PVST 实验

4507#show spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 24577 Address 001d.4555.a080 This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 se

原创 点赞0 阅读493 收藏0 评论0 2012-09-14

spanning-tree extend system-id

spanning-tree extend system-id 在交换机上启用extended-system ID 特征使其支持 1024 MAC 地址, 在全局模式下使用 spanning-tree extend system-id命令.禁用时前面加 no。 spanning-tree extend system-id no spanning-tree extend system-i

原创 点赞0 阅读5362 收藏0 评论0 2012-09-14

STP、RSTP、PVST&PVST+、MSTP

Stp:生成树协议 运行生成树协议的交换机上的端口,总是处于下面四个状态中的一个: 1)阻塞:所有端口以阻塞状态启动以防止回路,由生成树确定哪个端口切换为转发状态,处于阻塞状态的端口不转发数据帧但可接受BPDU。 2)监听:不转发数据帧,但检测BPDU(临时状态)。 3)学习:不转发数据帧,但学习MAC地址表(临时状态)。 4)转发:可以传送和接受数据数据帧。 在正常操作期间,端口处于

原创 点赞0 阅读505 收藏0 评论0 2012-09-07

PVST 与PVST+的区别

1、PVST PVSTBPDU 的格式和STP/RSTPBPDU 格式已经不一样,发送的目的地址也改成了Cisco 保留地址01-00-0C-CC-CC-CD,而且在VLANTrunk 的情况下PVSTBPDU 被打上了802.1QVLAN 标签。所以,PVST 协议并不兼容STP/RSTP 协议。   2、PVST+ Cisco 很快又推出了经过改进的PVST+协议,并

原创 点赞0 阅读6996 收藏0 评论0 2012-09-07

RSTP 快速生成树协议的 proposal 与 agreement

      假设SW-1有一条新的链路连接到根桥。链路起来时,根桥的P0口为指定端口处于丢弃或学习状态,P0发布带有提议标志位的RSTP BPDU ①(只有指定端口处于丢弃或学习状态时才发送提议) 1、SW-1收到更好的信息,它知道P1将成为新的根端口,开始同步新的消息给其他的端口: P2为替换端口,同步中保持不变, P

原创 点赞0 阅读1613 收藏0 评论0 2012-09-06

STP特性详解

STP特性详解 我们平时应用到的STP,虽然可以保证2层网络的无环路,但是他本身也存在一些缺点。比如STP机构收敛速度慢,根交换机的身份很容易遭受威胁,不安全,没有一种措施来巩固他们的根交换机的身份。 如果要是这样的话,那么在一个网络中,有可能这个网络的STP结构就会频繁的变化,导致网络中的数据包大量的增加,从而导致网络阻塞,甚至出现断网的现象。 所以,我们这次就就收

原创 点赞0 阅读875 收藏0 评论0 2012-09-02

cisco 命令:show proc cpu 精解

Router#show proc cpu CPU utilization for five seconds: 63%/50%; one minute: 58%; five minutes: 58 % PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process 1 4976 54773 90 0.00% 0.00% 0.00% 0 Loa

原创 点赞0 阅读1091 收藏0 评论0 2012-09-01

BPDU guard和bpdufilter的一些介绍

BPDU guard和bpdufilter的一些介绍 BPDU GUARD的功能是当这个端口收到任何的BPDU就马上设为Error-Disabled状态。我们知道,当交换机STP功能启用的时候,默认所有端口都 会参与STP,并发送和接受BPDU,当BPDU GUARD开启后,在正常情况下,一个下联的端口是不会收到任何BPDU的,因为PC和非网管换机都不支持STP,所以不会收发BPDU。当这个端口

原创 点赞0 阅读7268 收藏0 评论0 2012-09-01

GNS3各种IOS下载

以下IOS都可以GNS3上使用,包含了juniper,ASA,PIX,IOS,IPS等OS这些IOS我都测试过,可以用 占用资源还行,那个2691支持在全局配置模式下配置vlan2691的连接已经补上 c2691-advsecurityk9-mz.124-11.T2.bin http://dl.dbank.com/c0c0dg2xuj c3640-jk9o3s-mz.124-7a.bin

原创 点赞1 阅读1435 收藏0 评论1 2012-08-31

交换机MAC地址表

交换机在转发数据时,需要根据MAC地址表来做出相应转发,如果目标主机的MAC地址不在表中,交换机将收到的数据包在所有活动接口上广播发送。当交换机上的接口状态变成UP之后,将动态从该接口上学习MAC地址,并且将学习到的MAC地址与接口相对应后放入MAC地址表。 交换机的MAC地址表除了动态学习之外,还可以静态手工指定,并且在指定MAC地址时,还可以指定在某个VLAN的某个接口收到相应的MA

