揭开黑金ARP病毒面纱

No Comments 网络技术

揭开黑金ARP病毒面纱

  黑金ARP病毒欺骗攻击目的和以往的单纯ARP欺骗病毒完全不同,明显表露出其木马化的本质。以黑金ARP病毒Backdoor.Win32.ARP.g为例,该病毒的特别之处就是在原有ARP欺骗基础上,捆绑正常的网络分析软件WinPcap,试图欺骗传统杀毒软件,利用WinPcap提供的网络分析功能,劫持网络内所有HTTP通信,并且强行在HTTP数据包中插入带有病毒程序的网页链接,使得局域网内任意一个用户在访问正常网页时,都会自动下载木马病毒。也就是说,只要局域网内有一台计算机感染了该木马,局域网内所有的计算机就都有可能感染上木马病毒。可见,黑金ARP对局域网危害极大,正可谓是一机中毒,全网“遇难”。理论上如果网内只有一台计算机中了黑金ARP,那么局域网虽受ARP欺骗影响,但仍尚可维持通信。但是实际上前述的假设在现实中是不成立的,因为只要有一台计算机中毒,局域网内很快就会发展为多台计算机中毒,而多台计算机同时发起ARP欺骗的直接后果就是网络内计算机互相欺骗,局域网全网通信瘫痪。

 清除黑金ARP病毒,首先要做的就是要彻底清除其毒源。换句话说,如果将病毒源连根拔起清除彻底,局域网自然而然就会恢复正常。如果机器中了黑金ARP病毒,利用一般的杀毒软件解决此问题,基本上收效甚微,扫描整个系统估计也没有一个病毒报告出来。那到底该如何对付黑金ARP病毒呢?

  其实事情是很简单的,所有的黑金ARP病毒都必然具备的一个行为特点就是乱发ARP欺骗数据包,因此采用行为分析技术的主动防御软件对其会有很好的清除能力。主动防御软件根据行为分析一旦发现有程序试图乱发ARP欺骗数据包,立即将其查杀。

