1.
uRPF
(Unicast Reverse Path Forwarding 单播的反向路径转发)
(1)uRPF概述
uRPF功能是让路由器具备防IP欺骗或IP伪造的能力。uRPF所认为的IP伪造,是指某个IP的数据包的并不应该从某个接口进来,却从某个接口进来了,那么这样的数据包便认为是具有IP欺骗性质的,默认是被丢弃的。
(2)uRPF检测
当路由器从某个开启了uRPF的接口上收到数据包之后,都会检测该数据包的源IP地址,同时与路由表中的路由条目作对比,经过判断后,如果到达这个源IP的出口确实是这个开了uRPF的接口,则数据包被转发,否则被丢弃。
因为uRPF开启后,所有从此接口进入的数据包都要被检测,速度将会变慢,所以必须开启CEF后,才能开启uRPF。uRPF只能在in方向上开启,在做检查时,所有到源IP的最优路径都认为是可行的。
在正常情况下,如果一个数据包无法通过uRPF检查,那么该数据包默认是丢弃的,但是有时因为特殊原因,可以让某些即使检查失败的数据包也能通过,要做到这一点,就可以在开启uRPF除加ACL,其中检查失败的数据包,是丢弃还是放行,全由ACL来定,ACL允许,就放行,ACL拒绝,就丢弃。
(3)Strict Mode 严格模式
Router (config-if)# ip verify unicast source reachable-via rx
Router (config-if)# ip verify unicast reverse-path
Loose Mode 宽松模式
Router (config-if)# ip verify unicast source reachable-via any 在接口上开启uRPF的宽松模式
(4)uRPF 配置
Router(config-if)#ip verify unicast reverse-path
接口上开启uRPF,默认检测进入接口的所有数据包。
Router(config)#access-list 100 permit ip host 3.3.3.3 any
Router(config-if)#ip verify unicast reverse-path 100
2.
SSH
(Secure Shell安全外壳协议)
(1)SSH概述
传统的网络服务程序,因为它们在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。
通过使用SSH,你可以把所有传输的数据进行加密,还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。
(2)配置SSH
Router(config)#hostname R1
R1(config)#ip domain name www.cisco.com
R1(config)#username ccie privilege 15 password cisco
R1(config)#crypto key generate rsa modulus 1024
R1(config)#crypto key generate rsa
R1(config)#line vty 0 4
R1(config-line)#transport input ssh
R1(config-line)#login local
R2#ssh -l ccie 12.1.1.1
Password: cisco
3.
Port Security
(1)端口安全配置
Switch(config-if)#switchport port-security [maximum value] violation {protect | restrict | shutdown}
端口安全验证
Switch#show port-security
Switch#show port-security interface type mod/port
Switch#show port-security address
(2)违规状态
shutdown 默认状态,立即将端口置为errdisable状态,即关闭端口
restrict 端口仍处于UP,对违规的地址的包丢弃,SW记录违规分组记数,发送trap message到SNMP server.限制违规的地址,但是不影响绑定的地址
protect: 端口仍处于UP,对违规的地址的包丢弃,但不记录违规分组计数,不会发送trap message 到SNMP server,除非绑定的地址少掉,才会添加后面没有绑定的地址
4.
DHCP Snooping和DAI
(Dynamic ARP Inspection)
(1)DHCP Snooping配置
Enables DHCP snooping globally
Switch(config)# ip dhcp snooping
Enables DHCP Option 82 data insertion
Switch(config)# ip dhcp snooping information option
Configures a trusted interface
Switch(config-if)# ip dhcp snooping trust
Number of packets per second accepted on a port
Switch(config-if)# ip dhcp snooping limit rate [rate]
Enables DHCP snooping on your VLANs
Switch(config)# ip dhcp snooping vlan number [number]
Create static DHCP binding table
Switch#ip dhcp snooping binding mac-address vlan vlan-id ip-address interface interface-id expiry seconds
DHCP Snooping验证
Switch# show ip dhcp snooping
(2)DAI
DAI配置:
Enables DAI on a VLAN or range of VLANs
Switch(config)#ip arp inspection vlan vlan_id[,vlan_id]
Enables DAI on an interface and sets the interface as a trusted interface
Switch(config-if)#ip arp inspection trust
Configures DAI to drop ARP packets when the IP addresses are invalid
Switch(config-if)#ip arp inspection validate {[src-mac] [dst-mac] [ip]}
Set a static ARP entry and filter the traffic in the special vlan
Switch(config)#arp access-list DAI
Switch(config-arp-nacl)#permit ip host IP-ADDRESS mac host MAC-ADDRESS
Switch(config)#ip arp inspection filter DAI vlan vlan-ID
5.
