CCIE安全Lab实战(2005)学习记录

本文涉及的产品
云防火墙,500元 1000GB
简介:

一.资料来源:

现在CCIE Security lab都V4了,但是没有在网上找到相关的书籍,只能看看V3的了,老实说人邮翻译的并不是很好,可是没有找到相应的英文版可供下载,只能凑合着看了。

A.PDF书

http://file1.51cto.com/?mod=getCode&n=6055rB+G69I9PUJvRigTCTGq5NUL+bJurA06Su1iViIzjYVNnLVzbkaMTQCRpHrkL2R4E1bkz+EVGqi+cpLbV3afiT04Uskh2Az3LBeSkkFwHRODio4dMudgpRGexrLGFczCxMxVAJDHG2H++tDWmLv5SbXVwE4aBUUKAlJ0eQ

B.附的光盘

http://static.ishare.down.sina.com.cn/12842876.7z?ssig=uUI0pdcgPj&Expires=1365091200&KID=sina,ishare&ip=1364952020,218.88.5.&fn=CCIE%E5%AE%89%E5%85%A8Lab%E5%AE%9E%E6%88%98.7z

二.问题疑惑:

A.LAB1

LAB1的英文版:http://www.ciscopress.com/articles/article.asp?p=169684

1.R1冗余管理Switch

题目要求R4,R5,R1都能管理交换机10.10.45.45,并且配置冗余,防止R1和R4之间的链路出现问题时,R1仍能管理交换机,查看R1的配置根本就没有去往交换机管理地址的路由,只是在交换机上配置了两条metric值不同的默认路由,这样根本就无法满足题目的要求。

我的理解:

①在switch上两条静态路由

ip route 10.50.13.80 255.255.255.240 10.10.45.4
ip route 10.50.13.128 255.255.255.240 10.10.45.5

②在R1上也配置两条静态路由,metric值不同,并且配置track

track 1 interface Ethernet0/2 line-protocol
track 2 interface Ethernet0/3 line-protocol

ip route 10.10.45.0 255.255.255.0 10.50.13.84 track 1
ip route 10.10.45.0 255.255.255.0 10.50.13.135 100 track 2

2.BGP的next-hop-self

①从EBGP学到的学到的路由,如果不改变下一跳为self,则会导致内部IBGP无法学到外部路由,因为正常情况下外部的地址内部是无法到达的

②next-hop-self只是更改把从EBGP学到的路由在告诉IBGP peer时把下一跳修改成自己的地址,而不会去从IBGP学到的路由的下一跳,即A-B-C同为AS 1路由器,AB建立邻居,BC建立邻居,B为路由反射器,B从C学到的路由,告诉给A时,不会更改下一跳地址

③下面是附带光盘中内容,*>i122.122.122.0/24 10.50.13.129 这个明显是R2(IBGP peer)的地址,下一跳地址为R1的地址,应该不对(难道以前的IOS版本是这样?)

r5#show ip bgp 
BGP table version is 255, local router ID is 5.5.5.5
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop          Metric LocPrf Weight Path
*>i16.16.16.0/24    10.50.13.129                100      0 3 i
*>i111.111.111.0/24 10.50.13.129           0    100      0 i
*>i122.122.122.0/24 10.50.13.129           0    100      0 i
*> 144.144.144.0/24 10.10.45.4             0             0 2 i
*>i166.166.166.0/24 10.50.13.129                100      0 3 i
下面是实际测试的结果(我的接口地址如与书中接口地址不同,我的接口地址尾数都为路由器的编号)

R5#show ip bgp
BGP table version is 7, local router ID is 5.5.5.5
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
              r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete

   Network          Next Hop            Metric LocPrf Weight Path
*>i16.16.16.0/24    10.50.13.131             0    100      0 3 i
*>i111.111.111.0/24 10.50.13.131             0    100      0 i
* i122.122.122.0/24 10.50.13.42              0    100      0 i
*> 144.144.144.0/24 10.10.45.4               0             0 2 i
*>i166.166.166.0/24 10.50.13.131             0    100      0 3 i

---对于R5无法到达10.50.13.42,是因为R1与R5接口地址为27位掩码,与10.50.13.42的28为掩码不一致,导致RIPV1无法将这个路由告诉给R5。

---可以通过在R1的BGP中宣告net 10.50.13.32 mask 255.255.255.240来解决,但是这样又会导致R3和R4也能通过eBGP学到该内部路由

---另外一个解决方式就是:R1关闭bgp的同步, 因为R2的ospf运用default-information originate always命令生成一条默认路由,这条默认路由可以通过R1把ospf路由重分布到ripv1,使得R5也有一条默认路由。

3.拗口的英语,更差劲的翻译

Advertise loopback2 on R1 in BGP and RIPv1. Advertise loopback1 in RIPv1 only.

