2024 年 8月 11 日随笔档案 - 深秋、

第五天2cisco_security_device_manger_appliance_

摘要： asdm 视窗化管理把asdm加载进asa的flash 必须支持des或3des ie浏览器支持java。不能阻止弹出窗口。配置向导设置 Pre-configure Firewall now through interactive prompts [yes]? (预配置防火墙现在通过交互式提示阅读全文

posted @ 2024-08-11 23:53 深秋、阅读(16) 评论(0) 推荐(0)

第五天1fileover

摘要： failover 热备 active standby active active 标准fo stateful fo active/standby active/active 如果是hardware挂了，被动起来tcp需要重连 stateful failover 状态化的。主用down了，主用状态化的阅读全文

posted @ 2024-08-11 23:53 深秋、阅读(22) 评论(0) 推荐(0)

第四天2_config_context_firwore

摘要：多模防火墙思想源至65fw模块系统全局配置（没有网络相关配置） 1.创建虚拟防火墙 2.为每一个虚拟防火墙关联接口 admin context ....other context 1.系统网管目的 2.可以切换到其他contest,也能切换到全局配置 3.其他context之间不能相互切换每个阅读全文

posted @ 2024-08-11 23:52 深秋、阅读(15) 评论(0) 推荐(0)

第四天1.confige_transparent_firewall

摘要：透明防火墙正常的防火墙叫做3层防火墙，路由防火墙。基于mac地址来转发的。也是状态化监控安全的交换机 1.是vlan是不一样的，配置一样的会报错 2.透明模式只能支持两个接口 3.透明模式也可以使用多模式路由单模透明单模路由多模透明多模路由和透明不可以并存不需要重新规划地址，排错方阅读全文

posted @ 2024-08-11 23:52 深秋、阅读(63) 评论(0) 推荐(0)

第三天2.advanced_protocol_handling

摘要：先进协议处理有些协议会动态协商一些第二信道，如ftp,完全是动态协商源目ip,源目端口号。高于网络层的协商，应用层的协商，防火墙要知道他们在干什么，让他能够进来，能够工作。 instances 1.正常工作，让一些协议正常的工作，例如ftp,语音协议， 2.安全保护 ftp两种模式 active 阅读全文

posted @ 2024-08-11 23:51 深秋、阅读(25) 评论(0) 推荐(0)

第三天1.moduler_policy_framework.exe

摘要：模块化的policyclass-map分类，可以做qos，只能做llq,和rate-limit 还可以基于特定流量做安全策略接口和全局上启用安全策略对vpn进行匹配分类做qos 全局策略只能有一个。只能添加和更改。例子:class-map iss match default-inspectio 阅读全文

posted @ 2024-08-11 23:51 深秋、阅读(21) 评论(0) 推荐(0)

PIX第二天2_object_group

摘要： object grouping 对事件东西进行归类。老式的配置方法，配置非常繁琐，配置量大可以对4种类型的object进行归类 protocols(inside_protocols) tcp udp networks and hosts(inside_host） subnet 10.0.0.0/ 阅读全文

posted @ 2024-08-11 23:51 深秋、阅读(9) 评论(0) 推荐(0)

PIX第二天1__access_list_

摘要： acl 出方向默认全部允许外面到里面全部拒绝 1.对抵达自身的流量不起作用 2.只对初始化流量器作用使用访问控制列表让outside telnet inside接口 access-list out permit tcp host 2002.100.1.1 host 10.1.1.1 eq tel 阅读全文

posted @ 2024-08-11 23:50 深秋、阅读(21) 评论(0) 推荐(0)

PIX第一天2.cisco_sercurity_applice_and_ASA_families产品线

摘要：产品线和授权 pix:501,506,515,525,535 asa:5505,5510,5520,5540,5550 pix不能插模块和ssl vpn 企业入门515e. 最大能够支持6个百兆口 25个vlan 5个虚拟防火墙 failover:active/standby,active/acti 阅读全文

posted @ 2024-08-11 23:50 深秋、阅读(24) 评论(0) 推荐(0)

PIX第一天_1.cisco_sercutry_applice_tech_and_fearture

摘要：防火墙的作用：访问间的控制，提供边界安全部门间控制内部网和外部网的控制防火墙的技术 1.包过滤防火墙：访问控制列表，对逐个包的过滤。是最原始防火墙的形态。 2.代理服务器：软件防火墙，就是一个代理服务器。工作原理一模一样。 client把请求交给防火墙，防火墙代为请求server的资源，se 阅读全文

posted @ 2024-08-11 23:49 深秋、阅读(25) 评论(0) 推荐(0)

桃花岛主qos-4

摘要：帧中继流量整形frts 在帧中继的包头中的3个位来提供帧中继的拥塞控制机制。 fecn becn de 帧中继网络中还提供了cir bc tc mincir等参数来调整帧中继的流量。配置frts 1.全局定义map class,pvc将继承该map class的frts参数 (config)#ma 阅读全文

posted @ 2024-08-11 23:49 深秋、阅读(28) 评论(0) 推荐(0)

