xdays

CCNP-Switch-Security

  • 交换机安全的知识框架
    • MAC层的攻击及解决方案
    • MAC扩散
    • 解决方案
  • Vlan层攻击及解决方案
    • vlan跳跃攻击
    • 解决方案
    • vlan流量控制
    • Pvlan部署
    • 隔离端口
  • 欺骗攻击
    • DHCP欺骗(DHCP spoofing)
    • 解决方案
    • 盗地址
    • 解决方案
    • ARP欺骗
    • 解决方案

交换机安全的知识框架

威胁类型 应对措施
MAC层攻击 端口安全(基于mac允许和拒绝,阻止单播扩散)
vlan攻击 vlan跳跃 所有非trunk置于access
vlan流量控制 RACL,VACL和PACL
Pvlan和隔离端口 限制相同网段主机之间访问
spoofing(欺骗)攻击 DHCP spoofing DHCP snoop(监听)
盗地址 IPSG(ip source guard)源防护结合DHCP snoop
arp ...

CCNP-HSRP-VRRP-GLBP

  • 冗余概述
  • 冗余概念
  • 默认网关冗余
  • 参考拓扑
  • 传统冗余技术
    • 代理ARP和ICMP重定向
    • IRDP(ICMP redirect discovery protocol)
  • 常用冗余技术
    • HSRP(hort standby routing protocol)热备份路由协议
    • VRRP(virtual router redundancy protocol)虚拟路由器冗余协议
    • GLBP(gateway load balance protocol)网关负载均衡协议

冗余概述

提高网络可靠性的方法是冗余,而冗余又可以分为链路冗余,设备冗余和模块冗余。模块上的冗余是底层硬件的问题只需要了解一些概念就好;更常用的是在设备之间运行一些冗余协议,网关可以在设备故障时自动切换到其他设备,并且这个过程对用户来说是透明的。

冗余概念

RPR和RPR+:路由处理器冗余,切换时间比较慢,分别是2-4min和30-60s

SSO:状态化切换切换速度快,不会造成用户流量中断。

带SSO的NSF:带状态化切换的不间断转发

默认网关冗余

在网关冗余的概念上让我们深入的理解交换的概念 ...

CCNP-VLAN

  • VLAN(虚拟局域网)
    • VLAN概述
    • VLAN-id范围
  • VLAN trunk(中继)
    • VLAN trunk(中继)概述
    • 封装类型
    • 协商模式
    • native vlan(本征vlan)
  • VTP(vlan中继协议)
    • VTP概述
    • VTP的工作模式
  • VLAN间路由
  • 小特性

VLAN(虚拟局域网)

VLAN概述

虚拟局域网就是在物理网段上划分逻辑网段,一般是基于接口划分,它可以任意组合接口成为一个网段。由于不同的逻辑子网之间不能通信,VLAN就分割广播域,安全性提高;可以把任意接口划分到任意VLAN,这样增加了网络的灵活性;管理方便,易于维护。

VLAN-id范围

VLAN的范围为0-4095,具体分配如下表:


范围 用途 0和4095 系统保留 1 所有接口默认所属的vlan 2-1001 正常使用vlan 1002-1005 保留给特殊网络使用(令牌网等) 1006-4094 ...

CCNP-STP

注:本文档中桥和交换机为同义词,终端与主机为同义词,仅个人习惯而已。

  • STP
    • 基本概述
    • 基本概念
      • 网桥ID(BID)
      • 开销(cost)
    • 网桥协议数据单元(BPDU)
    • 端口角色
    • 端口状态
    • 计时器(timer)
    • 选举的标准
    • 执行的过程
    • 拓扑变更
    • STP的衍生版本
  • PVST+(per-vlan STP中的RID)
  • RSTP(Rapid STP 快速生成树)
    • 端口角色
    • 端口状态
    • BPDU中对flag的拓展
    • 分段收敛
    • keep-alive机制
    • 拓扑更改
  • RPVST+(per-vlan RSTP)
  • MST(Multiple STP,多生成树)
    • 基本特征
    • RID的再次扩展
    • MST区域
    • MST和CST共存
  • STP增强特性
    • 加快收敛的特性
    • BPDU保护特性
    • STP上避免环路

STP ...

