2024年8月18日
摘要:
mpls vpn_hub-spoke r4&r5: export 101:101 import 100:100 r3: exportrt:100:100 importrt:101:101 rd建议每个pe唯一:1:x 1.isp的igp 2.mpls ldp 3.vrf 4.mp-bgp 5.和ce 阅读全文
posted @ 2024-08-18 23:13
深秋、
阅读(14)
推荐(0)
摘要:
multi-vrf用来隔离ce路由,不需要rd值和rt值. 如果multi-vrf ce路由器运行ospf话,需要在ospf vrf进程下配置capability vrf-lite命令来确保ospf正常实施,不要检查客户端vrf情况.运行了vrf才会有这条命令. vrf-list实验: 1.pe封装 阅读全文
posted @ 2024-08-18 23:12
深秋、
阅读(79)
推荐(0)
摘要:
import-map export-map rt的控制 有选择性的导入 用附加的条件去导入路由 有选择性去导出路由 用附加的rt属性去导出路由 vrf route limit 路由限制可以定义最大的路由条目以防止内存耗尽以及dos攻击 vrf import criteria might be mor 阅读全文
posted @ 2024-08-18 23:12
深秋、
阅读(75)
推荐(0)
摘要:
mpls vpn_rr+ospf&bgp 1.任意协议完成isp内部网络igp 2.完成mpls域内的ldp 3.配置vrf的rd、rt、关联接口 4.配置mp-bgp 5.完成pe和ce的路由交互 1.isp内部的igp r1: router eigrp 90 no auto network 12 阅读全文
posted @ 2024-08-18 23:12
深秋、
阅读(0)
推荐(0)
摘要:
uspf防环机制 downbit-3类lsa tag-5类lsa an additional bit(down bit)has been introduced in the options field of the ospf lsa header-不用配置,自动行为 pe路由器在把bgp重分布进入o 阅读全文
posted @ 2024-08-18 23:11
深秋、
阅读(0)
推荐(0)
摘要:
实验: r1: router ospf 110 router-id 11.1.1.1 network 12.1.1.1 0.0.0.0 area 0 network 11.1.1.1 0.0.0.0 area 0 r5: router ospf 110 network 45.1.1.5 0.0.0. 阅读全文
posted @ 2024-08-18 23:11
深秋、
阅读(1)
推荐(0)
摘要:
实验: r2: int lo0 ip ospf 1 area 0 int e0/0 ip ospf 1 area 0 r3: int lo0 ip ospf 1 area 0 int range e0/0 - 1 ip ospf 1 area 0 r4: int lo0 ip ospf 1 area 阅读全文
posted @ 2024-08-18 23:11
深秋、
阅读(0)
推荐(0)
摘要:
pe-ce配置rip 只有version 2支持 router(config)# router rip version 2 address-family ipv4 vrf vrf-name redistribute bgp as-number metric transparent neighbor 阅读全文
posted @ 2024-08-18 23:10
深秋、
阅读(0)
推荐(0)
摘要:
实验: vpnv4的rr: address-family vpnv4 neighbor 22.1.1.1 activate neighbor 22.1.1.1 send-community extended neighbor 22.1.1.1 route-reflector-client r3: r 阅读全文
posted @ 2024-08-18 23:10
深秋、
阅读(0)
推荐(0)
摘要:
rt扩展的bgp团体属性 show ip bgp vpnv4 all 11.1.1.0 r2-r4为pe r2import和r4export匹配才能添加到路由表中 阅读全文
posted @ 2024-08-18 23:10
深秋、
阅读(0)
推荐(0)
摘要:
mpls vpn基本结构 vrf 路由区分器(rd) 路由对象(rt) mp-bgp中的路由传播和待标签报文的转发 vpnv4路由=rd(64)+ipv4(32)=96 阅读全文
posted @ 2024-08-18 23:09
深秋、
阅读(0)
推荐(0)
摘要:
实验: 1.isp内部的igp 目的是ldp,bgp show ip route r2: int e0/0 ip add 23.1.1.2 255.255.255.0 int lo0 ip add 22.1.1.1 255.255.255.255 int e0/1 ip add 12.1.1.2 2 阅读全文
