zoukankan      html  css  js  c++  java
  • 以太网安全_第九章

    前言

    按理说在准备IE的考试,应该看IE相关的书籍,但目前市面上IE好的书籍都是全英文的,中文当中关于IE的书箱真的少之又少,翻译的那种句子都不通顺,真的是看不下去,华为官方也没有出版,华为官方参与出版的、写的比较好的也只有《HCNP路由交换学习指南》,这本书写的非常的诚恳平实,有一种厚重的感觉。中文里面确实有一本泰克教育培训机构出版的《HCIE路由交换指南》,但里面的内容像是没有灵魂一般,全都是知识点的罗列,而且很多东西也没有展开来说,看上来就像是老师上课时的教案或是学生的流水账笔记那般,枯燥又无聊。

    那怎么不看IE的视频学习呢?视频其实也会看的,但是看视频并不是为了学习什么新的知识,仅仅是为了印证自己在书中学到的东西,这个时代,想学什么就学什么,我认为老师已经不再是知识的传播者,老师对于我的作用,不再是传递知识,而是我想听听老师对某个知识点有什么怎么样的理解,这样的见解,我想对于一个终身学习者是相当重要的,并不是老师讲什么我学什么,而是当我对某件事物有了一定的了解之后,告诉老师:我想听听您的看法!”,这是对老师的尊重,也是对自己的尊重。

    工作两年了,从事也是网络相关、LINUX运维相关的工作,也渐渐发现了一些问题,比如我在工作当中经常使用的、非常好用的技能点,很多书里面竟然没有讲解,比如帮助客户排除网络故障的时候,面对一个不熟悉的网络环境,首先一点肯定是把客户的网络环境搞清楚,像是查看邻居这样的命令非常常用,但是书中要么是没有对这种命令的讲解,要么就是一句话带过。

    <JN-DW-HJ>display lldp neighbor-information list
    

    当你踏踏实实的学习时,在遇到疑问的时候去请教老师或同学,有时候会惊讶的发现,有些老师和同学根本也不会,有的干脆是胡说八道,这其实不是什么怪事,谁能全知全能呢?但怪就怪在,在我看来,我的这种疑问是任何一个学习某个知识点的人都会遇到的,为什么他们没有遇到过呢?为什么不考虑这件事呢?真正可怕的不是自己不知道,而不是不知道自己不知道!

    MAC表项

    这里面主要有两个重要的知识点,就是为什么要绑定静态MAC和为什么要限制MAC地址学习的数量。

    1. MAC地址表老化时间是多少?

    300s

    1. mac地址表为什么要老化呢?

    动态mac地址表是存储在内存当中的,内存是易失性存储,空间都是有限的,而且交换机的寻址能力也是有限的。

    1. 为什么要配置静态表项呢?

    一台两层交换机,终端可以插入到任何一个接口上,这本来没什么问题,但是如何有人发起arp欺骗呢,比如A通过mac伪装成B,那这样去往B的流量都会跑到A上,有什么办法可以规避吗?这时候就可以通过在B所接入的接口上绑定B的MAC地址 ,这样的话,就相当于告诉交换机,此MAC地址只能从该接口当中进来,从别的接口进来就丢弃,这就是MAC地址静态绑定的意义。

    1. 为什么绑定静态MAC地址可以永久保存?

    是因为静态MAC地址是会写入到硬盘当中的

    1. 为什么限制mac地址学习的数量呢?(说出两个原因)

    这主要是用来防止有人私接交换机的,假如说对一个接口只限制它学习一个MAC地址 ,那么在这个MAC地址没有老化之前,源MAC与此MAC地址不匹配的报文就会被丢弃。

    另外还有一点原因,那如果有人发起MAC地址泛洪攻击,交换机内存会被打满,会导致因为无法学习MAC地址导致交换机无法正常工作。

    1. 当违反了数量限制之后,会采取哪两种动作?默认是哪一种?

    默认会被丢弃,此外还有一种动作是转发,那这里面的转发和正常的转发有什么不同呢?此处的转发是不学习MAC地址的。

    接口安全

    1. 基本的端口安全功能与限制MAC地址数量有什么区别?两点

    看着接口安全有点奇怪,接口安全本身具有限制MAC地址学习数量的作用,如果超出限制可以规定动作对其进行惩罚,咦!这不就和上一章的限制MAC地址学习数量一模一样嘛?有什么区别嘛?区别就是通过MAC地址表项做的限制MAC地址数量当中学习到的MAC地址300秒之后是会老化的,而通过端口安全学到的MAC是不会轻易老化的,会一直保持到设备重启的时候。

    静态表项只有两个处理动作:丢弃和转发,而端口安全对有三个处理动作:

    • shutdown,关闭接口并告警
    • protect:丢弃不报警
    • restrict:丢弃并报警(默认)

    设备重启之后,如果还想让安全的MAC继续存在呢?除了开启安全端口之后,还要加上sticky功能就可以了。

    DHCP 安全

    1. 说一下DHCP的四个交互报文?哪些是广播,哪些是单播?

    discover、offer、request、ack,其中discover和request是广播,其它都是单播;

    1. dhcp会不会分配地址会不冲突?

