|
以太网技术 [Huawei]dhcp server group huawei----定义一个dhcp的组 [Huawei-dhcp-server-group-huawei]dhcp-server 10.10.10.1---配置dhcp服务器为10.10.10.1 [Huawei-dhcp-server-group-huawei]inter g0/0/1---进入接口(接收DISCOVER的接口) [Huawei-GigabitEthernet0/0/1]dhcp select relay—设为中继模式 [Huawei-GigabitEthernet0/0/1]dhcp relay server-select huawei---配置dhcp的服务器组 5. DHCP snooping:管理员在部署网络时,一般将与合法DHCP服务器直接或间接连接的接口设置为信任接口,其他接口设置为非信任接口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的伪DHCP服务器无法为DHCP客户端分配IP地一. 交换机转发:交换机收到数据帧,会存在三种行为: ① 泛洪 ② 转发 ③ 丢弃 1. 泛洪:交换机会在以下情况泛洪数据帧: (1)当交换机收到广播帧、组播帧会泛洪 (2)当交换机收到一个单播帧,但是交换机的MAC地址表中没有对应的接口标识,此时会泛洪数据帧,称为“未知单播帧的泛洪” 注:交换机不会查看广播数据帧,而是直接将他泛洪到当前除接收接口外的所有的接口,所以针对而成协议数据报文,报文的目标MAC地址只能为组播。 2. 转发:(1)从一个接口收到一个单播帧,并且MAC地址表中有其对应的接口,会进行转发 3. 丢弃:(1)从一个接口收到一个单播帧,单播帧的目的MAC对应的接口正是接收到此单播帧的接口,此时会丢弃数据帧 二. ARPAddress Resolution Protocol,地址解析协议,网络设备有数据要发送给另一台网络设备时,必须要知道对方的网络层地址(即IP地址)。IP地址由网络层来提供,但是仅有IP地址是不够的,IP数据报文必须封装成帧才能通过数据链路层进行发送,数据帧必须要包含目的MAC地址,因此发送端还必须获取目的MAC地址。通过目的IP地址而获取目的MAC地址的过程是由ARP协议来实现的。ARP缓存表用来记录ARP信息,默认老化时间为1200S。 ARP直接封装在数据链路层之上,Type标识为0x0806,我们有时称ARP为2.5层协议。 <Huawei>reset arp all---清空ARP表(MAC与IP映射) 1. ARP报文:① Hardware Type:网络类型(以太网) ② Protocol Type:协议类型(IP/IPX) ③ Hardware Length:网络长度 ④ Protocol Length:协议长度 ⑤ Operation Code:可选code值(Response或Request) ⑥ Source Hardware Address:发送者Mac地址 ⑦ Source Protocol Address:发送者IP地址 ⑧ Destination Hardware Address:目标MAC地址 ⑨ Destination Protocol Address:目标IP地址 (1)Request:请求报文,广播地址,用于请求目标IP地址对应的MAC地址。 Request-ARP报文(广播报文) (2)Response:回复报文,用于被请求端将自己的MAC地址通知到请求端的单播报文。 Replay-ARP报文(单播报文) 2. ARP原理:(1)同网段内获取目标终端MAC地址:CLIENT1想要访问目标CLIENT2,根据自己的IP和子网掩码与运算得出192.168.1.3与自己为同一网段,直接发送ARP广播请求,CLENT2收到ARP请求后,回复自己的MAC地址给CLENT1。 (2)不同网段请求网关MAC地址:CLIENT1想要访问目标CLIENT2,根据自己的IP和子网掩码与运算得出192.168.2.2与自己处于不同网段,此时发送ARP请求直接请求网关192.168.1.1的MAC地址,R1收到ARP请求后,将192.168.1.1端口的MAC地址回复给CLENT1。 3. ARP表项的创建与更新:依据ARP协议描述,几乎所有的以太网通信都以ARP开始,所以任何以太网主机设备都支持这个协议,而且IP地址到以太网MAC地址的解析主要也是动态生成,无须网络管理员手工处理。 一般实现中,如果收到的ARP报文满足以下条件中的任何一条,系统将创建或更新ARP表项。 条件为: ① ARP报文的源IP地址与入接口IP地址在同一网段,且不是广播地址,目的IP地址是本接口IP地址。 ② ARP报文的源IP地址与入接口IP地址在同一网段,且不是广播地址,目的IP地址是本接口的VRRP(Virtual Router Redundancy Protocol)虚拟IP地址。 ③ ARP报文的源IP地址与入接口IP地址在同一网段,且不是广播地址,入接口是IPoEoA应用的Virtual-Ethernet接口。 ④ ARP报文的目的IP地址是入接口上配置的NAT地址池中的地址。 ⑤ 如果收到的ARP报文的源IP地址在入接口的ARP表中已经存在对应表项,也将对ARP表项进行更新。 4. 免费ARP:IP为唯一标识,在同一网段内,每台设备的IP都是唯一的,所以如果两台设置配置了相同的IP地址会出现问题,在配置静态IP时候或从DHCP获取IP地址成功时,主机都会发送基于此IP的免费ARP的MAC地址请求,如果有设备回应,表明IP地址冲突。 5. 静态ARP:ARP攻击: 如果攻击者发送伪造的ARP报文,而且报文里面所通告的IP地址和MAC地址的映射是错误的,则主机或网关会把错误的映射更笑道ARP表中。当主机要发送数据到指定的目标IP地址时,从ARP表里得到了不正确的硬件MAC地址,并使用封装数据帧,导致数据帧无法正确发送。 如果当前网络中的主机较少,可以使用静态ARP手工绑定IP与MAC地址。 [R1]arp static 10.1.1.1 5489-0001-0001 6. Proxy ARP:Proxy ARP,即代理ARP,在开启了Proxy ARP功能后(华为设备默认不开启),当路由器接口收到一个ARP请求后,路由器会查找自己的路由表,如果路由表中存在去往ARP请求的MAC地址(IP),路由器会将与其同网段(相当于网关)的接口MAC作为相应回复ARP请求。 注1:只有路由器上存在路由条目明确指出了去往目的地的路由时,才会发送自己的网关MAC地址进行回复,如果PC所请求的目的地址没有响应的路由条目,则路由器不会回复ARP代理信息。 Proxy ARP分为三种类型: ① 路由式Proxy ARP ② vlan内代理ARP ③ vlan间代理ARP (1)路由式Proxy ARP:① PC1没有配置网关,想要访问目标PC2: ① R1的G0/0/0端口开启Proxy ARP功能:[Huawei-GigabitEthernet0/0/1]arp-proxy enable ② CLENT1访问192.168.2./24的网段,此时由于没有配置网关,于是直接发送AP请求请求192.168.2.2的MAC地址 ③ 路由器R1在收到ARP请求后,查找路由表,192.168.2.2存在于路由表192.168.2.0/24的路由条目中,于是发送ARP回复将端口192.168.1.1的MAC作为回应应答CLENT1的请求。 配置命令:[Huawei-GigabitEthernet0/0/0]arp-proxy enable ② 特殊部署网段问题: ① CLIENT1访问192.168.2.2,使用与运算发现192.168.2.2与自己为同网段,直接发送ARP请求请求192.168.2.2的MAC地址 ② 在没有开启ARP代理的R1路由器上收到请求192.168.2.2的ARP请求,路由器默认会将此广播包丢弃 ③ 在端口G0/0/0上开启arp代理功能之后,路由器R1收到广播包后,会将自己的G0/0/1端口的MAC地址回复给CLENT1 在没有开启arp代理之前默认丢弃arp广播报文: 开启ARP代理: (2)VLAN内Proxy ARP:在接口下使用命令[Huawei-Vlanif10]arp-proxy inner-sub-vlan-proxy enable启用 Vlan内的ARP代理功能 VLAN内代理ARP主要解决: ① 同vlan中pc互通问题,当实行了端口隔离的设备,隔离二层广播后,将导致arp无法正常解析,发送端无法正常封装数据包的目标MAC地址,此时使用vlan内Proxy ARP便可以解决此问题。 ② Mux-Vlan中从Vlan之间互通问题(详见Mux-Vlan) (3)VLAN间Proxy ARP: 解决不同Vlan之间对应计算机的三层互通问题,用于Super VLAN间解决子vlan无法互通问题。 三. ICMP:Internet控制报文协议ICMP(Internet Control Message Protocol)是网络层一个重要协议,ICMP协议号为1,ICMP协议用来在网络设备间传递各种差错和控制信息,它对手机各种网络信息、诊断和排除各种网络故障具有至关重的作用。ICMP直接在三层上携带信息,没有四层协议端口号。 1. ICMP重定向:ICMP重定向,由路由器产生,主机处理,当一个数据从端口接收到数据,查看路由表,如果再将数据从接收端口发送出去,会触发ICMP重定向。只针对某些网络去重定向,为控制信息,用来控制主机访问方向。 如图所示:主机A想要访问服务器A,他的默认网关为RTB,于是发送ICMP报文给RTB,但是服务器A位于RTA上(路由协议获取服务器A的位置),于是RTB发送ICMP重定向给主机A,告诉主机A访问服务器A将数据包送往RTA。 2. ICMP差错检测:用来检测网络连通性,命令为 PING 差错信息分为两种:①ICMP Echo Request ②ICMP Echo Reply (1)ICMP差错报文:① Type:7bit,用来标示此ICMP的协议类型,例如为Request、Reply ② Code:7bit,编码,与Type相对应,同一种Type可能有多种描述信息 ③ Checksum:16bit,校验和,用来校验ICMP数据包的完整性 (2)Ping原理:主机A想要检测与服务器A是否连通,发送ICMP Echo Request报文给服务器A,如果服务器A收到主机A发送过来的ICMP Echo Request请求报文,会回复ICMP Echo Reply报文回复给主机A。 Ping命令选项: -a 将目标的机器标识转换为ip地址 -t 若使用者不人为中断会不断的ping下去 -n 要求ping命令连续发送数据包,直到发出并接收到count个请求