posted @ 2024-08-18 23:09
深秋、
阅读(11)
推荐(0)
摘要:
int s2/0 ip load-sharing per-packet(基于报文的负载均衡) show ip cef exact-route 11.1.1.1 33.1.1.1(精确路由路径查看) debug ip cef drops(丢弃的报文) 阅读全文
posted @ 2024-08-18 23:09
深秋、
阅读(9)
推荐(0)
摘要:
思科的转发方式 1.process 2.fast switch 3.cef cam和tcam表 内存可寻址存储器(cam)是一种专用于进行查表操作的硬件芯片 cam工作在二进制情况下0/1 tcam工作在三进制情况下0/1/x 这两者都是多层交换的硬件组件,另通常还包括asic(applicatio 阅读全文
posted @ 2024-08-18 23:08
深秋、
阅读(79)
推荐(0)
摘要:
实验: 1.建立骨干的igp r2: router eigrp 90 no auto-summary network 24.1.1.2 0.0.0.0 network 22.1.1.1 0.0.0.0 r4: router eigrp 90 no auto-summary network 0.0.0 阅读全文
posted @ 2024-08-18 23:08
深秋、
阅读(14)
推荐(0)
摘要:
10-LDP高级特性(认证、通告控制、入站impose) 阅读全文
posted @ 2024-08-18 23:04
深秋、
阅读(13)
推荐(0)
摘要:
ldp发现fsr使用udp 646端口 ldp建立维护会话tcp 646端口 show mpls ldp discovery show mpls ldp parameters mpls ldp discovery hello interval/holdtime(默认5秒和15秒) debug mpl 阅读全文
posted @ 2024-08-18 23:04
深秋、
阅读(65)
推荐(0)
摘要:
mpls ip propagate-ttl(开启生成ip的ttl到标签默认开启)默认mtu 1500 router(config-if)#mpls mtu bytes 标签交换增加了二层的开销,在标签头增加了4byte的标签位,该命令表示数据包+标签能承载的最大单元 interface mut is 阅读全文
posted @ 2024-08-18 23:03
深秋、
阅读(71)
推荐(0)
摘要:
show adjacency detail查看连接表 进程交换和一次路由多次交换 按需生成的(cpu中断) cef预先生成的(fib+adj) cef+dcef untag标签移除,并且报文按照无标签方式转发. 0-15保留的标签 0(显示空标签);3是隐式空标签 次末跳设备此时lfib行为时pop 阅读全文
posted @ 2024-08-18 23:03
深秋、
阅读(15)
推荐(0)
摘要:
per interface每接口有效和per platform每平台有效 1、现有的协议2、新的分发标签的协议 ldrp为igp来分发标签(为了到达bgp的下一跳);bgp为vpn分发标签. 独立的标签分发协议:tdp,ldp,rsvp(资源预留协议) 下游主动分发标签 下游设备(本身)看到的是lo 阅读全文
posted @ 2024-08-18 23:03
深秋、
阅读(21)
推荐(0)
摘要:
入站lsr(pe数据层面),impose(push)压入标签.(fib) lsr(交换标签),swap.(lfib) 出站lsr(remove)pop弹出标签.(ifib+fib) show ip cef 55.1.1.1 detail lfib标签转发信息库 fib路由表+标签转发数据库show 阅读全文
posted @ 2024-08-18 23:03
深秋、
阅读(53)
推荐(0)
摘要:
标签交换路径lsp 转发等价类fec mpls标签空间,保留标签0-15. php次末跳弹出 在以太网中:使用值0x8847(单播)0x8848(组播)来表示承载的是mpls报文(0800是ip报文)在ppp中:增加了一种新的ncp:mplscp(tagcp),使用0x8281栈底位靠近ip的位置, 阅读全文
posted @ 2024-08-18 23:02
深秋、
阅读(49)
推荐(0)
摘要:
P-providel(不在运行bgp) PE-priovider edge 入站(数据的方向) 出站(数据包离开站点) 路由的方向和数据的方向相反,下一跳(forward router) pe设置之间:r1看到bgp的下一跳是r3 ldp(标签分发协议)是为igp路由分发标签 标签查找(igp),为 阅读全文
posted @ 2024-08-18 23:02
深秋、
阅读(25)
推荐(0)
摘要:
r2: show mpls ldp bingdings show mpls forwarding-table(标签转发表) mpls可以解决bgp黑洞. mpls的优势和好处 1.使用一个统一的标准网络架构 2.比在atm中集成ip更好 3.脱离边界网关协议(bgp)的核心 4.对等体到对等体的mp 阅读全文
posted @ 2024-08-18 23:01
深秋、
阅读(18)
推荐(0)
摘要:
MPLS技术架构 mpls vpn全新vpn改变了包的格式,在2.5层,介于ip和2层之间,4bytes的标签. mpls:多协议标签交换,为了解决快速路由,帧模式mpls. ldp:标签分发协议,只能为igp路由分发标签. bgp有分发标签的能力,为ipv4分发标签. cef:思科快速转发,ip 阅读全文
posted @ 2024-08-18 23:01
深秋、
阅读(37)
推荐(0)
摘要:
802.1x的三大角色 with ieee 802.1x port-based authentication,the devices in the network have specific roles: client switch access point(ap) authentication s 阅读全文
posted @ 2024-08-18 23:00
深秋、
阅读(62)
推荐(0)
摘要:
mab 什么是mac authenticaiton bypass mac authentication bypass(mab),also known as static mac authentication,users the mac address for both the username ad 阅读全文
posted @ 2024-08-18 23:00
深秋、
阅读(57)
推荐(0)
摘要:
3750x配置介绍 官方推荐配置3750x配置 aaa new-model aaa authentication dot1x default group radius aaa authorizaiton network default group radius aaa accounting dot1 阅读全文
posted @ 2024-08-18 22:59
深秋、
阅读(54)
推荐(0)
摘要:
系统默认授权策略 授权策略的组成部分 ise授权策略由四大部分组成:1.名字(黄色)2.组identity groups(绿色) 3.条件conditions(红色) 4.权限permissions(灰色) 权限permissions决定了用户或者设备最终的权限 阅读全文
posted @ 2024-08-18 22:59
深秋、
阅读(16)
推荐(0)
摘要:
ise策略由认证和授权组成 认证策略的组成部分 ise认证策略由四大部分组成: 1.名字name(黄色)2.条件condition(绿色) 3.允许的协议allow protocols(红色) 4.认证数据库identity source(灰色)允许的协议allowed protocols allo 阅读全文
posted @ 2024-08-18 22:59
深秋、
阅读(18)
推荐(0)
摘要:
配置netowrk access device(nad) ise识别设备snmp探针,配置3750x-sw1的snmp. 3750x-sw1: aaa new-model aaa authentication login noacs line none line con 0 login authen 阅读全文
posted @ 2024-08-18 22:58
深秋、
阅读(18)
推荐(0)
摘要:
证书管理 安装ad证书服务器 管理证书模板 启用iis的https win7-1申请证书 ise申请证书 阅读全文
posted @ 2024-08-18 22:58
深秋、
阅读(16)
推荐(0)
摘要:
ad集成实验拓扑 3750x-sw1: vlan 2 name yeslab vlan 10 name management int g1/0/1 sw access vlan 2 sw mode access spanning-tree portfast int g1/0/2 sw access 阅读全文
posted @ 2024-08-18 22:58
深秋、
阅读(16)
推荐(0)
摘要:
底层配置 ISE: hostname ISE-1 ip domain-name mingjiao.org interface gigabitethernet 0 ip add 137.78.5.55 255.255.255.0 ipv6 address autoconfig interface gi 阅读全文
posted @ 2024-08-18 22:57
深秋、
阅读(14)
推荐(0)
摘要:
第二部分 安装ise 第一步:创建虚拟机 liunx选择其他2.6xlinux(32位),cpu最少2赫,内存4g,硬盘200g,网卡最少2个,真机4个.只有第一个网卡可以通过https网管. 第二步:安装ise1.0 boot:1(选择1进行安装) localhost login:setup En 阅读全文
