系列交换机硬件过滤器禁止
华为认证ICT专家HCIE考试(习题卷12)
华为认证ICT专家HCIE考试(习题卷12)第1部分:单项选择题,共51题,每题只有一个正确答案,多选或少选均不得分。
1.[单选题]如果你是一个公司的网络工程师,你想使两台跨越防火墙的路由器形成EBGP邻居关系。
在你的网络中,防火墙在开始的时候一直是允许TCP会话的(该网络连接防火墙的内部接口)为了使网络中能正常运行 BGP,需要做什么样的准备工作?A)该网络中需要配置 EBGP Multi-hopB)只是正常的BGP邻居,不需要在路由器或者防火墙上做任何其他的操作C)防火墙必须开启 BGP协议端口号D)不可能使 BGP 会话穿越防火墙答案:A解析:2.[单选题]VPC的网络安全隔离功能不依赖于如下哪种技术实现?A)硬件防火墙B)软件防火墙C)交换机D)弹性IP答案:D解析:3.[单选题]如下图所示,R2 将会学习到哪些路由?A)R2 可以学习到 R1 的所有路由B)R2 可以学习到 10.1.1.0/24 这一条路由。
C)R2 可以学习 10.1.2.0/24 和 10.1.3.0/24 这两条路由。
D)R2 可以收到 R1 的 LSP,但是无法加入到路由表。
答案:A解析:4.[单选题]关于 NSR 和 NSF 的区别,正确的是?A)NSR 和 NSF 都需要邻居路由器才能完成B)NSF 必须依靠邻居路由器才能完成C)NSF 不需要邻居路由器即可完成D)NSR 必须依靠邻居路由器才能完成答案:B解析:5.[单选题]RDS不可以进行以下哪项操作)。
A)创建数据库B)交更规格C)修改端口D)部署web服务答案:D解析:6.[单选题]在桌面云维护过程中,运维工程师需要根据业务需要,定期对基础架构虚拟机进行重启,确保系统的长期稳定运行,以下关于定期重启基础架构虚拟机对系统的影响描述错误的是哪项?A)桌面接入业务经过网关场景下,重启主或备VAG/VLB节点虚拟机不影响已接入的用户使用B)桌面接入业务不经过网关场景下,重启主VAG/VLB节点虚拟机不影响已接入的用户使用。
与过滤器相关的标准
3.TELCORDIA GR-487-CORE
■ R3-38[38]Screened areas shall inhibit the entrance of water.
■ 筛网应该阻挡风雨侵袭 ■ R3-39[39]The cabinet shall effectively drain
moisture which may enter through screens or other means. ■ 机柜能够高效的排出从筛网或者其它地方进来的湿气 ■ Drain holes or openings in the cabinet shall be resistant to clogging and minimize the entrance of dust and insects. ■ 机柜里的排气孔或者开口须能抗堵塞和尽量减少入口处 的灰尘和昆虫。 ■ (See R3-138 and Section 3.28, Water and Dust Intrusion.) ■ (见R3-138和3.28,水和沙尘入侵。)
空气过滤器应用领域汇总
H3C S5500-EI系列以太网交换机操作手册
H3C交换机面板介绍
iH3Biblioteka S3600 系列以太网交换机 安装手册
目录
2.2.3 抗干扰要求 .............................................................................................................. 2-2 2.2.4 激光使用安全........................................................................................................... 2-3 2.3 安装工具............................................................................................................................. 2-3
交换机基础安全功能原理与应用
trust
untrust
DHCP Snooping功能配置
*
Ruijie(config)#ip dhcp snooping
01
开启DHCP snooping功能
