《CCNA 3-2总结》由会员分享,可在线阅读,更多相关《CCNA 3-2总结(9页珍藏版)》请在金锄头文库上搜索。
1、1.以太网所使用的规则是 载波侦听多路访问/冲突检测 (CSMA/CD) 技术: CSMA/CD 仅用于集线器中常用的半双工通信1) 载波侦听2) 多路访问3) 冲突检测4) 堵塞信号和随机回退2.以太网通信1) 单播:只有一个发送方和一个接收方。单播传输是 LAN 和 Internet 中最主要的传输形式。单播传输的例子包括 HTTP、SMTP 、FTP 和 Telnet2) 广播:帧从一个地址发送到所有其它地址广播传输的示例有地址解析协议 (ARP) 发送到 LAN 上所有计算机的地址解析查询3) 组播:帧发送到一组特定的设备或客户端 网络协作业务会议的视频和语音传输。3.前导码实现发送设
2、备与接收设备之间的同步。4.半双工:一个发,另一个収 单项数据流 冲突可能性高 集线器连接5.全双工:同时发送和接収 双向数据流 仅限点对点 连接到专用交换端口 无冲突 冲突检测电路禁用 交换机6. 交换机端口设置: auto 选项设置双工模式自动协商。启用自动协商时,两个端口通过通信来决定最佳操作模式。对于快速以太网和 10/100/1000 端口,默认为 auto full 选项设置全双工模式。对于 100BASE-FX 端口,默认为 full half 选项设置半双工模式。7. 冲突域是指发出的帧可能产生冲突的网络区域 交换机分割8.广播域:相连交换机的集合构成了一个广播域 路由器分割9
3、. 延时:一个帧或一个数据包从源工作站到达最终目的地所用的时间 来源: 网卡延时:源网卡在导线上发送电压脉冲需要时间,目的网卡解释这些脉冲也需要时间,10BASE-T 网卡的延迟通常为大约 1 毫秒 传播延时:信号在电缆上传输需要时间 中网络设备增加时,延时也会随之延长10. 交换机数据包转发方法: 存储转发交换:当交换机收到帧时,它将数据存储在缓冲区中,直到收下完整的帧。计算循环冗余校验 (CRC),检查帧长度,有效则转发 直通交换:在收到整个帧之前就转发11. LAN 交换机可分为对称或非对称两类 对称交换提供同带宽端口之间的交换连接。对称交换可优化为合理分配流量负载,例如在点对点桌面环境
4、中。 非对称 LAN 交换机提供不同带宽端口之间的交换连接。需要缓冲 优点:防止产生瓶颈,灵活12.两种内存缓冲方法:1) 基于端口的内存缓冲:帧存储在链接到特定传入端口的队列中。有可能因为一个目的端口繁忙而造成单个帧拖延内存中所有帧的传输。2) 基于共享内存缓冲:将所有帧都放入交换机上所有端口共享的公共内存缓冲区中13.第 2 层交换:只根据 OSI 数据链路层(第 2 层)MAC 地址执行交换和过滤。14. 第 3 层交换机不仅使用第 2 层 MAC 地址信息来作出转发决策,而且还可以使用 IP 地址信息。还能够执行第 3 层路由功能,从而省去了 LAN 上对专用路由器的需要。比较:15.
5、配置命令历史记录缓冲区: show history16.交换机启动顺序:1) 交换器从 NVRAM 中加载启动加载器软件 执行低级 CPU 初始化 执行 CPU 子系统的加电自检 (POST) 初始化系统主板上的闪存文件系统。 将默认操作系统软件映像加载到内存中,并启动交换机。2) 操作系统使用 config.text(存储在闪存)文件运行启动加载器可帮助从操作系统崩溃中恢复: 操作系统无法使用时,用于直接访问交换机 在操作系统加载之前访问存储在闪存中的文件 可执行恢复操作17.基本交换机配置:1) 管理接口:2) 配置管理接口:3) 配置默认网关:4) 配置双工和速度:5) 配置 Web 接
6、口 6) 查看 mac 地址表:show mac-address-table配置静态 mac:mac-address-table static mac 地址 vlan 99 端口号7) 验证交换机配置8) 备份配置恢复配置9) 将配置文件备份到 TFTP 服务器10) 清除配置信息:erase nvram11) 配置控制台访问移除口令:no password配置 vty12)配置执行模式口令配置加密口令:service password-encryption1) 配置登录标语2) 配置 Telnet 和 SSHTelnet 最常用的访问方法 发送明文消息流 不安全SSH 应作为常用访问方法 发
