xdays

CCNP-Switch-Security

  • 交换机安全的知识框架
    • MAC层的攻击及解决方案
    • MAC扩散
    • 解决方案
  • Vlan层攻击及解决方案
    • vlan跳跃攻击
    • 解决方案
    • vlan流量控制
    • Pvlan部署
    • 隔离端口
  • 欺骗攻击
    • DHCP欺骗(DHCP spoofing)
    • 解决方案
    • 盗地址
    • 解决方案
    • ARP欺骗
    • 解决方案

交换机安全的知识框架

威胁类型 应对措施
MAC层攻击 端口安全(基于mac允许和拒绝,阻止单播扩散)
vlan攻击 vlan跳跃 所有非trunk置于access
vlan流量控制 RACL,VACL和PACL
Pvlan和隔离端口 限制相同网段主机之间访问
spoofing(欺骗)攻击 DHCP spoofing DHCP snoop(监听)
盗地址 IPSG(ip source guard)源防护结合DHCP snoop
arp ...

CCNP-HSRP-VRRP-GLBP

  • 冗余概述
  • 冗余概念
  • 默认网关冗余
  • 参考拓扑
  • 传统冗余技术
    • 代理ARP和ICMP重定向
    • IRDP(ICMP redirect discovery protocol)
  • 常用冗余技术
    • HSRP(hort standby routing protocol)热备份路由协议
    • VRRP(virtual router redundancy protocol)虚拟路由器冗余协议
    • GLBP(gateway load balance protocol)网关负载均衡协议

冗余概述

提高网络可靠性的方法是冗余,而冗余又可以分为链路冗余,设备冗余和模块冗余。模块上的冗余是底层硬件的问题只需要了解一些概念就好;更常用的是在设备之间运行一些冗余协议,网关可以在设备故障时自动切换到其他设备,并且这个过程对用户来说是透明的。

冗余概念

RPR和RPR+:路由处理器冗余,切换时间比较慢,分别是2-4min和30-60s

SSO:状态化切换切换速度快,不会造成用户流量中断。

带SSO的NSF:带状态化切换的不间断转发

默认网关冗余

在网关冗余的概念上让我们深入的理解交换的概念 ...

CCNP-STP

注:本文档中桥和交换机为同义词,终端与主机为同义词,仅个人习惯而已。

  • STP
    • 基本概述
    • 基本概念
      • 网桥ID(BID)
      • 开销(cost)
    • 网桥协议数据单元(BPDU)
    • 端口角色
    • 端口状态
    • 计时器(timer)
    • 选举的标准
    • 执行的过程
    • 拓扑变更
    • STP的衍生版本
  • PVST+(per-vlan STP中的RID)
  • RSTP(Rapid STP 快速生成树)
    • 端口角色
    • 端口状态
    • BPDU中对flag的拓展
    • 分段收敛
    • keep-alive机制
    • 拓扑更改
  • RPVST+(per-vlan RSTP)
  • MST(Multiple STP,多生成树)
    • 基本特征
    • RID的再次扩展
    • MST区域
    • MST和CST共存
  • STP增强特性
    • 加快收敛的特性
    • BPDU保护特性
    • STP上避免环路

STP ...

CCNP-Redistribute

  • 基本特征
  • 管理距离
  • 种子度量值(seed metric)
  • 重分布命令
  • 前缀列表(prefix list)
  • 分发列表(distribute list)
  • 路由映射表(route map)
  • 列表总结
  • 两点双向重分布问题

基本特征

随着网络的扩展,一个网络中可能要运行多种网络协议。要让运行不同网络协议的路由器之间获悉各自的路由信息,就要在边界路由器上执行重定向,就是两种路由协议相互导入各自的路由条目。需要考虑的因素包括不同路由协议的管理距离以及度量值不同,以及如何控制重分布的路由条目等。

管理距离

不同路由协议的管理距离如下表所示:


路由协议 管理距离 直连接口 0 送出接口的静态路由 0 下一跳的静态路由 1 EIGRP汇总路由 5 外部BGP 20 内部EIGRP 90 OSPF 110 IS-IS 115 RIP 120 外部网关协议(EGP) 140 ...

CCNP-OSPF

  • 基本特征
  • 术语解释
    • 自制系统(AS)
    • 邻居表
    • 拓扑表
    • 路由器标志符(RID)
    • 划分区域
    • 指定路由器(DR)和备份指定路由器(BDR)
    • 区域边界路由器(ABR)
    • 自治系统边界路由器(ASBR)
  • 分组类型
  • 邻接关系
  • 度量计算
  • LSAs类型总结
  • 汇总路由
  • 默认路由
  • 网络类型
  • 特殊区域
    • 末节(stub)区域
    • 绝对末节区域(totally stub)区域
    • NSSA(not so stub area)区域
    • 绝对NSSA(totally NSSA)区域
    • 不规则区域
  • 身份验证

基本特征

开放最短路径优先(OSPF)协议是一种链路状态路由协议,封装于ip数据包中协议号为89,采用组播地址224 ...

CCNP-EIGRP

  • 基本特征
  • 分组类型
  • 术语解释
    • 邻居表
    • 拓扑表
    • 路由表
    • 可行距离
    • 通告距离
    • 后继路由器
    • 可行后继路由器
  • 度量计算
  • 底层技术
    • 邻居发现
    • 重置邻居关系的情况
    • DUAL算法
  • 协议执行过程
  • 通告默认路由
  • 负载均衡
  • 限制查询范围
  • 身份验证

基本特征

EIGRP是思科的专有协议,它由于具有一些链路状态的特性而属于高级距离矢量协议。报文封装于EIGRP中,协议号为88。为确保信息传输的可靠性,EIGRP包含一个RTP可靠传输协议。另外EIGRP的优势在于收敛速度快,支持VLSM和CIDR,使用组播(地址为224.0.0.10)通过相应的协议模块可以支持不同的协议。

分组类型

分组类型及其作用见下表:


类型 作用 hello包 建立邻居,身份验证,协商末节(stub)路由器 update包 当收到对方的hello包是发送自己的路由信息 request包 主动状态下是向邻居查询路由 reply包 ...