    不会,因为在分配之前会地地址冲突检测的。

    1. dhcp server从什么时候就已经准备好分配的IP地址了?

    其实就是office当中就已经准备好地址了。

    1. 描述一个DHCP的完整的交互过程

      PC通过广播发送discover包,dhcp从地址池当中选取没人使用的IP放在offer报文里面,PC会选取是先达到它的offer报文使用,PC通过request广播通告所有的dhcp server自己的选择,DHCP SERVER会通过ACK报文告知PC可以使用此地址 ,至此,这个地址才会正式生效。

    2. DHCP snoping的原理

    此功能会将接口分为两种类型,信任接口和非信任接口,信任接口连接dhcp server允许dhcp的任意报文通过,而非信任接口不允许dhcp offer报文通过。

    MAC地址漂移

    四种方法概述

    1. 什么情况会被判定为MAC地址漂移?

    少数几次的漂移不能完全判定是MAC地址漂移,比如运行了VRRP,只有在短时间内发生了大量地址漂移的现象才能被判定是MAC地址漂移。

    1. 哪些情况会引起MAC地址漂移?

    环路或攻击行为

    3 .mac地址漂移会造成什么影响?

    假如交换成环之后,MAC地址不断漂移很有可能会造成广播风暴。

    5 . 描述一下MAC地址优先级是如何防止环路的?

    三个招数:

    • 一个是通过将某个接口的优先级调高,低的不允许覆盖高的;
      • 优先级就是通过将一个接口的MAC地址学习优先级变高,这个接口以后比如学习了一个MAC地址AA,那后续如果别的接口也学到这个MAC地址,就不记录,也不会生效,无法覆盖之前学习到的
    • 另一个招数是不允许相同等级的接口MAC地址相互覆盖。
      • 默认的接口MAC地址 学习优先级是多少?0
      • 那问题来了,不允许别的接口低优先级覆盖高优先级的,那这个生效范围是vlan?整个交换机?整个交换机,全局配置
    • 最后一个基于vlan的mac地址漂移检测+动作(默认仅报警、阻塞mac、阻塞接口)
    • 配置全局MAC地址漂移检测

    #################################################################

    基于vlan的mac地址漂移

    • 基于vlan的mac地址漂移功能默认有没有开启?

    没有

    1. 解释以下这条命令是什么意思?
    vlan 10
    	loop-detect eth-loop block-time 10 retry-times 2
    

    意思就是如果在vlan10当中发现MAC地址漂移,会将接口 阻塞10S,10S之后放开,放开之后的20S内如果没有继续发现MAC地址漂移那就不管此接口了,如果20S之内又发现了此接口的漂移现象,那就再阻塞10S,10S之后放开,放开之后的20S内如果没有继续发现MAC地址漂移那就不管此接口了,如果20S之内又发现了此接口的漂移现象,就彻底的down掉,之后之能手动up起来。

    1. 直接阻塞接口是否妥当?有没有更好的办法?

    直接阻塞接口影响范围太大,我们可以设置仅阻塞漂移的MAC地址,不阻塞接口。

    1. 仅阻塞漂移的MAC地址有什么弊端?

    所有使用此MAC地址的设备无论是好的还是坏的,都无法使用了。

    基于全局的MAC地址漂移

    • 基于全局的MAC地址漂移,默认有没有开启?

    开启了

    • 基于全局的MAC地址漂移与基于VLAN的MAC地址漂移检测能同时配置吗?并说明为什么?

    可以同时配置,但建议只配置一种,全局在一定程序上包括了基于VLAN的,同时配置比较浪费资源。

    • mac地址漂移检查的VLAN白名单是干什么的?

    比如说一个服务器两个网卡做了负载分担,用同一个虚拟IP和虚拟MAC,这样的话,交换机的两个接口会发生MAC地址漂移,但这种情况是正常的,我们可以把这个MAC地址通过白名单排除在外。

    其实没必要这么麻烦,我们也在交接机上进行聚合就好了。

    • 基于全局的MAC地址漂移触发器和处理动作是什么?

    默认是middle(中等10次以上认为漂移),low是50次,high是3次。

    默认的动作就是报警,然后啥也不干,触发动作可以设置为error-down,还可以将后发生漂移的端口移动出VLAN。

  • 相关阅读:
    Permission denied (publickey). SSH用户名密码登录报错
    git工作流(Gitflow/gitlab代码权限管理)
    Spring多数据源配置(2)[PageHelper插件下应用bug修复]
    Spring多数据源配置
    基于Redis实现分布式锁
    .NetCore Autofac依赖注入获取注册后的实例、全局容器获取
    C++注入记事本升级版,给记事本弄爱心
    C++注入记事本
    WINAPI实现简易扫雷游戏
    .net 公共基础类
  • 原文地址:https://www.cnblogs.com/yizhangheka/p/15360207.html
Copyright © 2011-2022 走看看