03
Ruijie(config-FastEthernet 0/1)#ip dhcp snooping suppression
IP绑定
主机符合被绑定的IP才能合法接入网络
IP+MAC+VLAN绑定
主机符合被绑定的IP+MAC+VLAN才能合法介入网络
端口安全应用场景(例)
*
Ruijie(config-FastEthernet 0/1)#switchport port-security maximum 1
交换机一个端口最大只能接入1台主机
措施
使用中/强密码 源地址限制 使用安全管理协议
使用中强密码
*
密码位数尽量保证在6位以上 不要使用纯数字 不要使用ruijie、admin、star、123456类似的密码
概述
弱密码:aabbcc、567890 中等强度密码:ruijie345 高等强度密码:Ruijie#876
密码强度举例
源地址限制
protected
protected
SW1
SW2
全局地址绑定
*
概述 在交换机中绑定接入主机的IP+MAC地址 只有被绑定的IP+MAC地址才能接入网络 应用场景
绑定:
1.1.1.1
×
√
×
全局地址绑定配置
*
Ruijie(config)#address-bind 1.1.1.1 001a.a900.0001
交换机出现err-disable的原因及解决方法
交换机出现err-disable的原因及解决方法导致交换机接口出现err-disable的几个常见原因:引用1. EtherChannel misconfiguration2. Duplex mismatch3. BPDU port guard4. UDLD5. Link-flap error6. Loopback error7. Port security violation第一个当F EC两端配置不匹配的时候就会出现err-disable。
假设Switch A 把FEC模式配置为on,这时Switch A是不会发送PAgP包和相连的Switch B去协商FEC的,它假设Switch B已经配置好FEC了。
但实事上Swtich B并没有配置FEC,当Switch B的这个状态超过1分钟后,Switch A的STP就认为有环路出现,因此也就出现了err-disable。
解决办法就是把FEC的模式配置为channel-group 1 mode desirable non-silent这个意思是只有当双方的FEC协商成功后才建立channel,否则接口还处于正常状态。
第二个原因就是双工不匹配。
一端配置为half-duplex后,他会检测对端是否在传输数据,只有对端停止传输数据,他才会发送类似于ack的包来让链路up,但对端却配置成了full-duplex,他才不管链路是否是空闲的,他只会不停的发送让链路up的请求,这样下去,链路状态就变成err-disable了。
三、第三个原因BPDU,也就是和portfast和BPDU guard有关。
如果一个接口配置了portfast,那也就是说这个接口应该和一个pc连接,pc是不会发送spanning-tree的BPDU帧的,因此这个口也接收BPDU来生成spanning-tree,管理员也是出于好心在同一接口上配置了BPDU guard来防止未知的BPDU帧以增强安全性,但他恰恰不小心把一个交换机接到这个同时配置了portfast和BPDU guard接口上,于是这个接口接到了BPDU帧,因为配置了BPDU guard,这个接口自然要进入到err-disable状态。
华为S2700 S3700系列交换机 01-10 路由策略配置
10路由策略配置关于本章路由策略是为了改变网络流量所经过的途径而对路由信息采用的方法。
10.1 路由策略概述随着网络的日益扩大,路由表激增导致网络负担越来越重,网络安全问题也越来越多。
为了解决上述问题,可以在路由协议发布、接收和引入路由时配置路由策略,过滤路由和改变路由属性。
10.2 设备支持的路由策略特性路由策略的配置包括配置过滤器、配置路由策略和配置路由策略生效时间。
10.3 配置过滤器路由策略过滤器包括访问控制列表、地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器。
本章介绍其中的地址前缀列表、AS路径过滤器、团体属性过滤器、扩展团体属性过滤器和RD属性过滤器的配置。
其中访问控制列表的配置请参见《S2700, S3700 系列以太网交换机配置指南-安全》中的“ACL配置”。
