细: SDN介绍(什么是SDN)_Atlan_blog-CSDN博客_sdn SDN基本概述_曹世宏的博客-CSDN博客_sdn ————————————————————————————————————————————————————————— 二、copp技术简介: • (1)COPP是Control Plane Policing 的缩写,即控制面板策略,控制面板策略这个特性让用户通过配置QOS过滤来管理控制面板中的数据包,从而保护路由器和交换机免受DOS的攻击,控制面板在无论流量多大的情况下都能管理数据包交换和协议的状态情况。 • (2)控制和限制去往CPU(控制层)的流量一般是做限速,限速到一个比较低的速率,防止CPU利用率达到100%(保护控制层的CPU,防止DDOS攻击) (1)DDOS攻击(分布式拒绝服务攻击): • 是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。 DDOS攻击原理介绍,可怕的DDos攻击_longlong6682的博客-CSDN博客_ddos攻击原理 (2)DOS攻击(拒绝服务式攻击): • DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络宽带攻击和连通性攻击。 • 列如,互联网上有一台web服务器,而服务器有并发连接数限制,与内存有关。内存越大,并发连接数越大。假设并发连接数为100……
SE_You
2024-04-08
48 0 0 -
【转载】真实网络设备的(基本登录+命令配置+相关文件级操作系统的删除和保存)
目录 一、网络设备基本接口介绍 二、console接口登录步骤: 三、CRT(配置命令/操作系统)的保存; (1)配置文件的保存: (2) 网络设备操作系统的复制与保存: (3)操作系统和配置文件的删除: 一、网络设备基本接口介绍 —————————————————————————————————————————————————————————— 二、console接口登录步骤: ①物理链路连接 ②安装驱动(驱动大师) ③打开CRT按照操作步骤连接 —————————————————————————————————————————————————————————— 三、CRT(配置命令/操作系统)的保存; (1)配置文件的保存: ①首先创建日志文件: ②然后再: sh run 的时候看不见vlan和vtp的配置所以得单独 sh vtp status sh vlan-sw ③记事本打开 —————————————————————————————————————————————————————————— (2) 网络设备操作系统的复制与保存: PC所需软件: 交换机作为 tftp client , pc作为 tftp server, ①pc打开 tftp 软件,选择IP: ②备份文件: R1#copy flash: tftp: Source filename []? vlan.dat ——源文件名称 Address or name of remote host []? 192.168.41.1 ——发送到哪里 Destination filename [vlan.dat]? (R1#copy tftp: flash: 从tftpd server拷贝到设备) ———————————————————————————————————————————————————————— (3)操作系统和配置文件的删除: (R1#wr 保存文件) (R1#reload 重启设备) R1#delete flash:vlan.dat ——删除vlan数据库 R1#delete flash:private-config.text ——删除配置文件 !!!!R1#delete flash:如果直接回车,那么所有的操作系统都会被删除。 导入操作系统时,(可以新老并存)避免新操作系统出现问题,无操作系统 ———————————————— 版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 原文链接:https://blog.csdn.net/q……
SE_You
2024-04-07
9 0 0 -
【转载】OSPF——DR和BDR讲解
目录 一、DR/BDR简介: 二、OSPF邻居关系存在规律及缺点: (1) 邻居关系数量变化规律: (2)邻居关系过多缺点: 三、为什么选举DR和BDR: 四、 解决方法:引入DR、BDR 解决过程: 五、DR及BDR的选举: 六、DR和BDR选举情况: DR和BDR选举原则 一、DR/BDR简介: • ①DR:一个广播性、多接入网络中的指定路由器(Designated Router) • ②BDR:为减小多路访问网络中OSPF流量,OSPF会选择一个指定路由器(DR)和一个备份指定路由器(BDR)。当多路访问网络发生变化时,DR负责更新其他所有OSPF路由器。BDR会监控DR 的状态,并在当前DR发生故障时接替其角色。 ———————————————————————————————————————————————————————— 二、OSPF邻居关系存在规律及缺点: (1) 邻居关系数量变化规律: • n*(n-1)/2 // n当前路由器个数 (2)邻居关系过多缺点: • (1)大量产生hello包,消耗CPU性能 • (2)产生重复路由通告,消耗CPU性能(R4将路由通告给R1、R2、R3,然后R2又查找邻居,继 续通告4.4.4.0的路由,导致通告重复) • (3)任何一台路由器的路由变化都会导致多次传递,浪费了带宽资源 ———————————————————————————————————————————————————————————— 三、为什么选举DR和BDR: • 在一个共享的广播网络多台路由器建立OSPF,有可能会产生大量的OSPF邻居在这些大量的OSPF邻居发送大量的OSPF报文,造成其他路器接收到大量的OSPF重复报文浪费带宽资源和设备CPU计算资源,还可能会产生风暴。 ———————————————————————————————————————————————————————— 四、 解决方法:引入DR、BDR 解决过程: 如图:当DR和BDR选举完成之后,R4将路由通告给R1和R2,然而R2作为BDR,此时他知道DR还在(不会去代替DR,去通告其他DRother),所以R2收到路由存放在本地之后不会通告出去,而是由BR通告给R3。此时减少了重复通告,优化设备……
SE_You
2024-04-03
53 0 0 -
【转载】OSPF —— LSA特性总结 + 查看命令
目录 一、LSA特性及简介: (1)LSA-1: (2)LSA-2: (3)LSA-3: (4)LSA-4: (5)LSA-5: (6)LSA-7: 二、查看命令: 一、LSA特性及简介: (1)LSA-1: • 产生 : 每个区域内部路由器都会产生唯一的一个LSA-1 • 泛洪边界范围 : 只在这个区域内部泛洪,不会进入到到其他区域, • 作用:描述区域内部拓扑用的 (2)LSA-2: • 网络LSA(Network LSA):每一个多路访问网络中的指定路由器(DR)将会产生网络LSA通告。正如前面讨论的,DR路由器可以看作一个“伪”节点,或是一个虚拟路由器,用来描绘一个多路访问网络和与之相连的所有路由器。从这个角度来看,一条网络LSA通告也可以描绘一个逻辑上的“伪”节点,就像一条路由器LSA通告描绘一个物理上的单台路由器一样。网络LSA通告列出了所有与之相连的路由器,包括DR路由器本身。就像路由器LSA一样,网络LSA也仅仅在产生这条网络LSA的区域内部进行泛洪扩散。使用命令show ip ospf database network可以查看一条网络LSA通告的信息。请注意,和路由器LSA不同,网络LSA中没有度量字段。 • 产生 : DR路由器产生的 • 泛洪边界 : 只在区域内部泛洪同步 • 作用:描述网络拓扑 (3)LSA-3: • 产生 : ABR产生的(ABR链接两个不同的区域,且其中一个区域必须在骨干区域) • 泛洪边界 : 除了完全STUB区域,完全NSSA区域之外都可以到达 • 作用 : 通告区域间路由 • 网络汇总LSA(Network Summary LSA):是由ABR路由器始发的。ABR路由器将发送网络汇总LSA到一个区域,用来通告该区域外部的目的地址。 (4)LSA-4: • ASBR汇总LSA(ASBR Summary LSA):也是由ABR路由器始发的。ASBR汇总LSA除了所通告的目的地是一台ASBR路由器而不是一个网络外,其他的和网络汇总LSA都是一样的。使用命令show ip ospf database asbr-summary可以查看ASBR汇总LSA的信息。这里要注意,其中目的……
SE_You
2024-04-02
25 0 0 -
【转载】OSPF 的 LSA 类型汇总(包括 OSPFv2 和 OSPFv3)
OSPF LSA LSA(Link-State Advertisement,链路状态广播)是链接状态协议使用的一个分组,它包括有关邻居和通道成本的信息。 LSAs 被路由器接收用于维护它们的 RIB(路由表)。 OSPF 路由协议是链路状态型路由协议,这里的链路即设备上的接口。链路状态型路由协议基于连接源和目标设备的链路状态作出路由的决定。链路状态是接口及其与邻接网络设备的的关系的描述,接口的信息即链路的信息,也就是链路的状态(信息)。这些信息包括接口的 IPv6 前缀(prefix)、网络掩码、接口连接的网络(链路)类型、与该接口在同一网络(链路)上的路由器等信息。这些链路状态信息由不同类型的 LSA 携带,在网络上传播。 路由器把收集到的 LSA 存储在链路状态数据库中,然后运行 SPF 算法计算出路由表。链路状态数据库和路由表的本质不同在于:数据库中包含的是完整的链路状态原始数据,而路由表中列出的是到达所有已知目标网络的最短路径的列表。 OSPF 协议是为 IP 协议提供路由功能的路由协议。OSPFv2(OSPF 版本 2)是支持 IPv4 的路由协议,为了让 OSPF 协议支持 IPv6,技术人员开发了 OSPFv3(OSPF 版本 3),OSPFv3 由 RFC2740 定义。 LSA 类型 1、OSPFv2 LSA 类型: LSA 类型 LSA 类型编号 Router LSA 1 Network LSA 2 Network summary LSA 3 ASBR summary LSA 4 Autonomous system external LSA 5 Group membership LSA 6 NSSA External LSA 7 External attributes LSA for BGP 8 Opaque LSA(链路本地范围) 9 Opaque LSA(本地区域范围) 10 Opaque LSA(AS 范围) 11 注意:下面的文字描述还是比较详细的,如果文字描述确实是太多了,您可以只看字体加粗的部分。再往下还有 LSA 1 / 2 / 3 / 4 / 5 / 7 的类型总结。 (1)路由器 LSA(Router LSA):每一台路由器都会产生 1 类 LSA ……
