HCIE冲刺-----------叙述剖析
X园区1.防火墙放行OSPF
2.trunk口阻塞vlan1
3.关闭VPN防环
4.ospf不通查抄NSSA区域设置
5.重定向可以在三层口或二层口设置
6.vlan60在ospf的相干设置
Z园区
1.mpls不通查抄lo0口设置
2.isis不通查抄接口IP与lldp毗连
3.确认同级RR还是备份RR
4.确认战略矩阵的访问
python
1.查抄库与省电模式
叙述题(5分) 40
1.在一个企业园区网络中来自企业外部(例如Internet)的攻击活动可通过防火墙及Anti-DDos等装备进行防御,但是来自企业内部的攻击和安全隐患也是企业的挑战,根据上述网络在不思量外部的攻击,当前网络是否存在安全上的隐患(网络攻击场景及办理方案,5条以上满分)
1.DHCP server仿冒攻击
在当前网络中存在仿冒的DHCP服务器,该DHCP服务器上存在一些无法正常供内部用户上网的地址段(网络信息),一旦给用户提供了错误的ip地址,会使得用户无法正常访问使用网络服务
办理方案:使用DHCP snooping信任端口技能,只将链接正当DHCP服务器的接口设置成trust端口,其余端口均保持为非信任的untrust端口
只会处理并吸收信任端口发来的dhcp offer/ack报文,非信任端口发来的offer/ack丢弃
2.DHCP饿死攻击
由于默认情况下,DHCP服务器只要是收到了用户发来的DHCP discovery报文,就会自动回复offer报文。此时如果网络中存在攻击者,恶意去找网络中的DHCP服务器不断地申请IP地址做使用
场景1:不变更MAC地址,只变更discovery报文中的chaddr字段
由于DHCP服务器默认是根据chaddr字段的变革,从而感知到要为差别装备分配ip地址
如果现在有攻击者在不断的变革这个字段,则对服务器而言,他就会为这些装备不断地给该用户提供ip地址,直到自身地址池耗尽,从而无法对网络中其余的正当装备提供服务
办理方案:开启查抄chaddr字段功能,使用DHCP检测chaddr字段和报文的MAC地址是否划一
开启之后,如果发现报文的chaddr字段和报文的MAC地址不划一,丢弃该DHCP报文
场景2:变更MAC地址,也变更discovery报文中的chaddr字段
攻击者不仅变更报文chaddr字段中的MAC地址,还变革报文头部的源MAC地址,这种情况,无法单纯的靠检测CHADDR字段来判断是否存在攻击
办理方案:不止开启查抄chaddr字段功能,同时也要开启同一接口下最大学习MAC地址的数量(也可以使用更优一点的端口安全技能中的sticky mac)
3.ARP诱骗攻击(中心人攻击)
企业内网尝发生ARP诱骗攻击,攻击者自动向USER A发送伪造USER B的ARP报文,导致USER A的ARP表中记载了错误的USER B的地址映射关系,攻击者就可以获取到USER A本来要发往给USER B的数据,同样,攻击者也可以获取到USER B本来要发往给USER A的数据,形成中心人攻击
办理方案:动态ARP检测机制,动态ARP检测机制会用到两张表(静态绑定表/DHCP snooping绑定表)(ip-mac-vlan-端口)
4.源IP地址诱骗攻击,攻击者通过伪造正当用户的IP地址获取网络访问权限,非法访问网络,甚至造成正当用户无法访问网络,或者信息泄密
办理办法:IPSG(IP源防护)针对IP地址诱骗攻击提供防护机制,IPSG利用绑定表(ip-mac-vlan-端口)
当装备试能了ipsg功能之后,在吸收到数据包时,就会查抄数据包的四要素,如果跟表里一直,以为是正当的报文,具备访问网络的权限,如果不划一,丢弃报文,不具备访问网络的权限。
5.MAC地址泛洪攻击
非法用户不断的变革自身装备的MAC地址,让交换机学习的MAC地址数量不断在增加,直到超出该装备可以容纳的最大MAC地址数量,正当装备的MAC地址无法正常学习到,导致正当装备不具备网络访问权限,其次后续的MAC地址都作为为止单播帧处理(泛洪的方式处理),让其他装备吸收到不必要的报文
办理方案:使用端口安全技能,限制每个接口下最大学习MAC地址的数量,同时,可以将正当装备MAC地址通过静态安全MAC跟sticky MAC的方式记载到装备,如许可以包管正当装备正常接入网络又防止非法装备不断变革MAC侵占网络资源