posted @ 2024-08-18 22:57
深秋、
阅读(150)
推荐(0)
摘要:
identity service engine(ise) 第一部分 ise产品介绍 ise不支持tacacs+ 我们的网络安全策略需要发送改变 我们的业务需要针对各种工具提供保护 我们必须合规并且能够证明我们是合规的 我需要利用一些消费电子设备,来减少固定的桌面计算机开销 我需要对全球型企业提高it 阅读全文
posted @ 2024-08-18 22:57
深秋、
阅读(174)
推荐(0)
摘要:
ios ids topology: 同上 技术特点: ios ids是一个在线式(in-line)的入侵检测sensor,对于所有穿越router的包,都一一扫描看是否match其中任何一个signature. 当发现可疑的行为,可以采取以下的行动: 1.alarm:发告警到syslog服务器或ci 阅读全文
posted @ 2024-08-18 20:14
深秋、
阅读(20)
推荐(0)
摘要:
cisco security device manager(sdm) 集成化web的管理工具 提供了智能的向导能简单快速的配置路由器,对于不懂得命令行的可以配. 包括的组件 acl 编辑器 vpn crypto map编辑器 ios命令行预览 sdm安装 安装到路由器上就不用安装到电脑,直接在ie就 阅读全文
posted @ 2024-08-18 20:13
深秋、
阅读(24)
推荐(0)
摘要:
缓解二层攻击 二层攻击类型 cam表溢出 mac地址欺骗 arp欺骗 dhcp饿死 交换机工作原理 pc1和pc2要通信,pc1需要pc2个mac地址,开始没有mac地址,就会发送arp的请求,如果pc2的ip地址是2,它会询问2的mac地址是多少,这个包发送到交换机,首先交换机会记录下pc1的源m 阅读全文
posted @ 2024-08-18 20:12
深秋、
阅读(38)
推荐(0)
摘要:
cbac基于内容的访问控制 authentication proxy认证代理,对穿越路由器的流量做认证审计授权. intrusion prevention system(ips) cbac 对数据包监控动态放行某些流量,要结合访问列表,对穿越路由器的tcp,udp进行一个监控.从而形成一个状态化的表 阅读全文
posted @ 2024-08-18 20:12
深秋、
阅读(34)
推荐(0)
摘要:
Securing Networks With Cisco Routers and Switches aaa server(cisco secure access control server) 1.aaa是什么 authentication 识别用户 authorization 由一系列的属性限定用 阅读全文
posted @ 2024-08-18 20:12
深秋、
阅读(48)
推荐(0)
摘要:
透明防火墙 路由防火墙基于ip地址 透明防火墙基于mac地址 两个接口属于不同vlan,相同vlan. 透明防火墙好处 1.不需要ip地址变化 2.不需要nat配置 3.不需要路由 透明防火墙特点 1.3层流量要明确的放行,双向放行 2.每一个直连的网络必须同一个子网.只支持两个接口 3.管理的ip 阅读全文
posted @ 2024-08-18 20:11
深秋、
阅读(42)
推荐(0)
摘要:
有一些协议的协商需要动态的打开一个连接,动态的改变源目地址端口.这时防火墙需要对这些包进行监控,从而打开这些端口号,允许这些流量穿越防火墙,防火墙处理nat/pat做地址转换,对包重新封装.阻止一些非法的流量. fw1(config)#class-map inspection default def 阅读全文
posted @ 2024-08-18 20:11
深秋、
阅读(29)
推荐(0)
摘要:
vpn 实验拓扑 lan_to_lan配置:通过配置把internet和pix配置成lan_to_lan vpn让192.168.3.1和192.168.11.1通信. internet_r3: crypto isakmp policy 10 authentication pre-share cry 阅读全文
posted @ 2024-08-18 20:11
深秋、
阅读(21)
推荐(0)
摘要:
object grouping services group 端口号 http https ftp network group 网络号 192.168.0.10 192.168.0.11 192.168.0.12 objects 类型 protocols-inside_protocols tcp u 阅读全文
posted @ 2024-08-18 20:11
深秋、
阅读(17)
推荐(0)
摘要:
pix只支持ip包,带有选项字段的ip包是过不了pix的, 传输层协议 tcp 面向连接可靠的传输层协议,确认机制,序列号,pix可以对tcp维护状态表项,列表只对初始化的包有效. udp 面向无连接,没有确认机制,高效率. nat 1.有限公网地址 2.私网地址转换公网 3.隐藏源ip地址,增加安 阅读全文