CCNP-Redistribute

  • 基本特征
  • 管理距离
  • 种子度量值(seed metric)
  • 重分布命令
  • 前缀列表(prefix list)
  • 分发列表(distribute list)
  • 路由映射表(route map)
  • 列表总结
  • 两点双向重分布问题

基本特征

随着网络的扩展,一个网络中可能要运行多种网络协议。要让运行不同网络协议的路由器之间获悉各自的路由信息,就要在边界路由器上执行重定向,就是两种路由协议相互导入各自的路由条目。需要考虑的因素包括不同路由协议的管理距离以及度量值不同,以及如何控制重分布的路由条目等。

管理距离

不同路由协议的管理距离如下表所示:


路由协议 管理距离 直连接口 0 送出接口的静态路由 0 下一跳的静态路由 1 EIGRP汇总路由 5 外部BGP 20 内部EIGRP 90 OSPF 110 IS-IS 115 RIP 120 外部网关协议(EGP) 140 ...

CCNP-OSPF

  • 基本特征
  • 术语解释
    • 自制系统(AS)
    • 邻居表
    • 拓扑表
    • 路由器标志符(RID)
    • 划分区域
    • 指定路由器(DR)和备份指定路由器(BDR)
    • 区域边界路由器(ABR)
    • 自治系统边界路由器(ASBR)
  • 分组类型
  • 邻接关系
  • 度量计算
  • LSAs类型总结
  • 汇总路由
  • 默认路由
  • 网络类型
  • 特殊区域
    • 末节(stub)区域
    • 绝对末节区域(totally stub)区域
    • NSSA(not so stub area)区域
    • 绝对NSSA(totally NSSA)区域
    • 不规则区域
  • 身份验证

基本特征

开放最短路径优先(OSPF)协议是一种链路状态路由协议,封装于ip数据包中协议号为89,采用组播地址224 ...

CCNP-EIGRP

  • 基本特征
  • 分组类型
  • 术语解释
    • 邻居表
    • 拓扑表
    • 路由表
    • 可行距离
    • 通告距离
    • 后继路由器
    • 可行后继路由器
  • 度量计算
  • 底层技术
    • 邻居发现
    • 重置邻居关系的情况
    • DUAL算法
  • 协议执行过程
  • 通告默认路由
  • 负载均衡
  • 限制查询范围
  • 身份验证

基本特征

EIGRP是思科的专有协议,它由于具有一些链路状态的特性而属于高级距离矢量协议。报文封装于EIGRP中,协议号为88。为确保信息传输的可靠性,EIGRP包含一个RTP可靠传输协议。另外EIGRP的优势在于收敛速度快,支持VLSM和CIDR,使用组播(地址为224.0.0.10)通过相应的协议模块可以支持不同的协议。

分组类型

分组类型及其作用见下表:


类型 作用 hello包 建立邻居,身份验证,协商末节(stub)路由器 update包 当收到对方的hello包是发送自己的路由信息 request包 主动状态下是向邻居查询路由 reply包 ...

CCNA-WAN

  • WAN基本概念
    • 基本概念
    • 接入方式
  • PPP
    • 串行通信标准
    • 帧结构
    • 分层架构
    • LCP
    • NCP
    • 相关配置命令
    • 身份验证及相关配置
      • 密码验证协议PAP
      • 配置PAP
      • 挑战验证协议CHAP
      • 配置CHAP
  • 帧中继(frame relay)
    • 基本概念
    • 帧结构
    • 执行过程
    • 基本配置
    • 子接口及相关配置

WAN基本概念

基本概念

用户室内设备(customer premises equip,CPE)用户室内的设备和内部布线

数据通信设备(data communication equipment)将用户连接到WAN网络云的通信链路,注意DCE还提供时钟频率

数据终端设备(data terminal equipment)通过WAN传送来自客户网络或主机计算机的数据的客户设备

本地环路(local loop)用于连接CPE和中心局之间的介质,也叫最后一英里

分界点(demarcation point ...