桃花岛主qos-3

摘要：流量策略与整形流量策略traffic policing的典型作用是限制进入某一网络的流量与突发，在某个连接的流量过大时，策略就可以对该流量采取不同的处理动作，例如丢弃报文或重新设置报文的优先级等。 cir cir/bc/be/tc cir承诺信息速率 bc正常突发 be过量突发 tc压秒级时间片也阅读全文

posted @ 2024-08-11 23:49 深秋、阅读(41) 评论(0) 推荐(0)

桃花岛主qos-2

摘要：拥塞管理 qos的策略在拥塞管理技术体现出来，而对于拥塞的管理方法就是排队，也就是我们说的队列技术。队列技术的原理就是使报文在路由器中按一定的策略暂时缓存到队列中，然后再按一定的调度策略把报文从队列额中取出再接口上发送出去，常见的队列技术有很多，但是注意，这些队列技术在接口中只能使用一个。队列技阅读全文

posted @ 2024-08-11 23:48 深秋、阅读(40) 评论(0) 推荐(0)

桃花岛主qos-1

摘要： qos 英文解释quality of service（服务质量保证）主要用于对某些关键或重要业务，提供高的质量的服务。 1用在带宽比较低的地方。 2并不是有足够的带宽就不需要qos 考点 qos classification & marking (分类，标记） congestion manageme 阅读全文

posted @ 2024-08-11 23:48 深秋、阅读(38) 评论(0) 推荐(0)

6.5.QoS-3

摘要： shaping and policing(整形和监管)为什么要使用整形和监管 1速率不匹配 2超出带宽 3所有流量并行解决限速 shaping and policing对比 shaping把超出的包进行缓存，等速率降下来在发出去。 policing超出速率直接drop或打标记。 shaping比较阅读全文

posted @ 2024-08-11 23:47 深秋、阅读(100) 评论(0) 推荐(0)

6.4.QoS-2

摘要：队列技术数率不匹配聚合多对一接口 software queuing(软件队列)：使用cpu调度 hardware queue(硬件队列：从硬件接口发出去组建： 1分类classification：打了优先级的做分类。根据类去排队。 2加队技术insertion policy：停车位有多少个。每阅读全文

posted @ 2024-08-11 23:47 深秋、阅读(61) 评论(0) 推荐(0)

6.3.QoS-1

摘要： quality of service 1.缺乏带宽 2.延迟 3.抖动 4.丢包可用带宽解决方法 1.升级链路 2.可以允许重要报文先传 3.压缩2层或3层包头端到端延迟延迟包括 1.进程延迟，查表， 2.队列延迟 3.传播延迟降低延迟方法： 1升级链路 2重要包先传 3压缩丢包尾丢弃阅读全文

posted @ 2024-08-11 23:46 深秋、阅读(42) 评论(0) 推荐(0)

6.2.VoIP

摘要： iin（只能信息网） and sona iin 集成性的传输三网合一集成性的服务集成性的应用 uc 面向服务的网络框架 sona 应用-交互（安全，qos）-基础 volp pxb 从传统pstn-volp网 cisco ip phones 7902g 7905/7906 7970/7941 阅读全文

posted @ 2024-08-11 23:46 深秋、阅读(23) 评论(0) 推荐(0)

6.1.AAA_Firewall_IPS

摘要： aaa服务器 authentication认证 authorization授权 accounting审计原因： 1.设备数量 2.用户数量 3.频繁变动 1.网管流量 2.拨入流量，vpn 3.穿越流量 aaa protocols:radius and tacacs+ radius 公有l3 ud 阅读全文

posted @ 2024-08-11 23:46 深秋、阅读(31) 评论(0) 推荐(0)

5.5.Cisco Device Hardening

摘要： Cisco Device Hardening three categories 1安全连接 ipsec vpn 2威胁的防御 pix asa ids(入侵检测系统） ips（入侵防御系统） 3认证和信令 aaa 802.1x 集中化安全协同工作自适应的威胁防范攻击类型： 1.扫描探测 a.抓包阅读全文

posted @ 2024-08-11 23:46 深秋、阅读(22) 评论(0) 推荐(0)

5.4.IPsec VPN-2

摘要： ipsec vpn sdm r1: int f0/0 ip add 192.168.16.5 255.255.255.0 no sh ip http secure-server (开启https服务） show history line vty 0 4 transport input ssh tel 阅读全文

posted @ 2024-08-11 23:46 深秋、阅读(1) 评论(0) 推荐(0)

5.3.IPsec VPN-1

摘要： ipsec vpn 分类 overlay:ipsec，site-to-site easy peer-to-peer: 二层vpn:fr、atm 三层vpn:ipsec、mpls 应用层:ssl site-to-site 需要两个建立vpn的路由器有公网ip地址。安全加密数据完成性认证 ipse 阅读全文

posted @ 2024-08-11 23:45 深秋、阅读(0) 评论(0) 推荐(0)

5.2.MPLS VPN

摘要： mpls（多协议标签交换） network ip ipv6 ipx apple talk label标签 mpls工作在数据层面通过标签转发。 mpls vpn mpls te mpls可以分配标签的协议 layer 3 vpn destination layer 2 circuit outgoi 阅读全文

posted @ 2024-08-11 23:45 深秋、阅读(1) 评论(0) 推荐(0)

