交换机 - 第109页

交换机

交换机

【转载】ARP欺骗泛洪攻击的防御——DAI动态ARP监控技术

目录一、DAI动态ARP监控技术（具备DHCP SNOOPING环境下）：二、非DHCP SNOOPING环境下：三、扩展：自动打开err-disable接口方法： arp欺骗详细过程前往一下连接： MAC地址的欺骗和泛洪攻击、arp欺骗和泛洪攻击、如何防御、思科交换机端口安全技术配置命令、不能启用端口安全特殊案列讲解（附图，建议PC查看） DHCP snooping技术及DHCP欺骗攻击，前往： DHCP欺骗泛洪攻击、如何防御DHCP欺骗攻击——DHCP snooping技术、DHCP snooping配置命令一、DAI动态ARP监控技术（具备DHCP SNOOPING环境下）： • DAI是一种与DHCP监听和IP源防护相结合的安全特性，DAI需要使用DHCP监听绑定表和配置的静态IP源防护绑定表（CAM表）（使用 ip source binding 命令），所以在配置DAI前交换机必须启用DHCP监听，另外目前只有三层交换机才支持DAI 配置命令： ip dhcp snooping ip dhcp snooping vlan 10 ip arp inspection vlan 10 （ip arp inspection log-buffer entries 1024）//可选配置：在交换机内存里可以存储1024条日志（ip arp inspection log-buffer logs 100 interval 10 ）//可选配置：每隔10秒最多可产生100个arp威胁日志（产生太快也可能导致类似DOS的攻击，影响交换机性能） int f0/1 ip arp inspection trust //一般是连接交换机的trunk接口，网络设备接口 no ip arp inspection trust //定义非信任接口，该接口会去检查CAM表是否与arp请求中是否符合-->防御欺骗攻击 ip arp inspection limit rate 15 //默认每秒接受15个ARP包，超过置为err-desabled---->防御泛洪攻击 exit int f0/1 ip arp inspection trust //一般是连接交换机的trunk接口，网络设备接口 no ip arp inspection trust //定义非信任接口，该接口会去检查CAM表是否与arp请求中是否符合-->防御欺骗攻击 ip arp inspection li……

SE_You 2024-04-10

182 0 0
交换机

华为关于如何让二层交换机学习到终端的MAC、IP和端口的对应关系

网络拓扑简图：问题描述：在上面的组网场景中，作为用户网关的交换机可以通过ARP表项查看终端的MAC、IP以及学习到此MAC地址的端口和VLAN的对应关系，如下图所示：而在中间的二层交换机上是查询不到ARP表项信息的，只能通过MAC表项查看到MAC地址和学习到此MAC地址的端口的对应关系，如下图所示：那么问题来了，在二层交换机如何也能查看到IP、MAC和端口之间的对应关系呢？解决方案：可以通过配置二层交换机的DHCP Snooping功能来间接实现，但前提条件是终端要使用DHCP方式获取IP才行，即对于终端自己手工配置的IP场景不支持，当然也还需要交换机支持DHCP Snooping功能才可以。至于DHCP Snooping的原理解释请查阅设备的产品文档，此处只给出示例供参考。说明：本示例中提到的二层交换机是指“纯二层交换机”或者“三层交换机当普通二层交换机来用”。假设场景为DHCP服务器在用户的网关设备上，下面的用户使用DHCP方式获取IP上网。 1、在中间的二层交换机上配置DHCP Snooping功能的示例如下： <Huawei>system-view [Huawei]dhcp enable //打开DHCP服务总开关 [Huawei]dhcp snooping enable //打开DHCP Snooping功能总开关 [Huawei]port-group group-member GigabitEthernet 0/0/1 to GigabitEthernet 0/0/24 //通过临时端口组功能批量开启所有接口的DHCP Snooping功能 [Huawei-port-group]dhcp snooping enable //开启接口的DHCP Snooping功能 [Huawei-port-group]quit [Huawei]interface GigabitEthernet 0/0/1 [Huawei-GigabitEthernet0/0/1]dhcp snooping trusted //将连接DHCP服务器的接口配置为DHCP Snooping信任接口 [Huawei-GigabitEthernet0/0/1]return 2、配……