asa 8.3 nat nat0

No Comments CISCO

8.3的nat和以前有很大变化
Network Object NAT配置介绍
1.Dynamic NAT(动态NAT,动态一对一)
  实例一:
传统配置方法:
nat (Inside) 1 10.1.1.0 255.255.255.0
global (Outside) 1 202.100.1.100-202.100.1.200
新配置方法(Network Object NAT)
object network Outside-Nat-Pool
range 202.100.1.100 202.100.1.200
object network Inside-Network
subnet 10.1.1.0 255.255.255.0
object network Inside-Network
nat (Inside,Outside) dynamic Outside-Nat-Pool
实例二:
object network Outside-Nat-Pool
range 202.100.1.100 202.100.1.200
object network Outside-PAT-Address
host 202.100.1.201
object-group network Outside-Address
network-object object Outside-Nat-Pool
network-object object Outside-PAT-Address
object network Inside-Network
(先100-200动态一对一,然后202.100.1.201动态PAT,最后使用接口地址动态PAT)
  nat (Inside,Outside) dynamic Outside-Address interface
教主认为这种配置方式的好处是,新的NAT命令绑定了源接口和目的接口,所以不会出现传统配置影响DMZ的问题(当时需要nat0 + acl来旁路)
2.Dynamic PAT (Hide)(动态PAT,动态多对一)
传统配置方式:
nat (Inside) 1 10.1.1.0 255.255.255.0
global(outside) 1 202.100.1.101
新配置方法(Network Object NAT)
object network Inside-Network
subnet 10.1.1.0 255.255.255.0
object network Outside-PAT-Address
host 202.100.1.101
object network Inside-Network
nat (Inside,Outside) dynamic Outside-PAT-Address
or
nat (Inside,Outside) dynamic 202.100.1.102
3.Static NAT or Static NAT with Port Translation(静态一对一转换,静态端口转换)
实例一:(静态一对一转换)
传统配置方式:
static (Inside,outside) 202.100.1.101 10.1.1.1
新配置方法(Network Object NAT)
object network Static-Outside-Address
host 202.100.1.101
object network Static-Inside-Address
host 10.1.1.1
object network Static-Inside-Address
nat (Inside,Outside) static Static-Outside-Address
or
nat (Inside,Outside) static 202.100.1.102
实例二:(静态端口转换)
传统配置方式:
static (inside,outside) tcp 202.100.1.102 2323 10.1.1.1 23
 新配置方法(Network Object NAT)
object network Static-Outside-Address
host 202.100.1.101
object network Static-Inside-Address
host 10.1.1.1
 object network Static-Inside-Address
  nat (Inside,Outside) static Static-Outside-Address service tcp telnet 2323
  or
  nat (Inside,Outside) static 202.100.1.101 service tcp telnet 2323
4.Identity NAT
传统配置方式:
nat (inside) 0 10.1.1.1 255.255.255.255
 新配置方法(Network Object NAT)
object network Inside-Address
host 10.1.1.1
object network Inside-Address
nat (Inside,Outside) static Inside-Address
or
nat (Inside,Outside) static 10.1.1.1
Twice NAT(类似于Policy NAT)
实例一:
传统配置:
access-list inside-to-1 permit ip 10.1.1.0 255.255.255.0 host 1.1.1.1
access-list inside-to-202 permit ip 10.1.1.0 255.255.255.0 host 202.100.1.1
nat (inside) 1 access-list inside-to-1
nat (inside) 2 access-list inside-to-202
global(outside) 1 202.100.1.101
global(outside) 2 202.100.1.102
新配置方法(Twice NAT):
object network dst-1
host 1.1.1.1
object network dst-202
host 202.100.1.1
object network pat-1
host 202.100.1.101
object network pat-2
host 202.100.1.102
object network Inside-Network
subnet 10.1.1.0 255.255.255.0
nat (Inside,Outside) source dynamic Inside-Network pat-1 destination static dst-1 dst-1
nat (Inside,Outside) source dynamic Inside-Network pat-2 destination static dst-202 dst-202
实例二:
传统配置:
access-list inside-to-1 permit ip 10.1.1.0 255.255.255.0 host 1.1.1.1
access-list inside-to-202 permit ip 10.1.1.0 255.255.255.0 host 202.100.1.1
nat (inside) 1 access-list inside-to-1
nat (inside) 2 access-list inside-to-202
global(outside) 1 202.100.1.101
global(outside) 2 202.100.1.102
static (outside,inside) 10.1.1.101 1.1.1.1
static (outside,inside) 10.1.1.102 202.100.1.1
新配置方法(Twice NAT):
object network dst-1
host 1.1.1.1
object network dst-202
host 202.100.1.1
object network pat-1
host 202.100.1.101
object network pat-2
host 202.100.1.102
object network Inside-Network
subnet 10.1.1.0 255.255.255.0
object network map-dst-1
host 10.1.1.101
object network map-dst-202
host 10.1.1.102
nat (Inside,Outside) source dynamic Inside-Network pat-1 destination static map-dst-1 dst-1
nat (Inside,Outside) source dynamic Inside-Network pat-2 destination static map-dst-202 dst-202
实例三:
传统配置:
access-list inside-to-1 permit tcp 10.1.1.0 255.255.255.0 host 1.1.1.1 eq 23
access-list inside-to-202 permit tcp 10.1.1.0 255.255.255.0 host 202.100.1.1 eq 3032
nat (inside) 1 access-list inside-to-1
nat (inside) 2 access-list inside-to-202
global(outside) 1 202.100.1.101
global(outside) 1 202.100.1.102
新配置方法(Twice NAT):
object network dst-1
host 1.1.1.1
object network dst-202
host 202.100.1.1
object network pat-1
host 202.100.1.101
object network pat-2
host 202.100.1.102
object network Inside-Network
subnet 10.1.1.0 255.255.255.0
object service telnet23
service tcp destination eq telnet
object service telnet3032
service tcp destination eq 3032
nat (Inside,Outside) source dynamic Inside-Network pat-1 destination static dst-1 dst-1 service telnet23 telnet23
nat (Inside,Outside) source dynamic Inside-Network pat-2 destination static dst-202 dst-202 service telnet3032 telnet3032
Main Differences Between Network Object NAT and Twice NAT(Network Object NAT和Twice NAT的主要区别)
How you define the real address.(从如何定义真实地址的角度来比较)
– Network object NAT—You define NAT as a parameter for a network object; the network object definition itself provides the real address. This method lets you easily add NAT to network objects. The objects can also be used in other parts of your configuration, for example, for access rules or even in twice NAT rules.
– Twice NAT—You identify a network object or network object group for both the real and
mapped addresses. In this case, NAT is not a parameter of the network object; the network object or group is a parameter of the NAT configuration. The ability to use a network object group for the real address means that twice NAT is more scalable.
How source and destination NAT is implemented.(源和目的nat被运用)
– Network object NAT— Each rule can apply to either the source or destination of a packet. So two rules might be used, one for the source IP address, and one for the destination IP address. These two rules cannot be tied together to enforce a specific translation for a source/destination combination.
– Twice NAT—A single rule translates both the source and destination. A matching packet only matches the one rule, and further rules are not checked. Even if you do not configure the optional destination address for twice NAT, a matching packet still only matches one twice NAT rule. The source and destination are tied together, so you can enforce different translations depending on the source/destination combination. For example, sourceA/destinationA can have a different translation than sourceA/destinationB.
We recommend using network object NAT unless you need the extra features that twice NAT provides. Network object NAT is easier to configure, and might be more reliable for applications such as Voice over IP (VoIP).
排序实例:
192.168.1.1/32 (static)  10.1.1.0/24 (static)  192.168.1.0/24 (static)  172.16.1.0/24 (dynamic) (object abc)  172.16.1.0/24 (dynamic) (object def)  192.168.1.0/24 (dynamic)
查看NAT顺序的命令:
ASA(config)# sh run nat
nat (Inside,Outside) source dynamic Inside-Network pat-2 destination static dst-202 dst-202 service telnet3032 telnet3032
!
object network Inside-Network
nat (Inside,Outside) dynamic 202.100.1.105
!
nat (Inside,Outside) after-auto source dynamic Inside-Network pat-1 destination static dst-1 dst-1 service telnet23 telnet23
ASA(config)# sh nat
Manual NAT Policies (Section 1)
1 (Inside) to (Outside) source dynamic Inside-Network pat-2 destination static dst-202 dst-202 service telnet3032 telnet3032
  translate_hits = 1, untranslate_hits = 0
Auto NAT Policies (Section 2)
1 (Inside) to (Outside) source dynamic Inside-Network 202.100.1.105
  translate_hits = 0, untranslate_hits = 0
Manual NAT Policies (Section 3)
1 (Inside) to (Outside) source dynamic Inside-Network pat-1 destination static dst-1 dst-1 service telnet23 telnet23
translate_hits = 0, untranslate_hits = 0
如何调整和插入NAT
nat (Inside,Outside) 1 source dynamic Inside-Network pat-1 destination static dst-1 dst-1 service telnet23 telnet23

