「思科NA培训」CCNA-9 交换技术相关特性

发表于 更新于
banner1

关键字:端口安全、DHCP option、UDLP、CDP/LLDP

摘要:掌握交换机特性的更多内容。

端口安全技术

一 背景

如何防止公司内网中偷偷连入的未知PC老六?

交换机,是会允许所有网络用户接入,没有拒绝功能的!

在二层层面,交换机通过配置安全MAC地址表,从而识别那些不在的陌生MAC。

tips:

  • 交换机的一个端口可以连接多个mac地址PC
  • 不断添加不同mac地址设备,MAC地址表也会不断学习、增加新MAC地址。不过经过MAC老化时间后会清除


二 端口配置

1、查看端口MAC表

思科通过show mac addres 来查看Mac地址

image-20220815102326003

2、配置安全MAC地址

手动配置mac地址后,交换机的端口仅允许所配置的MAC安全表中的PC通信

image-20220815114029209

3、连接惩罚

当有非法用户MAC连进来,设置了一些惩罚机制

  • protect:不允许连接
  • restrict:不允许连接并报信
  • Shutdown:直接关闭端口(注意!这种协议的端口shutudown无法手动开启!)

解决方法:

设置惩罚时间,即关闭一段时间的端口/禁止一段时间的连接或者重启交换机

image-20220815114521114

4、报错补充

报错1:

image-20220815111702268

原因分析:

dynamic port不能启用Port Security,只有静态接入端口或中继端口才行。需要将模式切换为access。****动态端口是自动识别的,既可以为access,也可以为trunk,所以要设为access模式。

解决方法:
Switch(config-if)#switchport mode access
Switch(config-if)#switchport port-security



交换机端口风暴控制

通过配置端口的带宽level、*传输速率bps*、转发速率PPS上下限来限制端口的广播、单播和多播风暴。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
以下例子在f0/17下把组播风暴级别限制在70.5%
Switch# configure terminal
Switch(config)# interface fastethernet0/17
Switch(config-if)# storm-control multicast level 70.5
Switch(config-if)# end
Switch# show storm-control fastethernet0/17 multicast

Interface  Filter State   Level    Current
-------  -------------  -------  -------
Fa0/17     Forwarding      70.50%    0.00%


这个是关闭风暴控制
Switch# configure terminal
Switch(config)# interface fastethernet0/17
Switch(config-if)# no storm-control multicast level
Switch(config-if)# end
Switch# show storm-control fastethernet0/17 multicast

Interface  Filter State   Level    Current


1、https://wenku.baidu.com/view/646b8011ac45b307e87101f69e3143323968f565.html

2、【代码】https://blog.csdn.net/qq_43207781/article/details/105279877

3、http://www.pcxitongcheng.com/zhishi/jiaohuanji/2020-12-20/18439.html



UDLD(单向链路检测)(STP增强包)

一 背景概念

UDLD是一个Cisco私有的二层协议(交换机),防止存在单向链路时,生成树中的单向链路可能会导致回环。

单向链路:只能一个方向传输。(我发你接不到,你发我接不到)

当出现单向链路时,UDLD可以检测出该情况,关闭端口并发送示警。

  • 将端口shutdown,并表示为’ErrDisabled’状态

  • 发送一个syslog示警信息


二 两个工作模式

  • 普通模式(normal):当单向链路被发现,这个端口会标记为未确定状态
  • 主动模式(aggressive):当邻居丢失的时候UDLD会主动建重新建立与邻居的连接,尝试8次后,端口状态会变成errod-disable状态

配置UDLD

img

查看UDLD状态

img

1、【概念】https://blog.csdn.net/weixin_30563319/article/details/98933348

2、【配置】https://www.bilibili.com/read/cv7742593/



CDP协议(思科发现协议)(CCIE)

一 定义

CDP协议默认在思科设备上运行,功能为查看相邻Cisco设备的摘要信息

  • 设备标识符:查看主机名
  • 地址列表:查看邻居的IP地址
  • 端口识别符:查看哪个端口连接到对端的哪个端口
  • 功能列表:查看连接的是路由器还是交换机
  • 平台:查看邻居的具体型号

二 使用:

1
R1#show cdp ?
  • entry *:可以查看设备的device id、IP地址、端口信息、双工模式、对端的IP等
  • interfacce:可以查看哪些开启了CDP服务(默认都开启)
  • neighbors:可以查看连接了哪些物理(路由器、交换机等信息)