SE_You 2024-04-10

315 0 0
交换机

S5720S-52X-LI-AC STP异常

问题描述版本信息：v200r011c10spc600+v200r011sph012 组网概述：三层传统网络，汇聚设备为S5720交换机，上行设备为思科交换机。组网拓扑：不涉及配置脚本：不涉及故障现象：某医院一台汇聚S5720交换机重启后，两个对接下行接入S5720交换机的接口STP为异常阻塞状态。处理过程现网在10月31日19点左右复现故障现象，下行口GE0/0/48为异常discarding状态。 DaXingSheBeiLou-HuijU>dis stp bri VLAN-ID Port Role STP State Protection 1 Eth-Trunk1 ROOT FORWARDING NONE 1 GigabitEthernet0/0/45 DESI FORWARDING NONE 1 GigabitEthernet0/0/46 DESI FORWARDING NONE 1 GigabitEthernet0/0/48 DESI DISCARDING NONE 160 Eth-Trunk1 ROOT FORWARDING NONE 160 GigabitEthernet0/0/2 DESI FORWARDING NONE 160 GigabitEthernet0/0/4 DESI FORWARDING NONE 160 GigabitEthernet0/0/8 DESI FORWARDING NONE 160 GigabitEthernet0/0/10 DESI FORWARDING NONE 160 GigabitEthernet0/0/11 DESI FORWARDING NONE 160 GigabitEthernet0/0/17 DESI FORWARDING NONE 160 GigabitEthernet0/0/18 DESI FORWARDING NONE 160 GigabitEthernet0/0/28 DESI FORWARDING NONE 160 GigabitEthernet0/0/29 DESI FORWARDING NONE 160 GigabitEthernet0/0/30 DESI FORWARDING NONE 160 GigabitEthernet0/0/34 DESI FORWARDING NONE 160 GigabitEthernet……

SE_You 2024-04-09

103 0 0
交换机

【转载】交换高级特性 —— DHCP snooping（DHCP欺骗泛红攻击）

目录一、DHCP欺骗泛洪攻击（1）钓鱼网站简介：（2）DNS的作用：（3）DHCP中继技术简介：（3-1）核心交换机DHCP配置命令：（4）dhcp欺骗详解：第一步：pc2作为恶意攻击者会耗尽DHCP Sever的地址池，让DHCP Server不能给p c1分配地址池第二步：pc2充当DNS和DHCP 欺骗pc1 （4-1）图解：二、防御——DHCP snooping （1）开启DHCP SNOOPING之后的效果：（2）配置案列一、DHCP欺骗泛洪攻击（1）钓鱼网站简介： • 钓鱼网站是指欺骗用户的虚假网站。“钓鱼网站”的页面与真实网站界面基本一致，欺骗消费者或者窃取访问者提交的账号和密码信息。钓鱼网站一般只有一个或几个页面，和真实网站差别细微 [1] 。钓鱼网站是互联网中最常碰到的一种诈骗方式，通常伪装成银行及电子商务、窃取用户提交的银行账号、密码等私密信息的网站。（2）DNS的作用： • 把域名翻译为IP，客户机向DNS服务器发送域名查询请求；DNS服务器告知客户机web服务器的IP地址，客户机与web服务器通信（3）DHCP中继技术简介： • 一般情况下，DHCP Server和DCHP Client都必须处于同一个网络中，这是因为DHCP的报文有些是以广播的形式发送，如果不位于同一个网络，则这些广播的报文就无法跨越三层路由设备传输。而在有些情况下，DHCP服务必须跨越不同的网络，这时，我们就可以配置DHCP中继服务。DHCP中继，其实就是在与DHCP Server不同而又需要申请DHCP服务的网络内，设置一个中继器，中继器在该网络中代替DHCP Server服务器接收DHCP Client的请求，并将DHCP Client发给DHCP Server的DCHP报文，以单播的形式发送给DHCP Server。DHCP Server在收到由DHCP发送来的DHCP 报文后，同样会把响应的DHCP报文发送给DHCP 中继。这样，DHCP其实是充当了一个中间人的作用，起到了在不同的网络中运行DHCP的目的。（3-1）核心交换机DHCP配置命令： interfa……