CISCO 3750升级IOS实例

No Comments CISCO

单位有一台CISCO3750,不能支持OSPF,为使他能支持OSPF,需进行IOS升级,详细步骤如下:
1、配置计算机与交换机连通
本处将计算机与交换机直连,本地计算机IP地址设为10.1.1.1/31,与交换机1号以太网口相连。
R1#configure terminal
R1(config)#interface fastEthernet 1/0/1
R1(config-if)#no switchport
R1(config-if)#ip address 10.1.1.2 255.255.255.252
2、架设tftp环境(本次以3CDaemon为例)
将3CDaemon安装在本地计算机C盘根目录下,运行3CDaemon.EXE并进行相关设置。
3、查看原IOS版本等信息
R1#show version
4、下载新IOS文件
将新IOS下载保存(文件名为c3750-ipservicesk9-mz.122-50.SE3.bin,文件大小为11.6M),并将该文件拷贝至tftp指定目录。
5、查看原IOS文件位置及相关信息
R1#show boot
R1#dir
Directory of flash:/
    2 -rwx           5   Mar 1 1993 02:10:54 +00:00 private-config.text
    3 -rwx        1612   Apr 1 1993 22:19:01 +00:00 vlan11.dat
    4 -rwx         796   Mar 1 1993 06:16:26 +00:00 vlan.dat
    5 drwx         192   Mar 1 1993 00:06:42 +00:00 c3750-ipbase-mz.122-35.SE5
509 -rwx        3427   Mar 1 1993 02:10:54 +00:00 config.text
15998976 bytes total (6364160 bytes free)
R1#cd c3750-ipbase-mz.122-35.SE5(注意文件名区分大小写)
R1#dir
Directory of flash:/c3750-ipbase-mz.122-35.SE5/
    6 -rwx     7175078   Mar 1 1993 00:05:41 +00:00 c3750-ipbase-mz.122-35.SE5.bin
    7 drwx        4224   Mar 1 1993 00:06:04 +00:00 html
508 -rwx         598   Mar 1 1993 00:06:42 +00:00 info
15998976 bytes total (6364160 bytes free)
剩余空间不到10M,而新IOS文件超过10M,所以需先将原IOS文件删除以释放FLASH空间。
删除前先备份原IOS文件。
R1#copy /c3750-ipbase-mz.122-35.SE5 /c3750-ipbase-mz.122-35.SE5.bin tftp
Address or name of remote host []? 10.1.1.1
Destination filename [c3750-ipbase-mz.122-35.SE5.bin]?
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
7176192 bytes copied in *** secs (***bytes/sec)

