发布时间 : 星期四 文章CCNA复习知识点更新完毕开始阅读044614e7c77da26925c5b0df
(提示:默认的情况下所有的端口都属于VLAN1,故而对于2、3端口不必做配置)
14、配置VTP
默认时,所有的Cisco交换机都配置为VTP服务器。要配置VTP,首先必须配置你想要使用的VTP域名。当然,一旦在交换机上配置了VTP信息,就需要对它进行验证。在创建VTP域时,有一些选项,包括设置域名、口令、操作模式和交换机的修剪功能。可使用VTP全局配置模式命令来设置所有这些信息。如: Switch#confit terminal
Switch(config)#vtp mode server //设置为VTP服务器模式,client为客户模式 Switch(config)#vtp domain Lammle //设置VTP域名,域名是大小写敏感的 Switch(config)#vtp password todd //设置VTP口令
(一个事实:在交换机上可以创建超过1000个VLAN,但用show vtp status命令查看时往往本地能够支持的最大VLAN号小于1000,如果你超出这个范围就会出现硬件资源不足的错误提示,并关闭VLAN。用show vlan命令可以发现这些VLAN将处于挂起状态。)
15、电话通信:配置语音VLAN
语音VLAN特性使用访问端口能够携带来自IP电话的IP语音流。当交换机连到Cisco IP电话时,IP电话就用第3层IP优先级(precedence)和第2层服务级别(class of service,CoS)值发送语音流量,对于语音流量,这两个值都设置为5,默认时,所有其他的流量都设置为0。当数据发送不均匀时,IP电话呼叫的声音质量会恶化,因此,交换机基于IEEE802.1p CoS来支持服务质量(QoS)。802.1p字段出现在802.1q trunk报头中。如果802.1q标记中的字段有一个为“优先级”(priority)字段,这里提供的就是802.1p信息。Cisco IP电话基本上是一个三端口的交换机:一个接Cisco交换机,一个接PC机,另外一个接实际的电话中,这个电话是内部的。以下是语音VLAN配置指南:
应当在交换机的访问端口上配置语音VLAN,中继端口不支持它;
语音VLAN应当在交换机的IP电话端口上呈现并有效,以便正确地进行通信; 在启用VLAN之前,建议在交换机上输入全局配置命令mls qos,以启用QoS,并输入接口配置命令mls qos trust cos,将端口状态设置为信任模式;
必须确信在连接到Cisco IP电话的交换机端口上启用了CDP,以发送配置信息。默认时它是启用的,除非你曾禁用了它;
在配置了语音VLAN之后,PortFast特性就自动启用了,但如果禁用了语音VLAN,PortFast特性则不会自动禁用;
要让端口回到其默认设置,可使用接口配置命令no switchport voice vlan。
配置IP电话语音流量
可以将连接到Cisco IP电话的端口配置为向电话发送CDP包,以便配置为用电话发送语音流量。电话能够以IEEE802.1Q帧格式为特定的带第2层CoS值的语音VLAN携带语音流量。它可以使用IEEE802.1P优先级进行标记,以给语音流量更高的优先级,并通过本机(访问)VLAN转发所有语音流量。 Switch#configure terminal
Switch(config)#mls qos //启用QoS(服务质量) Switch(config)#interface f0/1
Switch(config-if)#switchport priority extend trust //优先级扩展信任802.1P优先级
Switch(config-if)#mls qos trust cos //使用CoS(服务级别)值,对进入的数据包流量进行分级 Switch(config-if)#switchport voice vlan dot1q //启用语音VLAN特性,并封装802.1Q Switch(config-if)#switchport mode access //定义永久的访问端口
Switch(config-if)#switchport access vlan 3 //将该端口分配给VLAN3用来承载PC数据
Switch(config-if)#switchport voice vlan 10 //同时将端口分配给VLAN10用来承载语音流量
第十章 安全
一个系统管理员,保护敏感、重要的数据和网络资源,防止可能的恶意入侵,一般是优先考虑的事情。Cisco具有一些真正有效的安全解决方案,帮助你实现你的需求!访问控制列表ACL(Access Control List)是Cisco安全解决方案中一个不可少的部分。正确使用和配置访问列表是路由器配置的关键部分,这是因为访问列表是万能的网络附件。
1、认识安全威胁
安全攻击会在它们的复杂性和威胁水平上具有不同程度的改变,有时甚至是因为无知用户的无知行为(Witless user ignorance,WUI)所致。一些常见的攻击有: 应用层攻击:这通常瞄准运行在服务器上的软件漏洞。
Autorooters:可以想象为一种黑客机器人。恶意者使用某种叫做rootkit的东西来探测、扫描并从目标机器
上捕获数据,装了rootkit后的目标机像是在整个系统中装了“眼睛”一样,自动监视着整个系统。 后门程序:通往一个计算机或网络的简洁的路径。