---这句英语比较拗口,翻译更是差劲,让人难以理解:在R1上通告loopback2到BGP和RIPV1中。在R1上仅将loopback2通告到RIPV1。

---觉得这样翻译更合适些:在R1上把loopback2同时通告到BGP和RIPV1中,但loopback1只通告到RIPV1中。或者:在R1上通告loopback2到BGP和RIPV1中。在R1上将loopback1仅通告到RIPV1中。

4.BGP是否配置synchronization与管理距离是没有关系的
文中如下描述是不对的,不管是否在R4上配置bgp的synchronization,如果不调整Distance for routes external to the AS大于110,都会出现add 111.111.111.0/24 via 10.10.45.5, bgp metric [20/0]

2.5.4: BGP and RIP

NOTE

You will not notice this problem if you have BGP "synchronization" enabled on R4; do "no sync" on R4 BGP and you will run into this problem.

三.总结:

A.LAB1

1.BGP穿越防火墙,防火墙配置NAT

题目只要求IGP需要加密,却错误的认为BGP也需要加密,经过测试BGP穿越防火墙,防火墙配置NAT,即使用router-map保留 TCP19选项、关闭随机序列号,邻居也无法建立,原因是tcp散列用到了IP地址,而经过NAT后IP地址发生了改变,所以会导致 Invalid MD5 digest 报错。

知道原因后才能有对应的方法解决:保留IP地址不变。

保留地址不变有两种:一种防火墙就根本不配置NAT,还有一种用NAT免除或配置静态NAT,NAT前后地址都是内部实际地址,当然这种还需要结合路由配置,因为没有去往内部BGP邻居的路由肯定也不行。

2.BGP对等体只是建立一个TCP连接

经过测试两个BGP对等体只建立一个TCP连接,即如果R6连接R3的TCP 179端口,反过来不会同时建立,对等体之间谁的syn包先到达对方,完成TCP握手,那就谁连对方的TCP179端口,因此如下描述就比较容易理解,需要添加访问控制:

 

Ensure that eBGP connection state on R6 shows local port as 179 always.

 

R6#show tcp brief 
TCB       Local Address           Foreign Address        (state)
6511ED80  10.10.6.6.179           10.50.31.3.62900       ESTAB

3.BGP路由反射器

BGP的路由反射器目的是为了避免IBGP全网互联,测试中发现:RR会将其从RR client学到的bgp路由传递给它所有的IBGP peer,即使对方不是RR client。

4.BGP路由重分布如何设置为BGP内部路由

直接把原文抄下来,说的很清楚:

Advertise loopback1 using the network command on R6. You are restricted to use the network command to advertise loopback2; you will need to redistribute connected in BGP. Create an access list and a route map to redistribute loopback2 only. After doing so, do a show ip bgp on R6 and you will find that the origin-code for loopback2 is incomplete, denoted by a ?, because it has been redistributed and BGP hasn't learned this internally. To change the origin-code to denote i, use the set origin igp command in your route map:

5.BGP Backdoor
A.作用:修改EBGP学习到的路由的管理距离,由默认20修改为200(这个管理距离和I-BGP路由是一样的),从而允许IGP的路由在路由表中更具有优先级。
B.作用范围,本路由器有效

6.RIPV1的路由更新

RIP v1的路由更新的子网掩码与接收和发送路由更新的接口的子网掩码有关系:
A.如果与接口是相同主网的,就用接口的掩码
B.如果与接口不是在相同主网,则采用主类网络的默认掩码
C.如果接口的secondary的IP与接口IP属于相同主网,则采用接口IP的掩码

例子中为了能把R3的环回地址10.50.13.97/28所在网络通过R1用RIPV1传给R5,同时禁止使用汇总即使,采用了一个小花招,在R1上将 一个环回接口的地址配置为10.50.13.98/27,通过这种方式相当于把直连10.50.13.96/27网段告诉给了R5.