R1#delete c3750-ipbase-mz.122-35.SE5.bin
Delete filename [/c3750-ipbase-mz.122-35.SE5/c3750-ipbase-mz.122-35.SE5.bin]?
Delete flash:/c3750-ipbase-mz.122-35.SE5/c3750-ipbase-mz.122-35.SE5.bin? [confirm]
R1#dir
Directory of flash:/c3750-ipbase-mz.122-35.SE5/
    7 drwx        4224   Mar 1 1993 00:06:04 +00:00 html
508 -rwx         598   Mar 1 1993 00:06:42 +00:00 info
15998976 bytes total (13539328 bytes free)
剩余空间已超过新IOS文件大小,可以进行升级。
6、将新IOS文件上传至交换机flash(本处拷贝至根目录下)
R1#copy tftp flash
Source filename [/c3750-ipbase-mz.122-35.SE5/c3750-ipbase-mz.122-35.SE5.bin]? /c3750-ipbase-mz.122-35.SE5/c3750-ipbase-mz.122-35.SE5.bin
Address or name of remote host []? 10.1.1.1
Destination filename [c3750-ipbase-mz.122-35.SE5.bin]?
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
7175078 bytes copied in 63.770 secs (112515 bytes/sec)
7、设置启动IOS为新IOS:
R1(config)#boot system flash:c3750-ipservicesk9-mz.122-50.SE3.bin
R1(config)#exit
R1#wr
Building configuration…
然后重启后有效
R1#reload

STP保护——root guard、BPDU guard、loop guard

No Comments CISCO

STP也可能遭受到各种类型的攻击,所以STP的保护工作也非常重要●对接入端口的保护:Root Guard和BPDU Guard对于接入端口而言,可能临时新连接一台交换机在其下,而这可能会引起STP拓扑不必要的变化。要防止此问题,可以在接入端口激活BPDU Guard和Root Guard来监控是否有BPDU进入。它们的基本操作如下:

1)BPDU Guard:在每个或者单个端口上激活;如果接收到任何BPDU,该端口即被屏蔽。用来防止对交换机STP的DOS攻击,需要配置errdisable后可自动恢复。

#errdisable recovery cause bpduguard

#errdisable recovery interval 30 指定errdisable关闭的端口恢复的时间

扩展:spanning-tree portfast bpduguard 命令作用是将所有配置了portfast的端口启用bpduguard

2)Root Guard:在每个或接收到优先级更高BPDU的端口上激活;如果启用root guard端口收到优先级更高的BPDU报文则端口会被置为root-inconsistent状态,这种状态类似于listen状态,忽略任何优先级更高的BPDU,这样可以阻止连接在此端口的交换机成为根交换机。无需配置即可自动恢复,但是前提是在3个周期也就是6秒内没有再接收到优先级更高的BPDU报文。命令:全局或者端口下 spanning-tree rootguard●对中继端口的保护:UDLD和Loop Guard对于中继端口而言,最主要的问题是要避免因为单向(Unidirectional)链路(链路一端失败,可能是因为一端接插问题而引起)的存在而导致交换机端口错误地从阻塞状态转换到转发状态。解决这个问题的办法是:UDLD(两种模式)和Loop Guard,具体操作如下:1)UDLD:使用第二层消息来决定什么时候交换机不再由邻接交换机接收帧,交换机未失败的传输接口置为错误屏蔽状态。配置后可自动恢复。2)UDLD aggressive mode:当接收不到另一交换机消息时,先试图重连(8次),如果仍然没有反应,那么两端都置为错误屏蔽状态。配置后可自动恢复。