4.5.Switch Security

摘要： switch security（交换安全） mac layer attacks(mac地址攻击） mac地址泛红变换mac让交换机不停学习，占满mac地址表，其他pc发送报文就进行泛红。 port security(端口安全） 1未授权mac地址 2mac地址个数限制（默认1个） 3采取措施 sw 阅读全文

posted @ 2024-08-11 23:45 深秋、阅读(41) 评论(0) 推荐(0)

4.4.Proxy ARP_HSRP_VRRP_GLBP

摘要：交换网络冗余备份 ha(高可用性） 1容错功能，单点故障 2设备冗余，线路冗余，模块冗余。 3优化 rpr和rpr+ rpr切换2-4m rpr+30-60s msfc（多层交换特性卡路由引擎） pfc(交换引擎） rpr+主次引擎都工作，备份主的配置等 rpr+ 1主引擎工作备份也在工作 2把ru 阅读全文

posted @ 2024-08-11 23:45 深秋、阅读(13) 评论(0) 推荐(0)

4.3.MLS_CEF_Router on a Stick

摘要： multi-layer switching（多层交换） cef思科快速转发 1路由 2高可用性 3安全 4qos 5多播 vlan的acl只有3层交换机支持，2层不支持。实验： sw1: vlan 100 inter range f0/4,f0/6 switchport mode access s 阅读全文

posted @ 2024-08-11 23:45 深秋、阅读(17) 评论(0) 推荐(0)

4.2.RSTP_MSTP_Ether Channel

摘要： spanning tree protocol(stp) portfast快速端口 blk20-slis15s-ler15s-fwd 接非交换机设备，如pc、路由器实验 r4: int e0/0 ip add 100.1.1.4 255.255.255.0 no sh r6: int f0/0 ip 阅读全文

posted @ 2024-08-11 23:44 深秋、阅读(41) 评论(0) 推荐(0)

3.5.VLAN_TRUNK_VTP

摘要： vlan 1.广播域太大的问题。导致没有边际。 2.未知mac 单播帧泛红。 3.广播域多播域 4.安全性隔离广播域：广播和组播的泛红；提高安全性，管理方便。 vlan规则一个vlan=一个广播域=一个子网端到端的vlan 1.用户在那个vlan跟实际位置没关系。 2.从一个区域移到另一个区域阅读全文

posted @ 2024-08-11 23:44 深秋、阅读(25) 评论(0) 推荐(0)

3.4.IPv6-2

摘要： icmpv6 1path mtu discovery (pmtud路径mtu发现协议）整个路径mut发现，当发现一段线路的mtu过小就会发送icmp error消息，说包过大让其进行分片，用来测试整个路径mtu最小值 2ndr-replace arp（邻居发现协议替代arp) 当a想访问b的时候，阅读全文

posted @ 2024-08-11 23:44 深秋、阅读(39) 评论(0) 推荐(0)

3.3.Multicast-2_IPv6-1

摘要：实验： r5: ip default-gateway 35.1.1.3 ip igmp join-group 224.1.1.1 r2: ip multicast-routing int s1 ip pim dense-mode int s0 ip pim dense-mode r1: ip mul 阅读全文

posted @ 2024-08-11 23:35 深秋、阅读(35) 评论(0) 推荐(0)

3.2.Multicast-1

摘要：组播为什么学习组播 unicast broadcast multicast group 优点 1一个源发送接受者多 2节约带宽 3节约主机消耗 4接受者地址未知 5同时性缺点 1多播是基于udp 数据层面。 pim多播路由协议 2报文尽力传输 3没有拥塞避免机制 4无序 rtp（实时传输协议）确阅读全文

posted @ 2024-08-11 23:34 深秋、阅读(45) 评论(0) 推荐(0)

3.1.BGP-3

摘要： weight属性 1.传播范围，只在本台路由器上起效。 2.默认值 3.越大越好实验： r2: router bgp 2 no syn no au bgp router-id 2.2.2.2 neighbor 12.1.1.1 remote-as 1 neighbor 24.1.1.4 remot 阅读全文

posted @ 2024-08-11 23:34 深秋、阅读(21) 评论(0) 推荐(0)

2.5.BGP-2

摘要：多路访问网络next-hop 实验： r2: int s0 ip add 12.1.1.2 255.255.255.0 no sh int lo0 ip add 2.2.2.2 255.255.255.0 r1: int s0 ip add 12.1.1.1 255.255.255.0 no sh 阅读全文

posted @ 2024-08-11 23:34 深秋、阅读(22) 评论(0) 推荐(0)

2.4.BGP-1

摘要： bgp外部网关协议 igp egp:egp,bgp 工作在as内部就是igp,工作在as之间就是egp。由统一管理者的范围叫as。bgp工作在运行商之间的 as号公有：0-64511 私有：64512-65535 网通9929 电信4134 http://www.cidr-report.org 阅读全文

posted @ 2024-08-11 23:34 深秋、阅读(40) 评论(0) 推荐(0)

2024年8月11日

公告