7.RIP的路由更新和passive-interface
A.RIP的passive-interface只能阻止接口发送路由更新,不能阻止接口接收路由更新
B.passive-interface和neighbor一起使用,可以使路由器只使用单播方式与neighbor发送路由更新(假定对方路由器在passive-interface所在的接口)
C.如果想限定接收恶意的rip路由更新,只能通过认证(RIPV2才支持)或distribute-list类进行
8.水平分割ip split-horizon
除了帧中继或者SMDS封装的接口外的所有接口默认都是启用水平分割功能的。对于采用帧中继或者SMDS(交换式多兆位数据服务)封装的接口,默认是禁止水平分割的。对于采用所有类型X.25协议封装的接口都是默认禁止水平分割功能的。





本文转自 碧云天 51CTO博客,原文链接:http://blog.51cto.com/333234/1169832,如需转载请自行联系原作者

相关文章
|
4月前
|
开发工具 数据库 git
通俗易懂!看漫画学Python入门教程(全彩版)Git首发破万Star
很多编程语言书读起来都略显晦涩,让不少读者望而却步,很难坚持读完。关老师的新书另辟蹊径,以漫画形式切入,生动有趣,把复杂的技术点和编程知识讲解得通俗易懂真正体现了一图胜干言的道理。而且每章结束时都有“练一练”环节,能够帮助读者夯实基础、锻炼技能。不得不说,这是一本Python入门和进阶佳作。
|
4月前
|
SQL 安全 测试技术
Sqli-lab教程-史上最全详解(1-22通关)_sqlilabs
Sqli-lab教程-史上最全详解(1-22通关)_sqlilabs
|
4月前
|
安全 测试技术 数据库
Sqli-lab教程-史上最全详解(1-22通关)_sqlilabs(1)
Sqli-lab教程-史上最全详解(1-22通关)_sqlilabs(1)
|
4月前
|
应用服务中间件 Apache 开发工具
【斯坦福计网CS144项目】环境配置 & Lab0: ByteStream
【斯坦福计网CS144项目】环境配置 & Lab0: ByteStream
147 0
|
9月前
|
SQL 安全 Java
阿里大牛1个月肝出一份35万字Security实战笔记,GitHub标星47k+
很多时候,一个系统的安全性完全取决于系统开发人员的安全意识。例如,在我们从未听过SQL注入时,如何意识到要对SQL注入做防护?关于Web系统安全的攻击方式非常多,诸如XSS、CSRF等,未来还会暴露出更多的攻击方式,我们只有在充分了解其攻击原理后,才能提出完善而有效的防护策略。在笔者看来,学习Spring Security并非局限于降低Java应用的安全开发成本,通过Spring Security了解常见的安全攻击手段以及对应的防护方法也尤为重要,这些是脱离具体开发语言而存在的。
阿里大牛1个月肝出一份35万字Security实战笔记,GitHub标星47k+
|
消息中间件 运维 算法
金鱼哥RHCA回忆录:CL210OpenStack操作的故障排除--章节实验
第九章 OpenStack操作的故障排除--章节实验
580 2
金鱼哥RHCA回忆录:CL210OpenStack操作的故障排除--章节实验
|
运维 网络协议 测试技术
金鱼哥RHCA回忆录:CL210管理OPENSTACK网络--网络配置选项+章节实验
第六章 管理OPENSTACK网络--网络配置选项+章节实验
540 1
金鱼哥RHCA回忆录:CL210管理OPENSTACK网络--网络配置选项+章节实验
|
JSON 运维 负载均衡
金鱼哥RHCA回忆录:DO280OpenShift网络--创建router练习与章节实验
第三章 OpenShift网络--创建router练习与章节实验
206 0
金鱼哥RHCA回忆录:DO280OpenShift网络--创建router练习与章节实验
|
运维 关系型数据库 Linux
金鱼哥RHCA回忆录:DO280OpenShift命令及故障排查--常见故障排除和章节实验
第四章 OpenShift命令及故障排查--常见故障排除和章节实验
372 0
金鱼哥RHCA回忆录:DO280OpenShift命令及故障排查--常见故障排除和章节实验
|
JSON 运维 安全
金鱼哥RHCA回忆录:DO280OpenShift网络--创建router
第三章 OpenShift网络--创建router
400 0
金鱼哥RHCA回忆录:DO280OpenShift网络--创建router