3)Loop Guard:当接收不到正常的BPDU时,端口不再进行正常的STP收敛,而是进入STP环路冲突(loop-inconsistent)状态。无需配置即可自动恢复。

BPDU保护
BPDU 保护仅用在PortFast模式。它被网络设计者用来加强STP域边界。从而保持与其的活动拓扑。在启用STP PortFast端口之后的设备被禁止影响STP拓扑。对于配置了portfast特性的接口,它不应当接收到BPDU,如果配置了PortFast特性 的接口接收了BPDU,那就表示了无效的配置,可能就会产生桥接环路,通过配置BPDU保护后,配置了PortFast的端口如果收到BPDU将会把端口 状态调整到Err-Disable.如下是一个信息:
2000 May 12 15:13:32 %SPANTREE-2-RX_PORTFAST:Received BPDU on PortFast enable port. Disabling 2/1
2000 May 12 15:13:32 %PAGP-5-PORTFROMSTP:Port 2/1 left bridge port 2/1
如 下图所示,A的优先级为8192,为该vlan的根桥,B的优先级为16384,为备份根桥,B和A之间的链路为Gbit/s链路,C是一个接入交换机, 并在连接到设备D得端口上设置了PortFast.其他的STP参数都是默认值,网桥C上连接到网桥B得端口处于STP阻塞状态。设备D(PC)不参与 STP。正确的BPDU流向,如下左图
   如果D为一台基于Linux的软件网桥,可以发送BPDU报文,并将自身BID的优先级设置为0,此时,D将成为根桥,故BPDU流向变为右图, A,B间的Gbit/s链路被阻塞,通过C走100Mbit/s链路。此时会超负载出现丢包的情况, BPDU保护的目的就是基于这种情况,防止接入设备对整个网络拓扑的影响。
   配置过程:
     方法一:全局配置模式
1) 全局配置模式 configure terminal
2) 配置BPDU保护
     (config)#spanning-tree portfast bdpuguard default
3) 进入接口模式 interface 接口
4) 接口使能portfast,BPDU保护才能启用
     (config-if)#spanning-tree portfast
方法二:接口模式
1) 接口模式下 interface 接口
2) 使能BPDU保护
    (config-if)#spanning-tree bpduguard enable
   验证过程:
    show running-configure

BPDU过滤(BPDU Filtering)
通 过使用BPDU过滤功能,将能够防止交换机在启用了PortFast特性的接口上发送BPDU。对于配置了PortFast特性的端口,它通常连接到主机 设备,因为主机不需要参与STP,所有它将丢弃所接收到的BPDU。通过使用BPDU过滤功能,将能够防止向主机设备发送不必要的BPDU。
   交换机支持以每个端口或者整个交换机配置BPDU过滤。
   如果全局配置了BPDU过滤功能,但当某个端口接收到了任何的BPDU,那么交换机将把接口更改回正常的STP操作,也就是它将禁用PortFast和BPDU过滤特性。
   如果在接口上明确配置了BPDU过滤功能,那么交换机将不发送任何的BPDU,并且将把接收到的所有BPDU都丢弃。
   注意,如果在链接到其他交换机的端口上配置了BPDU过滤,那么就有可能导致桥接环路,所以在部署BPDU过滤时要格外小心,一般我们不推荐使用BPDU过滤。
   如果在与启用了BPDU过滤的相同接口上配置了BPDU保护,因为BPDU过滤的优先级高于BPDU保护,所以BPDU保护将不起作用。
配置过程:
     方法一:全局配置模式
1) 全局配置模式 configure terminal
2) 配置BPDU保护
    (config)#spanning-tree portfast bdpufilter default
3) 进入接口模式 interface 接口
4) 接口使能portfast,BPDU保护才能启用
    (config-if)#spanning-tree portfast
方法二:接口模式
1) 接口模式下 interface 接口
2) 使能BPDU保护
    (config-if)#spanning-tree bpduguard enable
   验证过程:
    show running-configure

