随笔分类 - Network / HCNP Routing&Switching
摘要:
ARP是Address Resolution Protocol的首字母缩写,翻译成中文就是地址解析协议;它主要是将ip地址解析成对应设备的mac地址;我们知道以太网设备之间通信都是需要二层mac地址的封装;那么我们平常配置的ip地址给设备,它是怎么和对端通信的呢?首先本端要发送ARP请求通信目标mac地址(如果本地ARP缓存表里没有对应条目的情况下,如果有就直接封装本端mac和ip地址为源mac和源ip,把对端的mac和ip封装成目标mac和目标ip);只有对端回复了arp请求以后,本端就会将arp回复报文中的源mac当作对应通信目标的mac,并将对应信息存入arp缓存表中,以备后续再次通信使用;简单讲ARP就是根据IP地址获取mac地址的TCP/IP协议;ARP协议有一个特点,局域网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;这样一来非法主机在局域网里恶意发送伪造的arp应答报文,就会对应网络造成影响;
阅读全文
ARP是Address Resolution Protocol的首字母缩写,翻译成中文就是地址解析协议;它主要是将ip地址解析成对应设备的mac地址;我们知道以太网设备之间通信都是需要二层mac地址的封装;那么我们平常配置的ip地址给设备,它是怎么和对端通信的呢?首先本端要发送ARP请求通信目标mac地址(如果本地ARP缓存表里没有对应条目的情况下,如果有就直接封装本端mac和ip地址为源mac和源ip,把对端的mac和ip封装成目标mac和目标ip);只有对端回复了arp请求以后,本端就会将arp回复报文中的源mac当作对应通信目标的mac,并将对应信息存入arp缓存表中,以备后续再次通信使用;简单讲ARP就是根据IP地址获取mac地址的TCP/IP协议;ARP协议有一个特点,局域网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;这样一来非法主机在局域网里恶意发送伪造的arp应答报文,就会对应网络造成影响;
阅读全文
摘要:
IPSG是IP Source Guard的缩写,翻译成中文就是IP源保护,或者IP源防攻击;它是基于二层接口的源ip地址过滤技术;主要作用是防止恶意主机伪造合法主机的IP地址来仿冒合法主机;确保非授权主机不能通过自己指定的IP地址的方式来访问网络或攻击网络;
阅读全文
IPSG是IP Source Guard的缩写,翻译成中文就是IP源保护,或者IP源防攻击;它是基于二层接口的源ip地址过滤技术;主要作用是防止恶意主机伪造合法主机的IP地址来仿冒合法主机;确保非授权主机不能通过自己指定的IP地址的方式来访问网络或攻击网络;
阅读全文
摘要:
通常DHCP攻击有两种,一种是DHCP饿死攻击(DHCP Starvation),所谓DHCP饿死攻击,是指攻击者发送大量的不完整DHCP请求,把DHCP服务器内的可用ip地址快速消耗殆尽;另外一种就是DHCP欺骗攻击(DHCP Spoof);所谓DHCP欺骗是指攻击者私自搭建DHCP服务器,来影响客户端的ip获取情况(这是利用DHCP客户端的特性,谁的offer先到就用谁的);
阅读全文
通常DHCP攻击有两种,一种是DHCP饿死攻击(DHCP Starvation),所谓DHCP饿死攻击,是指攻击者发送大量的不完整DHCP请求,把DHCP服务器内的可用ip地址快速消耗殆尽;另外一种就是DHCP欺骗攻击(DHCP Spoof);所谓DHCP欺骗是指攻击者私自搭建DHCP服务器,来影响客户端的ip获取情况(这是利用DHCP客户端的特性,谁的offer先到就用谁的);
阅读全文
摘要:
所谓MAC地址漂移是指在交换机上的一个端口学习到的MAC在同VLAN下的其他端口也学习到了相同的MAC地址;即该MAC地址在同一交换机下的相同VLAN的多个端口之间来回漂浮,一会在这口,一会在那口;我们把这种现象叫做MAC地址漂移现象;发生MAC地址漂移现象的原因只有两种,一种是网络中存在环路;一种就是网络中存在恶意用户伪造MAC地址来欺骗交换机;
