通过手动汇总使得R4和R6动态获取到R5分配的IP地址
为R1、R2、R3启用RIPv2,关闭R4、R5、R6的路由功能,R4、R6模拟内网PC,R5模拟DHCP服务器,在R2的e0/2做手动汇总
如1721620/24和1721630/24
将不同的位转换成二进制为
17216000000100
17216000000110
可以发现前23位都是相同的,汇总就是找到路由条目的前缀最长匹配的那一位,前面的保持不变,后面的全部置为0
因此1721620/24和1721630/24汇总后得到的路由条目为1721620/23
这种汇总称为 精确汇总 ,不会产生路由黑洞
为路由器做手工汇总的原则:尽可能的靠近控制层面的原路由器,在控制层面路由流向的出接口进行配置,如本实验中R2是通过e0/2接口将路由条目传递给R1,因此手工汇总也应在e0/2接口进行配置
R1(中间路由)
R2(中间路由)
R3(中间路由)
R4(内网PC)
R5(DHCP服务器)
R6(内网PC)
R1
R2
R3
配置完后查看路由表
R1
R2
R3
可以看到都已经通过RIP获取到了路由条目
R5配置为DHCP服务器
R2配置DHCP中继
此时R4和R6都已经获取到了IP地址
R4
R6
但此时R1和R3对于R2后面的两个网段存在两条路由条目,下面进行汇总使其只有一条
R2
再看R1和R3的路由表
可以发现虽然汇总路由已经出现,但是明细路由依旧存在,这是由于RIP的计时器问题,RIP收敛较慢,需要手动进行更新路由表
R1
R2
R3
再次查看R1和R3路由表
此时已经只有汇总后的路由条目,实验完成
流量攻击由于DDoS攻击往往采取合法的数据请求技术,再加上傀儡机器,造成DDoS攻击成为目前最难防御的网络攻击之一。据美国最新的安全损失调查报告,DDoS攻击所造成的经济损失已经跃居第一。传统的网络设备和周边安全技术,例如防火墙和IDSs(Intrusion Detection Systems), 速率限制,接入限制等均无法提供非常有效的针对DDoS攻击的保护,需要一个新的体系结构和技术来抵御复杂的DDoS拒绝服务攻击。 DDoS攻击主要是利用了internet协议和internet基本优点——无偏差地从任何的源头传送数据包到任意目的地。
防御方式目前流行的黑洞技术和路由器过滤、限速等手段,不仅慢,消耗大,而且同时也阻断有效业务。如IDS入侵监测可以提供一些检测性能但不能缓解DDoS攻击,防火墙提供的保护也受到其技术弱点的限制。其它策略,例如大量部署服务器,冗余设备,保证足够的响应能力来提供攻击防护,代价过于高昂。
1、 黑洞技术描述了一个服务提供商将指向某一目标企业的包尽量阻截在上游的过程,将改向的包引进“黑洞”并丢弃,以保全运营商的基础网络和其它的客户业务。但是合法数据包和恶意攻击业务一起被丢弃,所以黑洞技术不能算是一种好的解决方案。被攻击者失去了所有的业务服务,攻击者因而获得胜利。
2、 路由器许多人运用路由器的过滤功能提供对DDoS攻击的防御,但对于复杂的DDoS攻击不能提供完善的防御。 路由器只能通过过滤非基本的不需要的协议来停止一些简单的DDoS攻击,例如ping攻击。这需要一个手动的反应措施,并且往往是在攻击致使服务失败之后。另外,DDoS攻击使用互联网必要的有效协议,很难有效的滤除。路由器也能防止无效的或私有的IP地址空间,但DDoS攻击可以很容易的伪造成有效IP地址。 基于路由器的DDoS预防策略——在出口侧使用uRPF来停止IP地址欺骗攻击——这同样不能有效防御现在的DDoS攻击,因为uRPF的基本原理是如果IP地址不属于应该来自的子网网络阻断出口业务。然而,DDoS攻击能很容易伪造来自同一子网的IP地址,致使这种解决法案无效。 本质上,对于种类繁多的使用有效协议的欺骗攻击,路由器ACLs是无效的。包括: ● SYN、SYN-ACK、FIN等洪流。 ● 服务代理。因为一个ACL不能辨别来自于同一源IP或代理的正当SYN和恶意SYN,所以会通过阻断受害者所有来自于某一源IP或代理的用户来尝试停止这一集中欺骗攻击。 ● DNS或BGP。当发起这类随机欺骗DNS服务器或BGP路由器攻击时,ACLs——类似于SYN洪流——无法验证哪些地址是合法的,哪些是欺骗的。 ACLs在防御应用层(客户端)攻击时也是无效的,无论欺骗与否,ACLs理论上能阻断客户端攻击——例如>
3、 其他策略为了忍受DDoS攻击,可能考虑了这样的策略,例如过量供应,就是购买超量带宽或超量的网络设备来处理任何请求。这种方法成本效益比较低,尤其是因为它要求附加冗余接口和设备。不考虑最初的作用,攻击者仅仅通过增加攻击容量就可击败额外的硬件,互联网上上千万台的机器是他们取之不净的攻击容量资源。 有效抵御DDoS攻击 从事于DDoS攻击防御需要一种全新的方法,不仅能检测复杂性和欺骗性日益增加的攻击,而且要有效抵御攻击的影响。
保护关键主题
完整的DDoS保护围绕四个关键主题建立:
1. 要缓解攻击,而不只是检测
2. 从恶意业务中精确辨认出好的业务,维持业务继续进行,而不只是检测攻击的存在
3. 内含性能和体系结构能对上游进行配置,保护所有易受损点
4. 维持可靠性和成本效益可升级性
防御保护性质
通过完整的检测和阻断机制立即响应DDoS攻击,即使在攻击者的身份和轮廓不 断变化的情况下。
与现有的静态路由过滤器或IDS签名相比,能提供更完整的验证性能。
提供基于行为的反常事件识别来检测含有恶意意图的有效包。
识别和阻断个别的欺骗包,保护合法商务交易。
提供能处理大量DDoS攻击但不影响被保护资源的机制。
攻击期间能按需求部署保护,不会引进故障点或增加串联策略的瓶颈点。
内置智能只处理被感染的业务流,确保可靠性最大化和花销比例最小化。
避免依赖网络设备或配置转换。