CCNA-WLAN和IPv6

  • 无线局域网(wireless lan,WLAN)
    • IEEE802.11无线标准
    • 无线技术相关机构
    • 无线拓扑
    • 无线关联过程
    • 无线安全
      • 开放访问
      • SSID,WEP和MAC地址认证
      • WPA和WPA2预共享密钥
  • IPv6
    • 概述
      • 优点
      • 报头格式
      • 地址表示方式
    • 地址分类
    • 分配地址的方式
      • 手动配置
      • EUI-64配置
      • 无状态自动配置
      • DHCPv6配置
    • 路由协议配置
      • RIPng配置
      • EIGRPv6配置
      • OSPFv3配置
    • 过渡技术
      • 双协议栈
      • 6to4隧道
      • NAT-PT

无线局域网(WLAN)

IEEE802.11无线标准

无线标准以相关特点的对比如下表:


               802.11a                       802.11b                       802.11g                               802.11n

频段(GHz) 5.7 ...

CCNA-ACL和NAT

  • 访问控制表(access control list,ACL)
    • 配置acl的原则(3p原则)
    • 执行过程
    • 分类
      • 标准acl
      • 扩展acl
      • 命名acl
    • acl的放置位置
    • 配置过程和排错
      • 标准acl配置
      • 扩展acl配置
      • 命名acl配置
      • 排错
    • 复杂acl
      • 动态acl
      • 自反acl
      • 基于时间的acl
  • 网络地址转换(network address translation)
    • 基本概念
      • 内部本地地址
      • 内部全局地址
      • 外部本地地址
      • 外部全局地址
    • 类型及其执行过程
      • 静态nat
      • 动态nat
      • 端口地址转换pat(nat重载)
    • nat的优点和缺点
    • 配置和排错
      • 静态nat配置
      • 动态nat配置
      • 端口地址转换pat配置-单地址
      • 端口地址转换pat配置-nat池
      • 排错

访问控制表(access control list,ACL)

配置acl的原则(3p原则 ...

CCNA-VLAN

  • 虚拟局域网(virtual lan,vlan)
    • 优点
    • vlan id范围
    • vlan 类型
    • vlan中继
  • vlan 中继协议(vlan trunk protocol)
    • 基本概念
    • 操作过程
    • 配置和排错
  • vlan间路由
    • 每接口对应一个vlan
    • 单臂路由(router on  a stick)
  • 配置语音vlan

虚拟局域网(vlan)

优点

虚拟局域网相对传统局域网的优点有如下几条:

  1. 安全,实现了数据隔离
  2. 成本降低
  3. 性能提高
  4. 广播控制
  5. 简化应用管理和项目管理

vlan id范围


名称 普通vlan(normal) 扩展vlan(extend) ID范围 1-1005(其中1和1002-1005自动创建不能删除不能修改) 1006-4094 保存位置 Flash中的vlan.dat数据库文件中 ...

CCNA-交换基础和STP

  • 交换基础
    • 分层网络中交换机的功能
    • 转发数据包方式
    • 第二层交换的3个功能
    • 端口安全
  • 生成树协议(spanning tree protocol,STP)
    • 基本概念
      • 桥ID
      • 根桥
      • 网桥协议数据单元(bridge protocol data unit)
      • 根端口
      • 指定端口
      • 端口状态
  • STP协议执行过程(820.1D)
  • 其他生成树协议
  • 拓展特性
    • portfast
    • BPDU guard
    • BPDU filtering
    • uplinkfast
    • backbonefast

交换基础

分层网络中交换机的功能

LAN体系结构分为三层,包括接入层(access),分发层(distribute)和核心层(core),每一层对交换机的功能都有不同要求,具体如下表:


层次 功能要求 接入层 端口安全;VLAN;快速以太网 ...

CCNA-EIGRP和OSPF

增强内部网关路由协议EIGRP

  • 概述
    • 消息格式
    • 消息类型
    • 可靠传输协议
  • 邻居关系建立
  • 度量计算
  • DUAL算法相关概念
    • 可行距离
    • 报告(通告)距离
    • 后继路由器
    • 可行后继路由器
  • 配置和排错

开放最短路径优先协议OSPF

  • 概述
    • 消息格式
    • 消息类型
    • 路由ID
  • 邻接关系建立
  • 度量计算
  • 迪科斯特拉算法(Dijkstra,或称SPF)
  • 多路访问网络中DR和BDR选择
  • 配置和排错

增强内部网关路由协议EIGRP

概述

消息格式

EIGRP的一大特性是通过协议相关模块(protocol dependentmodules,PDM)支持多种协议,有IP,IPv6,IPX,AppleTalk四种,此处我们只学习IP协议相关的。EIGRP封装于IP数据包中,协议类型字段为0x58,采用三层组播地址224.0.0.10,二层组播地址为0100.5e00.000a。下表是数据包格式 ...