SE_You
2024-04-01
73 0 0 -
【转载】OSPF——虚链路详解
一、OSPF虚链路简介: • 虚连接是指在两台ABR之间,穿过一个非骨干区域(转换区域——Transit Area),建立的一条逻辑上的连接通道,可以理解为两台ABR之间存在一个点对点的连接。“逻辑通道”是指两台ABR之间的多台运行OSPF的路由器只是起到一个转发报文的作用(由于协议报文的目的地址不是这些路由器,所以这些报文对于它们是透明的,只是当作普通的IP报文来转发),两台ABR之间直接传递路由信息。这里的路由信息是指由ABR生成的type3的LSA,区域内的路由器同步方式没有因此改变。 ——————————————————————————————————————————————————————————— 二、虚连接(Virtual-link): • 由于网络的拓扑结构复杂,有时无法满足每个区域必须和骨干区域直接相连的要求,为解决此问题,OSPF提出了虚链路的概念。 • 虚连接是设置在两个路由器之间,这两个路由器都有一个端口与同一个非主干区域相连。虚连接被认为是属于主干区域的,在OSPF路由协议看来,虚连接两端的两个路由器被一个点对点的链路连接在一起。在OSPF路由协议中,通过虚连接的路由信息是作为域内路由来看待的。 —————————————————————————————————————————————————————————— 三、配置命令分析: • 主要解决非骨干区没有和骨干区域直连,在两个真假ABR路由器上配置,让其中一个伪ABR路由器认为通过虚链路和骨干区域直连! • 虚链路配置在两个ABR上面进行配置而且一个ABR路由器其中一个接口必须在骨干区域,中间最多只能跨越一个区域,而且不能是特殊区域 • 配置虚链路使用两端ABR路由器的RID,前提确保这两个RID底层能通 router ospf 100 area 1 virtual-link 6.6.6.6 其中1代表两个ABR中间的承载区域,6.6.6.6 代表对方ABR路由器的RID • 在OSPF的路由选择配置模式下, • Transit area-id :转换区域的区域号 • Router-id :虚连接到目标的路由ID • 两个ABR上都……
SE_You
2024-03-29
18 0 0 -
【转载】OSPF高级特性—— OSPF认证 + OPSF负载均衡
目录 一、认证简介: 二、基于接口认证: (1)在R1和R2的串行链路上进行OSPF明文认证: (2)在R2和R3的串行链路上进行MD5认证的: (3)注意: 三、区域认证方法(私有技术) (1)明文认证: (2)密文认证 (3)注意: 四、虚链路认证: (1)明文认证 (2)密文认证 (3)虚链路——路由转发黑洞形成: 四、负载均衡: (1)负载均衡分类: (2)接口下修改优先级和cost 一、认证简介: • OSPF 的认证有确切说是3种,OSPF头里其中认证字段0表示无认证, 1表示明文认证, 2表示MD5认证。明文认证发送密码进行认证,而MD5认证发送的是报文摘要。有关MD5的详细信息,可以参阅RFC1321. • OSPF OSPF的认证可以在链路上进行,也可以在整个区域内进行认证。另外虚链路同样也可以进行认证。 ————————————————————————————————————————————————————————— 二、基于接口认证: (1)在R1和R2的串行链路上进行OSPF明文认证: (config-if)#ip ospf authentication(启用认证) (config-if)#ip ospf authentication-key cisco(配置密码) 只有一端开启通过debug工具我们可以看到如下信息: *Aug 15 22:51:54.275: OSPF: Rcv pkt from 10.1.1.2, Serial1/0 : Mismatch Authentication type. Input packet specified type 0, we use type 1 这里的type0是指对方没有启用认证,type1是明文认证,type 2是MD5认证。 R1#debug ip ospf events ——抓取OSPF事件信息 R1#un all ——关闭debug ——————————————————————————————————————————————————————————— (2)在R2和R3的串行链路上进行MD5认证的: (config-if)#ip ospf authentication message-digest(定义认证类型为MD5) (config-if)#ip ospf message-digest-key 1 md5 cisco(定义key ID和密码)两边keyID必须相同 注:如果要两台路由器邻居关系不中断的情况下修改认证密钥……