三 开关CDP协议

  • 全局开启或关闭
1
2
3
4
R1(config)# no cdp run  //全局关闭CDP协议
R1#show cdp neighbors		//检查发现已关闭

R1(config)#cdp run	    //重新全局开启

  • 接口开启或关闭
1
2
3
4
R1(config)#interface f0/0  //f0端口关闭CDP协议
R1(config-if)#no cdp enable	

R1(config-if)#cdp enable	    //重新开启

【CDP和LLDP的优秀讲解】https://www.bilibili.com/video/BV1tK4y1o7Zw?spm_id_from=333.337.search-card.all.click&vd_source=7fb3822bb52761ad460dfb6e200a6022



LLDP协议(链路层发现协议)

一 定义

LLDP(公有协议)==CDP(私有)

image-20220816094514574

二 使用:

1
2
3
4
5
6
R1(config)#no lldp run			//华为的LLDP默认关闭
R1(config)#lldp run 				//全局开启LLDP
R1(config)#interface f0/1
R1(config-if)#no lldp transmit		//不发送LLDP报文
R1(config-if)#no lldp receive			//不接收LLDP报文
R1#show lldp neighbors


DHCP配置掌握和DHCP中继🌟

一 DHCP中继(掌握配置)

image-20220816111222975

1、【DHCP中继】https://www.bilibili.com/video/BV13a411w7vh?share_source=copy_web&vd_source=f93b7f971786bb01adb4d7606dd361b4


二 DHCP Option整理(了解)

Options号
Options作用1设置子网掩码选项。
3设置网关地址选项。
6设置DNS服务器地址选项。
12设置域名选项。
15设置域名后缀选项。
33设置静态路由选项。该选项中包含一组有分类静态路由(即目的地址的掩码固定为自然掩码,不能划分子网),客户端收到该选项后,将在路由表中添加这些静态路由。如果存在Option121,则忽略该选项。
44设置NetBios服务器选项。
46设置NetBios节点类型选项。
50设置请求IP选项。
51设置IP地址租约时间选项。
52设置Option附加选项。
53设置DHCP消息类型。
54设置服务器标识。
55设置请求参数列表选项。客户端利用该选项指明需要从服务器获取哪些网络配置参数。该选项内容为客户端请求的参数对应的选项值。
58设置续约T1时间,一般是租期时间的50%。
59设置续约T2时间。一般是租期时间的87.5%。
60设置厂商分类信息选项,用于标识DHCP客户端的类型和配置。
61设置客户端标识选项。
66设置TFTP服务器名选项,用来指定为客户端分配的TFTP服务器的域名。
67设置启动文件名选项,用来指定为客户端分配的启动文件名。
77设置用户类型标识。
121设置无分类路由选项。该选项中包含一组无分类静态路由(即目的地址的掩码为任意值,可以通过掩码来划分子网),客户端收到该选项后,将在路由表中添加这些静态路由。
148EasyDeploy中Commander的IP地址。
149SFTP和FTPS服务器的IP地址。
150设置TFTP服务器地址选项,指定为客户端分配的TFTP服务器的地址。

1、【资料文档】https://max.book118.com/html/2021/0806/7151160106003154.shtm



DHCP Snooping🌟

一 功能

1、反-DHCP 仿冒者攻击

攻击原理:因为DHCP服务器和Client间没有认证机制,所以Hacker随意新增一台自己的DHCP服务器就可以进行冒充,从而分配发送错误的IP地址造成危险。

反制手段:给设备接口上区分’Trusted’和’Untrusted’两种模式,默认全部Untrusted。在DHCP的四次握手中丢弃所有DCHP服务器的握手回应报文,只有配置了Trusted的才通过。

image-20220816142838450

2、反-泛洪攻击

攻击原理:Hacker向服务器发送大量DHCP Discover报文,导致服务器处理不过来而瘫痪

反制手段:Snooping具备速率检测的功能,超过规定速率的报文就丢弃。


3、DoS服务拒绝攻击

攻击原理:Hacker的大量肉鸡申请DHCP服务,从而快速耗尽DHCP Server的IP地址,导致真正合法的用户申请不到

反制方法:可设定一个接口接入所允许的最大DHCP用户数,超过该值不再分配。

image-20220816144450864

4、 反-DHCP服务中间人攻击

攻击原理:在缺乏认证的通信中,中间人攻击是较为常见的。Hacker对PC假装自己是DHCP服务器,对服务器假装自己是PC。

反制方法:Snooping配置中可以将IP地址和MAC地址绑定。

image-20220816144109612

二、配置方法

image-20220816145711526 image-20220816145647455 image-20220816145614182

1、【知乎】https://zhuanlan.zhihu.com/p/161078990

2、【H3C官方文档】https://download.csdn.net/download/emptylee/5775317

3、【简要配置】https://blog.csdn.net/Yang__Qi/article/details/105741740



DAI(动态ARP检测)🌟

1、【华为DAI文档】https://support.huawei.com/enterprise/zh/doc/EDOC1100127132?section=j06e

