摘要:
配置如下archive命令,可以记录登录到设备,具体配置了哪些命令:R3(config)#archiveR3(config-archive)#log configR3(config-archive-log-cfg)#R3(config-archive-log-cfg)#logging enableR 阅读全文
摘要:
1、UDLD(单向链路检测协议)工作原理 为了在生成转发环路之前检测到单向链路,Cisco 设计并实施了 UDLD 协议。UDLD 是与第 1 层 (L1) 机制一起工作以确定链路物理状态的第 2 层 (L2) 协议。 在第 1 层中,自动协商负责物理信令和故障检测。UDLD 执行自动协商不能执行的 阅读全文
摘要:
除了CoPP外,管理员还可以通过使用控制面保护(Control Plane Protection,CPPr)机制抵御针对控制面的攻击,从本质上讲,CPPr属于CoPP的扩展,在CPPr中控制面接口被划分为一个聚合接口与3个子接口,流量从聚合接口进入路由器,再从其中一个子接口出去,这种方式有助于实现更 阅读全文
摘要:
下列列举了控制层面主要存在的攻击: 1. 慢路径拒绝服务攻击(slow-path denial of service attack) 攻击方式:瘫痪正常的服务。(如果持续以进程交换的方式处理大量的数据包,那么设备将不堪重负) 设备CPU的3中功能: • 处理控制层面的流量 • 处理管理层面流量 • 阅读全文
摘要:
uRPF将数据包的源地址和存储在转发信息库(FIB)中的信息进行对照,以判定数据包的合法性。FIB是Cisco CEF技术中的一张表,包含从路由表中复制过来的转发信息,可以将其视为路由表的镜像,FIB包含所有已知的路由信息,设备采用FIB就能提高数据包转发的速度,由于uRPF以FIB中的信息为过依据 阅读全文
摘要:
部署VLAN和ACLCisco Catalyst交换机(认证方)和Cisco ACS(认证服务器)具备动态分配VLAN或者ACL的能力。Cisco ACS可以将某个用户分配给指定的VLAN,或应用ACL过滤该用户的流量。用户成功通过802.1X认证后,Cisco ACS向交换机发送Radius属性信 阅读全文
摘要:
基本的802.1X部署工作包括以下4步: 1. 为Cisco Catalyst交换机配置802.1X认证方 2. 为交换机配置访客VLAN或者受限VLAN,并调整802.1X定时器(可选) 3. 为Cisco ACS配置EAP-FAST,并在本地数据库创建用户账户 4. 为客户主机配置并部署802. 阅读全文
摘要:
EAP信息交换: 上图中展示的是OTP(一次性密码)实现EAP交换过程,具体的EAP交换过程如下:步骤1:请求方向认证方发送EAPOL-Start消息,通知对方已经做到了认证准备(注意:若会话由认证方发起,不需要该报文)步骤2:在检测到链路活动后(比如客户连接到SW端口),认证方向请求当发送EAP- 阅读全文
摘要:
Cisco基于身份的网络服务(Identity-Based Networking Services,IBNS)是一种以IEEE802.1X标准为基础的安全架构,具有认证、用户策略、访问控制等多种功能,能提供一套完善的安全解决方案。它对设备的MAC地址、IP地址和身份凭证进行验证,确保只有合法用户才能 阅读全文
摘要:
1、NetFlow介绍 提供高层次的诊断,分类和识别网络异常。 使用NetFlow来检查哪些行为改变明显的攻击是非常有效的。 就像Wiretap一样捕获数据包。 NetFlow像电话账单。(谁和谁在通话,通过什么协议和端口,多长时间,速度如何,持续多久等) 路由器和交换机作为一个流量遥感器,推送流量 阅读全文