学习HCIP的day.16

目录

扩展知识点

一、端口镜像     SPAN

二、DHCP 

三、DHCP snooping

四、端口安全

五、SSH

六、端口隔离

---

扩展知识点

一、端口镜像     SPAN

[r1]observe-port interface GigabitEthernet 0/0/2   监控接口



[r1]interface GigabitEthernet 0/0/0

[r1-GigabitEthernet0/0/0]mirror to observe-port inbound   流量抓取的接口

[r1-GigabitEthernet0/0/0]int g0/0/1

[r1-GigabitEthernet0/0/1]mirror to observe-port inbound

G0/0/0与G0/0/1接口间的所有流量，都镜像到G0/0/2一份；可以在连接G0/0/2的设备上使用数据分析软件来进行数据分析；

C1对应源流量，b1对应监控接口，p1是将c1和b1组成一个策略，最终接口上调用p1策略；

observe-port interface Ethernet2/0/1

ad number 2000
rule 5 permit source 192.168.1.10 0

traffic classifier c1 operator or
if-match acl 2000

traffic behavior b1
mirror to observe-port

traffic policy p1
cassifier cl behavior b1

interface Ethernet2/0/0
traffic-policy p1 inbound

二、DHCP 

动态主机配置协议，统一分发管理IP地址

华为服务器均使用单播进行回复，cisco或微软基于广播进行回复；

华为的单播使用准备给客户端的ip地址来作为单播回复时的目标ip地址，主要还是基于MAC地址进行回复；

基于全局地址池的DHCP服务器给客户端分配IP地址：

dhcp enable
ip pool HW
gateway-list 192.168.1.1
network 192.168.1.0 mask 255.255.255.0
excluded-ip-address 192.168.1.2
lease day 3 hour 0 minute 0
dns-ist 192.168.1.2

interface GigabitEthernet0/0/0
ip address 192.168.1.1 255.255.255.0
dhcp select global

基于接口的DHCP服务器给客户端分配IP地址：
 

dhcp enable
interface g0/0/0
ip address 192.168.1.1 24
dhcp select interface
dhcp server dns-list 192.168.1.2
dhcp server excluded-ip-address 192.168.1.2
dhcp server lease day 2 hour 0 minute 0

DHCP中继

配置DHCP-Server：（以基于全局地址池分配地址为例）

dhcp enable
ip pool DHCP-relay
gateway-list 192.168.1.1
network 192.168.1.0 mask 24
dns-list 10.1.1.1
interface g0/0/0
ip address 10.1.1.1 24
dhcp select global
ip route-static 192.168.1.0 24 10.1.1.2

配置DHCP中继(GW):

dhcp server group DHCP
dhcp-server 10.1.1.1
dhcp enable
interface g0/0/1
ip address 192.168.1.1 24
dhcp select relay
dhcp relay server-select DHCP
interface g0/0/0
ip address 10.1.1.2 24

注:dhcp server 设备必须和中继点单播可达的前提下，才能使用DHCP中继效果；

三、DHCP snooping

防止dhcp攻击，防止DHCP的仿冒：

[r1]dhcp enable  交换机开启dhcp服务

[r1]dhcp snooping enable    全局下先开启DHCP snooping 功能

[r1]interface GigabitEthernet 0/0/1

[r1-GigabitEthernet0/0/1]dhcp snooping enable   所有接入层接口配置

配置后，所有接口处于非信任状态，所有非信任接口只能进行DHCP的请求，无法实现应答；之后需要在真正连接DHCP 服务器的接口上配置信任，否则该dhcp服务器也不能正常工作；

[r1-GigabitEthernet0/0/10]dhcp snooping trusted 

注意：以上操作完成后，交换机中将产生一个记录列表；记录所有接口ip地址的获取情况；

例：SW1的g0/0/1连接PC1，在SW1开启了DHCP snooping功能后，一旦PC1获取ip地址成功；那么在SW1上将出现一张记录列表----PC1的mac，获取的ip地址，vlan ….
该记录列表最大的意义是用于防止ARP欺骗攻击：