10.4 配置路由策略路由策略的每个节点由一组if-match子句和apply子句组成。
10.5 配置路由策略生效时间为了保障网络的稳定性,修改路由策略时需要控制路由策略的生效时间。
10.6 维护路由策略路由策略的维护包括清除地址前缀列表统计数据。
10.7 配置举例路由策略配置举例包括组网需求、组网图、配置思路和配置步骤。
10.1 路由策略概述随着网络的日益扩大,路由表激增导致网络负担越来越重,网络安全问题也越来越多。
为了解决上述问题,可以在路由协议发布、接收和引入路由时配置路由策略,过滤路由和改变路由属性。
路由策略与策略路由的区别策略路由PBR(Policy-Based Routing)与单纯依照IP报文的目的地址查找转发表进行转发不同,是一种依据制定的策略而进行路由选择的机制,可应用于安全、负载分担等目的。
路由策略与策略路由是两种不同的机制,主要区别如表10-1。
表10-1路由策略与策略路由的区别10.2 设备支持的路由策略特性路由策略的配置包括配置过滤器、配置路由策略和配置路由策略生效时间。
交换机性能指标详解
交换机性能指标详解交换机类型(机架式,固定配置式带/不带扩展槽)机架式交换机是一种插槽式的交换机,这种交换机扩展性较好,可支持不同的网络类型,如以太网、快速以太网、T•兆以太网、ATM、令牌环及FDDI等,但价格较贵。
固定配置式带扩展槽交换机是一种有固定端口数并带少呈扩展楷的交换机,这种交换机在支持固定端口类型网络的基础上,还可以支持其它类型的网络,价格居中。
固定配置式不带扩展槽交换机仅支持一种类型的网络,但价格最便宜。
机架插槽数:是指机架式交换机所能安插的最人模块数。
扩展槽数:是指固定配置式带扩展槽交换机所能安插的最人模块数。
最大可堆叠数:是指一个堆叠单元中所能堆叠的最人交换机数目。
此参数说明了一个堆叠单元中所能提供的最大端口密度。
最小/最大10M以太网端口数:是指一台交换机所支持的最小/最人10M以太网端I I数量。
最小/最大100M以太网端口数:是指一台交换机所支持的最小/最人100M以太网端I I数量。
最小/最大1000M以太网端口数:是指一台交换机所能连接的最小/最大1000M以太网端口数星。
支持的网络类型一般情况下,固定配呂式不带扩展槽交换机仅支持一种类型的网络,机架式交换机和固定配呂式带扩展槽交换机可支持一种以上类型的网络,如支持以太网、快速以太网、「•兆以太网、ATM、令牌环及FDDI 等。
一台交换机所支持的网络类型越多,其可用性、可扩展性越强。
最大ATM端口数:ATM即异步传输模式。
最大心I端口数足指一台ATM交换机或一台多服务多功能交换机所支持的最大ATM端口数呈。
最大SONET端口数SONET是Synchionous Optical Network的缩写,足一种高速同步网络规范,最大速率可达2.5 Gbps。
一台交换机的最大SONET端口数是指这台交换机的最大下联SONET接口数。
最大FDDI端口数:是指一台FDDI交换机或一台多服务多功能交换机所支持的最大FDDI端口数虽。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
使用AT-8900/9900系列交换机硬件过滤器禁止BT下载(适用)AT-8900/9900系列交换机ATC-TS1002V1.02005-11-211概述本文介绍如何使用AT-8900/9900系列交换机的硬件过滤器功能禁止BT下载。
2实施需求实现该功能有以下实施需求:AT-8900/9900系列交换机;软件版本在2.7.5以上。
3实现原理3.1 AT-8900/9900系列交换机Layer 5 ClassifierAT-8900/9900系列交换机在软件版本2.7.5以后,Classifier加入了新的参数L5BYTE,AT-8900/9900系列交换机具备了识别TCP/UDP负载的能力。
这就意味着使用AT-8900/9900识别TCP/UDP数据流将不再局限于端口号,而是可以依据TCP/UDP负载中的某些字段,我们可以利用该功能配合硬件过滤器或QOS,隔离网络攻击,识别封锁P2P应用。
新的Classifier命令如下:CREate CLASSifier=rule-id [L5BYTE01=byteoffset,bytevalue[,bytemask]][L5BYTE02=byteoffset,bytevalue[,bytemask]]…..[L5BYTE16=byteoffset,bytevalue[,bytemask]]byteoffset是一个0到37之间的十进制数,该参数指定需要匹配的字节的位置。