SE_You 2024-04-09

510 0 0
交换机

华为交换机如何实现单向访问控制

交换机V100R005以后版本可以通过下面的方法配置针对TCP和ICMP报文的单向访问。下面是交换机实现从A不能访问B，但能从B访问A需求的示例假设192.168.10.0是A的地址段（属于VLAN10），192.168.20.0是B的地址段（属于VLAN20） 1、创建ACL，制定访问控制规则（默认是permit） acl 3000 rule 5 permit tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 tcp-flag syn ack //允许A响应B的TCP连接 rule 10 deny tcp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 tcp-flag syn //拒绝A向B发起的TCP连接 rule 15 deny icmp source 192.168.10.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 icmp-type echo //拒绝A向B发起的ping请求 quit 2、配置流分类，匹配ACL traffic classifier c1 if-match acl 3000 quit 3、配置流行为（默认是permit） traffic behavior b1 quit 4、配置流策略，关联流分类和流行为 traffic policy p1 classifier c1 behavior b1 quit 5、应用流策略应用到接口上（连接A的网段的接口） interface gigabitethernet 1/0/1 traffic-policy p1 inbound 或者应用到vlan上 vlan 10 traffic-policy p1 inbound 或者在全局应用 traffic-policy p1 global inbound 说明：支持traffic-filter命令的设备，也可以使用该命令简化流策略的配置

SE_You 2024-04-09

663 0 0
交换机

【转载】CPU保护机制 —— COPP技术 (案列+配置) |||| SDN——转控分离

目录一、一机双平面（转控分离）：（1） SDN——详细：二、copp技术简介：（1）DDOS攻击（分布式拒绝服务攻击）：（2）DOS攻击（拒绝服务式攻击）：三、相关配置：（1）控制层端口：（2）基于传输层端口进行过滤（去往CPU的传输层流量执行过滤）（3）利用ACL 四、实验案例：一、一机双平面（转控分离）：（1） SDN——详细： SDN介绍（什么是SDN）_Atlan_blog-CSDN博客_sdn SDN基本概述_曹世宏的博客-CSDN博客_sdn ————————————————————————————————————————————————————————— 二、copp技术简介： • （1）COPP是Control Plane Policing 的缩写，即控制面板策略，控制面板策略这个特性让用户通过配置QOS过滤来管理控制面板中的数据包，从而保护路由器和交换机免受DOS的攻击，控制面板在无论流量多大的情况下都能管理数据包交换和协议的状态情况。 • （2）控制和限制去往CPU（控制层）的流量一般是做限速，限速到一个比较低的速率，防止CPU利用率达到100%（保护控制层的CPU，防止DDOS攻击）（1）DDOS攻击（分布式拒绝服务攻击）： • 是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击，或者一个攻击者控制了位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于攻击的发出点是分布在不同地方的，这类攻击称为分布式拒绝服务攻击，其中的攻击者可以有多个。 DDOS攻击原理介绍，可怕的DDos攻击_longlong6682的博客-CSDN博客_ddos攻击原理（2）DOS攻击（拒绝服务式攻击）： • DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击，其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络宽带攻击和连通性攻击。 • 列如，互联网上有一台web服务器，而服务器有并发连接数限制，与内存有关。内存越大，并发连接数越大。假设并发连接数为100……

