-
【转载】OSPF —— Cost值选路
目录 一、Cost值选路 1、计算方法: 2、手工调整: 3、累加cost值: 二、案列: 一、Cost值选路 1、计算方法: 2、手工调整: int f0/3 ip ospf cost 30 exit 3、累加cost值: (1)从数据的转发方向:去往目的地的出接口累加cost值,环回接口也属于出接口。 (2)从路由的更新方向:每个路由器的入接口累加cost值 区别与联系:路由更新——控制层,数据的转发——转发层,方向相反 SDN——转控分离、CPU保护机制——COPP技术案列详解及配置命令 ———————————————————————————————————————————————————————— 二、案列: 路由器R2老化或者设备性能变差,需要在不影响数据传输的情况下将R2替换拆卸: 注意点: • 1、考虑R3承载问题 • 2、!!!R2两个方向cost值(数据包的来回,数据包转发方向和路由更新方向)问题,修改后接口cost值后,当命令查看接口速率统计,发现为0,即可以拆卸设备 show int f1/0 int f1/0 load-interval 30 ——修改接口速率统计时间为30秒,默认为 5 min • 3、断电命令保留问题 • 4、新设备的调试与运行问题 ———————————————— 版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 原文链接:https://blog.csdn.net/qq_62311779/article/details/126173525
SE_Zhang 2024-04-15
396 0 0 -
【转载】Telnet和SSH(简述+相关配置)
目录 一、Telnet 二、SSH 一、Telnet Telnet不安全,当pc登陆时数据的交互(用户名、密码、配置、show的东西)都是明文传输的 Telnet:基于TCP 23端口 SW1(config)#enable password cisco (设置特权密码) (SW1(config)#username aaa privilege 3 ——设置用户级别为3 ——对应特权模式,用户直接登录即进入特权模式) SW1(config)#username aaa password bbb (设置登录用户名和密码) SW1(config)#line vty 0 7 (允许8个用户同时使用telnet协议访问R6 ,然后对R6做一些网管的配置管理) SW1(config-line)#login local (采用本地认证) SW1(config-line)#exit 测试telnet: pc-12#telnet 192.168.10.254 Username: aaa Password: SW1>en SW1>enable Password: 二、SSH SSH较安全,pc登陆时数据的交互(用户名、密码、配置、show的东西)是加密传输的 SSH:基于TCP 23端口 R7(config)#ip domain name R7.com ——定义域名 R7(config)#clock timezone GMT +8 ——定义时区(亚洲时区) R7(config)#end R7#clock set 21:47:30 11 jul 2022 ——定义时间(2022年七月11日21:47:30) R7#conf t R7(config)#crypto key generate rsa(利用rsa(非对称加密算法)算出密钥)) How many bits in the modulus [512]: 1024 (设置密钥强度:密钥长度为1024位) % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] R7(config)# R7(config)#line vty 0 8 R7(config-line)#transport ? input Define which protocols to use when connecting to the terminal server output Define which protocols to use for outgoing connections preferred Specify the preferred protocol to use input方向:别人能不能访问我 output方向:我能不能访问别人 R7(config-line)#transport input ssh telnet ——可以通过SSH……
118 0 0 -
【转载】DHCP动态获取IP地址流程
