摘要:
基于mac的攻击,通常手段有两种,一种是泛洪,一种是欺骗;所谓泛洪就是指攻击者在短时间内伪造很多mac地址帧,直接把交换机的mac地址表给写满;这样做最直接的后果就是,正常的数据包,交换机里没有对应mac,它不知道怎么转发,这个时候它就会泛洪,一泛洪,对应攻击者就能抓到数据包,从而获取数据;所谓欺骗是指攻击者恶意发送arp广播,告诉交换机,网关是我(通常就是欺骗网关,当然中间人攻击,也是类似的过程,两边欺骗);交换机收到攻击者的arp广播,它肯定会记录对应mac地址和接口,同时因为是arp广播,交换机上的其他pc收到对应的包,就会在本地记录对应mac和ip地址;从而在pc和网关通信时,会封装对应的mac地址,将数据发送给攻击者;这样一来攻击者就能够通过抓包等手段获取用户的数据;总之不管是mac泛洪攻击还是欺骗攻击,都是利用交换机的工作原理,通过mac地址表项来转发数据的特性来实行的攻击; 阅读全文
摘要:
我们知道GRE隧道技术是主要用来打通原本不能直接通信的两个设备,该技术的优点就是支持组播,支持组播就意味着我们可以在互联网上借助GRE隧道来跑路由协议;但是GRE有一个最大的缺点就是它不加密;IPSec VPN它的优点就是支持加密,缺点就是不支持组播;为了能够实现能够在互联网上跑私网路由协议,我们可以把这两个技术结合使用;即使用GRE隧道来跑路由协议,用ipsec VPN隧道来加密GRE隧道数据; 阅读全文
摘要:
首先我们需要保证网络的可达性,然后在用ACL去识别IPSec VPN感兴趣的流量,即描述那些流量走IPSec VPN;后面的三个步骤就是创建IPSec 安全提议,即描述用什么加密算法、认证算法、报文使用什么安全协议封装等等;创建安全策略就是把前边的ACL和后面的安全提议做捆绑,当然以上都做好以后,我们还需要在某个接口来应用对应的安全策略,对应策略就生效了; 阅读全文
摘要:
安全联盟建立的方式有两种,分别是手动和IKE自动协商方式;两者的主要区别为密钥生成方式的不同和生存周期的不同;手动方式下,建立SA所需要用户手工配置,也只能手动刷新,在中大型网络中,这种方式有一个缺点,就是密钥是固定的,不安全,需要人工手动更改密钥,这样一来密钥管理成本就很高;而对于IKE自动协商,建立SA需要加密、验证密钥是通过DH算法生成的,可以动态刷新,因此相对于手工方式,IKE自动协商的方式,管理密钥成本较低,并且安全性较高;生命周期的不同主要体现在,手动建立的SA是永久的,而IKE建立的SA,其生命周期由双方配置的生存周期参数控制;因此,手动方式适合对等体设备数量较少时,或小型网络环境中;对于中大规模网络环境,推荐使用IKE自动协商方式建立SA; 阅读全文
摘要:
我们知道传统的TCP/IP协议是缺乏有效的安全认证和保密机制;IPSec(Internet Protocol Security)作为一种开放标准的安全框架结构,可以用来保证ip数据报文在网络上传输的机密性、完整性和防重放性;它源于IPV6,是IETF定制的一套安全保密性能框架;它建立在网络层的安全保障机制,引入了多种加密算法、验证算法和密钥管理机制,同时也具有配置复杂、消耗运算资源较多、增加延迟、不支持组播等缺点;IPSec VPN是利用IPSec隧道建立的VPN技术; 阅读全文
摘要:
什么是PKI?PKI是Pubilc key infrastructure的缩写,公钥基础架构;通过公钥技术与数字证书保证信息安全的体系;该体系主要由公钥加密技术、数字证书、CA、RA等共同组成;该体系能够实现信息的机密性、完整性和身份验证,不可否认性; 阅读全文
摘要:
GRE是Generic Routing Encapsulation的缩写,翻译成中文就是通用路由封装协议;该协议提供了将一种协议的报文封装在另一种协议报文中的机制,是隧道封装技术;GRE可以封装组播数据,并可以和IPSec结合使用,从而保证语音、视频等组播业务的安全;该协议是一种三层VPN封装技术,在任意一种网络协议上传送任意一种其他网络协议的方法,解决了跨越异种网络的报文传输问题,异种报文传输的通道成为Tunnel(隧道); 阅读全文
摘要:
Virtual Private Network,虚拟专用网络;所谓虚拟是指用户不需要拥有实际的专用长途数据线路,而是利用互联网链路建立自己的私有网络(当然内网中也可以建立隧道传递数据);所谓专用就是指用户可以自己定制一个符合自己需求的网络;VPN通过公共网络建立私有网络,并提供一定的安全性和服务质量保证;IETF草案对基于IP的VPN的定义是使用IP机制仿真出一个私有的广域网; 阅读全文
摘要:
DHCP中继,顾名思义就是中继DHCP服务,使得DHCP能够跨多个广播域进行ip地址分配;我们知道DHCP默认是工作在一个广播域内,为一个广播域内的主机进行ip地址分配;DHCP信息以广播为主,路由器默认就是不转发广播,所以我们想要实现跨多个广播域或者路由器使用DHCP分配ip地址,我们就必须要在路由器或三层设备上开启dhcp中继;这里的DHCP中继就有点类似中间商代理;其主要作用就是代理dhcp,实现dhcp能够工作在更多的广播域,为更多网段的主机分配ip地址; 阅读全文
摘要:
BFD是Bidirectional Forwarding Detection的缩写,翻译成中文就是双向转发检测;该技术主要用于通信链路故障检测;我们知道传统的链锯故障检测机制有硬件检测,比如通过SDH(Synchronous Digital Hierarchy,同步数字体系)告警检测链路故障,这种方式的优点就是很快发现故障,但不是所有介质都能提供硬件检测;其次就是我们比较熟悉的慢HELLO机制;所谓慢hello机制就是通过采用路由协议中的hello报文机制;这种检测机制检测到故障都需要一定的时间,且一般都是秒级;这样一来对于高速数据传输的核心链路,如果故障在超过1秒才检测出来,这会导致大量的数据丢失;对于延迟敏感的业务,例如语音业务,这肯定是不能接受的,并且这种慢hello机制是严重依赖路由协议;除此之外不同协议有时会提供专用的检测机制,但在系统间互联互通时,这种专用的检测机制通常难以部署; 阅读全文
摘要:
配置跟踪需要在master上配置即可,因为在上游接口故障的情况下,如果我们没有配置跟踪,对应vrrp并不会切换,这样一来对应通信是没有问题,但是对于通信的路径,就不是最优了的,所以为了避免次优路径,当master的上游接口断掉以后,对应vrrp检测到以后,应该立即降低自己的优先级,让其backup成为master,完成切换从而避免次优路径的产生;这里需要注意后面的降低优先级数字必须满足降低后的优先级要小于backup;即现在master的优先级-reduced后面的数字要小于backup的优先级;除此之外还需要在backup上开启抢占;当然我们没有配置抢占华为vrp平台默认是开启了抢占; 阅读全文
摘要:
VRRP:Virtual Router Redundancy Protocol,虚拟路由器冗余协议,一般路由器在网络中就是充当网关的作用,所以该协议也叫虚拟网关冗余协议;它能够将多台物理网关加入到一个设备组中,形成一台虚拟网关,承担物理网关的功能;只要设备组中有任意一台物理网关能够正常工作,虚拟网关就能正常工作;该协议有两个版本,v2和v3;v2基于IPV4,v3基于IPV6; 阅读全文
摘要:
链路聚合是链路高可用的一种方式,它不仅可以有冗余备份的链路来提高链路的可靠性,同时也可以将多个链路聚合在一起,使得链路的带宽增加;我们知道随着网络规模不断扩大,用户对骨干链路的带宽和可靠性提出了越来越高的要求;在传统技术中,常用更换更高速率的接口板或更换支持高速率接口板的设备的方式来增加带宽,但这种方案需要付出额外的费用,而且不够灵活;采用链路聚合技术可以在不进行硬件升级的条件下,通过将多个物理接口捆绑为一个逻辑接口,来达到增加链路带宽的目的;在实现增大带宽目的的同时,链路聚合采用备份链路的机制,可以有效提高设备之间链路的可靠性; 阅读全文
摘要:
我们知道RSTP在STP的基础上进行了改进,实现了网络拓扑快速收敛;但是由于局域网内所有vlan共享一棵生成树,因此被阻塞后的链路将不承载任何流量,无法实现vlan间流量的负载分担,从而造成带宽浪费;除此以外,部分vlan间通讯也可能出现次优路径;为了弥补STP和RSTP的这些缺陷,IEEE于2002年发布的802.1s标准定义了MSTP;MSTP兼容STP和RSTP,即可以实现快速收敛,又提供了数据转发的多条冗余路径,在数据转发过程中实现了VLAN数据的负载分担; 阅读全文
摘要:
我们知道RSTP优化了STP收敛速度,同时也加入了边缘端口的机制,但是如果有人恶意使用stp特有的属性发起攻击,对于STP网络来说它也会造成网络不稳定;为了更好的保证RSTP协议在网络不稳定情况下,尽可能的保证流量的正常转发,在标准协议中新增了4中保护功能; 阅读全文
摘要:
RSTP(Rapid spanning Tree Protocol,快速生成树协议),它是从STP发展而来,实现的基本思想和STP一致,都是通过阻断冗余链路来消除网络中可能存在的环路,同时当活动链路发生故障时,激活冗余链路及时恢复网络连通性,从而实现网络的可靠性;RSTP具备STP的所有功能,可以兼容STP;RSTP不同于STP,最大的特点就是比STP快;RSTP通过减少了端口状态、增加端口角色、BPDU格式及发送方式不同,当交换网络拓扑结构发生变化时,RSTP可以更快地恢复网络的连通性; 阅读全文
摘要:
super-vlan只建立一个三层VLANIF接口,不包含物理接口(即回环接口),与之对应为网关;Super-VLAN负责实现所有Sub-VLAN共享一个三层接口的需求,使不同Sub-VLAN内地主机可以共用同一个网关;sub-vlan只包含物理接口,不建立三层VLANIF接口,隔离广播域;一个Super-VLAN可以包含一个或多个Sub-VLAN;它只映射物理接口,负责保留各自独立的广播域; 阅读全文
摘要:
MUX VLAN 也是一种vlan隔离技术,相对于同VLAN内的端口隔离,它更灵活;它能实现部分VLAN间可以互通、部分VLAN间隔离,同时也可以实现VLAN内端口隔离;它也是通过vlan进行网络资源控制的一种机制,只适用于二层网络中,对同一网段的用户进行隔离(注意,是同一网段)和互通;简单说MUX VLAN实现了处于相同网段的设备划入不同VLAN后,虽然二层通信是隔离的,但可以和指定vlan通信,还可以实现禁止相同VLAN内地不同设备间的通信; 阅读全文
摘要:
所谓代理ARP是指,如果ARP请求是从一个网络的主机发往同一网段,却不再同一物理物理网络上的另一台主机(即相互隔离的同一网段内的主机),那么连接它们的具有代理ARP功能的设备就可以回答该请求,这个过程就叫做代理ARP(Proxy ARP);代理ARP屏蔽了分离的物理网络,使用户使用起来就好像在同一物理网络上一样;代理ARP可以分为两大类,一类是连接相同三层接口的本地代理和连接不同三层接口的普通代理arp; 阅读全文
摘要:
所谓端口隔离就是指在同一vlan内端口之间的隔离,它是交换机端口之间的一种安全访问控制机制,配置端口隔离后,无论是那个vlan都不能互相通信; 阅读全文