阅读全文
所谓MAC地址漂移是指在交换机上的一个端口学习到的MAC在同VLAN下的其他端口也学习到了相同的MAC地址;即该MAC地址在同一交换机下的相同VLAN的多个端口之间来回漂浮,一会在这口,一会在那口;我们把这种现象叫做MAC地址漂移现象;发生MAC地址漂移现象的原因只有两种,一种是网络中存在环路;一种就是网络中存在恶意用户伪造MAC地址来欺骗交换机;
阅读全文
摘要:
什么是端口安全呢?端口安全是对端口的一种保护机制;我们知道MAC安全特性中,默认情况没有配置任何配置的端口,它能够学习很多动态MAC,并且老化时间为5分钟;即我们没有限制端口学习MAC的数量;没有限制数量这意味着只要有一个MAC帧,对应端口都会学习源MAC,即不管是伪造的mac还是真正设备的MAC,该端口都会进行学习MAC和转发数据;端口安全主要是从MAC的学习数量和MAC的内容进行限制,从而实现该端口只能学习和转发合法的MAC地址及数据;即端口安全提供了限制该端口学习MAC的数量以及限制MAC的内容这两种机制;开启了端口安全功能以后,交换机学习到的动态mac地址会转换为安全MAC地址(安全MAC地址包括,动态安全MAC、安全静态MAC和sticky MAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性;
阅读全文
什么是端口安全呢?端口安全是对端口的一种保护机制;我们知道MAC安全特性中,默认情况没有配置任何配置的端口,它能够学习很多动态MAC,并且老化时间为5分钟;即我们没有限制端口学习MAC的数量;没有限制数量这意味着只要有一个MAC帧,对应端口都会学习源MAC,即不管是伪造的mac还是真正设备的MAC,该端口都会进行学习MAC和转发数据;端口安全主要是从MAC的学习数量和MAC的内容进行限制,从而实现该端口只能学习和转发合法的MAC地址及数据;即端口安全提供了限制该端口学习MAC的数量以及限制MAC的内容这两种机制;开启了端口安全功能以后,交换机学习到的动态mac地址会转换为安全MAC地址(安全MAC地址包括,动态安全MAC、安全静态MAC和sticky MAC),阻止非法用户通过本接口和交换机通信,从而增强设备的安全性;
阅读全文
摘要:
基于mac的攻击,通常手段有两种,一种是泛洪,一种是欺骗;所谓泛洪就是指攻击者在短时间内伪造很多mac地址帧,直接把交换机的mac地址表给写满;这样做最直接的后果就是,正常的数据包,交换机里没有对应mac,它不知道怎么转发,这个时候它就会泛洪,一泛洪,对应攻击者就能抓到数据包,从而获取数据;所谓欺骗是指攻击者恶意发送arp广播,告诉交换机,网关是我(通常就是欺骗网关,当然中间人攻击,也是类似的过程,两边欺骗);交换机收到攻击者的arp广播,它肯定会记录对应mac地址和接口,同时因为是arp广播,交换机上的其他pc收到对应的包,就会在本地记录对应mac和ip地址;从而在pc和网关通信时,会封装对应的mac地址,将数据发送给攻击者;这样一来攻击者就能够通过抓包等手段获取用户的数据;总之不管是mac泛洪攻击还是欺骗攻击,都是利用交换机的工作原理,通过mac地址表项来转发数据的特性来实行的攻击;
阅读全文
基于mac的攻击,通常手段有两种,一种是泛洪,一种是欺骗;所谓泛洪就是指攻击者在短时间内伪造很多mac地址帧,直接把交换机的mac地址表给写满;这样做最直接的后果就是,正常的数据包,交换机里没有对应mac,它不知道怎么转发,这个时候它就会泛洪,一泛洪,对应攻击者就能抓到数据包,从而获取数据;所谓欺骗是指攻击者恶意发送arp广播,告诉交换机,网关是我(通常就是欺骗网关,当然中间人攻击,也是类似的过程,两边欺骗);交换机收到攻击者的arp广播,它肯定会记录对应mac地址和接口,同时因为是arp广播,交换机上的其他pc收到对应的包,就会在本地记录对应mac和ip地址;从而在pc和网关通信时,会封装对应的mac地址,将数据发送给攻击者;这样一来攻击者就能够通过抓包等手段获取用户的数据;总之不管是mac泛洪攻击还是欺骗攻击,都是利用交换机的工作原理,通过mac地址表项来转发数据的特性来实行的攻击;