目录 一、DHCP分配IP地址流程: 第一步:DHCP Client请求IP——DHCP Client 以广播的方式发出DHCP Discover报文 第二步:DHCP server响应——DHCP Server向DHCP Client发送一个DHCP Offer报文 第三步:DHCP Client选择IP——DHCP Client 会发出一个广播的DHCP Request报文,在选项字段中会加入选中的 DHCP Server的IP地址和需要的IP地址。 第四步:DHCP server确认租约——DHCP Server向DHCP Client响应一个DHCP ACK报文,并在选项字段中增加IP地址的使用租期信息。(正式下发IP) 一、DHCP分配IP地址流程: • DHCP协议采用UDP作为传输协议,主机发送请求消息到DHCP服务器的67号端口,DHCP服务器回应应答消息给主机的68号端口。 第一步:DHCP Client请求IP——DHCP Client 以广播的方式发出DHCP Discover报文 sip:0.0.0.0 Smac:pc S:1024(随机产生大于等于1024) discover报文 dip:255.255.255.255 Dmac:12个F D:67 UDP头部 • 当一个DHCP Client启动时,会自动把的IP地址配置成0.0.0.0。因为使用0.0.0.0不能进行正常通信,所以DHCP Client就必须通过DHCP server来获取一个合法的地址。 • 因为客户机不知道DHCP server的IP地址,所以它使用0.0.0.0的地址作为源地址,使用UDP 68 port作为源port,使用255.255.255.255作为目标地址,使用UDP 67 port作为目的port来广播请求IP地址信息。广播信息中包括了DHCP客户机的MAC地址和计算机名,以便使DHCPserver能确定是哪个客户机发送的请求。 • 第一阶段为dhcp发现阶段,主要意思即为寻找局域网内的dhcp服务器 第二步:DHCP server响应——DHCP Server向DHCP Client发送一个DHCP Offer报文 sip:DHCP server Smac:DHCP server S:1024(随机产生大于等于1024) offer报文 dip:255.255.255.255 Dmac:12个F D:68 UDP头部 相当于分配IP地址,在网……
SE_You
2024-04-11
180 0 0 -
【转载】ARP欺骗泛洪攻击的防御——DAI动态ARP监控技术
目录 一、DAI动态ARP监控技术(具备DHCP SNOOPING环境下): 二、非DHCP SNOOPING环境下: 三、扩展:自动打开err-disable接口方法: arp欺骗详细过程前往一下连接: MAC地址的欺骗和泛洪攻击、arp欺骗和泛洪攻击、如何防御、思科交换机端口安全技术配置命令、不能启用端口安全特殊案列讲解(附图,建议PC查看) DHCP snooping技术及DHCP欺骗攻击,前往: DHCP欺骗泛洪攻击、如何防御DHCP欺骗攻击——DHCP snooping技术、DHCP snooping配置命令 一、DAI动态ARP监控技术(具备DHCP SNOOPING环境下): • DAI是一种与DHCP监听和IP源防护相结合的安全特性,DAI需要使用DHCP监听绑定表和配置的静态IP源防护绑定表(CAM表)(使用 ip source binding 命令),所以在配置DAI前交换机必须启用DHCP监听,另外目前只有三层交换机才支持DAI 配置命令: ip dhcp snooping ip dhcp snooping vlan 10 ip arp inspection vlan 10 (ip arp inspection log-buffer entries 1024)//可选配置:在交换机内存里可以存储1024条日志 (ip arp inspection log-buffer logs 100 interval 10 )//可选配置:每隔10秒最多可 产生100个arp威胁日志(产生太快也可能导致类似DOS的攻击,影响交换机性能) int f0/1 ip arp inspection trust //一般是连接交换机的trunk接口,网络设备接口 no ip arp inspection trust //定义非信任接口,该接口会去 检查CAM表是否与arp请求中是否符合-->防御欺骗攻击 ip arp inspection limit rate 15 //默认每秒接受15个ARP包, 超过置为err-desabled---->防御泛洪攻击 exit int f0/1 ip arp inspection trust //一般是连接交换机的trunk接口,网络设备接口 no ip arp inspection trust //定义非信任接口,该接口会去检查CAM表是否与arp请求中是否符合-->防御欺骗攻击 ip arp inspection li……
