学习HCIP的day.16

news2024/11/29 8:41:34

目录

扩展知识点

一、端口镜像     SPAN

二、DHCP 

三、DHCP snooping

四、端口安全

五、SSH

六、端口隔离


扩展知识点

一、端口镜像     SPAN

[r1]observe-port interface GigabitEthernet 0/0/2   监控接口



[r1]interface GigabitEthernet 0/0/0

[r1-GigabitEthernet0/0/0]mirror to observe-port inbound   流量抓取的接口

[r1-GigabitEthernet0/0/0]int g0/0/1

[r1-GigabitEthernet0/0/1]mirror to observe-port inbound

G0/0/0与G0/0/1接口间的所有流量,都镜像到G0/0/2一份;可以在连接G0/0/2的设备上使用数据分析软件来进行数据分析;

C1对应源流量,b1对应监控接口,p1是将c1和b1组成一个策略,最终接口上调用p1策略;

observe-port interface Ethernet2/0/1

ad number 2000
rule 5 permit source 192.168.1.10 0

traffic classifier c1 operator or
if-match acl 2000

traffic behavior b1
mirror to observe-port

traffic policy p1
cassifier cl behavior b1

interface Ethernet2/0/0
traffic-policy p1 inbound

二、DHCP 

动态主机配置协议,统一分发管理IP地址

华为服务器均使用单播进行回复,cisco或微软基于广播进行回复;

华为的单播使用准备给客户端的ip地址来作为单播回复时的目标ip地址,主要还是基于MAC地址进行回复;

基于全局地址池的DHCP服务器给客户端分配IP地址:

dhcp enable
ip pool HW
gateway-list 192.168.1.1
network 192.168.1.0 mask 255.255.255.0
excluded-ip-address 192.168.1.2
lease day 3 hour 0 minute 0
dns-ist 192.168.1.2

interface GigabitEthernet0/0/0
ip address 192.168.1.1 255.255.255.0
dhcp select global

基于接口的DHCP服务器给客户端分配IP地址:
 

dhcp enable
interface g0/0/0
ip address 192.168.1.1 24
dhcp select interface
dhcp server dns-list 192.168.1.2
dhcp server excluded-ip-address 192.168.1.2
dhcp server lease day 2 hour 0 minute 0

DHCP中继

配置DHCP-Server:(以基于全局地址池分配地址为例)

dhcp enable
ip pool DHCP-relay
gateway-list 192.168.1.1
network 192.168.1.0 mask 24
dns-list 10.1.1.1
interface g0/0/0
ip address 10.1.1.1 24
dhcp select global
ip route-static 192.168.1.0 24 10.1.1.2

配置DHCP中继(GW):

dhcp server group DHCP
dhcp-server 10.1.1.1
dhcp enable
interface g0/0/1
ip address 192.168.1.1 24
dhcp select relay
dhcp relay server-select DHCP
interface g0/0/0
ip address 10.1.1.2 24

注:dhcp server 设备必须和中继点单播可达的前提下,才能使用DHCP中继效果;

三、DHCP snooping

防止dhcp攻击,防止DHCP的仿冒:

[r1]dhcp enable  交换机开启dhcp服务

[r1]dhcp snooping enable    全局下先开启DHCP snooping 功能

[r1]interface GigabitEthernet 0/0/1

[r1-GigabitEthernet0/0/1]dhcp snooping enable   所有接入层接口配置

配置后,所有接口处于非信任状态,所有非信任接口只能进行DHCP的请求,无法实现应答;之后需要在真正连接DHCP 服务器的接口上配置信任,否则该dhcp服务器也不能正常工作;

[r1-GigabitEthernet0/0/10]dhcp snooping trusted 

注意:以上操作完成后,交换机中将产生一个记录列表;记录所有接口ip地址的获取情况;

例:SW1g0/0/1连接PC1,在SW1开启了DHCP snooping功能后,一旦PC1获取ip地址成功;那么在SW1上将出现一张记录列表----PC1mac,获取的ip地址,vlan ….
该记录列表最大的意义是用于防止ARP欺骗攻击:

[r1]arp dhcp-snooping-detect enable  开启ARP欺骗防御

当某一个接口下的pc进行ARP应答时,若应答包中源ip地址与MAC地址和dhcp snooping的记录列表不一致将不行转发;

源地址保护

[r1-GigabitEthernet0/0/10]ip source check user-bind enable  

该接口发出的所有数据包中源ip地址与dhcp snooping记录不一致将不能转发;

[Huawei]display dhcp snooping user-bind all 查看dhcp snooping绑定记录表

四、端口安全

解决更换MAC来不停请求ip地址,导致DHCP池塘枯竭;还可以防止MAC地址攻击;交换机存在的mac地址表,存在条目数量限制,存在老化时间(默认5min),而PC等终端设备默认存储ARP表格为180s---2h;但若交换机的缓存被溢出或超时,再来转发终端的单播流量时,出现未知单播帧问题---处理方案洪泛,因此终端设备若不停修改mac地址来导致交换机缓存溢出便可实现mac地址攻击,所以依赖端口安全进行保护:

端口安全

[sw-Ethernet0/0/4]port-security  enable  开启端口安全

[sw-Ethernet0/0/4]port-security max-mac-num 1   现在MAC地址数量

[sw-Ethernet0/0/4]port-security protect-action ?

  protect   Discard packets           丢弃 – 不告警

  restrict  Discard packets and warning  丢弃—告警  (默认)

   shutdown  Shutdown   丢弃--关闭接口 –必须管理员手工开启

[sw-Ethernet0/0/4]port-security aging-time 300  老化时间

以上动作完成后,对应接口将自动记录第一个通过该接口数据帧中的源mac地址;其他mac将不能通过;若300s内,该记录mac没有再经过过该接口,将刷新记录;设备重启或接口关闭再开启也将刷新记录;

[sw-Ethernet0/0/4]port-security mac-address sticky   粘粘MAC(不老化)

自动记录通过该接口传递的mac地址,但记录后将永不删除,但也可手工填写

[sw-Ethernet0/0/4]port-security mac-address sticky aaaa-aaaa-aaaa vlan 1

五、SSH

安全的Telnet行为;  Telnet远程登录基于tcp23号端口工作;数据被明文传输;SSH也是远程登录基于TCP22号端口工作,数据包安全保障传输;存在版本V1/V2两种-实际版本号大于1小于2均为V2

加密算法(保障数据的私密性),必须存在秘钥可以反向计算(解密),加密后源数据增大

对称加密:同一个秘钥来进行加密和解密,比较经典的算法为:DES、3DES、AES  

非对称加密:存在两把秘钥,A加密、B解密,经典算法为RSA、DHIPSEC vpn专用),在当下秘钥长度需要大于1024才相对安全;非对称算法较对称算法最大的缺点:加密后源数据量增幅巨大;加密计算很慢;

校验算法(保障数据的完整性):没有秘钥不能反向计算,进行不等长输入,并等长的输出

散列函数的摘要算法

          雪崩效应:源数据微小变化导致计算结果的巨大变化

          MD -MD5-128     SHA-SHA-1  -128   -256  -521

配置命令:

[R2]stelnet server enable  开启ssh 

[R2]rsa local-key-pair create       秘钥生成

[R2]ssh user openlab authentication-type password  定义ssh基于秘钥来加解密

登录信息

[R2]aaa

[R2-aaa]local-user openlab password cipher huawei  

[R2-aaa]local-user openlab  service-type ssh

配置aaa认证

[R2]user-interface vty 0 4

[R2-ui-vty0-4]authentication-mode aaa

[R2-ui-vty0-4]protocol inbound ssh   仅允许SSH登录

若使用华为的设备作为终端设备,通过ssh方式登录其他的系统,需要开启ssh 客户端功能

[r1]ssh client  first-time enable

[Huawei]stelnet 99.1.1.1

六、端口隔离

端口隔离是一种网络安全措施,旨在限制不同设备或系统之间的网络连接和通信,以减少潜在的攻击风险和漏洞。具体来说,端口隔离通过限制某些网络端口的使用,使得仅特定的设备或用户能够使用这些端口进行网络通信。