根保护
传统的802.1D STP没有给网络管理员提供确保交换式第2层网络拓扑安全。如下图,当新接入的
交换机优先级更低,将抢占原有的根网桥。
根保护的目的是确保启用了根保护的端口成为指定端口。通常一个根桥的所有端口均为指定端口。
除非连接到两个或多根网桥的端口。如果网桥在启用根保护的端口上收到一个较好的 STP BPDU。这个
端口进入STP的根不一致状态, 不会有流量通过该端口。
   如下拓扑:
   A 和 B 为分布层 SW,C 为接入层 SW,根为 A。当在 C 下面再接一台 SW时,由于D的优先级或MAC地址可能比其它要低,可能会使D成为Root SW,从而使得从A 到达B的流量不能直接发送到B,而得使用C来转发,这样很不合理(A 和 B 之间为千兆)。为了避免这种情况,可以在C的下联端口上使用Root Guard,以防止该端口成为Root Port,从而防止D成为Root SW,确保A永远为 Root SW。使用Root Guard 后,SW D接入网络后,C的下联D的端口会收到一个更新的BPDU(前提是D的优先级最高)后,C将该端口转为Block状态,直到D不在发送新的BPDU或更改 D的优先级。
当一个根保护端口阻塞一个端口时,控制台将会显示如下消息:
%SPANTREE-2-ROOTGUARDBLOCK: Port 1/1 tried to become non-designated in VLAN 77. Moved to root-inconsistent state
   注意,在一个端口上起用了根保护,会作用于该端口所属的所有VLAN。不要再一个起用了UplinkFast特性的端口上启用根保护。游乐 UplinkFast,在出现故障时备份端口(处于阻塞状态)会代替根端口。但是,如果也启用了根保护,所有使用UplinkFast特性的备份端口将被 置于根不一致(阻塞)状态,使其无法进入转发状态。
    配置过程:
1) 进入接口模式 interface 接口
2) 启用根保护
    spanning-tree guard root
3) 验证过程
    show running-config interface 接口
    show spanning-tree inconsistentports
显示端口不一致(阻塞)状态的信息

环路保护
换路保护能够对第2层转发环路(STP环路)提供额外的保护。当冗余拓扑中的STP阻塞端口错误地过渡到转发状态的时候,就将发生桥接环路。
如 下图:交换机A是根交换机。因为交换机B和C之间的链路发生单向链路失效,交换机不能从交换机B接收BPDU。如果没有启用环路保护特性,那么交换机C在 最大寿命计时器到期之后,交换机C上的STP阻塞端口将转换到STP监听状态,并最终会在两倍的转发延迟时间之后转换到转发状态。当交换机C的源阻塞端口 进入到转发状态的时候,交换机B的源指定端口还处于转发状态,这个拓扑中没有阻塞端口,而产生了环路。
如果启用了环路保护特性之后,当最大寿命计时器到器之后,交换机C上的阻塞端口将过渡到“不一致环路”状态,如下图,如果端口处于“不一致环路”状态,它就不能传递任何数据流量,因此,网络也就不能产生桥接环路。“不一致环路”状态等效于阻塞状态。
在 非指定端口上使用 Loop Guard。防止环路产生。避免上于处于 Block 端口的 SW 在Max_age 时间内接收不到对方(邻居)的 BPDU 而将端口状态转为 Listen->Learning->Forward 状态。使用Loop Guard 后,等接收不到对方的BPDU消息后,将端口Block状态转为Loop-inconsistent(环路不一致)状态,从而避免产生环路。
如果使用Loop Guard,那么Root Guard将会被关闭。两者不能同时启用
配置过程:
     方法一:全局配置模式
1) 全局配置模式 configure terminal
2) 配置环路保护
    (config)#spanning-tree portfast loopguard default
方法二:接口模式
1) 接口模式下 interface 接口
2) 使能环路保护
    (config-if)#spanning-tree guard loop
   验证过程:
show running-configure
show spanning-tree active
show spanning-tree interface 接口 detail
——————————————————————-
Port 23 (FastEthernet0/23) of VLAN0001 is forwarding
   Port path cost 19, Port priority 128, Port Identifier 128.23.
   Designated root has priority 32769, address 000b.5f2c.2080
   Designated bridge has priority 32769, address 000b.5f2c.2080
   Designated port id is 128.23, designated path cost 0
   Timers: message age 0, forward delay 0, hold 0
   Number of transitions to forwarding state: 1
   Link type is point-to-point by default
   Loop guard is enabled on the port
   BPDU: sent 2709, received 5

网络广播风暴危害大如何预防排除?