在ping后加-l 和你行为的包的大小,例如: ping 127.0.0.1 -l 6400(ping包最大不能超出65500Byte,) (3)ICMP错误报告:当网络设备无法访问目标时,会自动发送ICMP目的不可达报文到发送端设备。 3.Tracert:探测命令,用来查看去往目的地所走的路径。 Tracert是Windows下常用的命令行工具(基于ICMP协议),UNIX下与之对应的是traceroute(基于UDP协议)。 Tracert-UDP原理: ① 主机A发送一个UDP报文(端口号非常大),TTl值为1(默认发送三次),传递到RTA时TTL为0,RTA丢弃UDP报文,回复给主机A一个ICMP timer的超时报文,此时主机A得到了第一跳RTA的IP地址 ② 主机A继续发送UDP报文(端口号非常大),TTl值为2(默认发送三次),传递到RTB时TTL为0,RTB丢弃UDP报文,回复给主机A一个ICMP timer的超时报文,此时主机A得到了第二跳RTA的IP地址 ③ 以此类推,直到主机A发送UDP报文(端口号非常大),TTL值为4(默认发送三次),传递到主机B时,此时主机B发送目的地址为自己,查找端口号,由于端口号非常之大,此时主机B并没有使用该端口号,于是回复一个端口号不可达信息该主机A,主机A收到此报文表示已经到达目的地。 Tracert-ICMP协议原理: 这种探测方式与基于UDP协议的路由探测的实现步骤一样,但发送端送出的不是一个UDP数据包,而发送的是一个ICMP类型为8的Echo Request(回显请求)数据报文。与基于UDP协议的路由探测技术一样,每次发送端都会把TTL值加1,每个中转路由器都对TTL值减1,如果为0,便丢弃后给发送端发送一个超时报文,若不为0,则继续转发给下一跳。唯一不同的是,当这个数据报到达最终目的节点时,由于发送端发送的是Echo Request报文,所以接收端就会相应一个ICMP类型为0的数据报文。这样,当发送端收到ICMP类型为0的数据报文时,就知道了全部路由已经查询完毕,终止继续探测。 四. 系统访问:1. 本地访问:(1)端口直接访问:本地访问可以使用console线连接设备的console端口进行访问,默认不需要输入密码(none)。 (2)认证模式访问:Console分为两种认证模式: ① AAA认证配置: [Huawei]aaa------------配置aaa认证 [Huawei-aaa]local-user huawei password cipher Huawei------创建用户名和密码 [Huawei-aaa]local-user huawei service-type terminal—设置服务类型为terminal [Huawei-aaa]local-user huawei privilege level 3-----设置用户级别为3 [Huawei-aaa]local-user huawei idle-timeout 10----设置超时时间 [Huawei]user-interface console 0---------进入终端端口 [Huawei-ui-vty0-4]authentication-mode aaa--------认证方式为aaa认证 ② password认证配置:[Huawei]user-interface console 0---------进入虚拟端口 [Huawei-ui-vty0-4]authentication-mode password------认证模式为password [Huawei-ui-vty0-4]user privilege level 3---配置级别为3 [Huawei-ui-vty0-4]set authentication password cipher huawei---配置密码 2. 远程登录(1)Telnet:Telnet(Telecommunication Network Protocol),远程网络协议。通常用在远程登录应用中,以便对本地或远端运行的网络设备进行配置、监控和维护。如网络中有多台设备需要配置和和管理,用户无需为每一台设备都连接一个用户终端进行本地配置,可以通过Telnet方式在一台设备上对多台设备进行管理或配置。如果网络中需要管理或配置的设备不在本地时,也可以通过Telnet方式实现对网络中设备的远端维护,极大地提高了用户操作的灵活性。