6.WIFI暗码暴力破解场景
由于园区内部的WIFI信号是对全部用户公布的,只要实行测试WIFI暗码次数够多,总会试出当前WIFI暗码,从而进入到内部无线中,获取信息资源
办理方案:防暴力破解技能,延缓暗码泄漏的时间。使用了这个技能之后,会对某个wifi信号设置相干操纵,比如当ssid在一定的时间内只能被用户试错几次(一分钟只能错误5次),若超堕落误次数,则临时将该用户加入到动态黑名单内(最大拉黑时间3600s),在被拉黑的时间内,就算暗码测试正确,也提示该用户被锁定,无法登录到网络中。
同时,给园区内暗码设置强暗码
—————————————————————————————————————————————————
叙述题(3分)25
2.请简要描述Cloudcampus办理方案中业务随行的工作原理,别的在部署业务随行时,若网络中存在两个认证点(这些认证点同时也作为业务随性战略执行点),而且用户分散在这两个认证点上进行准入认证,那么要实行全网业务随行方案怎样设计?(至少两种方案)
业务随行是一种不管用户身处何地,使用哪个ip地址,都可以包管该用户得到雷同的网络访问战略,通过界说安全组匹配的差别的用户流量,对差别的用户流量执行差别的战略
在传统园区网络中,控制用户网络访问权限重要是通过NAC技能结合VLAN和ACL技能来实现的。
这些技能要求:
1.管理员如果渴望包管员工在园区内的网络权限划一,必须要求员工从指定的装备、VLAN或网段接入上线。
2.用于控制用户访问权限的ACL需要管理员提前设置好,而且其中至少需要设置禁止或答应访问的目的IP地址范围。因此,在用户使用的IP地址不固定的前提下,ACL不能用于流量的源和目的都是用户主机时的控制。
ACL与用户的关联只在认证点装备上生效。因此对于非认证点装备,例如部署在企业园区边界的防火墙装备,必须基于IP地址来设置战略。
VLAN和ACL需要在大量的认证点装备上提前设置,部署和维护工作量巨大。
传统园区网依靠ACL和VLAN这种方式去限制用户访问权限
业务随行从三个方面办理传统园区中遇到的标题:
业务战略与IP地址解耦
管理员可以在控制器上从多种维度将全网用户及资源划分为差别的“安全组”。同时通过创新软硬件设计,装备在进行战略匹配时,可以先根据报文的源/目的IP地址去匹配源/目的安全组,再根据报文的源/目的安全组去匹配管理员预界说的组间战略。
通过如许的创新,可以将传统网络中基于用户和IP地址的业务战略全部迁移到基于安全组上来。而管理员在预界说业务战略时可以无需思量用户现实使用的IP地址,实现业务战略与IP地址的完全解耦。
方案1:非虚拟化场景(不完全是传统网络,有控制器的非vxlan场景)
1.当两台终端相互访问时,如果终端装备都在同一台汇聚装备下
2.当两台终端互访时,如果两台终端装备不在同一台汇聚装备下
方案2:虚拟化场景(vxlan场景)
1.当两台终端相互访问时,如果终端装备都在同一台汇聚装备下
2.当两台终端互访时,如果两台终端装备不在同一台汇聚装备下
—————————————————————————————————————————————————
叙述(5分)25
3.1MPLS LDP与RSVP_TE在现实部署会存在一些标题,叨教相较于SR,MPLS LDP与RSVP_TE在部署时会出现什么标题?
在部署MPLS LDP时存在以下哪些标题
1.LDP本身并无算路本领,需依赖IGP进行路径计算。
2.控制面需要IGP及LDP,装备之间需要发送大量的消息来维持邻人关系及路径状态,浪费了链路带宽及装备资源。
3.若LDP与IGP未同步,则可能出现数据转发标题。
在部署RSVP_TE时存在以下哪些标题
1.RSVP-TE的设置复杂,不支持负载分担。
2.为了实现TE,装备之间需要发送大量RSVP报文来维持邻人关系及路径状态,浪费了链路带宽及装备资源。
3.RSVP-TE本质上是分布式架构,每台装备只知道自己的状态,装备之间需要交互信令报文。
3.2在部署FRR功能时需要使用LFA、R-LFA、TI-LFA功能,确保LFA不会发生环路,叨教为什么FRR会有潜在的环路?