该位置是从TCP或UDP包头后算起的,如:TCP包头后第一个字节的byteoffset就是“0”;bytevalue是一个两位的16进制数,也就是需要匹配的byteoffset位置的具体数值;bytemask是一个两位的16进制数,是一个可选参数。
将其换为二进制数后,来表示bytevalue字段中那一位需要匹配,那一位不需要匹配,缺省值是“FF”,既全匹配。
注意:该Classifier只能匹配TCP/UDP负载数据,不能用来匹配数据包头数据,而且限制为IP数据包前80个字节内数据。
3.2 BT协议分析BT(BitTorrent)是一种架构于TCP/IP协议之上的P2P文件传输协议,与传统C/S类型协议相比,无明显的客户机/服务器概念,在用户下载的同时,用户也在上传,也就是说使用的人越多,下载越快,BT的优越性也体现在这里。
我们将使用AT-8900/9900系列交换机的Layer 5 classifier功能配合硬件过滤器,识别/封锁经过交换机的BT数据流,因此需要对BT协议的运作有必要的认识。
3.2.1 基于标准协议的BT下载一次常规的BT下载要经历如下过程:首先需要得到相应的.torrent文件,也就是种子文件,然后使用BT客户端软件进行下载。
BT客户端首先解析.torrent文件得到Tracker地址,然后连接Tracker服务器。
Tracker服务器回应下载者的请求,提供其他下载者(包括发布者)的信息列表。
下载者再据此连接其他下载者,根据.torrent文件,两者分别对方告知自己已经有的块,然后下载者之间通过直接连接进行数据的上传和下载,交换对方没有的数据。
在上述过程中,下载者和Tracker服务器的交互是通过HTTP协议完成的,而且在下载过程中,下载者需要周期性的向Tracker登记,以便Tracker能了解下载者们的进度。
下载者之间的连接是通过基于TCP的BitTorrent 对等协议完成的。
分析上述过程,要禁止这种BT下载应该可以从两个方面着手进行:1、禁止下载者和Tracker服务器之间的交互,这种禁止一般可以采取两种方法:方法一:禁止用户访问Tracker服务器。
实现这个目的,我们需要完全了解当前所有的Tracker服务器的地址,禁止用户访问这些服务器,但这是不现实的。
因为Tracker服务器是不确定的,甚至每个种子文件中的Tracker地址都不尽相同,即使能够知道当前互联网上主要的Tracker服务器地址,也不能完全保证禁止所有的Tracker服务器,只要有一个可用的Tracker服务器,BT下载者就有可能找到其他的下载者,开始下载/上传。
所以这种办法是不可行的。
方法二:分析HTTP应用层,识别出BT HTTP交互过程中某些关键字段来禁止连接Tracker服务器。
但这种关键字段是难以确定的,如使用BT客户端软件中在HTTP请求报文携带的User-Agent:BitTorrent信息来识别,但随着BT客户端软件的发展,目前主流的BT客户端软件都可以随意修改该字段信息。
还有一点需要说明的是,现在已经出现了Bittorrent udp-tracker 协议,该协议作为原来下载者和Tracker服务器使用HTTP交互的补充或者替代出现。
目前已经有很多支持udp tracker的Tracker服务器出现,主流的BT客户端软件也均支持该协议,因此只做HTTP应用分析是不够的。
所以这种方法也是不可行的。
2、禁止下载者之间直接的连接,这种禁止一般也有两种方法:方法一:依据BT使用端口来识别,禁止连接。
由于BT客户端软件均可以随意更改自己的监听端口,甚至使用随机端口,该方法是不可行的。
方法二:依据BT对等协议特征码来识别,禁止连接。
BT对等协议由一个握手消息开始,消息中首先是字符“19”,然后是字符串“BitTorrent protocol”,其中“19”是握手消息的长度。
如下图:图1握手消息中包括的这些字符串是始终不变的,而且下载者之间必须完成握手,才能开始后续信息流的交互。
因此只要能够识别这个字符串,就能够识别禁止握手信息,从而实现禁止下载者之间完成连接,也就彻底禁止了下载。
该方法是可行的。
在AT-8900/9900系列交换机中可以创建如下Classifier来匹配该数据包:create class=1 ippr=tcp l5byte01=0,13 l5byte02=1,42 l5byte03=2,69 l5byte04=3,74 l5byte05=4,543.2.2 非标准协议的BT下载禁止了上一节提到的,也就是BitTorrent协议实现的标准过程下载,就能够真的完全禁止现今各种BT客户端软件的BT下载吗?答案是否定的!我们在封堵BT下载,各种BT客户端软件也是在不断发展的,已经有了多种方法可以突破上文提到的基于对等协议握手信息特征码封堵方法。