CCNA-静态路由和RIP

  • 静态路由
    • 路由全过程
    • 路由表原理
    • 带下一跳或送出接口的静态路由
    • 默认路由
  • 路由信息协议(routing infomation protocol,RIP)
    • 度量和管理距离
    • 路由环路及解决办法
    • RIP的各种定时器
    • 配置相关命令
    • 连续网络问题
    • RIPv2与RIPv1的区别

静态路由

路由全过程

数据在位于不同网段内的两个主机之间传播经过了那些过程,在《CCNA学习指南》第六章的“路由基础”节“IP路由选择过程”小节分36步详细说明,这里略过

路由表原理

一下这三条原理出自《 cisco ip routing 》,相当经典,先记下这三条路由原则,在以后的路由学习过程中逐渐体会才能真正理解其含义:

  1. 每个路由器根据自身的路由表独立作出路径选择
  2. 一台路由器中包含的某些信息并不表示其他路由器也有相同的信息
  3. 一个网络到达另一个网络的路由信息并提供反向路径的路由信息

带下一跳或者带送出接口的静态路由

在配置静态路由时可以指定下一跳地址或者送出接口,两者区别就在于如果指定的是下一跳地址路由器还需要再查找一次路由表以便确定送出接口,所以推荐用送出接口直接指定;但是对于以太网由于同一网段内可能不止两个接口,所以最好同时指定下一跳地址和送出接口。总之,对于串行链路指定送出接口,对于以太网接口指定下一跳地址和送出接口

默认路由

其实默认路由和路由汇总的目的都是减小路由表的数目,路由汇总实际上就是CIDR的概念 ...

CCNA-硬件及IOS

  • 硬件组成
    • 主要部件
    • 接口与端口
  • 配置寄存器
  • 启动过程
  • IOS备份升级
  • CLI命令
    • 设置标志区
    • 重设口令
    • 启用ssh服务
    • 设置加载ios顺序和位置
    • 优化命令

硬件组成

主要部件

应当说路由器就是一台专用计算机,它的主要组件有:


名称 功能 只读存储器(ROM) 开机自检程序POST确定硬件功能及可用接口,Bootstrap引导程序加载IOS,微型IOS用于维护操作 随机存储器(RAM)保存路由器运行时的临时数据,各种表,相当于PC中的内存 非易失性存储器(NVRAM) 保存路由器和交换机的配置 闪存(FLASH) 用于保存IOS文件 配置寄存器(configuration register) 控制路由器的启动方式,需要注意它存储在NVRAM中


接口与端口

接口(interface)通常指用于转发数据包的物理接口,而端口(port)指用于管理路由器的物理接口

配置寄存器

共有16位来控制路由器的启动方式。其中第6位表示忽略NVRAM内容,用于重设口令 ...

思科实验模拟器Dynamips&Dynagen

Dynamips是所有这些软件的核心负责加载运行IOS等工作,其他的都是基于其上的中间层,目的就是便于用户使用,Dynagen是基于.net文件和命令行的工具,而DynamipsGUI也就是小凡是图形界面的更易于操作。软件最大的特点是真实加载IOS,可以与真实的网卡桥接,还可以虚拟帧中继交换机,ATM交换机。

软件下载

官方网站 http://www.dynagen.org/

windows版的虽然做成了安装包,软件是纯绿色的,安装后可以随意移动文件夹。

主要组件

Dynamips,Dynagen,.net文件和一些简化操作的批处理脚本。

1)  Dynamips

-H  7200 在7200端口上启动Dynamips

-e   查看真实网卡参数,供虚拟桥接用

2)Dynagen pathtonetfile

具体命令可以用help命令查看;注意加载IOS后要用idlepc get device_name命令计算idle值命用idlepc save device_name default 存入net文件中

3)net文件

这是设置虚拟路由器型号和构建拓扑的关键文件,在安装目录的sample_labs目录下有一个all_config_options.txt文件供参考,具体配置可以参考网上别人测试后作的现成文件。

4)批处理脚本bat文件 ...