所有通信使用标准协议,确保互 *** 作性和可靠性最大化。
保护技术体系
1. 时实检测DDoS停止服务攻击攻击。
2. 转移指向目标设备的数据业务到特定的DDoS攻击防护设备进行处理。
3. 从好的数据包中分析和过滤出不好的数据包,阻止恶意业务影响性能,同时允许合法业务的处理。
4. 转发正常业务来维持商务持续进行。
思科网络设备配置命令大全基础配置
1思科设备管理基础命令
enable 从用户模式进入特权模式
configure terminal 进入配置模式
interface g0/0 进入千兆以太网接口g0/0
ip address 1721601 25525500 配置接口的 ip 地址
no shutdown 开启接口
line vty 0 4 进入虚拟终端 vty 0 – vty 4
password CISCO 配置认证密码
login 用户要进入路由器,需要先进行登录
exit 退回到上一级模式
enable password CISCO 配置进入特权模式的密码,密码不加密
end 直接回到特权模式
show int g0/0 显示 g0/0 接口的信息
hostname Terminal-Server 配置路由器的主机名
enable secret ccielab 配置进入特权模式的密码,密码加密
no ip domain-lookup 路由器不使用 DNS 服务器解析主机的 IP地址
logging synchronous 路由器上的提示信息进行同步,防止信息干扰我们输入命令
no ip routing 关闭路由器的路由功能
ip default-gateway 10114254 配置路由器访问其他网段时所需的网关
show line 显示各线路的状态
line 33 48 进入 33-48 线路模式
transport input all 允许所有协议进入线路
int loopback0 进入 loopback0 接口
ip host R1 2033 1111 为 1111 主机起一个主机名
alias exec cr1 clear line 33 为命令起一个别名
privilege exec level 0 clear line 把命令 clear line 的等级改为 0,在用户模式下也可以执行它
banner motd 设置用户登录路由器时的提示信
show ip int brief 查看接口状态
2VLAN相关命令
vlan X 创建VLAN X
name SPOTO 将VLAN X命名为SPOTO
exit 退出当前模式
interface e0/0 进入以太网接口e0/0
switchport mode access 将二层接口设置为接入模式
switchport access vlan X 将接口划入vlan X
interface e0/1
switchport trunk encapsulation dot1q trunk链路封装协议为 8021q
switchport mode trunk 将二层接口配置模式为 trunk
switchport trunk allow vlan X trunk接口单独放行某个 vlan。
Show vlan 查看设备vlan信息
3 VTP相关配置命令
vtp domain SPTO 配置VTP域名
vtp mode server 修改模式(默认为 server)
vtp pass SPOTO 配置密码VTP密码
vtp version 2 修改版本
vtp pruning 开启VTP修剪功能
show vtp status 查看VTP信息
4Ethernetchannel相关配置命令
interface ran ge e0/0 -1 批量进入接口
channel-pro lacp 启用 lacp 协议
channel-group 1 mode active 捆绑组 1 模式:主动
interface port-channel 1 进入逻辑链路
show etherchannel summary 查看捆绑组
5HSRP(Cisco 私有)/VRRP配置命令
spandby/vrrp 10 ip 1921681254 设置虚拟网关
spandby/vrrp 10 priority110 修改优先级为 110(默认100)
spandby/vrrp 10 preempt 开启抢占
track 10 interface e0/0 line_protocol 启用链路检测
standby/vrrp 10 track 10 decrement 20 如果断开则自降优先级级 20
show hsrp/vrrp brief 查看 hsrp/vrrp 状态
6STP配置命令
spanning-tree cost 10 修改接口开销值
spanning-tree vlan x cost 10 针对一个 vlan 修改开销值
spanning-tree vlan x priority 0 或 spanning-tree vlan x root priority 将设备设置为vlan x的主根桥
spanning-tree vlan x priority 4096 或 spanning-tree vlan x root secondary 将设备设置为vlan x的备份根桥
show spanning-tree brief 查看生成树状态
7MSTP配置命令
spanning-tree mode mst 修改生成树模式为MSTP
spanning-tree mst conf 进入MSTP配置模式
instance 1 vlan 10,20 创建实例1并将vlan10、20纳入实例1
instance 2 vlan 30,40 创建实例2并将vlan30、40纳入实例2