SE_You 2024-04-08

177 0 0
交换机

【转载】真实网络设备的（基本登录+命令配置+相关文件级操作系统的删除和保存）

目录一、网络设备基本接口介绍二、console接口登录步骤：三、CRT（配置命令/操作系统）的保存；（1）配置文件的保存：（2）网络设备操作系统的复制与保存：（3）操作系统和配置文件的删除：一、网络设备基本接口介绍 —————————————————————————————————————————————————————————— 二、console接口登录步骤： ①物理链路连接 ②安装驱动（驱动大师） ③打开CRT按照操作步骤连接 —————————————————————————————————————————————————————————— 三、CRT（配置命令/操作系统）的保存；（1）配置文件的保存： ①首先创建日志文件： ②然后再： sh run 的时候看不见vlan和vtp的配置所以得单独 sh vtp status sh vlan-sw ③记事本打开 —————————————————————————————————————————————————————————— （2）网络设备操作系统的复制与保存： PC所需软件：交换机作为 tftp client ， pc作为 tftp server， ①pc打开 tftp 软件，选择IP： ②备份文件： R1#copy flash: tftp: Source filename []? vlan.dat ——源文件名称 Address or name of remote host []? 192.168.41.1 ——发送到哪里 Destination filename [vlan.dat]? （R1#copy tftp: flash: 从tftpd server拷贝到设备） ———————————————————————————————————————————————————————— （3）操作系统和配置文件的删除：（R1#wr 保存文件）（R1#reload 重启设备） R1#delete flash:vlan.dat ——删除vlan数据库 R1#delete flash:private-config.text ——删除配置文件！！！！R1#delete flash:如果直接回车，那么所有的操作系统都会被删除。导入操作系统时，（可以新老并存）避免新操作系统出现问题，无操作系统 ———————————————— 版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。原文链接：https://blog.csdn.net/q……

SE_You 2024-04-07

115 0 0
交换机

【转载】OSPF——DR和BDR讲解

目录一、DR/BDR简介：二、OSPF邻居关系存在规律及缺点：（１）邻居关系数量变化规律：（２）邻居关系过多缺点：三、为什么选举DR和BDR: 四、解决方法：引入DR、BDR 解决过程：五、DR及BDR的选举：六、DR和BDR选举情况： DR和BDR选举原则一、DR/BDR简介： • ①DR：一个广播性、多接入网络中的指定路由器（Designated Router） • ②BDR：为减小多路访问网络中OSPF流量，OSPF会选择一个指定路由器（DR）和一个备份指定路由器（BDR）。当多路访问网络发生变化时，DR负责更新其他所有OSPF路由器。BDR会监控DR 的状态，并在当前DR发生故障时接替其角色。 ———————————————————————————————————————————————————————— 二、OSPF邻居关系存在规律及缺点：（１）邻居关系数量变化规律： • n*（n-1）/2 // n当前路由器个数（２）邻居关系过多缺点： • （1）大量产生hello包，消耗CPU性能 • （2）产生重复路由通告，消耗CPU性能（R4将路由通告给R1、R2、R3，然后R2又查找邻居，继续通告4.4.4.0的路由，导致通告重复） • （3）任何一台路由器的路由变化都会导致多次传递,浪费了带宽资源 ———————————————————————————————————————————————————————————— 三、为什么选举DR和BDR: • 在一个共享的广播网络多台路由器建立OSPF，有可能会产生大量的OSPF邻居在这些大量的OSPF邻居发送大量的OSPF报文，造成其他路器接收到大量的OSPF重复报文浪费带宽资源和设备CPU计算资源，还可能会产生风暴。 ———————————————————————————————————————————————————————— 四、解决方法：引入DR、BDR 解决过程：如图：当DR和BDR选举完成之后，R4将路由通告给R1和R2，然而R2作为BDR，此时他知道DR还在（不会去代替DR，去通告其他DRother），所以R2收到路由存放在本地之后不会通告出去，而是由BR通告给R3。此时减少了重复通告，优化设备……