No Comments CISCO

广播风暴指过多的广播包消耗了大量的网络带宽,导致正常的数据包无法正常在网络中传送,通常指一个广播包引起了多个的响应,而每个响应又引起了多个得响应,就像滚雪球一样,把网络的所有带宽都消耗殆尽。该现象通常是由于网络环路、故障网卡、病毒等引起的。

一、 广播风暴:提前预防(以CISCO catalyst switch为例)

1、首先使用网管分析你网络的baseline,这样可以明确你的网络当中正常情况下的广播包比例是多少。

2、目前绝大多数交换机都支持广播风暴抑制特性,配置了这个特性以后,你可以控制每个端口的广播包维持在特定的比例之下,这样可以保留带宽给必须的应用。

配置:(以CISCO catalyst switch为例)

Int XX
  storm-control broadcast level 20.00

switch#sh storm

Interface  Filter State   Level    Current
  ———   ————-   ——-     ——-
  Fa1/0/1    Forwarding  20.00%    0.00%

3、针对缺省STP配置无法排除的网络环路问题,利用STP的BPDUguard特性来预防广播风暴。此种

    环路情况示意图如下:
    Switch启用了STP,而hub则被人有意无意的用一根网线联起来,导致引起了环路。SWITCH的端口不会收到其他交换机或本交换机其他端口的BPDU,不会引起该端口的STP决策过程,也就不可能blocking该端口,这样就会引起广播风暴。我们可以利用CISCO STP的BPDUguard特性来预防这一点。

int xxx

spanning-tree bpduguard enable

***值得注意的是bpduguard可以在全局下配置,也可以在每端口的基础上配置。如果在全局下配置,则只对配置了portfast的端口起作用,如果在端口下配置,则不用配置portfast

二、 广播风暴排障大法(以CISCO catalyst switch为例)

如果网络中已经产生了网络风暴(现象通常为网络丢包、响应迟缓、时断时通等),则可以利用如下的方法来排障:

1、 首先确认是否是网络风暴或其他异常流量引起的网络异常,在核心交换机上

Switch>sh proc cpu | e 0.00
  CPU utilization for five seconds: 19%/0%; one minute: 19%; five minutes: 19%
  PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process
  15    20170516  76615501        263  0.31%  0.13%  0.12%   0 ARP Input
  26   7383266801839439482        401  5.03%  4.70%  5.08%   0 Cat4k Mgmt HiPri
  27   8870781921122570949        790  5.67%  7.50%  6.81%   0 Cat4k Mgmt LoPri
  43   730060152 341404109       2138  6.15%  5.29%  5.28%   0 Spanning Tree
  50    59141788 401057972        147  0.47%  0.37%  0.39%   0 IP Input
  56     2832760   3795155        746  0.07%  0.03%  0.01%   0 Adj Manager
  58     4525900  28130423        160  0.31%  0.25%  0.18%   0 CEF process
  96    20789148 344043382         60  0.23%  0.09%  0.08%   0 Standby (HSRP)
  如果交换机的CPU利用率较高,且大部分的资源都被“IP Input”进程占用,则基本可以确定网络中有大流量的数据

2、 查找异常流量是从交换机的那一个端口来的:

switch #sh int | i protocol|rate|broadcasts
  FastEthernet1/0/1 is up, line protocol is up (connected)
  Queueing strategy: fifo
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 2000 bits/sec, 3 packets/sec
  Received 241676 broadcasts (0 multicast)
  如果找到一个端口的input rate非常高,且接收到的广播包也非常多,则基本可以找到来源,如果该端口下联的也是可管理的交换机,则再次执行此过程,直到找到一个连接PC或者HUB的端口

3、 shutdown该端口

int xx
  shutdown

4、 查找产生异常流量的根源

如果是HUB环路,则拆掉环;如果是病毒,则做杀毒处理;如果是网卡异常,则更换网卡。此部分不详述。

5、 确认交换机的CEF功能是否启用,如果没有,则需要启用,可以加速流量的转发

switch>sh ip cef
  配置CEF:
  全局模式下输入
  ip cef

3750 配策略路由PBR

No Comments CISCO

sdm prefer extended-match
sdm prefer routing extended-match

sw(config)#sdm prefer extended-match
sw(config)#end
sw#write
sw#reload

CISCO3750#sh sdm pr
CISCO3750#sh sdm prefer
The current template is “desktop routing” template.
The selected template optimizes the resources in
the switch to support this level of features for
8 routed interfaces and 1024 VLANs.

