xdays

CCNP-Switch-Security

  • 交换机安全的知识框架
    • MAC层的攻击及解决方案
    • MAC扩散
    • 解决方案
  • Vlan层攻击及解决方案
    • vlan跳跃攻击
    • 解决方案
    • vlan流量控制
    • Pvlan部署
    • 隔离端口
  • 欺骗攻击
    • DHCP欺骗(DHCP spoofing)
    • 解决方案
    • 盗地址
    • 解决方案
    • ARP欺骗
    • 解决方案

交换机安全的知识框架

威胁类型 应对措施
MAC层攻击 端口安全(基于mac允许和拒绝,阻止单播扩散)
vlan攻击 vlan跳跃 所有非trunk置于access
vlan流量控制 RACL,VACL和PACL
Pvlan和隔离端口 限制相同网段主机之间访问
spoofing(欺骗)攻击 DHCP spoofing DHCP snoop(监听)
盗地址 IPSG(ip source guard)源防护结合DHCP snoop
arp ...

CCNP-HSRP-VRRP-GLBP

  • 冗余概述
  • 冗余概念
  • 默认网关冗余
  • 参考拓扑
  • 传统冗余技术
    • 代理ARP和ICMP重定向
    • IRDP(ICMP redirect discovery protocol)
  • 常用冗余技术
    • HSRP(hort standby routing protocol)热备份路由协议
    • VRRP(virtual router redundancy protocol)虚拟路由器冗余协议
    • GLBP(gateway load balance protocol)网关负载均衡协议

冗余概述

提高网络可靠性的方法是冗余,而冗余又可以分为链路冗余,设备冗余和模块冗余。模块上的冗余是底层硬件的问题只需要了解一些概念就好;更常用的是在设备之间运行一些冗余协议,网关可以在设备故障时自动切换到其他设备,并且这个过程对用户来说是透明的。

冗余概念

RPR和RPR+:路由处理器冗余,切换时间比较慢,分别是2-4min和30-60s

SSO:状态化切换切换速度快,不会造成用户流量中断。

带SSO的NSF:带状态化切换的不间断转发

默认网关冗余

在网关冗余的概念上让我们深入的理解交换的概念 ...

CCNP-VLAN

  • VLAN(虚拟局域网)
    • VLAN概述
    • VLAN-id范围
  • VLAN trunk(中继)
    • VLAN trunk(中继)概述
    • 封装类型
    • 协商模式
    • native vlan(本征vlan)
  • VTP(vlan中继协议)
    • VTP概述
    • VTP的工作模式
  • VLAN间路由
  • 小特性

VLAN(虚拟局域网)

VLAN概述

虚拟局域网就是在物理网段上划分逻辑网段,一般是基于接口划分,它可以任意组合接口成为一个网段。由于不同的逻辑子网之间不能通信,VLAN就分割广播域,安全性提高;可以把任意接口划分到任意VLAN,这样增加了网络的灵活性;管理方便,易于维护。

VLAN-id范围

VLAN的范围为0-4095,具体分配如下表:


范围 用途 0和4095 系统保留 1 所有接口默认所属的vlan 2-1001 正常使用vlan 1002-1005 保留给特殊网络使用(令牌网等) 1006-4094 ...

CCNP-STP

注:本文档中桥和交换机为同义词,终端与主机为同义词,仅个人习惯而已。

  • STP
    • 基本概述
    • 基本概念
      • 网桥ID(BID)
      • 开销(cost)
    • 网桥协议数据单元(BPDU)
    • 端口角色
    • 端口状态
    • 计时器(timer)
    • 选举的标准
    • 执行的过程
    • 拓扑变更
    • STP的衍生版本
  • PVST+(per-vlan STP中的RID)
  • RSTP(Rapid STP 快速生成树)
    • 端口角色
    • 端口状态
    • BPDU中对flag的拓展
    • 分段收敛
    • keep-alive机制
    • 拓扑更改
  • RPVST+(per-vlan RSTP)
  • MST(Multiple STP,多生成树)
    • 基本特征
    • RID的再次扩展
    • MST区域
    • MST和CST共存
  • STP增强特性
    • 加快收敛的特性
    • BPDU保护特性
    • STP上避免环路

STP ...

CCNP-Redistribute

  • 基本特征
  • 管理距离
  • 种子度量值(seed metric)
  • 重分布命令
  • 前缀列表(prefix list)
  • 分发列表(distribute list)
  • 路由映射表(route map)
  • 列表总结
  • 两点双向重分布问题

基本特征

随着网络的扩展,一个网络中可能要运行多种网络协议。要让运行不同网络协议的路由器之间获悉各自的路由信息,就要在边界路由器上执行重定向,就是两种路由协议相互导入各自的路由条目。需要考虑的因素包括不同路由协议的管理距离以及度量值不同,以及如何控制重分布的路由条目等。

管理距离

不同路由协议的管理距离如下表所示:


路由协议 管理距离 直连接口 0 送出接口的静态路由 0 下一跳的静态路由 1 EIGRP汇总路由 5 外部BGP 20 内部EIGRP 90 OSPF 110 IS-IS 115 RIP 120 外部网关协议(EGP) 140 ...