SE_You
2024-04-10
185 0 0 -
【转载】交换高级特性 —— DHCP snooping(DHCP欺骗泛红攻击)
目录 一、DHCP欺骗泛洪攻击 (1)钓鱼网站简介: (2)DNS的作用: (3)DHCP中继技术简介: (3-1)核心交换机DHCP配置命令: (4)dhcp欺骗详解: 第一步:pc2作为恶意攻击者会耗尽DHCP Sever的地址池,让DHCP Server不能给p c1分配地址池 第二步:pc2充当DNS和DHCP 欺骗pc1 (4-1)图解: 二、防御——DHCP snooping (1)开启DHCP SNOOPING之后的效果: (2)配置案列 一、DHCP欺骗泛洪攻击 (1)钓鱼网站简介: • 钓鱼网站是指欺骗用户的虚假网站。“钓鱼网站”的页面与真实网站界面基本一致,欺骗消费者或者窃取访问者提交的账号和密码信息。钓鱼网站一般只有一个或几个页面,和真实网站差别细微 [1] 。钓鱼网站是互联网中最常碰到的一种诈骗方式,通常伪装成银行及电子商务、窃取用户提交的银行账号、密码等私密信息的网站。 (2)DNS的作用: • 把域名翻译为IP, 客户机向DNS服务器发送域名查询请求;DNS服务器告知客户机web服务器的IP地址,客户机与web服务器通信 (3)DHCP中继技术简介: • 一般情况下,DHCP Server和DCHP Client都必须处于同一个网络中,这是因为DHCP的报文有些是以广播的形式发送,如果不位于同一个网络,则这些广播的报文就无法跨越三层路由设备传输。而在有些情况下,DHCP服务必须跨越不同的网络,这时,我们就可以配置DHCP中继服务。DHCP中继,其实就是在与DHCP Server不同而又需要申请DHCP服务的网络内,设置一个中继器,中继器在该网络中代替DHCP Server服务器接收DHCP Client的请求,并将DHCP Client发给DHCP Server的DCHP报文,以单播的形式发送给DHCP Server。DHCP Server在收到由DHCP发送来的DHCP 报文后,同样会把响应的DHCP报文发送给DHCP 中继。这样,DHCP其实是充当了一个中间人的作用,起到了在不同的网络中运行DHCP的目的。 (3-1)核心交换机DHCP配置命令: interfa……
SE_You
2024-04-09
510 0 0 -
【转载】CPU保护机制 —— COPP技术 (案列+配置) |||| SDN——转控分离
目录 一、一机双平面(转控分离): (1) SDN——详细: 二、copp技术简介: (1)DDOS攻击(分布式拒绝服务攻击): (2)DOS攻击(拒绝服务式攻击): 三、相关配置: (1)控制层端口: (2)基于传输层端口进行过滤(去往CPU的传输层流量执行过滤) (3)利用ACL 四、实验案例: 一、一机双平面(转控分离): (1) SDN——详细: SDN介绍(什么是SDN)_Atlan_blog-CSDN博客_sdn SDN基本概述_曹世宏的博客-CSDN博客_sdn ————————————————————————————————————————————————————————— 二、copp技术简介: • (1)COPP是Control Plane Policing 的缩写,即控制面板策略,控制面板策略这个特性让用户通过配置QOS过滤来管理控制面板中的数据包,从而保护路由器和交换机免受DOS的攻击,控制面板在无论流量多大的情况下都能管理数据包交换和协议的状态情况。 • (2)控制和限制去往CPU(控制层)的流量一般是做限速,限速到一个比较低的速率,防止CPU利用率达到100%(保护控制层的CPU,防止DDOS攻击) (1)DDOS攻击(分布式拒绝服务攻击): • 是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的,这类攻击称为分布式拒绝服务攻击,其中的攻击者可以有多个。 DDOS攻击原理介绍,可怕的DDos攻击_longlong6682的博客-CSDN博客_ddos攻击原理 (2)DOS攻击(拒绝服务式攻击): • DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络宽带攻击和连通性攻击。 • 列如,互联网上有一台web服务器,而服务器有并发连接数限制,与内存有关。内存越大,并发连接数越大。假设并发连接数为100……
SE_You
2024-04-08
180 0 0 -
【转载】真实网络设备的(基本登录+命令配置+相关文件级操作系统的删除和保存)