telnet在传输用户名和密码时为明文传输。 Telnet客户端和服务器基于TCP连接来传输命令。 Telnet以客户端/服务器模式运行。Telnet基于TCP协议,服务器端口号默认为23,服务器通过该端口与客户端建立Telnet连接。 ① 认证模式:Telnet分为两种认证模式: a) AAA认证配置: [Huawei]telnet server enable---------开启telnet功能 [Huawei]aaa------------配置aaa认证 [Huawei-aaa]local-user huawei password cipher Huawei------创建用户名和密码 [Huawei-aaa]local-user huawei service-type telnet—设置服务类型为telnet [Huawei-aaa]local-user huawei privilege level 3-----设置用户级别为3 [Huawei-aaa]local-user huawei idle-timeout 10----设置超时时间 [Huawei]user-interface vty 0 4---------进入虚拟端口 [Huawei-ui-vty0-4]authentication-mode aaa--------认证方式为aaa认证 [Huawei-ui-vty0-4]protocol inbound telnet------接入协议为telnet b) password认证配置: [Huawei]telnet server enable---------开启telnet功能 [Huawei]user-interface vty 0 4---------进入虚拟端口 [Huawei-ui-vty0-4]authentication-mode password------认证模式为password [Huawei-ui-vty0-4]user privilege level 3---配置级别为3 [Huawei-ui-vty0-4]set authentication password cipher huawei---配置密码 ② 认证级别:在定义用户时,使用命令privilege level用来定义用户级别,分为两个级别: ① level 1:此级别的用户只能处于用户模式,无法进入系统视图。 ② Level 2:此级别的用户可以进入系统视图,但无法配置命令。 ③ Level 3-15:此级别的用户为最高用户,为管理员级别。 ③ super-password:当只有level 1和level2的用户需要进入系统视图,配置命令,如果对端telnet服务器配有super-password,可以使用super-password提升自己的临时权限。 配置视图下: [R2]super password cipher huawei。 用户登录时: 输入super,输入super-password密码。 (2)SSH:Telnet在传输用户名和密码基于明文传输,存在安全隐患,所以出现了基于加密的传输控制协议SSH,SSH的原理与Telnet基本一致,SSH使用TCP传输,服务器端口为22端口。最大的区别在于SSH传输过程为加密传输。 ① 传输过程:a) 使用命令[Huawei]rsa local-key-pair create生成本地密钥对(公钥和私钥) b) 当有用户连接过来时,发送公钥给用户,用户使用公钥将用户名和密码加密 c) 用户将加密的用户名和密码发送给服务器,服务器使用私钥将数据解密 ② SSH配置:注:SSH默认只支持AAA认证 [Huawei]stelnet server enable----开启ssh服务
[Huawei]rsa local-key-pair create------生成密钥对 [Huawei]ssh user huawei authentication-type password---配置ssh登录用户huawei为密码认证 [Huawei]user-interface vty 0 4-----------进入虚拟端口 [Huawei-ui-vty0-4]authentication-mode aaa------配置认证方式为aaa [Huawei-ui-vty0-4]protocol inbound ssh-------接入协议为ssh [Huawei-ui-vty0-4]user privilege level 3—配置权限为level3 [Huawei-ui-vty0-4]idle-timeout 10------配置超出时间 注:由于路由设备的默认安全配置,当自己数据库中不存在验证公钥,为不合法公钥,默认会拒绝认证,所有在首次登陆时客户端需要使用命令:ssh clent fist-time enable命令。
| 
发表于 2023-2-18 10:20
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