CCNP-OSPF

  • 基本特征
  • 术语解释
    • 自制系统(AS)
    • 邻居表
    • 拓扑表
    • 路由器标志符(RID)
    • 划分区域
    • 指定路由器(DR)和备份指定路由器(BDR)
    • 区域边界路由器(ABR)
    • 自治系统边界路由器(ASBR)
  • 分组类型
  • 邻接关系
  • 度量计算
  • LSAs类型总结
  • 汇总路由
  • 默认路由
  • 网络类型
  • 特殊区域
    • 末节(stub)区域
    • 绝对末节区域(totally stub)区域
    • NSSA(not so stub area)区域
    • 绝对NSSA(totally NSSA)区域
    • 不规则区域
  • 身份验证

基本特征

开放最短路径优先(OSPF)协议是一种链路状态路由协议,封装于ip数据包中协议号为89,采用组播地址224 ...

CCNP-EIGRP

  • 基本特征
  • 分组类型
  • 术语解释
    • 邻居表
    • 拓扑表
    • 路由表
    • 可行距离
    • 通告距离
    • 后继路由器
    • 可行后继路由器
  • 度量计算
  • 底层技术
    • 邻居发现
    • 重置邻居关系的情况
    • DUAL算法
  • 协议执行过程
  • 通告默认路由
  • 负载均衡
  • 限制查询范围
  • 身份验证

基本特征

EIGRP是思科的专有协议,它由于具有一些链路状态的特性而属于高级距离矢量协议。报文封装于EIGRP中,协议号为88。为确保信息传输的可靠性,EIGRP包含一个RTP可靠传输协议。另外EIGRP的优势在于收敛速度快,支持VLSM和CIDR,使用组播(地址为224.0.0.10)通过相应的协议模块可以支持不同的协议。

分组类型

分组类型及其作用见下表:


类型 作用 hello包 建立邻居,身份验证,协商末节(stub)路由器 update包 当收到对方的hello包是发送自己的路由信息 request包 主动状态下是向邻居查询路由 reply包 ...

ccnp-summary

为什么总结?

虽然np的学习还没有结束,但由于时间紧迫,我是边学习边总结这份文档的。这个过程让我感触很多:一个是原先学习内容的基础和表层化,感觉np的内容更深入更详细化了,也添加了不少新内容;另一个就是总结的必要性,不仅仅是记性不好的原因,而是总结真的能让自己从整体上和更确切的把握所学的知识。

总结些什么?

因为我是参照着学习指南(BSCI和BCMSN)和wolf李老师的经典视频学过来的,并没有遵循什么参考大纲之类的。总结的内容主要是按照我的理解和思路来记录每一块内容的相关技术。

怎么总结?

包括ccna的总结以及现在总结的np部分都有一个很大的遗憾:没有配置实验和图片说明,而实验却是学习过程中非常重要的一个环节。因为时间紧迫,没有时间和精力一一整理,这里就先贴主要的文字部分吧,希望以后找到工作稳定下来有时间了再一一补上。

思科实验模拟器GNS3使用总结

实验模拟器除了packet tracer我学习过dynamips和dynagen,在我总结dynagen时已经提高基本上所有这些通过加载真实设备IOS的模拟器都是基于dynamips的,是它提供了供iso运行的环境,然后其他的软件就是让用户界面更有好些,相比dynagen的命令行GNS3的图形界面就更有好了,操作更方便了。对于GNS3的学习基本上自己摸索出来的,可以自己用图形界面配置了然后看看对配置文件产生了哪些更改从而对软件的运行有更深的了解。

什么是GNS3?

基于图形界面的网络设备模拟器,可以模拟思科路由器、交换机(路由的交换模块)、PIX和ASA等设备,最大的优势是加载真实的ios镜像文件,命令和配置和真实设备一样。它是一下三个组件的集合:

  • dynamips  提供ios的运行环境
  • dynagen  基于文本的dynamips的前端界面
  • qemu   图形界面的设备模拟器,虚拟机

GNS3的配置文件在哪?

GNS3的配置文件主要包括两个部分,一个是软件的配置文件,在edit->preferences下可以看到配置文件在C:Documents and SettingsAdministratorApplication Data下的gns3.ini,这个文件主要负责软件的全局配置比如dynamips和qemu的运行参数以及可以加载的ios的相关配置;另一个是工程(project)的相关配置,实际上就是相对dynagen的net文件也是拓扑的核心文件,这里面的配置选项不细列举了,可以参考dynagen的文档有关于这些选项的详细配置,其中几个比较关键的部分:

  • workingdir = D:GNS3top..tmp  --> 指定工作目录,所有产生的临时文件都放于这个目录下
  • cnfg ...