spanning-tree mst 1 priority 0 配置实例 1 为根桥
spanning-tree mst 2 priority 4096 配置实例 2 为备根桥
show spanning-tree mst 1 查看实例
路由配置
一、静态路由
Ip route xxxx(网段) xxxx( 子网掩码) xxxx/出接口(下一跳) (尽量用下一跳地址,出接口会产生 ARP 消息)
默认路由:
Ip route 0000 0000 xxxx(下一跳)
黑洞路由:
IP route xxxx xxxx null 0 将不需要的流量丢弃到 null 0(黑洞接口)
Loopback 接口:
Interface loopback 0
Interface loopback 1
Interface loopback 2
BFD双向转发检测:
Interface ethernet0/0
Bfd interval 50 min_rx 50 multiplier 3 接口开启BFD检测,50ms发送一次探测帧,3次超时
Ip route static bfd e0/0 xxxx
Ip route 1111 255255255255 e0/0 xxxx 静态路由联动BFD
Show bfd neighboor 查看BFD邻居
二、动态路由
Rip:
Router rip 启动 rip 进程
Version 2 指定版本 2
Network xxxx 宣告网段
No auto-summary 关闭自动汇总 重点!!!
Default-information originate 默认路由下发
Redistribute static 静态路由重分布
EIgrp (cisco 私有):
Router eigrp 1 同区域同 AS 号
Network xxxx xxxx (反掩码)宣告网段
No auto-summary 关闭自动汇总
Ospf :
Router-id xxxx 设置 routeID
Router ospf 1 启动 ospf 进程为 1
Network xxxx xxxx area 0 宣告网段,这里区域为 0
Ip ospf network xxxx 接口下更改 ospf 网络类型
Show ip ospf nei 查看 ospf 邻居
Show ip ospf interface brief 查看接口关于 ospf 的信息
Show ip route ospf 查看 ospf 路由
Show ip ospf database 查看 ospf 链路状态数据库
Debug ip ospf adj 查看 ospf 邻居关系建立过程
Debug ip ospf hello 查看 ospf hello 包
Debug ip ospf events 查看 ospf 相关事件
DHCP:
Service dhcp 开启 dhcp (默认开启)
IP dhcp pool name 设置地址池名称
Network 19216810 2552552550 指定可分配网段
Default-router 1921681254 下发网关
Dns-server 8888 下发 dns
ip dhcp excluded-address 1921681254 排除这个地址不做分配
Pc端:interface e0/0
Ip add dhcp 地址通过DHCP方式获取
DHCP 中继:
Int vlan x
Ip add xxxx xxxx
Ip helper-address 1921681254 (dhcp 服务器上的接口) 指向 dhcp 服务器
Show ip dhcp pool name 查看 dhcp 地址池
三、ACL 访问控制列表
标准 ACL:1-99 “No access-list 一条”将会删除整个 ACL 列表。
Access-list 1 deny xxxx xxxx 拒绝某网段通过
Access-list 1 permit any 允许所有通过
Inter e0/0
Ip access-group 1 in 进接口下调用
配置了 ACL 一定要在接口下调用,否则不生效,或者接口下调用了,全局下没有这个 ACL 也不生效。
扩展 ACL:100-199 “No access-list 一条”将会删除整个 ACL 列表。
Access-list(100-199) per/deny 协议(IP 代表所有 TCP/IP 协议)xxxx(源地址) 反掩码 端口号(选加) xxxx(目的) 反掩码(不加默认为 0000)端口号(选加)
Access-list 100 deny(拒绝或允许) tcp(协议) any(源地址) host(精确主机,) xxxx (不加反掩码默认为 0000)eq 23 或者 access-list 100 deny tcp any xxxx 0000 eq 23 拒绝所有的 TCP 协议访问 xxxx 的 23端口
Access-list 100 permit ip(所有 TCP/IP 协议) any(源) any(目的) 允许所有
Int e0/1 进入接口
Ip access-group 1 out 调用在出接口
Show ip access-list 编号 查看 ACL
Show ip access-list int vlan x
Show run | sec access-list 查看 ACL 配置
字符命名 ACL
Ip access-list standard(标准)/extended(扩展) name 创建命名 ACL,如果name 用数字命名,则会进入到数字 ACL 下,并不是字符命名 ACL。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)