原创 点赞0 阅读2026 收藏0 评论0 2012-08-31

access port 与portfast之间的关系

问题: Hey..   Can anyone please help me understand why setting ports to be access ports (switchport mode access) does not accomplish the same thing as Portfast?   I guess I am trying

原创 点赞0 阅读372 收藏0 评论0 2012-08-31

PIX 几个配置注意的地方

1、清除闪存中配置文件 write erase   2、显示nat信息 show xlate   3、默认情况下pix的直连接口可以ping通的。但对于穿越pix的icmp的流量需要通过ACL来控制。   4、允许(inside)ping(outside)的配置 access-list outside extended permi

原创 点赞0 阅读639 收藏0 评论0 2012-08-29

TCP窗口

什么是滑动窗口协议? 一图胜千言,看下面的图。简单解释下,发送和接受方都会维护一个数据帧的序列,这个序列被称作窗口。发送方的窗口大小由接受方确定,目的在于控制发送速度,以免接受方的缓存不够大,而导致溢出,同时控制流量也可以避免网络拥塞。下面图中的4,5,6号数据帧已经被发送出去,但是未收到关联的ACK,7,8,9帧则是等待发送。可以看出发送端的窗口大小为6,这是由接受端告知的(事实上必须考虑拥

原创 点赞0 阅读422 收藏0 评论0 2012-08-17

Unicast RPF,单播逆向转发

Unicast Reverse Path Forwarding (Unicast RPF,单播逆向转发) Unicast RPF 这个功能可以帮助我们减轻(注意不是完全避免,是减轻)伪造的源IP地址(IP Spoofing,IP地址欺骗)的数据包通过路由器所带来的问题。 1.基本概念 Unicast RPF对于进入网络中的那些源IP地址“无法证实”的IP数据包

原创 点赞0 阅读803 收藏0 评论0 2012-07-22

使用访问控制列表预防IP地址欺骗(IP Address Spoofing Prevention with ACLs)

【实验说明】 配置路由器预防IP地址欺骗   【实验拓扑】 IOS:c2691-advsecurityk9-mz.124-11.T2.bin   【实验配置步骤】   在网关的outside过滤RFC1918、RFC3300 网络 在网关的入方向过滤RFC2627网络 也就是说,在内部只能

原创 点赞0 阅读681 收藏0 评论0 2012-07-21

RFC 1918与RFC 3330

因特网域名分配组织IANA组织(Internet Assigned Numbers Authority)保留了以下三个IP地址块用于私有网络。       10.0.0.0 - 10.255.255.255 (10/8比特前缀)       172.16.0.0 - 172.31.255.255 (172.16/12比特前缀)  

原创 点赞0 阅读1254 收藏0 评论0 2012-07-21

Configuring Application Port-Mapping with CBAC

【实验说明】 基于非标准端口号的应用配置CBAC 【实验配置】   IOS:c2691-advsecurityk9-mz.124-11.T2.bin   【实验配置向导】 配置上图网络为 IP service 中的“Configuring Static PAT” ,配置后使得R1与R6的服务器的telnet端口发

原创 点赞0 阅读268 收藏0 评论0 2012-07-20

DoS Attacks Prevention with CBAC

参考阅读:http://www.ciscopress.com/articles/article.asp?p=345618&seqNum=4   【实验说明】 使用 CBAC 配置来预防 SYN-Flooding (DOS)***; 本实验类似于使用 ip tcp intercept ,但是 CBAC 不仅可以控制TCP,而且可以控制UDP、ICMP等协议; UDP

原创 点赞0 阅读292 收藏0 评论0 2012-07-20

数据库查询语句

1、级联查询用户权限,查询类型为4的用户数据中心权限 select t.*, t.rowid from xt_userresc t where t.userid in (select t.id from tbbcuser t where usertype = 4) order by userid   2、删除在TBBCUSER中不存在用户对应的数据中心权限 select

原创 点赞0 阅读230 收藏0 评论0 2012-07-19

DoS Attacks Prevention with TCP Intercept

  【实验说明】   在路由器上配置,使用 TCP intercept 检查所有TCP连接。   【实验拓扑】     【实验配置】   tcp intercept 拦截有两种模式一种是拦截,一种是监视。默认为拦截模式,   R1: interface FastEthernet0/0

原创 点赞0 阅读401 收藏0 评论0 2012-07-18

CISCO路由器上使用 TCP intercept 防止DOS***

 1)定义一个acl,目的是要保护的机器:   access-list 101 per tcp any host 202.106.0.20   由于没必要匹配源地址,一般的dos都伴随着地址欺骗,所以这里的source都是any.   2)全局下开启tcp intercept.   ip tcp intercept list 101   3)设置tcp拦截的模式,tcp拦截有两