阅读全文
摘要:
我们知道GRE隧道技术是主要用来打通原本不能直接通信的两个设备,该技术的优点就是支持组播,支持组播就意味着我们可以在互联网上借助GRE隧道来跑路由协议;但是GRE有一个最大的缺点就是它不加密;IPSec VPN它的优点就是支持加密,缺点就是不支持组播;为了能够实现能够在互联网上跑私网路由协议,我们可以把这两个技术结合使用;即使用GRE隧道来跑路由协议,用ipsec VPN隧道来加密GRE隧道数据;
阅读全文
我们知道GRE隧道技术是主要用来打通原本不能直接通信的两个设备,该技术的优点就是支持组播,支持组播就意味着我们可以在互联网上借助GRE隧道来跑路由协议;但是GRE有一个最大的缺点就是它不加密;IPSec VPN它的优点就是支持加密,缺点就是不支持组播;为了能够实现能够在互联网上跑私网路由协议,我们可以把这两个技术结合使用;即使用GRE隧道来跑路由协议,用ipsec VPN隧道来加密GRE隧道数据;
阅读全文
摘要:
首先我们需要保证网络的可达性,然后在用ACL去识别IPSec VPN感兴趣的流量,即描述那些流量走IPSec VPN;后面的三个步骤就是创建IPSec 安全提议,即描述用什么加密算法、认证算法、报文使用什么安全协议封装等等;创建安全策略就是把前边的ACL和后面的安全提议做捆绑,当然以上都做好以后,我们还需要在某个接口来应用对应的安全策略,对应策略就生效了;
阅读全文
首先我们需要保证网络的可达性,然后在用ACL去识别IPSec VPN感兴趣的流量,即描述那些流量走IPSec VPN;后面的三个步骤就是创建IPSec 安全提议,即描述用什么加密算法、认证算法、报文使用什么安全协议封装等等;创建安全策略就是把前边的ACL和后面的安全提议做捆绑,当然以上都做好以后,我们还需要在某个接口来应用对应的安全策略,对应策略就生效了;
阅读全文
摘要:
安全联盟建立的方式有两种,分别是手动和IKE自动协商方式;两者的主要区别为密钥生成方式的不同和生存周期的不同;手动方式下,建立SA所需要用户手工配置,也只能手动刷新,在中大型网络中,这种方式有一个缺点,就是密钥是固定的,不安全,需要人工手动更改密钥,这样一来密钥管理成本就很高;而对于IKE自动协商,建立SA需要加密、验证密钥是通过DH算法生成的,可以动态刷新,因此相对于手工方式,IKE自动协商的方式,管理密钥成本较低,并且安全性较高;生命周期的不同主要体现在,手动建立的SA是永久的,而IKE建立的SA,其生命周期由双方配置的生存周期参数控制;因此,手动方式适合对等体设备数量较少时,或小型网络环境中;对于中大规模网络环境,推荐使用IKE自动协商方式建立SA;
阅读全文
安全联盟建立的方式有两种,分别是手动和IKE自动协商方式;两者的主要区别为密钥生成方式的不同和生存周期的不同;手动方式下,建立SA所需要用户手工配置,也只能手动刷新,在中大型网络中,这种方式有一个缺点,就是密钥是固定的,不安全,需要人工手动更改密钥,这样一来密钥管理成本就很高;而对于IKE自动协商,建立SA需要加密、验证密钥是通过DH算法生成的,可以动态刷新,因此相对于手工方式,IKE自动协商的方式,管理密钥成本较低,并且安全性较高;生命周期的不同主要体现在,手动建立的SA是永久的,而IKE建立的SA,其生命周期由双方配置的生存周期参数控制;因此,手动方式适合对等体设备数量较少时,或小型网络环境中;对于中大规模网络环境,推荐使用IKE自动协商方式建立SA;
阅读全文
摘要:
我们知道传统的TCP/IP协议是缺乏有效的安全认证和保密机制;IPSec(Internet Protocol Security)作为一种开放标准的安全框架结构,可以用来保证ip数据报文在网络上传输的机密性、完整性和防重放性;它源于IPV6,是IETF定制的一套安全保密性能框架;它建立在网络层的安全保障机制,引入了多种加密算法、验证算法和密钥管理机制,同时也具有配置复杂、消耗运算资源较多、增加延迟、不支持组播等缺点;IPSec VPN是利用IPSec隧道建立的VPN技术;
阅读全文
我们知道传统的TCP/IP协议是缺乏有效的安全认证和保密机制;IPSec(Internet Protocol Security)作为一种开放标准的安全框架结构,可以用来保证ip数据报文在网络上传输的机密性、完整性和防重放性;它源于IPV6,是IETF定制的一套安全保密性能框架;它建立在网络层的安全保障机制,引入了多种加密算法、验证算法和密钥管理机制,同时也具有配置复杂、消耗运算资源较多、增加延迟、不支持组播等缺点;IPSec VPN是利用IPSec隧道建立的VPN技术;
阅读全文
摘要:
什么是PKI?PKI是Pubilc key infrastructure的缩写,公钥基础架构;通过公钥技术与数字证书保证信息安全的体系;该体系主要由公钥加密技术、数字证书、CA、RA等共同组成;该体系能够实现信息的机密性、完整性和身份验证,不可否认性;
阅读全文
什么是PKI?PKI是Pubilc key infrastructure的缩写,公钥基础架构;通过公钥技术与数字证书保证信息安全的体系;该体系主要由公钥加密技术、数字证书、CA、RA等共同组成;该体系能够实现信息的机密性、完整性和身份验证,不可否认性;
阅读全文
摘要:
GRE是Generic Routing Encapsulation的缩写,翻译成中文就是通用路由封装协议;该协议提供了将一种协议的报文封装在另一种协议报文中的机制,是隧道封装技术;GRE可以封装组播数据,并可以和IPSec结合使用,从而保证语音、视频等组播业务的安全;该协议是一种三层VPN封装技术,在任意一种网络协议上传送任意一种其他网络协议的方法,解决了跨越异种网络的报文传输问题,异种报文传输的通道成为Tunnel(隧道);
阅读全文
GRE是Generic Routing Encapsulation的缩写,翻译成中文就是通用路由封装协议;该协议提供了将一种协议的报文封装在另一种协议报文中的机制,是隧道封装技术;GRE可以封装组播数据,并可以和IPSec结合使用,从而保证语音、视频等组播业务的安全;该协议是一种三层VPN封装技术,在任意一种网络协议上传送任意一种其他网络协议的方法,解决了跨越异种网络的报文传输问题,异种报文传输的通道成为Tunnel(隧道);
阅读全文
摘要:
Virtual Private Network,虚拟专用网络;所谓虚拟是指用户不需要拥有实际的专用长途数据线路,而是利用互联网链路建立自己的私有网络(当然内网中也可以建立隧道传递数据);所谓专用就是指用户可以自己定制一个符合自己需求的网络;VPN通过公共网络建立私有网络,并提供一定的安全性和服务质量保证;IETF草案对基于IP的VPN的定义是使用IP机制仿真出一个私有的广域网;
阅读全文
Virtual Private Network,虚拟专用网络;所谓虚拟是指用户不需要拥有实际的专用长途数据线路,而是利用互联网链路建立自己的私有网络(当然内网中也可以建立隧道传递数据);所谓专用就是指用户可以自己定制一个符合自己需求的网络;VPN通过公共网络建立私有网络,并提供一定的安全性和服务质量保证;IETF草案对基于IP的VPN的定义是使用IP机制仿真出一个私有的广域网;
阅读全文
摘要:
DHCP中继,顾名思义就是中继DHCP服务,使得DHCP能够跨多个广播域进行ip地址分配;我们知道DHCP默认是工作在一个广播域内,为一个广播域内的主机进行ip地址分配;DHCP信息以广播为主,路由器默认就是不转发广播,所以我们想要实现跨多个广播域或者路由器使用DHCP分配ip地址,我们就必须要在路由器或三层设备上开启dhcp中继;这里的DHCP中继就有点类似中间商代理;其主要作用就是代理dhcp,实现dhcp能够工作在更多的广播域,为更多网段的主机分配ip地址;