[r1]arp dhcp-snooping-detect enable  开启ARP欺骗防御

当某一个接口下的pc进行ARP应答时，若应答包中源ip地址与MAC地址和dhcp snooping的记录列表不一致将不行转发；

源地址保护

[r1-GigabitEthernet0/0/10]ip source check user-bind enable  

该接口发出的所有数据包中源ip地址与dhcp snooping记录不一致将不能转发；

[Huawei]display dhcp snooping user-bind all 查看dhcp snooping绑定记录表

四、端口安全

解决更换MAC来不停请求ip地址，导致DHCP池塘枯竭；还可以防止MAC地址攻击；交换机存在的mac地址表，存在条目数量限制，存在老化时间（默认5min），而PC等终端设备默认存储ARP表格为180s---2h；但若交换机的缓存被溢出或超时，再来转发终端的单播流量时，出现未知单播帧问题---处理方案洪泛，因此终端设备若不停修改mac地址来导致交换机缓存溢出便可实现mac地址攻击，所以依赖端口安全进行保护：

端口安全

[sw-Ethernet0/0/4]port-security  enable  开启端口安全

[sw-Ethernet0/0/4]port-security max-mac-num 1   现在MAC地址数量

[sw-Ethernet0/0/4]port-security protect-action ?

  protect   Discard packets           丢弃 – 不告警

  restrict  Discard packets and warning  丢弃—告警  （默认）

   shutdown  Shutdown   丢弃--关闭接口 –必须管理员手工开启

[sw-Ethernet0/0/4]port-security aging-time 300  老化时间

以上动作完成后，对应接口将自动记录第一个通过该接口数据帧中的源mac地址；其他mac将不能通过；若300s内，该记录mac没有再经过过该接口，将刷新记录；设备重启或接口关闭再开启也将刷新记录；

[sw-Ethernet0/0/4]port-security mac-address sticky   粘粘MAC（不老化）

自动记录通过该接口传递的mac地址，但记录后将永不删除，但也可手工填写

[sw-Ethernet0/0/4]port-security mac-address sticky aaaa-aaaa-aaaa vlan 1

五、SSH

安全的Telnet行为；  Telnet远程登录—基于tcp的23号端口工作；数据被明文传输；SSH也是远程登录—基于TCP的22号端口工作，数据包安全保障传输；存在版本V1/V2两种-实际版本号大于1小于2均为V2；

加密算法（保障数据的私密性），必须存在秘钥，可以反向计算（解密），加密后源数据增大

对称加密：同一个秘钥来进行加密和解密，比较经典的算法为：DES、3DES、AES  

非对称加密：存在两把秘钥，A加密、B解密，经典算法为RSA、DH（IPSEC 专用），在当下秘钥长度需要大于1024才相对安全；非对称算法较对称算法最大的缺点：加密后源数据量增幅巨大；加密计算很慢；

校验算法（保障数据的完整性）：没有秘钥，不能反向计算，进行不等长输入，并等长的输出

散列函数的摘要算法

          雪崩效应：源数据微小变化导致计算结果的巨大变化

          MD -MD5-128     SHA-SHA-1  -128   -256  -521

配置命令：

[R2]stelnet server enable  开启ssh 

[R2]rsa local-key-pair create       秘钥生成

[R2]ssh user openlab authentication-type password  定义ssh基于秘钥来加解密

登录信息

[R2]aaa

[R2-aaa]local-user openlab password cipher huawei  

[R2-aaa]local-user openlab  service-type ssh

配置aaa认证

[R2]user-interface vty 0 4

[R2-ui-vty0-4]authentication-mode aaa

[R2-ui-vty0-4]protocol inbound ssh   仅允许SSH登录

若使用华为的设备作为终端设备，通过ssh方式登录其他的系统，需要开启ssh 客户端功能

[r1]ssh client  first-time enable

[Huawei]stelnet 99.1.1.1

六、端口隔离

端口隔离是一种网络安全措施，旨在限制不同设备或系统之间的网络连接和通信，以减少潜在的攻击风险和漏洞。具体来说，端口隔离通过限制某些网络端口的使用，使得仅特定的设备或用户能够使用这些端口进行网络通信。

在实际应用中，通常会将不同的设备或用户分配到不同的虚拟局域网（VLAN）中，每个VLAN都有自己的IP地址和网络端口，然后使用网络设备（如交换机、路由器等）对不同VLAN之间的网络流量进行隔离和管理。这样做可以有效地限制不同设备或用户之间的直接通信和访问，从而提高网络安全性和可靠性，并防止横向攻击。

需要注意的是，在进行端口隔离时，需要仔细规划和维护网络拓扑结构，并确保各个网络设备和系统的配置相容。此外，还需根据实际需求进行必要的访问控制和权限管理，以保证数据传输的安全性和正确性。

[sw]interface Eth0/0/5

[sw-Ethernet0/0/5]port-isolate enable group 1  相同配置间接口被隔离