tshoot笔记1

 只是简单地将笔记发上来而已。

cisco service的几个子命令

 

  
  
  
  
  1. service dhcp 
  2. service linenumber 告诉用户所登录的路由器或者交换机是采用哪条线路 
  3. service password-encryption 
  4. service nagle  nagle是一种用来减少小型数据传输的网络拥塞算法。可以为基于命令输入
  5. 方式的操作如telnet节省带宽,默认是关闭的。 
  6. service prompt config 显示与关闭提示符 
  7. service sequence-numbers 在日志文件插入序列号 
  8. service tcp-keepalive 
  9. service passsword-recovery 打开密码恢复功能,如果你在修改config-register的
  10. 时候丢失了enable-mode模式的密码可以通过这种方式恢复。 

关闭口令恢复机制:

在默认情况下,网络设备都可以利用启动期间break方式进入到ROMMON模式,进行口令恢复操作。用

no service password-recovery

 可以消除这类威胁。

 

URPF:单播反向路径转发,检查源地址,根据FIB表,知道去往源地址应该从哪个接口出去。如果检查到一个源IP的进接口与路由表的出接口不符合的话,就DROP。 

URPF检查有严格strict型和松散型loose两种。

1:如果报文的源地址在路由器的FIB表中存在

  对于strict型检查,反向查找报文出接口,若其中至少有一个出接口和报文的入接口相匹配,则报文通过检查;否则报文将被拒绝。

对于loose型检查,报文进行正常的转发。

2:如果报文的源地址在路由器的FIB表中不存在,则检查缺省路由及URPF的allow-default-route参数。

对于配置了缺省路由,但没有配置参数allow-default-route的情况,不管是strict还是loose检查,只要报文的源地址在路由器的FIB表中不存在,该报文都将被拒绝。

对于配置了缺省路由,同时又配置了参数allow-default-route的情况下,如果是strict型检查,只要缺省路由的出接口与报文的入接口一致,则报文将通过URPF的检查。进行正常的转发;如果缺省路由的出接口和报文的入接口不一致,则报文将拒绝。如果是loose型松果,报文都将通过URPF的检查,进行正常的转发。

3当且仅当报文被拒绝后,才去匹配ACL,如果被ACL允许通过,则报文继续进行正常的转发,如果被ACL拒绝,则报文被丢弃。

 

 

 

你可能感兴趣的:(职场,笔记,休闲, ,URPF)