7、送加密消息流 安全配置 Telne:配置 SSH ip domain-namedomain_name 命令配置交换机的主机域 crypto key generate rsa 命令生成 RSA 密钥对 crypto key zeroize rsa 删除 RSA 密钥对 transport input ssh 命令以将交换机限制为仅允许 SSH 连接。18.常见的安全攻击1) MAC 地址泛洪:MAC 地址表的大小有限。MAC 泛洪利用这一限制用虚假源 MAC 地址轰炸交换机,直到交换机 MAC 地址表变满。交换机随后进入称为“失效开放”(fail-open) 的模式,开始像集线器一样工作,并将数
8、据包广播到网络上的所有机器。因此,攻击者可看到从受害主机发送到无 MAC 地址表条目的另一台主机的所有帧。2) 欺骗攻击:攻击者窃取网络流量办法是伪装有效 DHCP 服务器发出的响应 攻击者在网段上激活一台 DHCP 服务器 客户端广播一条请求,要求获得 DHCP 配置的信息 伪冒 DHCP 服务器在合法 DHCP 服务器响应之前先响应,分配由攻击者定义的 IP 配置信息 主机数据包被重定向至攻击者的地址,因为该地址模拟客户端得到的错误 DHCP 地址的默认网关另一种称为 DHCP 耗竭攻击的 DHCP 攻击。攻击者 PC 不断更改其源 MAC 地址,并不断向真实 DHCP 服务器请求 IP
9、地址。如果成功,这种 DHCP 攻击将造成真实 DHCP 服务器的所有待租地址分配殆尽,从而阻止真实用户(DHCP 客户端)获取 IP 地址。3)CDP 攻击:Cisco 发现协议 (CDP) 是 Cisco 的专有协议,路由器不会传播 CDP,CDP 包含有关设备的信息,如 IP 地址、软件版本、平台、性能和本机 VLAN。如果攻击者得到这些信息,他们就可以利用这些信息来查找漏洞以攻击网络,通常的攻击形式是拒绝服务 (DoS) 攻击。4)Telnet 攻击:5)暴力密码攻击:限制暴力密码攻击漏洞的最简单办法是频繁更改密码、使用强密码、限制可通过 vty 链路通信的人员6)DoS 攻击妨碍管理
10、员执行交换机管理功能。Cisco IOS 更新修订版中附带的安全补丁19 DHCP 侦听:1) . DHCP 侦听将端口标识为可信和不可信,可信端口可发送所有 DHCP 消息;不可信端口只能发送请求2) DHCP 侦听使交换机能够建立映射客户端 mav 地址、IP 地址、VLAN 和端口的 DHCP 绑定表3) ip dhcp snooping 全局配置命令启用 DHCP 侦听。4) ip dhcp snooping vlan number number 命令对特定 VLAN 启用 DHCP 侦听。5) ip dhcp snooping trust 命令定义可信端口,从而在接口级别将端口定义为
11、可信或不可信。6) ip dhcp snooping limit raterate 命令限制攻击者通过不可信端口向 DHCP 服务器连续发送伪造 DHCP 请求的速率。20.网络安全工具功能:1) 网络安全审计揭示攻击者只需监视网络流量就能收集到哪类信息确定要在网络上去除的虚假 MAC 地址的理想数量确定 mac 地址表的老化周期2) 网络渗透测试找出网络设备配置中存在的弱点发起多种攻击以测试网络应仔细计划渗透测试,以避免影响网络性能21. 现代网络安全工具的常见功能:1) 服务识别2) SSL 服务支持3) 非破坏性测试和破坏性测试:破坏性审计可用来查看网络抵御入侵者攻击的强度4) 漏洞数据
12、库22. 使用网络安全工具可以:捕获聊天消息从 NFS 流量中捕获文件捕获通用日志格式的 HTTP 请求捕获 Berkeley mbox 格式的邮件消息捕获密码显示在浏览器中实时捕获的 URL用随机的 MAC 地址泛洪攻击交换 LAN伪造对 DNS 地址/指针查询的响应截获交换 LAN 上的数据包23.在交换机端口实施安全措施:在端口上制定一组允许的有效 mac 地址只允许一个 mac 地址访问端口指定端口在检测到未经授权的 mac 地址时自动关闭24 安全 MAC 地址类型:1) 静态安全 MAC 地址:2) 动态安全 MAC 地址:3) 粘滞安全 MAC 地址:动态学习,存储在运行配置中交换机重启时,粘滞安全 MAC 地址会丢失25. 安全违规模式:保护。限制、关闭26.配置端口安全性:配置动态端口安全性:配置粘滞端口安全性:show port-security interfaceinterface-id 命令,验证端口安全性show port-security interfaceinterface-id address 命令,验证安全 MAC 地址interface range 命令 关闭端口