在实际应用中,通常会将不同的设备或用户分配到不同的虚拟局域网(VLAN)中,每个VLAN都有自己的IP地址和网络端口,然后使用网络设备(如交换机、路由器等)对不同VLAN之间的网络流量进行隔离和管理。这样做可以有效地限制不同设备或用户之间的直接通信和访问,从而提高网络安全性和可靠性,并防止横向攻击。

需要注意的是,在进行端口隔离时,需要仔细规划和维护网络拓扑结构,并确保各个网络设备和系统的配置相容。此外,还需根据实际需求进行必要的访问控制和权限管理,以保证数据传输的安全性和正确性。

[sw]interface Eth0/0/5

[sw-Ethernet0/0/5]port-isolate enable group 1  相同配置间接口被隔离

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/664057.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

浅谈单元测试的那些事

Part 01 什么是单元测试 单元测试是一种软件测试方法,用于测试软件系统的最小可测试单元,例如函数、方法或类的行为。单元测试通常由开发人员编写,并在编写代码时就开始执行。这样可以保证实时检测代码中的错误、缺陷和潜在的问题&#xff0…

打包Java程序为.exe文件

文章目录 将Java程序打包成Jar包打包为.exe文件效果展示文件检索联系作者 ​👑作者主页:Java冰激凌 接上篇 我们还未介绍到如何打包为一个.exe文件 将Java程序打包成Jar包 1. file -> Project Structure 或者直接使用全局快捷键(Ctrl Al…

Java调用ChatGPT实现可连续对话和流式输出

目录 1. 配置阶段1.1 依赖引入1.2 配置application.yml文件1.3 注解添加 2. 使用2.1 生成回答2.1.1 测试 2.2 生成图片2.2.1 测试 2.3 下载图片2.3.1 测试 2.4 生成流式回答2.4.1 流式回答输出到IDEA控制台2.4.2 流式回答输出到浏览器页面2.4.3 流式回答结合Vue输出到前端界面 …

Docker: 改变容器化世界的革命性技术

目录 1.1什么是虚拟化 1.2什么是Docker 1.3容器与虚拟机的比较 1.4Docker组建 2、Docker安装 2.2设置ustc的镜像 2.3Docker的启动与停止 3、docker常用命令 3.1镜像 3.2容器相关命令 1.1什么是虚拟化 在计算机中,虚拟化(Vitualization&#x…

这可能是最全的Web测试各个测试点,有这一篇就够了

前言 什么是Web测试? Web测试测试Web或Web应用程序的潜在错误。它是在上线前对基于网络的应用程序进行完整的测试。 Web测试检查 功能测试 易用性测试 接口测试 性能测试 安全测试 兼容性测试 1、功能测试 测试网页中的所有链接、数据库连接、网页中用于提交或从…

结合具体代码理解yolov5-7.0锚框(anchor)生成机制

最近对yolov5-7.0的学习有所深入,感觉官方代码也比较易读,所以对网络结构的理解更进一步,其中对锚框生成这块没太看明白细节,也想弄明白这块,于是前前后后好好看了代码。现在把我的学习收获做一下记录。个人见解&#…

如何在大规模服务中迁移缓存

当您启动初始服务时,通常会过度设计以考虑大量流量。但是,当您的服务达到爆炸式增长阶段,或者如果您的服务请求和处理大量流量时,您将需要重新考虑您的架构以适应它。糟糕的系统设计导致难以扩展或无法满足处理大量流量的需求&…

第三章 decimal模块

1. decimal 模块介绍 decimal 模块是 Python 提供的用于进行十进制定点和浮点运算的内置模块。使用它可以快速正确地进行十进制定点和浮点数的舍入运算,并且可以控制有效数字的个数。 使用 decimal 模块主要是因为它与 Python 自带的浮点数相比,有以下…

关于Stream流和Lambda表达式,这些技巧你都知道吗?