原创 点赞1 阅读599 收藏0 评论0 2012-07-16

SYN Flood ***

SYN flood或称SYN洪水、SYN洪泛是一种阻断服务***,起因于***者传送一系列的SYN请求到目标系统。当用户端试着与服务器间建立TCP连线时,正常情况下用户端与服务器端交换一系列的信息如下: 用户端透过传送SYN同步(synchronize)信息到服务器要求建立连线。 服务器透过响应用户端SYN-ACK以抄收(acknowledge)请求。 用户端答应AC

原创 点赞0 阅读336 收藏0 评论0 2012-07-16

Using NBAR to Filter Traffic

【实验说明】   peiConfigure router to filter traffic based on application-level criteria   【实验拓扑】 IOS:c2691-advsecurityk9-mz.124-11.T2.bin   【实验配置步骤】 按照上图配

原创 点赞0 阅读409 收藏0 评论0 2012-07-14

Network Based Application Recognition (NBAR) 网络应用程序识别

一.什么是NBAR? 基于网络的应用程序识别(NBAR)可以对使用动态分配TCP/UDP端口号的应用程序和HTTP流量等进行分类.   NBAR 是一种动态能在四到七层寻找协议的技术,它不但能做到普通ACL能做到那样控制静态的、简单的网络应用协议TCP/UDP 的端口号。例如我们熟知的 WEB 应用使用的 TCP 80,也能做到控制一般 ACLs 不能做到动态的端口的那些协

原创 点赞0 阅读947 收藏0 评论0 2012-07-14

Context-Based Access Control (CBAC) 基于上下文的访问控制 理论知识

CBAC即基于上下文的访问控制协议,通过检查防火墙的流量来发现管理TCP和UDP的会话状态信息。这些状态信息被用来在防火墙访问列表创建临时通道。通过在流量一个方向上配置ip inspect列表,放行其返回流量。被允许会话是指来源于受保护的内部网络会话。它不能用来过滤每一种TCP/IP协议,CISCO IOS支持检查的协议有:  

原创 点赞0 阅读908 收藏0 评论0 2012-07-13

IPSAN与FCSAN存储结构的区别

目前常见的三种存储结构   DAS:直连存储 NAS:网络附属存储 SAN:存储区域网   DAS:直连式存储依赖服务器主机操作系统进行数据的IO读写和存储维护管理,数据备份和恢复要求占用服务器主机资源(包括CPU、系统IO等)       SAN: 存储区域网络(Storage Area Networ

原创 点赞0 阅读959 收藏0 评论0 2012-07-12

自反访问控制列表

【实验要求】   需求:在企业边界路由器上,只允许内网用户主动访问外网的流量,外网主动访问内网的所有流量都拒绝, 注意:在企业边界路由器外口的入方向上要拒绝掉所有外网主动发起的流量,但是要能够允许内网发起而由外网返回的流量,否则内网发起的流量也不能正常通讯     【实验拓扑】     【实验配置】   企业边界路由器:

原创 点赞0 阅读412 收藏0 评论0 2012-07-10

FTP的主动与被动模式

主动模式: 连接顺序为: 1. FTP client use TCP port 1026 for command to FTP server command port 21 2. FTP server use TCP port 21 responed to FTP client command port 1026 3. FTP server use TCP port 20 for send

原创 点赞0 阅读661 收藏0 评论0 2012-07-10

访问控制列表in与out的区别

 访问控制列表是应用于接口上的过滤规则,有in与out之分,下面说明in与out的区别     假设你现在想拒绝A访问C,并且假设要求你是在B上面做ACL(当然C上也可以),我们把这个拓扑换成一个例子:   B的s0口是前门,s1口是后门,整个B是你家客厅,前门外连的是A,客厅后门连接的是你家金库(C)   现在要拒绝小偷从A进来,那么你在你家客厅做个设置,

原创 点赞0 阅读516 收藏0 评论0 2012-07-10

IP 组播理论知识(1)

近年来,随着Internet的迅速普及和爆炸性发展,在Internet上产生了许多新的应用,其中不少是高带宽的多媒体应用,譬如网络视频会议、网络音频/视频广播、AOD/VOD、股市行情发布、多媒体远程教育、CSCW协同计算、远程会诊。这就带来了带宽的急剧消耗和网络拥挤问题。为了缓解网络瓶颈,人们提出各种方案,归纳起来,主要包括以下四种: 比较而言,IP组播技术有其独特的优越性—&m

原创 点赞0 阅读667 收藏1 评论0 2012-07-08
  • 1
  • 2
  • 3
  • 4
  • 5