答:当网络的拓扑发生变革时,比如链路或者节点发生故障,IGP首先把拓扑变革的链路状态信息分发给网络中其他节点,新的链路状态通告在网络中泛洪,然后网络中每个节点独立运行雷同的路由算法,并更新自身的转发表。在这个时间段内网络节点的转发表是不划一的,一些节点仍旧基于旧拓扑转发流量,而另一些节点已经按照新拓扑更新了自己的转发表。拓扑发生变革和节点转发表更新之间的时间间隔随着差别节点,差别因素的变革而变革。
比如
1、在网络中传播拓扑变革引入了时延,拓扑变革通知到节点的时间取决于拓扑变革处到该节点的间隔。
2、每个节点更新转发表中前缀的序次不能包管是雷同的。
3、控制平面和数据平面的更新速度有差别,跟CPU,ASIC,平台架构等相干。
则会导致数据包在转发时出现A根据最新收敛的路由信息,将数据包转发给了B装备,而B装备此时路由未收敛完成,以为去往目的地最优的下一跳仍为A装备,从而导致临时环路产生,这种环路存在时间较短,故称之为微环。
在FRR中,不论是采用LFA、R-LFA亦或者是TI-LFA,都会有可能存在上述微环的风险存在。
由于LFA在许多情况下,计算不出一个符合的下一跳,由于只有满足两个算法才会生成备份路径,也就是说LFA算不出一个无环链路时,就不会帮你去计算出一个备份路径,而他如果不会帮我计算出一个备份路径的时间,又需要靠装备自身收敛,又会出现微环的情况
LFA的工作机制:
LFA的原理是找到一个非主下一跳(即不是最短转发路径上的下一跳)的邻人节点,如果这个邻人节点到目的节点的最短路径不经过源节点,则这个邻人节点为无环备份下一跳。本质上来说,LFA有两种保护机制,一种是链路保护机制、一种是节点保护机制。两种保护机制均有对应的保护公式。
如链路保护场景可用如下公式计算无环下一跳:
Distance_opt(N, D) < Distance_opt(N, S) + Distance_opt(S, D)
以上公式的意思为:从邻人节点N到目的节点D的间隔比从邻人节点N到S然后再从S到目的节点D的间隔短,也即从邻人节点N到目的节点D的最短路径不会经过S。如果邻人节点满足上述公式,则该邻人满足链路保护条件,即流量不会从LFA节点重新回到S节点。
如节点保护场景可以用如下公式计算无环的下一跳:
当发生节点故障时,流量需要从最短路径上S的下一跳节点绕行。所以如果邻人节点同时满足下述公式,则该邻人满足节点保护条件。
Distance_opt(N, D) < Distance_opt(N, S) + Distance_opt(S, D)
Distance_opt(N, D) < Distance_opt(N, E) + Distance_opt(E, D)
以上公式的意思为:从邻人节点N到达目的节点D的间隔比先到主下一跳节点E然后再从E到目的节点D的间隔短,也即从邻人节点N到目的节点D的最短路径不会经过故障节点E。这种情况下,邻人节点N可以作为节点故障时的LFA节点。
邻人节点满足上述两个公式,则可以作为对应装备的保护节点。
但LFA的标题在于它不能覆盖全部场景,在许多拓扑下,LFA无法计算符合的备份下一跳。如整张网络拓扑的开销无法满足上述任何链路保护公式的情况下,则会导致无法通过LFA计算出备份路径,从而只能靠路由协议进行收敛,导致最初的微环标题发生。
—————————————————————————————————————————————————
新改动叙述题:
4.在大规模组网中部署BGP一样平常需要部署双RR,保障RR的可靠性,但在部署时会将两台RR的cluster id的值人为设置成一样的,叨教如许做有什么好处?
在做备份时,两台RR分别和网络中其他全部装备建立BGP邻人关系时,如果此时反射器簇ID不划一,则可能导致反射器A将路由大批量的反射给反射器B,同理,反射器B也会将路由大批量的反射给反射器A。这个时间,两台反射器就学习到了过多无用的路由。如果此时将两台装备的反射器簇ID设置成一样的话,可以使反射器A传递给反射器B的路由,反射器B不吸收。如许对于其他非反射器装备而言,可以大概从两台反射器都学习路由的情况下,还减少了两台反射器之间的路由学习数量。
https://i-blog.csdnimg.cn/direct/f108311da1f34f958a113b6fae559eba.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]