目录 一、网络设备基本接口介绍 二、console接口登录步骤: 三、CRT(配置命令/操作系统)的保存; (1)配置文件的保存: (2) 网络设备操作系统的复制与保存: (3)操作系统和配置文件的删除: 一、网络设备基本接口介绍 —————————————————————————————————————————————————————————— 二、console接口登录步骤: ①物理链路连接 ②安装驱动(驱动大师) ③打开CRT按照操作步骤连接 —————————————————————————————————————————————————————————— 三、CRT(配置命令/操作系统)的保存; (1)配置文件的保存: ①首先创建日志文件: ②然后再: sh run 的时候看不见vlan和vtp的配置所以得单独 sh vtp status sh vlan-sw ③记事本打开 —————————————————————————————————————————————————————————— (2) 网络设备操作系统的复制与保存: PC所需软件: 交换机作为 tftp client , pc作为 tftp server, ①pc打开 tftp 软件,选择IP: ②备份文件: R1#copy flash: tftp: Source filename []? vlan.dat ——源文件名称 Address or name of remote host []? 192.168.41.1 ——发送到哪里 Destination filename [vlan.dat]? (R1#copy tftp: flash: 从tftpd server拷贝到设备) ———————————————————————————————————————————————————————— (3)操作系统和配置文件的删除: (R1#wr 保存文件) (R1#reload 重启设备) R1#delete flash:vlan.dat ——删除vlan数据库 R1#delete flash:private-config.text ——删除配置文件 !!!!R1#delete flash:如果直接回车,那么所有的操作系统都会被删除。 导入操作系统时,(可以新老并存)避免新操作系统出现问题,无操作系统 ———————————————— 版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 原文链接:https://blog.csdn.net/q……
SE_You
2024-04-07
115 0 0 -
【转载】OSPF——DR和BDR讲解
目录 一、DR/BDR简介: 二、OSPF邻居关系存在规律及缺点: (1) 邻居关系数量变化规律: (2)邻居关系过多缺点: 三、为什么选举DR和BDR: 四、 解决方法:引入DR、BDR 解决过程: 五、DR及BDR的选举: 六、DR和BDR选举情况: DR和BDR选举原则 一、DR/BDR简介: • ①DR:一个广播性、多接入网络中的指定路由器(Designated Router) • ②BDR:为减小多路访问网络中OSPF流量,OSPF会选择一个指定路由器(DR)和一个备份指定路由器(BDR)。当多路访问网络发生变化时,DR负责更新其他所有OSPF路由器。BDR会监控DR 的状态,并在当前DR发生故障时接替其角色。 ———————————————————————————————————————————————————————— 二、OSPF邻居关系存在规律及缺点: (1) 邻居关系数量变化规律: • n*(n-1)/2 // n当前路由器个数 (2)邻居关系过多缺点: • (1)大量产生hello包,消耗CPU性能 • (2)产生重复路由通告,消耗CPU性能(R4将路由通告给R1、R2、R3,然后R2又查找邻居,继 续通告4.4.4.0的路由,导致通告重复) • (3)任何一台路由器的路由变化都会导致多次传递,浪费了带宽资源 ———————————————————————————————————————————————————————————— 三、为什么选举DR和BDR: • 在一个共享的广播网络多台路由器建立OSPF,有可能会产生大量的OSPF邻居在这些大量的OSPF邻居发送大量的OSPF报文,造成其他路器接收到大量的OSPF重复报文浪费带宽资源和设备CPU计算资源,还可能会产生风暴。 ———————————————————————————————————————————————————————— 四、 解决方法:引入DR、BDR 解决过程: 如图:当DR和BDR选举完成之后,R4将路由通告给R1和R2,然而R2作为BDR,此时他知道DR还在(不会去代替DR,去通告其他DRother),所以R2收到路由存放在本地之后不会通告出去,而是由BR通告给R3。此时减少了重复通告,优化设备……
