- P: Prepare, Implementation requirements are determined.
- P: Plan, Current infrastructure is examined.
- D: Design, A detailed implementation plan is created.
- I: Implement, A predefined test plan is executed.
- O: Operate, Routine maintenance is performance.
- O: Optimize, Audits and upgrades are performed.
目前分類:網路 (43)
- Apr 17 Tue 2012 23:16
CISCO PPDIOO
- Apr 15 Sun 2012 23:17
在網路內新增設定的注意事項
- 每個步驟的描述
- 每個步驟的時間估算
- 萬一失敗的回復方法
- 將過程紀錄下來
- Apr 13 Fri 2012 23:18
區域網路內常見的攻擊
VLAN Hopping | An attacker sends double-tagged 802.1Q frames over a trunk link. |
MAC Flooding | An attacker sends traffic out every port on a switch. |
ARP Poisoning | An attacker intercepts traffic intended for another recipient. |
MAC Spoofing | An attacker identifies itself using the address of another host. |
DHCP Spoofing | An attacker installs a rogue server on the network. |
- Apr 11 Wed 2012 23:19
“switchport host"指令的功能
- 停止EtherChannel
- 啟動PortFast
- 停止Trunking
- Mar 30 Fri 2012 23:03
Private VLANs
- Private VLAN的作法是將一個次要VLAN(Secondary VLAN),在邏輯上分配給一個特定的主要VLAN (Primary)。
- 次要VLAN有二種類型─隔離型(isolated)和社區型(community)
- 隔離型VLAN-被設定為屬於隔離型次要VLAN的PORT,無法和其他次要VLAN溝通,也無法和同一個隔離型VLAN中的其他設備溝通,只能和主要VLAN溝通。
- 社區型VLAN-被設定為社區型次要VLAN的PORT,無法和其他VLAN溝通,但可以和同一個次要VLAN中的其他設備溝通。
- VTP不會通告任何和Private Vlan有關的資訊。
- 使用Private VLAN的實體port,必需設定為混雜模式(Promiscuous)或主機模式(HOST)
- 混雜模式-連接其他網路設備,如路由器,防火牆等。
- 主機模式-連接單一主機。
- Mar 30 Fri 2012 22:55
CEF
- FIB由IP Routing Table導出
- Adjacent Table由ARP Table導出
- 當Adjacent Table己經滿了的時候,CEF TCAM裡的項目會指向一個L3 引撆來重導相鄰關係
- CEF的幾種鄰近關係
- NULL
- Glean
- Punt
- Discard
- Drop
- Mar 29 Thu 2012 22:58
Multilayer Switch的Router Port具有哪些特徵
Multilayer Switch的Router Port至少具有下列三項特徵
- 可以設定IP
- 可以設定路由協定
- 是一個實體介面(Physical Interface)
- Mar 20 Tue 2012 22:59
Voice VLAN
Voice VLAN具有下列特性
- Voice VLAN傳送封包時,可以改寫或維持原來的CoS值
- 只能被設定在L2的Port上
- Mar 18 Sun 2012 23:00
如何設定已知hash值的密碼
在某些情況下,也許已經知道密碼的hash值,不論知不知道原來的明文密碼,都可以用下面的指令進行密碼設定
username username security 5 hash_value
這個5就是指說後面的密碼是hash過的
- Mar 14 Wed 2012 23:05
VLAN Hopping
形成Vlan hopping的三個條件
- 攻擊者必須連接到一台switch的Access Port
- 上述Switch必須開啓802.1Q Trunk
- 這個Trunk必須把攻擊者的Access Vlan 當作自己的Native Vlan
防止Vlan Hopping的二個方法
- 把trunk的native Vlan設定為假的或是沒有在用的Vlan
- 強迫Switch在所有封包都設置Vlan Tag (Prune off native vlan)
#vlan dot1q tag native
- Mar 12 Mon 2012 23:06
802.1Q
- Add 4 byte field to a Ethernet frame
- Use point-to-point connectivity
- IEEE 802.1Q Frame retains its original MAC destination address
- Mar 10 Sat 2012 23:04
Vlan Access List (VACL)
VACL設定的方法為VLAN Access map,設定格式和route map一樣
- 設定access-map
#vlan access-map map-name [sequence-number] - 設定match conditons
#match ip/ipx/mac address {acl-number|acl-name} - 設定如何處理符合條件的封包(forward/drop/redirect)
- Mar 08 Thu 2012 23:07
Syslog 的各個層級
- Emergency
- Alert
- Critical
- Error
- Waring
- Notice
- Information
- Debug
- Feb 07 Tue 2012 22:49
VRRP (Virtual Router Redundancy Protocol)
- RFC 2338
- 只有一台主要伺服器(Master Router),其餘都是備份伺服器(Backup Router)
- 優先權範圍0~255,越大越好。預設優先權為100,Master Router發出Priority 0封包,表示退出VRRP Group。