💧 关于 S t r e a m 流和 L a m b d a 表达式,这些技巧你都知道吗? \color{#FF1493}{关于Stream流和Lambda表达式,这些技巧你都知道吗?} 关于Stream流和Lambda表达式,这些技巧你都知道吗?&…

2014年全国硕士研究生入学统一考试管理类专业学位联考写作试题

2014年1月真题: 四、写作:第56~57小题,共65分。其中论证有效性分析30 分,论说文35分。 56.论证有效性分析: 分析下述论证中存在的缺陷和漏洞,选择若干要点,写一篇600字左右的文章,对该论证的有效性进行分析和评论。…

马克思第二章

1.实践和认识 实践决定认识,认识又反作用于实践 实践的特点: 1.直接现实性 2.自觉能动性 3.社会历史性 实践和认识的关系 1.实践是认识的来源 2.实践是认识的目的 3.实践是认识的发展动力 4.实践是检验认识真理的唯一标准 5.认识又反作用于实践&#xf…

gocv Windows10下编译和安装(opencv4.7)

opencv居然还没有官方的golang版,出乎意料。为了编译安装这玩意,折腾了一下午,记录下: 资源提前下载 1、 MinGW-w64 这里的坑是对于只懂一点点的人,容易选错版本: 没仔细看的人很可能会选win32的&#x…

【EDA软件互转】PADS转Allegro

1. 使用pads软件打开PCB文件,然后执行菜单命令:File->Export->弹出的对话框中点击“保存”。然后按下图设置后点击“OK”按钮,会在当前目录下生成一个前面保存的asc文件;如果点击OK后有弹出其它提示就点击“确定”就好…

在编写测试报告的时候,我们有哪些点需要注意的呢?

测试报告作为测试人员的核心输出项,是体现自己工作价值的重要承载工具,需要我们认真对待,所以我们要重视测试报告的输出,那么在编写测试报告的时候,我们有哪些点需要注意的呢? 1、不要乱用模板 很多测试新…

CTR预估之WideDeep系列(下):NFM/xDeepFM

在上一篇文章中CTR预估之Wide&Deep系列模型:DeepFM/DCN,学习了Wide & Deep这种通用框架:wide组件的线性模型的显性低阶特征交叉提供记忆能力,deep组件的深度网络模型的隐式高阶特征交叉提供泛化能力,还有DeepFM和Deep&…

蓝桥杯刷题篇①

前言:hello各位童学们好呀!许久不见!本文为本人的蓝桥杯OJ的刷题笔记!文章隶属于专栏蓝桥杯,该专栏的目的是为了记录自己的刷题记录和学习过程,激励自己不断前行,为明年的ACM、ICPC、蓝桥杯等比…

CVPR2023最佳论文提名(12篇)

CVPR2023公布了12篇最佳论文候选文章。(直接点击标题可以查看原文~) Ego-Body Pose Estimation via Ego-Head Pose Estimation 单位:Stanford-----------关键词:姿态估计 3D Registration With Maximal Cliques 单位&…

三层交换机与路由互联配置(华为设备)

#三层交换机与路由器配置配置 #三层交换机与路由器配置配置 路由器配置 #进入系统视图 <Huawei>system-view #关闭系统提示信息 [Huawei]undo info-center enable #配置一个环回口 [Huawei]int LoopBack 0 #配置IP地址 与 掩码 [Huawei-LoopBack0]ip address 1.1.…

基于matlab使用自定义辐射方向图进行天线阵列分析(附源码)

一、前言 此示例演示如何使用自定义天线辐射方向图创建天线阵列&#xff0c;然后如何分析阵列的响应方向图。这种模式可以通过测量或模拟获得。 二、导入辐射图 根据应用的不同&#xff0c;实用的相控天线阵列有时会使用专门设计的天线元件&#xff0c;其辐射方向图无法用闭式方…

Java018——Java方法

什么是方法&#xff1f; 方法的作用&#xff1f; 方法的定义 方法的使用 一、什么是方法&#xff1f; Java方法是语句的集合 二、方法的作用&#xff1f; 它们&#xff08;语句&#xff09;在一起执行一个功能。 三、方法的定义 格式&#xff1a; 修饰符 返回值类型 方法名…