2、【CSDN】https://blog.csdn.net/qq_62311779/article/details/122758756



IP源防护原理🌟

一 IP源防护技术

IP地址欺骗:黑客假装冒充其他人的IP地址和服务器连接。

IP源防护:IPSG基于绑定表(DHCP动态和静态绑定表)对IP报文进行匹配检查,当设备在转发IP报文时,将此IP报文中的源IP、源MAC、端口、VLAN信息和绑定表的信息进行比较,如果信息匹配,表明是合法用户,则允许此报文正常转发,否则认为是攻击报文,并丢弃该IP报文。

对于非信任端口,IP源防护有两种过滤策略(配置)

1、源IP地址过滤
2、源IP和源MAC地址过滤

使用源IP地址过滤时,IP源防护和端口安全是相互独立的。使用源IP和源MAC地址过滤时,数据包源IP和源MAC地址必须符合IP源绑定表中的条目才能转发,并且为了确保DHCP工作正常,启用DHCP监听时必须启用option 82。


二 配置

image-20220817100242178 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
//源IP地址过滤:
switch(config-if)#ip verify source
//Cisco 35系列交换机命令
switch(config-if)#ip verify source vlan dhcp-snooping
//Cisco 45、65系列交换机命令

//源IP和源MAC地址过滤:
//首先要启用端口安全(switchport port-security),然后启用IP源防护
switch(config-if)#ip verify source port-security

//Cisco 35系列交换机命令
switch(config-if)#ip verify source vlan dhcp-snooping port-security
//Cisco 45、65系列交换机命令

//静态IP源绑定命令
switch(config)#ip source binding mac-address vlan vlan-number ip-address interface interface-type interface-number



IP SLA(服务级别协议)🌟

为思科用于测量网络性能的协议,和ping一样检查,不过得到更为详细的内容。

此外,IP SLA还可以与静态路由、基于策略的路由和OSPF、EIGRP等路由协议相结合。

一 功能

1、检查远端路由

用户路由器连接两个ISP路由器到达服务器,一般根据异常进行ISP路由切换。但当ISP1无法访问远端服务器时,所有流量仍通过ISP1。为此,我们需要借助SLA来ping远程服务器确认是否连接成功。

image-20220817110552719

2、性能检测和择优

同理,我们可通过SLA ping远端的分支路由器,根据延迟抖动计算MOS分数,从而在低于某阈值时切换到ISP2路由器。

image-20220817110750425

二 配置学习

(根据需求情况,后续补充)

1、【理论】https://zhuanlan.zhihu.com/p/80950988

2、【作用】https://zhuanlan.zhihu.com/p/26533645



SDM(Security Device Manager 安全设备管理)

SDM是一款基于Cisco软件的Web图形化路由器管理工具,使用户无需CLI即可轻松完成IOS的状态监控、功能配置等。连QoS、Easy VPN Server、IPS、DHCP Server、动态路由协议等配置任务也可以通过SDM轻松实现。

【关于连接等非常好的资料,值得反复观看】https://www.cnblogs.com/MenAngel/p/6103226.html



端口镜像配置🌟

一 作用

网络维护中,需要对存在异常、怀疑黑客攻击等报文进行获取和分析,但同时又不能影响原端口的正常工作。

端口镜像技术可以将镜像端口的报文复制一份到观察端口,再利用数据监控设备来分析,进行网络监控和故障排除。

主要作用:业务实时监控、故障处理分析、网络流量优化


二 两种模式

image-20220817141043324

image-20220817141117116


三 配置

(第二轮时补充)


四 SPAN和RSPAN

本地SPAN:将交换机上某些想要监控的端口(镜像)复制同一台交换机的端口(监控)上

远程RSPAN:将交换机上某些想要监控的端口(镜像)复制到不同的交换机上


【2.4.1 镜像技术原理与配置】 https://www.bilibili.com/video/BV1Th41187wD?share_source=copy_web&vd_source=f93b7f971786bb01adb4d7606dd361b4



Keep going,and keep trying...