如下图是BT客户端软件BitSpirit 3.x版本的一个设置界面:图2面对使用了这些技术的BT客户端,是不是就没有办法封堵了呢?以新版的BT客户端软件BitComet和BitSpirit为例,在使用了这些突破封堵方法后,在实际应用中有一个重要的特点就是: BitSpirit客户只能够连接BitSpirit客户,BitComet客户只能够连接BitComet客户,不同客户端软件不能够互联,极大的减少了源下载 /上传点数量,也降低了下载/上传速率。
这一点实际上也说明了一个问题,也就是说这些方法、协议一般是某一BT客户端软件所私有的,我们只要进行有效的协议分析,仍然可以找到相应的特征码,完成封堵。
目前能够突破BitTorrent对等协议握手信息特征码封堵的,主要有两种方法,以下将以BT客户端软件BitComet V0.60和BitSpirit V3.10为例,分别进行说明:1、基于UDP NAT穿越的内网互联从图2,可以看出“内网互联”能实现的一个基本效果。
使用内网互联功能,BT下载者首先需要UDP连接到一个内网互联服务器,在内网互联服务器的帮助下,使用UDP协议连接其他下载者,如果连接成功,在下载者之间则可以通过UDP下载 /上传文件,而且可以不受firewall/nat设备的限制,可以发起连接,也可以被连接。
关于UDP NAT穿越的详细信息,可以参考下面的链接:/draft-ford-midcom-p2p-01.txt由于这种下载者之间的连接是基于UDP的,完全没有上文提到的TCP握手过程,需要使用新的方法封堵。
从上文可以看出,内网互联服务器是一个中介,也是一个关键,如果不能连接内网互联服务器,客户端之间就不能完成UDP连接。
这个内网互联服务器是各BT客户端软件提供的,BitComet 只能连接BitComet提供的内网服务器,BitSpirit只能连接BitSpirit提供的内网互联服务器,这也是只有相同客户端软件才能互联的一个原因。
这样,只要知道内网互联服务器的IP地址,就可以完成这一步的封堵了,但我们并不推荐这样实现。
主要原因是这些内网互联服务器的IP地址可能是不确定的,BT客户端软件是通过域名来找到这些服务器的,要更改这些地址很容易,不能完全保证封堵效果。
我们仍然需要通过抓包来找到这些UDP流量中的特征码,完成封堵。
以下是BitComet传输过程中抓取的一个UDP报文:图3可以发现,BitComet在下载者之间的UDP传输报文中,均包括“08 27 37 50 29 52”的首部,如果识别这些字段,就可以禁止这些数据包通过交换机,完全禁止BitComet的UDP下载。
在AT-8900/9900系列交换机中可以创建如下Classifier来匹配该数据包:create class=3 ippr=udp l5byte01=2,08 l5byte02=3,27 l5byte03=4,37 l5byte04=5,50 l5byte05=6,29l5byte06=7,52以下是BitSpirit传输过程中抓取的一个UDP报文:图 4可以发现,BitSpirit在本地回应远端用户UDP报文中,均包括“00 00 00 40”的首部,如果识别这些字段,就可以禁止这些数据包通过交换机,完全禁止BitSpirit的UDP下载。
在AT-8900/9900系列交换机中可以创建如下Classifier来匹配该数据包:create class=4 ippr=udp l5byte01=0,00 l5byte02=1,00 l5byte03=2,00 l5byte04=3,402、扩展握手协议或协议头加密从图2可以看到,BitSpirit有一个“扩展握手协议”选项,该功能的引入主要是为了防止上文提到的基于对等协议握手信息特征码的封堵方法。
BitSpirit的实现是在下载者之间的TCP握手信息前加入了一个HTTP包头,BitComet则是将握手信息加密扰乱。
这两种方法可以有效的突破基于对等协议握手信息特征码的封堵,但由于使用相对较少,而且局限于同一种客户端软件之间才能互联,启用该选项后,源很少,下载速度可能会比较慢。
这种方法仍然是需要BT TCP握手过程的,但由于扩展/加密,交换机已经无法识别“BitTorrent protocol”特征码,因此需要寻找其它的特征码。