- 只有Virtual IP Owner可以用Priority 255。E.x. VRRP Group IP為192.168.1.254,其中一台路由器自己的IP就是192.168.1.254,只有它能發出Priority 255的Advertisement 封包。
- VRRP封包預設一秒發一次
- Protocol 112,Address 224.0.0.18
- Virtual router的MAC Address 00000.5e00.01XX,XX為Virtual Router的Group NO.用16進位表示。
- Feb 03 Fri 2012 22:51
(尚未設定標題)
- RFC 2281
- 使用UDP Port 1985 發送到224.0.0.2
- 同一HSRP群組內,有一台Active HSRP Router跟一台Standby HSRP Router
- 優先權範圍0~255,越高越好,預設值為100。
- 狀態:Disabled->Init->Listen->Speak->Standby->Active
- Initial -> State from which the router begin the HSRP Process
- Standby-> A candidate to become the next active router
- Learn-> The router is still waiting to hear from the active router
- Active-> The router is current forwarding packets
- Listen-> Listens for hello messages from the active and standby routers
- Speak-> Participates in the election for the active or standby router
- 驗證:Plain-Text & MD5
- Jan 23 Mon 2012 22:43
EtherChannel
※建立EtherChannel的條件
- 所有被綁定的port屬於同一個VLAN
- 如果是trunk mode,所有PORT都要同一個native VLAN
- SPEED和DUPLEX要一樣
※負載平衡類型
Method | Hash Input | Hash Method | Switch Model |
src-ip | Source IP | bits | ALL |
dst-ip | Destination IP | bits | ALL |
src-dst-ip | Source & Destination IP | XOR | ALL |
src-mac | Source MAC | bits | ALL |
dst-mac | Destination MAC | bits | ALL |
src-dst-mac | Source and Destination MAC | XOR | ALL |
src-port | Source Port | bits | 6500, 4500 |
dst-port | Destion Port | bits | 6500, 4500 |
src-dst-port | Source & Destination Port | XOR | 6500, 4500 |
※建立EtherChannel的協定
Negotiation Mode | Negotiation Packet Sent | Characteristics | |
PAgP | LACP | ||
On | On | No | All ports channeling |
Auto | Passive | Yes | Waits to channel until asked |
Desirable | Active | Yes | Actively ask to form a channel |
※LACP的Standby Interface使用higher priority
- Jan 21 Sat 2012 22:46
Cisco Switch Port出現errdisable的原因
在CISCO 的Switch上,定義了幾個ERROR的狀況,出現這些狀況的時候會自動將Port 關閉
- ARP-inspection
- bpduguard
- channel-misconfig
- dhcp-rate-limit
- dtp-flap
- gbic-invalid
- lipower
- l2ptguard
- link-flap
- loopback
- page-flap
- psecure-violation
- rootguard
- security-violation
- storm-control
- udld
- unicast-flood
- vmps
- Nov 10 Thu 2011 22:36
OSPF 在各種網路介面下的設定
- Broadcast: (a)不需設定neighbor(b) 選DR/BDR
- Point-to-multipoint: (a)不需設定neighbor(b)不選DR/BDR
- Non-broadcast:(a)設定neighbor(b)選DR/BDR
- Point-to-multipoint non-broadcast: (a)設定neighbor(b)不選DR/BDR
- Point-to-point:(a)設定neighbor(b)不選DR/BDR
有non-broadcast的要設neighbor,
不能形成multipoint-to-multipoint的拓撲不用選DR
- Nov 08 Tue 2011 22:40
OSPF Stub Area
Stub Area簡介:
(1) ABR建立0.0.0.0/0.0.0.0的預設路由,並且泛流到Stub Area裡
(2) ABR不會將Type 5 LSA flooding到Area裡
(3) ABR不一定將Type 3 LSA flooding到Area裡
- Nov 08 Tue 2011 22:38
OSPF LSA
每個路由器都會將資料儲存至自身的LSDB,而這些資料是由LSA所組成。
- LSA TYPE 1 (Router):每個路由器都會建立自己的TYPE 1 LSA,用來描述路由器本身連接到的區域。
- LSA TYPE 2 (Network):由子網路的DR所建立,用來描述子網路以及路由器連接到子網路的介面。
- LSA TYPE 3 (Summar):由ABR建立的LSA,定義了來源area內的子網路,以及成本,但不含拓撲資料。
- LSA TYPE 4 (ASBR Summary):類似於Type 3 LSA,但會通告一條用來到達ASBR的主機路徑。
- LSA TYPE 5 (AS External):負責將外部路徑帶入到OSPF裡。
- LSA Type 7 (NSSA External):由NSSA區域內的ASBR所建立,用以取替TYPE 5 LSA。