posted @ 2024-08-18 20:09
深秋、
阅读(23)
推荐(0)
摘要:
什么是防火墙 控制多个流量间的访问. 防火墙类型 包过滤 代理服务器(应用层网关) 状态化包过滤 思科防火墙技术 1.专有的操作系统,proprietary operating system 2.状态化的包过滤监控,可以监控tcp的源目地址,序列号,flags位.对初始化的tcp序列号进行扰乱,默认 阅读全文
posted @ 2024-08-18 20:09
深秋、
阅读(12)
推荐(0)
摘要:
name 10.1.1.2 r1(作解析) ping r1 names(开启解析) no names(关系解析) show memory(查看内存) show cpu(查看cpu) show ip address(查看接口地址) clock set 21:0:0 jul 23 2003 clock 阅读全文
posted @ 2024-08-18 20:08
深秋、
阅读(33)
推荐(0)
摘要:
设置启动文件 boot system falsh:/pix-701.bin show bootvar(启动环境变量,查看从哪里启动) hostname interface nameif ip address security-level speed duplex no shutdown nat-co 阅读全文
posted @ 2024-08-18 20:08
深秋、
阅读(15)
推荐(0)
摘要:
aip-ssm(ips模块) aip-ssm-10 2.0-ghz processor 1.0 gb ram aip-ssm-20 2.4-ghz processor 2.0 gb ram 一个带外管理口 pix防火墙license类型 ur:非受限,支持最大接口和内存. restricted:受限 阅读全文
posted @ 2024-08-18 20:08
深秋、
阅读(13)
推荐(0)
摘要:
vac(加密卡提高vpn加密解密速度) vac+(增强版) 阅读全文
posted @ 2024-08-18 20:07
深秋、
阅读(9)
推荐(0)
摘要:
virtual private network(vpn) site-to-site remote access ipsec vpn ssl vpn security context(virtual firewall虚拟防火墙) failover active/standby active/activ 阅读全文
posted @ 2024-08-18 20:07
深秋、
阅读(5)
推荐(0)
摘要:
什么是防火墙 提供网络隔离. firewall technologies防火墙的技术 1.packet filtering包过滤 2.proxy server代理服务器 3.stateful packet filtering状态化包过滤 nat跟代理服务器的区别 nat在第三次做转换,代理服务器在应 阅读全文
posted @ 2024-08-18 20:07
深秋、
阅读(21)
推荐(0)
摘要:
r1设备登陆管理 (acs本地数据库) 配置步骤 r1上配置设备登陆管理(acs本地数据库): 步骤一:基本登陆认证(用户:acsuser1属于组:acsgroup1) 步骤二:exec级别授权(acsgroup1授权5级) 步骤三:privilege本地命令授权(授权5级用户动态路由协议相关配置) 阅读全文
posted @ 2024-08-18 20:06
深秋、
阅读(69)
推荐(0)
摘要:
设备过滤器 device filters 累死于4.x时代的naf特性,用于策略调用时设备归类 阅读全文
posted @ 2024-08-18 20:06
深秋、
阅读(11)
推荐(0)
摘要:
ndg网络设备组 network device groups (ndg)对aaa client设备实现逻辑归类 阅读全文
posted @ 2024-08-18 20:05
深秋、
阅读(10)
推荐(0)
posted @ 2024-08-18 20:05
深秋、
阅读(7)
推荐(0)
摘要:
第一步acs5.2最基本认证 实验拓扑 sw3550: vlan 2 name test int ran f0/1 , f0/2 , f0/15 , f0/48 sw mo acc sw ac vlan 2 r1: int f0/1 ip add 202.100.1.1 255.255.255.0 阅读全文
posted @ 2024-08-18 20:05
深秋、
阅读(40)
推荐(0)
摘要:
第二部分 安装acs 5.2 第一步:创建虚拟机 注意:安装acs的卷必须支持512gb的文件大小上限 建议文件大小上限为1024gb 系统是linux32位. 内存:4096mb 启动时加载acs5.2iso文件 第二部:安装acs5.2 使用"1"安装acs5.2(键盘显示器模式) localh 阅读全文
posted @ 2024-08-18 20:04
深秋、
阅读(239)
推荐(0)
|
|
|
浙公网安备 33010602011771号