SE_You 2024-04-03

333 0 0
交换机

LACP 简介

LACP（Link Aggregation Control Protocol，链路聚合控制协议）是一种基于IEEE802.3ad标准的实现链路动态聚合与解聚合的协议，它是链路聚合中常用的一种协议。链路聚合组中启用了LACP协议的成员端口通过发送LACPDU报文进行交互，双方对哪些端口能够发送和接收报文达成一致，确定承担业务流量的链路。此外，当聚合条件发生变化时，如某个链路发生故障，LACP模式会自动调整聚合组中的链路，组内其他可用成员链路接替故障链路维持负载平衡。这样在不进行硬件升级的情况下，可以增加设备之间的逻辑带宽，提高网络的可靠性。目录 LACP与LAG是什么关系？为什么要用LACP？ LACP是如何工作的？ LACP和PAgP有什么区别？ LACP与LAG是什么关系？链路聚合组LAG（Link Aggregation Group）是指将若干条以太链路捆绑在一起形成一条逻辑链路，也称Eth-Trunk链路。每个聚合组对应一个链路聚合接口或Eth-Trunk接口，组成Eth-Trunk接口的各个物理接口称为成员接口，成员接口对应的链路称为成员链路。链路聚合接口可以作为普通的以太网接口来使用，与普通以太网接口的差别在于：转发的时候链路聚合组需要从成员接口中选择一个或多个接口来进行数据转发。链路聚合组与链路聚合接口、成员接口和成员链路关系示意图 LAG是一种链路聚合技术，当在两台交换机之间并行连接多个端口并将它们配置为LAG时，链路聚合组就会形成，而LACP是一种自动建立LAG的控制协议，用于启用LAG自动配置网络交换机端口、分离链路故障和激活故障切换。 LAG主要有两种模式，分别是手工模式和LACP模式。手工模式：指LAG不启用任何链路聚合协议，Eth-Trunk的建立、成员接口的加入由手工配置。 LACP模式：指LAG启用LACP链路聚合协议，Eth-Trunk的建立、成员接口的加入基于LACP协议协商完成。部分设备支持手工模式，但不支持LACP模式，LACP模式需……

SE_You 2024-04-02

228 0 0
交换机

【转载】OSPF —— LSA特性总结 + 查看命令

目录一、LSA特性及简介：（1）LSA-1：（2）LSA-2：（3）LSA-3：（4）LSA-4：（5）LSA-5：（6）LSA-7：二、查看命令：一、LSA特性及简介：（1）LSA-1： • 产生 : 每个区域内部路由器都会产生唯一的一个LSA-1 • 泛洪边界范围 : 只在这个区域内部泛洪，不会进入到到其他区域， • 作用：描述区域内部拓扑用的（2）LSA-2： • 网络LSA（Network LSA）：每一个多路访问网络中的指定路由器（DR）将会产生网络LSA通告。正如前面讨论的，DR路由器可以看作一个“伪”节点，或是一个虚拟路由器，用来描绘一个多路访问网络和与之相连的所有路由器。从这个角度来看，一条网络LSA通告也可以描绘一个逻辑上的“伪”节点，就像一条路由器LSA通告描绘一个物理上的单台路由器一样。网络LSA通告列出了所有与之相连的路由器，包括DR路由器本身。就像路由器LSA一样，网络LSA也仅仅在产生这条网络LSA的区域内部进行泛洪扩散。使用命令show ip ospf database network可以查看一条网络LSA通告的信息。请注意，和路由器LSA不同，网络LSA中没有度量字段。 • 产生 : DR路由器产生的 • 泛洪边界 : 只在区域内部泛洪同步 • 作用：描述网络拓扑（3）LSA-3： • 产生 : ABR产生的（ABR链接两个不同的区域，且其中一个区域必须在骨干区域) • 泛洪边界 : 除了完全STUB区域，完全NSSA区域之外都可以到达 • 作用 : 通告区域间路由 • 网络汇总LSA（Network Summary LSA）：是由ABR路由器始发的。ABR路由器将发送网络汇总LSA到一个区域，用来通告该区域外部的目的地址。（4）LSA-4： • ASBR汇总LSA（ASBR Summary LSA）：也是由ABR路由器始发的。ASBR汇总LSA除了所通告的目的地是一台ASBR路由器而不是一个网络外，其他的和网络汇总LSA都是一样的。使用命令show ip ospf database asbr-summary可以查看ASBR汇总LSA的信息。这里要注意，其中目的……

SE_You 2024-04-02

91 0 0

首页上一页 107 108 109 110 111 下一页尾页109/113