拒绝服务(DoS:Denial of Service)和分布式拒绝服务(DDoS:Distributed Denial of Service)攻击:这些攻击很恶劣,摆脱它们同样也很费力。从根本上说,当一个服务超范围索取系统正常提供它的资源时,它将变得不正常,而且存在不同的攻击风格。
TCP SYN泛洪攻击——发生在一个客户端发起表面上普通的TCP连接并且发送SYN信息到一台服务器时。服务器通过发送SYN-ACK信息到客户端进行响应,在这个过程中,当连接仅有一半打开的时候,受害的机器将完全被蜂拥而至的半打开连接所淹没,最终导致瘫痪。
“死亡之ping攻击”——通过使用大量数据包进行ping操作来实现,这些数据包可导致设备不间断地重启、停滞或是完全崩溃。
族群式泛洪攻击(TFN:Tribal Flood Network)和族群式2000泛洪攻击——从多个源头同步发起DoS攻击并且可以定位目标到多台设备上。这种攻击能取得成功,部分归因于称做“IP欺骗”的东西。
IP欺骗:以内部可信地址范围中的IP地址呈现或者使用一个核准的、可信的外部IP地址,来伪装成一台可信的主机。
中间人攻击:你珍贵的数据被拦截,一个常见的犯罪团队可能是为ISP工作的某些人,使用叫做包嗅探的工具,并在此基础上增加路由和传输协议。
网络侦察:在侵入一个网络之前,黑客经常会收集所有关于这个网络的信息,因为他们对这个网络知道得越多,越容易对它造成危害。他们通过类似端口扫描、DNS查询、Ping扫描等方法实现他们的目标。 包嗅探: 口令攻击: 强暴攻击:
端口重定向攻击:这种方法要求黑客已经侵入主机,并经由防火墙得到被改变的流量(这些流量通常是不被允许通过的)。
特洛伊木马攻击和病毒:使用恶意代码感染用户机器,使得用户机器遭受不同程度的瘫痪、破坏、甚至崩溃。它们的区别是,病毒是真正的恶意程序,附着在command.com文件上。特洛伊木马是一个封装了秘密代码的真正完整的应用程序,如表面上像是一个简单天真的游戏。
信任利用攻击:发生在内网之中,由某些人利用内网中可信任关系来实施。
2、访问列表简介
它本质上是一系列对包进行分类的条件。当它被应用到路由协议上,而不是接口上时,称为分布式列表,并且列表并不停止路由通告,只控制路由通告的内容。创建访问列表同编写一系列if—then语句非常相似。下面是一些将数据包和访问列表进行比较时应遵循的重要规则: 通常,按顺序比较访问列表的每一行;
比较访问列表的各行,直到找到匹配的一行。一旦和某一行匹配,遵照规定行事,不再进行后续比较; 每个列表的最后都隐含“deny(拒绝)”语句,这意味着如果数据包与访问列表中的所有行都不匹配,将被丢弃。
3、访问列表主要有两种类型 标准的访问列表:
只使用IP数据包的源IP地址作为条件测试。这意味着它允许或拒绝整个协议组,不区分IP流量类型,如WWW、Telnet、UDP等服务。 扩展的访问列表:
可以测试IP包的第3层和第4层报头中的其他字段。这使得它有能力在控制流量时做细粒度更大的决定。 命名的访问列表:
可以是标准的或扩展的访问列表,并不是一种真正的新类型列表。它的创建方式不同,但功能上是一样的。
一旦创建了访问列表,在应用之前它并没有真正开始起作用,直到你激活它!若要使用访问列表做包过滤,需要将它应用到路由器的一个想过滤流量的接口上,并且还要指定访问列表应用到哪一个方向的流量上。 入口访问列表:当访问列表被应用到从接口输入的包时,那些包在被路由到输出接口之前要经过访问列表处理。被拒绝的包在路由之前就会被丢弃掉。
出口访问列表:当访问列表被应用到从接口输出的包时,那些包首先被路由输出接口,然后在进入该接口的输出队列之前经过访问列表的处理。
4、访问列表通用配置指南
a/每个接口、每个协议或每个方向只可以分派一个访问列表。 b/组织好访问列表,要将更特殊的测试放在访问列表的最前面。 c/任何时候访问列表添加新条目时,将把新条目放置到列表的末尾。(强烈推荐使用文本编辑器编辑访问列表)
d/不能从访问列表中删除一行。如果试着这样做,将删除整个列表。只有使用命名访问列表时例外。 e/除非在访问列表末尾有permit any命令,否则所有和列表的测试条件都不符合的数据包将被丢弃。每个列表应当至少有一个允许语句,否则将会拒绝所有流量。 f/先创建访问列表,然后将列表应用到一个接口。
g/访问列表设计为过滤通过路由器的流量,但不过滤路由器产生的流量。 h/将IP标准的访问列表尽可能放置在靠近目的地址的位置。 i/将IP扩展的访问列表尽可能放置在靠近源地址的位置。
5、使用ACL(Access Control List)降低安全威胁 下面列出了许多可使用ACL降低的安全威胁: IP地址欺骗(对内、对外)
拒绝服务(DoS)TCP SYN攻击,阻塞外部攻击 DoS TCP SYN攻击,使用TCP截取 DoS smurf攻击
过滤ICMP信息(对内、对外) 过滤traceroute
提示:一般明智的做法是不允许任何包含内网中任一主机或网络源地址的IP包进入专用网络(一定要禁止)。
下面列出了一些从因特网到企业网中配置ACL时减轻安全问题的规则: 拒绝任何来自内部网络的地址
拒绝任何本地主机地址(127.0.0.0/8) 拒绝任何保留的专用地址
拒绝任何IP组播地址范围(224.0.0.0/24)之中的地址
6、标准的访问列表
标准的IP访问列表通过使用IP包中源IP地址过滤网络流量。可以使用访问列表号1~99或1300~1999(扩展的范围)创建标准的访问列表。 通配符:
通配符和访问列表一起用来指定一台主机、一个网络、一个网络或几个网络内的某个范围。要理解通配符,需要理解什么是块大小,它常常指地址范围。通配符和主机或网络地址一起使用来告诉路由器要过滤的有