NTP
(Network Time Protocol)网络时间协议
(1)NTP概述
NTP是用来使计算机时间同步化的一种协议,它可以使计算机对其服务器或时钟源做同步化,它可以提供高精准度的时间校正(LAN上与标准间差小于1毫秒,WAN上几十毫秒)。
某些时候,我们需要在Cisco设备上做一些基于时间的策略或访问控制,让这些策略或控制在特定的时间内生效,所以设备上必须存在着准确的时间。 但是如果手工给设备配好时间,当设备因为某些原因重启后,时间将被刷新到出厂时的时间,这样就影响到我们所做的策略或服务。这时我们就需要设备能够借助于远程时间服务器上的时间来同步自己的本地时间,让设备在正常工作时,本地的时间和远程时间服务器的时间保持一致。
本地设备的时间和远程时间服务器即使能够同步,也会存在毫秒级的误差,如果自己和远程时间服务器同步,那么别人再和自己同步,就意味着别人的时间误差可能更大。在这里,时间的精准度就会有高低,Cisco设备的NTP把这样的精准度高低称为stratum,如果stratum值越大,就表示精准度越差,stratum值越小表示精准度就越好。Cisco设备即可以作为NTP客户端,即自己和远程时间服务器同步,也可作为NTP服务器,即向别的设备提供自己的时间,让别的设备和自己的时间同步,如果将Cisco设备作为NTP服务器,默认的stratum是8,就表示远程设备和自己同步后,stratum就是9。
(2)NTP配置
配置时间:
1)为设备配置时区:
R1(config)#clock timezone GMT +8 配置时区为东8区时
2)为设备配置时间:
R1#clock set 20:00:00 1 oct 2008 配置时间为2008年10月1日20点整
3)R1#show clock
配置NTP Server:
1)配置NTP服务器(配置master和stratum(默认为8)):
R1(config)#ntp master 5 stratum为5
2)配置NTP数据包的源地址(此地址为数据发出时的源地址,并不影响NTP时间同步):
R1(config)#ntp source Loopback0
配置NTP Client:
1)指定NTP服务器地址
R2(config)# ntp server 10.1.1.1
2)配置clock timezone
R2(config)# clock timezone GMT +8
3)R2#show clock
(3)NTP认证
服务器和客户端之间可以使用MD5来提供安全认证,只有双方在密码相同的情况下,时间才能同步。
配置NTP Server 认证:
1)开启认证
R1(config)# ntp authenticate
2)配置密码
R1(config)# ntp authentication-key 5 md5 cisco
3)使用某个密码
R1(config)#ntp trusted-key 5
注:在key只有一个的情况下,可以不配
配置NTP Client 认证:
1)开启认证
R2(config)# ntp authenticate
2)配置密码
R2(config)# ntp authentication-key 20 md5 cisco
3)使用某个密码
R2(config)#ntp trusted-key 20
4)打开对服务器的密码使用,让发送给服务器的数据中携带密码
R2(config)#ntp server 10.1.1.1 key 20
例:
ntp authentication-key 1 md5 cisco
ntp authenticate
ntp trusted-key 1
ntp master
ntp source lo 0
ntp authentication-key 1 md5 cisco
ntp authenticate
ntp trusted-key 1
ntp server 10.1.1.5 key 1
NTP验证:
R2#show ntp status
6.
NetFlow
(1)NetFlow概述
NetFlow 是Cisco发布的一款用于分析网络数据包信息的工具包,根据不同的需要定制不同的方案,典型的是对网络数据的源地址、目的地址的分析,对流量各种应用的分析或者路由器上各个端口的负载等的统计。可以针对以下参数进行统计:addr、dstaddr、port、dstport、protocol、ToS、input interface、output interface、nexthop、masked、Packet count、byte count、flow count等。
NetFlow是一种数据交换方式,NetFlow利用标准的交换模式处理数据流的第一个IP包数据,生成NetFlow 缓存,随后同样的数据基于缓存信息在同一个数据流中进行传输,不再匹配相关的访问控制等策略,NetFlow缓存同时包含了随后数据流的统计信息。NetFlow不仅能记录数据的数量,并且还可以记录出协议等信息。
Netflow提供网络流量的会话级视图,记录下每个TCP/IP事务的信息。也许它不能象tcp dump那样提供网络流量的完整记录,但是当汇集起来时,它更加易于管理和易读。
数据采集:针对路由器送出的NetFlow数据,可以利用NetFlow数据采集软件存储到服务器上,以便利用各种NetFlow数据分析工具进行进一步的处理。
(2)NetFlow的版本
Cisco开发的NetFlow共4个版本,分别是ver 1 ,ver 5,ver 8,ver 9,它们的特点是:
V9不向后兼容v8和v5,需要独立开启。
V8只支持聚合缓存,不支持新feature。
V5只支持主缓存,不支持新feature。
V1,不要使用,建议用5和9。
(3)NetFlow的配置要求
Netflow在网络设备上抓包,在每台设备上独立进行,不需要所有设备开启。
配置Netflow的条件:
必须先开启路由功能
CEF必开
并且会消耗额外CPU和内存资源。
下面7个参数相同即被认为是同一流,作相同记录,否则另作记录
Source IP address
Destination IP address
Source port number
Destination port number
Layer 3 protocol type
Type of service (ToS)
Input logical interface
Netflow抓到的包可以向远程主机发送,发送时使用协议UDP,端口号默认为9991,这些远程主机的IP和端口号可以随意更改。
(4)NetFlow的配置
ip cef
flow-sampler-map CCIE /创建Netflow例图/
mode random one-out-of 1000 /设置例图模式为1000个包随机取1个/
ip flow-export source Loopback0 /配置输出netflow流量的源端口,收集哪个interface,就在路由器哪个接口上启用采样/
ip flow-export version 9
ip flow-export destination 8.8.56.100 2222 sctp /配置netflow流量输出的目标地址,此时应为流量采集器(probe)的IP地址,端口号/
backup destination 8.8.56.254 2222
backup mode fail-over
interface G0/1
ip flow ingress
ip flow egress
flow-sampler CCIE /入方向流量应用例图采样/
flow-sampler CCIE egress /出方向流量应用例图采样/
7.