SE_You
2024-03-28
37 0 0 -
【转载】OSPF高级特性 —— 路由通告
目录 一、 不带条件的通告 二、(带条件)利用ACL匹配路由: 三、(带条件)利用前缀列表匹配路由: 总 二&三: 一、 不带条件的通告 r1(config)#router ospf 100 r1(config-router)#default-information originate metric 10 // 设置metric值 r1(config)#ip route 0.0.0.0 0.0.0.0 null 0 // 创建一个缺省路由下一跳为空接口,用于测试 两个ABR连接两个ISP,提供热备冗余备份。经测试,在骨干区域ABR打入这个命令会向骨干和非骨干都会通告,但一般用在边界的两个ABR上面。全ospf通告泛洪。 r1(config-router)#default-information originate metric 100//通告默认 ——但是这个默认必须提前在路由表中,在静态缺省路由之前(就是相当于自己配置一条缺省路由,然后重分发进OSPF里面) r1(config-router)#default-information originate always metric 15//强制通告 ——即使我路由表中没有默认,也会自动创建一个广播出去,且还有一个作用,减少默认路由抖动引起的数据库操作,保证数据库稳定。因为我R1就没有产生一个默认路由,就无从谈起默认路由抖动问题了。默认metric为1 r1(config-router)#default-information originate always metric 15 metric-type 1//强制通告并指定类型 ——其他路由器收到,这个15的外部cost值加上自己去ASBR(谁通告默认谁是ASBR)的cost值。在有多条链路去往ASBR的环境中适用。默认是OE*2(type 2),OE*1(type 1),利用这两者可以影响到路由选路 • OE*2:不会累加OSPF域内cost 值 • OE*1:可以累加OSPF域内cost 值 —————————————————————————————————————————————————————————— 二、(带条件)利用ACL匹配路由: r1(config)#access-list 1 per 3.3.3.0 0.0.0.255 r1(config)#route-map aaa per 10 r1(config-route-map)#match ip add 1 //调用ACL1 r1(config-route-map)#e……
SE_You
2024-03-27
14 0 0 -
【转载】OSPF高级特性 —— 路由聚合(汇总)
目录 一、路由聚合图解: 二、做路由聚合的优/缺点+应用: 三、OSPF里面对路由汇聚,只能在两个地方做 (1)ABR:仅针对本区域域内路由(以O开头的域内路由)做汇总,本区域的OIA的域间路由没有办法汇总 ——配置: (2)ASBR:针对重分发进来的外部路由做路由汇总 ——配置: 四、ip地址(聚合)汇总计算方法: (1)简单的 ,同一子网的汇总编辑 (2)复杂的,不同子网的汇总 一、路由聚合图解: ——————————————————————————————————————————————————————— 二、做路由聚合的优/缺点+应用: ①针对明细路由做汇总可以有效地减少OSPF路由器的数据库条目也就是路由表条目,合理的节省了设备性能 ②可以隐藏明细路由不稳定所造成的路由震荡问题 ③在 双出口做路由聚合时,有一个做,有一个没做会影响到路由选路 ④一般分支公司通往总公司的路由一般都要聚合 ——————————————————————————————————————————————————————— 三、OSPF里面对路由汇聚,只能在两个地方做 (1)ABR:仅针对本区域域内路由(以O开头的域内路由)做汇总,本区域的OIA的域间路由没有办法汇总 ——配置: ——对区域2里面的域内路由做汇总 ABR(config) #router os 100 ABR(config-router) #area 2 range 192.168.0.0 255.255.248.0 ABR(config-router) #exit 注: area area-id range ip-address mask not-advertise -(不通告,就是抑制他,过滤LSA-3。路由聚合只针对域内路由做聚合,不能针对区域间路由做聚合) —————————————————————————————————————————————————————— (2)ASBR:针对重分发进来的外部路由做路由汇总 ——配置: ASBR(config)#router os 100 ASBR(config-router)#summary-address 172.16.0.0 255.255.248.0 ASBR(config-router) #exit ——————————————————————————————————————————————————————— 四、ip地址(聚……
SE_You
2024-03-26
64 0 0
路由器