  number of unicast mac addresses:                  3K
  number of IPv4 IGMP groups + multicast routes:    1K
  number of IPv4 unicast routes:                    11K
    number of directly-connected IPv4 hosts:        3K
    number of indirect IPv4 routes:                 8K
  number of IPv4 policy based routing aces:         0.5K
  number of IPv4/MAC qos aces:                      0.5K
  number of IPv4/MAC security aces:                 1K
CISCO3750#

路由器上 过滤 mac地址的流量?

No Comments CISCO

如何在路由器上设置过滤掉某个特定mac地址的流量?
  当针对一个MAC地址进行过滤的时候,这一动作发生在第二层。而路由器一般执行的是第三层路由的任务,只有很少情况下做桥接的时候才对进入的MAC地址进行过滤,所以这样的过滤最好设置在二层交换设备上。
  但这个要求对路由器来说也不是不可能的任务,使用以下配置达到要求的效果:
  ip cef//Rate-limit 需要cef的支持,路由器可能默认未启用cef
  interface Ethernet0/0
  ip address 192.168.1.254 255.255.255.0
  rate-limit input access-group rate-limit 100 8000 1500 2000 conform-action drop exceed-action drop
  //如果源MAC地址为指定值则丢弃(其他的都允许)
  access-list rate-limit 100 0001.0001.abcd//要限制的MAC地址
  这时候要注意,目标工作站到达该路由器之前不能经过其他三层设备,否则MAC地址会被改掉。
如果路由器是Cisco 1720, 不支持CEF,怎么办?
  Cisco 1720路由器能够支持CEF, 但要求是12.0(3)T以上IP PLUS版本的软件,12.2(11)YV 起标准IP版软件也可以支持CEF。如果路由器目前IOS软件版本不够,需要升级。
  也可以使用桥接(IRB)的方法来解决,这种方法只需要12.0(2)T 以上标准IP版软件即可。配置如下:
  bridge irb//启用IRB支持
  interface Ethernet0/0
  no ip address//路由做到逻辑端口BVI 1上
  bridge-group 1//加入桥接组1
  !
  interface BVI1
  ip address 192.168.1.254 255.255.255.0//为桥接组1提供路由
  !
  bridge 1 protocol ieee//运行生成树协议防止环路
  bridge 1 route ip//路由IP流量
  bridge 1 address 0001.0001.abcd discard//丢弃来着于MAC地址0001.0001.abcd的数据包

路由器 %IP_VFR-4-FRAG_TABLE_OVERFLOW: GigabitEthernet0/1: the fragment table has

No Comments CISCO

Mar  7 13:34:50.431: %IP_VFR-4-FRAG_TABLE_OVERFLOW: GigabitEthernet0/1: the fragment table has reached its maximum threshold 16
Mar  7 13:45:38.405: %IP_VFR-4-FRAG_TABLE_OVERFLOW: GigabitEthernet0/1: the fragment table has reached its maximum threshold 16

1. 在端口提高包重组能力:

int X

ip virtual-reassembly max-reassemblies 1024

2. 在端口加acl拦截攻击包:

int X

ip access-group 120 in

ip access-group 120 out

access-list 120

    deny ip any any fragments
     permit ip any any

从此cpu利用率恢复正常,网速也得到恢复

解决不允许一个用户使用一个以上用户名与一个服务器或共享资源的多重连接用

No Comments 网络技术

解决不允许一个用户使用一个以上用户名与一个服务器或共享资源的多重连接用net use命令可以查看你当前与网络资源的连接,例如驱动器映射、IPC连接。使用该命令后,应该可以看到本机和哪些服务器或共享资源有资源连接。
把你现在要访问的共享资源的连接断掉:如

C:\Users\>net use
会记录新的网络连接。

状态       本地        远程                      网络

——————————————————————————-
OK                     Windows Network
OK                         Microsoft Windows Network
OK                         Microsoft Windows Network
命令成功完成。

重新连接就可以了;或者用“net use * /del /y”命令中断开所有连接。
查看net use 命令的使用帮助:> net use /?