SE_You
2024-04-03
334 0 0 -
【转载】OSPF —— LSA特性总结 + 查看命令
目录 一、LSA特性及简介: (1)LSA-1: (2)LSA-2: (3)LSA-3: (4)LSA-4: (5)LSA-5: (6)LSA-7: 二、查看命令: 一、LSA特性及简介: (1)LSA-1: • 产生 : 每个区域内部路由器都会产生唯一的一个LSA-1 • 泛洪边界范围 : 只在这个区域内部泛洪,不会进入到到其他区域, • 作用:描述区域内部拓扑用的 (2)LSA-2: • 网络LSA(Network LSA):每一个多路访问网络中的指定路由器(DR)将会产生网络LSA通告。正如前面讨论的,DR路由器可以看作一个“伪”节点,或是一个虚拟路由器,用来描绘一个多路访问网络和与之相连的所有路由器。从这个角度来看,一条网络LSA通告也可以描绘一个逻辑上的“伪”节点,就像一条路由器LSA通告描绘一个物理上的单台路由器一样。网络LSA通告列出了所有与之相连的路由器,包括DR路由器本身。就像路由器LSA一样,网络LSA也仅仅在产生这条网络LSA的区域内部进行泛洪扩散。使用命令show ip ospf database network可以查看一条网络LSA通告的信息。请注意,和路由器LSA不同,网络LSA中没有度量字段。 • 产生 : DR路由器产生的 • 泛洪边界 : 只在区域内部泛洪同步 • 作用:描述网络拓扑 (3)LSA-3: • 产生 : ABR产生的(ABR链接两个不同的区域,且其中一个区域必须在骨干区域) • 泛洪边界 : 除了完全STUB区域,完全NSSA区域之外都可以到达 • 作用 : 通告区域间路由 • 网络汇总LSA(Network Summary LSA):是由ABR路由器始发的。ABR路由器将发送网络汇总LSA到一个区域,用来通告该区域外部的目的地址。 (4)LSA-4: • ASBR汇总LSA(ASBR Summary LSA):也是由ABR路由器始发的。ASBR汇总LSA除了所通告的目的地是一台ASBR路由器而不是一个网络外,其他的和网络汇总LSA都是一样的。使用命令show ip ospf database asbr-summary可以查看ASBR汇总LSA的信息。这里要注意,其中目的……
SE_You
2024-04-02
91 0 0 -
【转载】OSPF 的 LSA 类型汇总(包括 OSPFv2 和 OSPFv3)
OSPF LSA LSA(Link-State Advertisement,链路状态广播)是链接状态协议使用的一个分组,它包括有关邻居和通道成本的信息。 LSAs 被路由器接收用于维护它们的 RIB(路由表)。 OSPF 路由协议是链路状态型路由协议,这里的链路即设备上的接口。链路状态型路由协议基于连接源和目标设备的链路状态作出路由的决定。链路状态是接口及其与邻接网络设备的的关系的描述,接口的信息即链路的信息,也就是链路的状态(信息)。这些信息包括接口的 IPv6 前缀(prefix)、网络掩码、接口连接的网络(链路)类型、与该接口在同一网络(链路)上的路由器等信息。这些链路状态信息由不同类型的 LSA 携带,在网络上传播。 路由器把收集到的 LSA 存储在链路状态数据库中,然后运行 SPF 算法计算出路由表。链路状态数据库和路由表的本质不同在于:数据库中包含的是完整的链路状态原始数据,而路由表中列出的是到达所有已知目标网络的最短路径的列表。 OSPF 协议是为 IP 协议提供路由功能的路由协议。OSPFv2(OSPF 版本 2)是支持 IPv4 的路由协议,为了让 OSPF 协议支持 IPv6,技术人员开发了 OSPFv3(OSPF 版本 3),OSPFv3 由 RFC2740 定义。 LSA 类型 1、OSPFv2 LSA 类型: LSA 类型 LSA 类型编号 Router LSA 1 Network LSA 2 Network summary LSA 3 ASBR summary LSA 4 Autonomous system external LSA 5 Group membership LSA 6 NSSA External LSA 7 External attributes LSA for BGP 8 Opaque LSA(链路本地范围) 9 Opaque LSA(本地区域范围) 10 Opaque LSA(AS 范围) 11 注意:下面的文字描述还是比较详细的,如果文字描述确实是太多了,您可以只看字体加粗的部分。再往下还有 LSA 1 / 2 / 3 / 4 / 5 / 7 的类型总结。 (1)路由器 LSA(Router LSA):每一台路由器都会产生 1 类 LSA ……
SE_You
2024-04-01
178 0 0
路由器
