CCNP听课笔记10-阿里云开发者社区

CCNP听课笔记10

2017-11-28 1173

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介：

BOOTP,CDP,FTP,TFTP,NETP,PAD,TCP/UDP

SNMP,HTTP,DNS

ICMP

ARP

NTP 网络时间服务器

Service tcp-small-servers

Service udp-small-servers

TCP 的 ping 其实就是 telnet ，哈哈

测试 echo ，输入一个字符会显示 2 个

Telnet 12.1.1.1 daytime 可以回显时间，后面可以跟很多功能

关闭面向用户的端口的 CDP

将面向用户的端口设置为被动端口

Tftp-server flash:

Service timestamps log datetime localtime

Logging buffered

网管工具

Cisco work

Open view

No ip redirects 关闭 ICMP 重定向

傻瓜安全 Auto secret

IP 原路由，我们在发送数据的时候就指定路由

No ip souce-route

No ip unreachable

Switchport port-security mac-add 0030.80f1.d6c2

Switchport port-security violation

Protect 再发送的数据会被丢掉

Restrict 限制，可以接续工作，但是会发送报警消息

Shutdown 违反了直接就 shutdown 了

Errdisable recovery interval 全局定义恢复时间单位为秒

Err-disable 要想恢复要先 shutdown 然后再 no shutdown

Sw port-security mac-address sticky 粘性动态学到的东西，会将学到的 Mac 地址进行保存

Show port-security

802.1x 基于端口的认证

Aaa new-model

Aaa authentication dot1x default group tacacs+

Dot1x system-auth-control

Tacacs-server host 192.168.1.10

Int

Dot1x port-control auto

交换机端口默认状态

Switchport mode dynamic desirable

可能协商好 Trunk

解决方法

修改模式为 access

划分到一个 vlan 里面

PVLAN 端口隔离给 Vlan 划分子层

Vlan100 主 Vlan

Vlan 101 子 Vlan

Vlan 102

Vlan 103

Promiscuous 混杂接口

ISOLATed 独立口

Community 团体接口

Private-vlan primary

交换机支持的 acl

RACL

VACL

PACL 基于端口（ mac ）

Ac 1 permit 192.168.1.0 0.0.0.255

Vlan access-map xixi

Match ip address 1

Action drop

Action forwarding

Vlan filterxixi vlan-list

Vlan 100

Private-vlan primary

Vlan 200

private-vlan community

Vlan300

Private-vlan isolated

Vlan 100

Private-vlan association 200,300 关联 Vlan

Int f0/1

Switchport mode private-vlan host

Switchport mode private-vlan host-association 100 200

Int f0/2

Switchport mode private-vlan host

Switchport mode private-vlan host-association 100 300

保护欺骗攻击

DHCP 欺骗攻击 DHCP Spoof Attacks

DHCP Snooping

Ip dhcp snooping

Ip dhcp snooping Vlan 500

只有信任口才能收到 DHCP 服务器返回的信息

IP 的源防护（端口绑定）

Ip verify source port-security

Ip source binding 00c0.83hf.1234 vlan 100 192.168.100.1 interface f0/4

ARP 攻击

Ip arp inspection trust

Ip arp insection limit rate 20 限制每秒接收的 arp 包

Ip arp inspection vlan 500

Spanning-tree bpduguard

Spanning-tree guard root

汇聚层连接入层

接入层连用户要配

本文转自 Jhuster 51CTO博客，原文链接：http://blog.51cto.com/xwnet/171811，如需转载请自行联系原作者

CCNP听课笔记10

热门文章

最新文章

相关课程

相关电子书

相关实验场景

热门

活动广场

任务中心

开发者评测

高校计划

乘风者计划

训练营

阿里云MVP

话题

直播

下载

镜像站

技术资料

插件

CCNP听课笔记10

热门文章

最新文章

相关课程

相关电子书

相关实验场景