DHCPv6
(1)DHCPv6概述
客户端首先检测链路上的路由器的存在,如果找到,则检查路由器通告,以确定是否可以使用DHCP,如果没有路由器发现,则发送DHCP请求消息到所有DHCP的代理多播地址,使用链路本地地址作为源地址。
使用的组播地址:
FF02::1:2 = All DHCP Agents (servers or relays, Link-local scope)
FF05::1:3 = All DHCP Servers (Site-local scope)
DHCP消息:客户端侦听UDP端口546;服务器和中继代理监听UDP端口547。
(2)DHCPv4与DHCPv6协议对比
DHCP消息 IPv4 IPv6
初始消息交换 4次握手 4次握手
消息类型 广播、单播 组播、单播
Client->Server(1) DISCOVER SOLICIT
Server->Client(2) OFFER ADVERTISE
Client->Server(3) REQUEST REQUEST
Server->Client(4) ACK REPLY
(3)DHCP-PD(prefix delegation) DHCP前缀推送
R1
ipv6 local pool P1 2001:1234::/64 64
ipv6 dhcp pool P2
prefix-delegation pool P1
interface f1/0
ipv6 address 2001::7/64
ipv6 dhcp server P2
R2
interface f1/0
ipv6 address autoconfig default
ipv6 enable
ipv6 dhcp client pd P2
interface f0/0
ipv6 address P2 ::1234/64
ipv6 enable
Host
interface f0/0
ipv6 address autoconfig default
8.
DNS
(Domain Name System,域名系统)
(1)DNS概述
将人类难以记忆的IP地址映射到相对容易记忆的英文上,提供网络服务。
全球共有13台根逻辑域名服务器,这13台逻辑根域名服务器中名字分别为“A”至“M”,负责全球互联网域名根服务器、域名体系和IP地址等的管理,1个为主根服务器,放置在美国,其余12个均为辅根服务器,其中9个放置在美国,欧洲2个,位于英国和瑞典,亚洲1个,位于日本,中国一个都没有。
每个IP地址都可以有一个主机名,主机名由一个或多个字符串组成,字符串之间用小数点隔开。通过主机名,最终得到该主机名对应的IP地址的过程叫做域名解析。
通常 Internet 主机域名的一般结构为:主机名.三级域名.二级域名.顶级域名。 Internet 的顶级域名由 Internet网络协会域名注册查询负责网络地址分配的委员会进行登记和管理,它还为 Internet的每一台主机分配唯一的 IP 地址。全世界现有三个大的网络信息中心: 位于美国的 Inter-NIC,负责美国及其他地区; 位于荷兰的RIPE-NIC,负责欧洲地区;位于日本的APNIC ,负责亚太地区。
(2)查询方式
迭代查询又称重指引,当服务器使用迭代查询时能够使其他服务器返回一个最佳的查询点提示或主机地址,若此最佳的查询点中包含需要查询的主机地址,则返回主机地址信息;若此时服务器不能够直接查询到主机地址,则是按照提示的指引依次查询,直到服务器给出的提示中包含所需要查询的主机地址为止。
(3)配置
支持域名代替IP:ip domain lookup
开启本身解析域名的能力:ip dns server
解析条目:ip host a x.x.x.x
当本地没有解析条目时,迭代查询下一台服务器:ip name server x.x.x.x
9.
NAT
ip nat outside source static x.x.x.x x.x.x.x
将外网的某个地址转换为内网地址
关注微信公众号思唯网络学院回复资料就可以领取学习资料一份,先到先得噢!