阅读全文
DHCP中继,顾名思义就是中继DHCP服务,使得DHCP能够跨多个广播域进行ip地址分配;我们知道DHCP默认是工作在一个广播域内,为一个广播域内的主机进行ip地址分配;DHCP信息以广播为主,路由器默认就是不转发广播,所以我们想要实现跨多个广播域或者路由器使用DHCP分配ip地址,我们就必须要在路由器或三层设备上开启dhcp中继;这里的DHCP中继就有点类似中间商代理;其主要作用就是代理dhcp,实现dhcp能够工作在更多的广播域,为更多网段的主机分配ip地址;
阅读全文
摘要:
BFD是Bidirectional Forwarding Detection的缩写,翻译成中文就是双向转发检测;该技术主要用于通信链路故障检测;我们知道传统的链锯故障检测机制有硬件检测,比如通过SDH(Synchronous Digital Hierarchy,同步数字体系)告警检测链路故障,这种方式的优点就是很快发现故障,但不是所有介质都能提供硬件检测;其次就是我们比较熟悉的慢HELLO机制;所谓慢hello机制就是通过采用路由协议中的hello报文机制;这种检测机制检测到故障都需要一定的时间,且一般都是秒级;这样一来对于高速数据传输的核心链路,如果故障在超过1秒才检测出来,这会导致大量的数据丢失;对于延迟敏感的业务,例如语音业务,这肯定是不能接受的,并且这种慢hello机制是严重依赖路由协议;除此之外不同协议有时会提供专用的检测机制,但在系统间互联互通时,这种专用的检测机制通常难以部署;
阅读全文
BFD是Bidirectional Forwarding Detection的缩写,翻译成中文就是双向转发检测;该技术主要用于通信链路故障检测;我们知道传统的链锯故障检测机制有硬件检测,比如通过SDH(Synchronous Digital Hierarchy,同步数字体系)告警检测链路故障,这种方式的优点就是很快发现故障,但不是所有介质都能提供硬件检测;其次就是我们比较熟悉的慢HELLO机制;所谓慢hello机制就是通过采用路由协议中的hello报文机制;这种检测机制检测到故障都需要一定的时间,且一般都是秒级;这样一来对于高速数据传输的核心链路,如果故障在超过1秒才检测出来,这会导致大量的数据丢失;对于延迟敏感的业务,例如语音业务,这肯定是不能接受的,并且这种慢hello机制是严重依赖路由协议;除此之外不同协议有时会提供专用的检测机制,但在系统间互联互通时,这种专用的检测机制通常难以部署;
阅读全文
摘要:
配置跟踪需要在master上配置即可,因为在上游接口故障的情况下,如果我们没有配置跟踪,对应vrrp并不会切换,这样一来对应通信是没有问题,但是对于通信的路径,就不是最优了的,所以为了避免次优路径,当master的上游接口断掉以后,对应vrrp检测到以后,应该立即降低自己的优先级,让其backup成为master,完成切换从而避免次优路径的产生;这里需要注意后面的降低优先级数字必须满足降低后的优先级要小于backup;即现在master的优先级-reduced后面的数字要小于backup的优先级;除此之外还需要在backup上开启抢占;当然我们没有配置抢占华为vrp平台默认是开启了抢占;
阅读全文
配置跟踪需要在master上配置即可,因为在上游接口故障的情况下,如果我们没有配置跟踪,对应vrrp并不会切换,这样一来对应通信是没有问题,但是对于通信的路径,就不是最优了的,所以为了避免次优路径,当master的上游接口断掉以后,对应vrrp检测到以后,应该立即降低自己的优先级,让其backup成为master,完成切换从而避免次优路径的产生;这里需要注意后面的降低优先级数字必须满足降低后的优先级要小于backup;即现在master的优先级-reduced后面的数字要小于backup的优先级;除此之外还需要在backup上开启抢占;当然我们没有配置抢占华为vrp平台默认是开启了抢占;
阅读全文
摘要:
VRRP:Virtual Router Redundancy Protocol,虚拟路由器冗余协议,一般路由器在网络中就是充当网关的作用,所以该协议也叫虚拟网关冗余协议;它能够将多台物理网关加入到一个设备组中,形成一台虚拟网关,承担物理网关的功能;只要设备组中有任意一台物理网关能够正常工作,虚拟网关就能正常工作;该协议有两个版本,v2和v3;v2基于IPV4,v3基于IPV6;
阅读全文
VRRP:Virtual Router Redundancy Protocol,虚拟路由器冗余协议,一般路由器在网络中就是充当网关的作用,所以该协议也叫虚拟网关冗余协议;它能够将多台物理网关加入到一个设备组中,形成一台虚拟网关,承担物理网关的功能;只要设备组中有任意一台物理网关能够正常工作,虚拟网关就能正常工作;该协议有两个版本,v2和v3;v2基于IPV4,v3基于IPV6;
阅读全文
摘要:
链路聚合是链路高可用的一种方式,它不仅可以有冗余备份的链路来提高链路的可靠性,同时也可以将多个链路聚合在一起,使得链路的带宽增加;我们知道随着网络规模不断扩大,用户对骨干链路的带宽和可靠性提出了越来越高的要求;在传统技术中,常用更换更高速率的接口板或更换支持高速率接口板的设备的方式来增加带宽,但这种方案需要付出额外的费用,而且不够灵活;采用链路聚合技术可以在不进行硬件升级的条件下,通过将多个物理接口捆绑为一个逻辑接口,来达到增加链路带宽的目的;在实现增大带宽目的的同时,链路聚合采用备份链路的机制,可以有效提高设备之间链路的可靠性;
阅读全文
链路聚合是链路高可用的一种方式,它不仅可以有冗余备份的链路来提高链路的可靠性,同时也可以将多个链路聚合在一起,使得链路的带宽增加;我们知道随着网络规模不断扩大,用户对骨干链路的带宽和可靠性提出了越来越高的要求;在传统技术中,常用更换更高速率的接口板或更换支持高速率接口板的设备的方式来增加带宽,但这种方案需要付出额外的费用,而且不够灵活;采用链路聚合技术可以在不进行硬件升级的条件下,通过将多个物理接口捆绑为一个逻辑接口,来达到增加链路带宽的目的;在实现增大带宽目的的同时,链路聚合采用备份链路的机制,可以有效提高设备之间链路的可靠性;
阅读全文
摘要:
我们知道RSTP在STP的基础上进行了改进,实现了网络拓扑快速收敛;但是由于局域网内所有vlan共享一棵生成树,因此被阻塞后的链路将不承载任何流量,无法实现vlan间流量的负载分担,从而造成带宽浪费;除此以外,部分vlan间通讯也可能出现次优路径;为了弥补STP和RSTP的这些缺陷,IEEE于2002年发布的802.1s标准定义了MSTP;MSTP兼容STP和RSTP,即可以实现快速收敛,又提供了数据转发的多条冗余路径,在数据转发过程中实现了VLAN数据的负载分担;
阅读全文
我们知道RSTP在STP的基础上进行了改进,实现了网络拓扑快速收敛;但是由于局域网内所有vlan共享一棵生成树,因此被阻塞后的链路将不承载任何流量,无法实现vlan间流量的负载分担,从而造成带宽浪费;除此以外,部分vlan间通讯也可能出现次优路径;为了弥补STP和RSTP的这些缺陷,IEEE于2002年发布的802.1s标准定义了MSTP;MSTP兼容STP和RSTP,即可以实现快速收敛,又提供了数据转发的多条冗余路径,在数据转发过程中实现了VLAN数据的负载分担;
阅读全文
摘要:
我们知道RSTP优化了STP收敛速度,同时也加入了边缘端口的机制,但是如果有人恶意使用stp特有的属性发起攻击,对于STP网络来说它也会造成网络不稳定;为了更好的保证RSTP协议在网络不稳定情况下,尽可能的保证流量的正常转发,在标准协议中新增了4中保护功能;
阅读全文
我们知道RSTP优化了STP收敛速度,同时也加入了边缘端口的机制,但是如果有人恶意使用stp特有的属性发起攻击,对于STP网络来说它也会造成网络不稳定;为了更好的保证RSTP协议在网络不稳定情况下,尽可能的保证流量的正常转发,在标准协议中新增了4中保护功能;
阅读全文
浙公网安备 33010602011771号