CCNP 筆記本

2009 年 05 月 30 日

CCNP-BSCI Module 06 LAB

Filed under: CCNP-BSCI Module 06 — nkongkimo @ 08:16:50

LAB 6-1 啟動BGP

Topology

 

題目要求

1.RIPv2啟動在P1R1/P1R2/P1R3/P1R4上
2.IBGP的AS為65001 / BBR1的AS為64998 / BBR2的AS為64999
3.P1P1~P1R4都使用Loopback 0當做介面IP(使用Update-sorce的指令)
4.P1R1及P1R2的S 1/1介面啟動 passive-interface
5.P1R1 / P1R2使用Default-information originate讓P1R3 /  P1R4學習Default Route
6.使用Network宣告自己IBGP的網段
7.使用Neighbor手動宣告鄰居的位址
8.P1R1 / P1R2與BBR1 / 2形成EBGP的關係

 

Show的觀察

1.show run

2.sh ip bgp summary
3.sh ip bgp
4.sh ip bgp x.x.x.x /xx
5.sh ip route
(1)P1R1 Router

(2)P1R3 Router

LAB 6-2 Route-map的使用

Topology

題目要求

1.P1R1~P1R4行程Full Mesh的BGP
2.使用route-map調整路由
3.調整MED及local-pre的數值調整路由:
(1)調整10.1.0.0/24 及172.31.0.0/24的路由走BBR2,調整MED到BBR2為200,其他的路由都走BBR1
(2)調整BBR2送進來的172.31.0.0/24網段,調整local-pre為300,BBR1送進來的10.254.0.0/24的網段local-pre設定為300

 Show的觀察

1.觀察Route-map的設定
2.sh ip bgp summary
3.sh ip bgp
4.sh ip route
5.sh route-map
6.sh access-list
7.sh ip protocols
8.查看Local-pre及MED的影響
(1)到BBR2檢查MED是否改變

(2)到P1R1檢查local-pre是否調整
廣告

2009 年 05 月 21 日

CCNP-BCMSN Module 07 Configuring Campus Switch to Support Voice

Filed under: CCNP-BCMSN Module 07 — nkongkimo @ 12:57:22

VoIP的概念

image
1.VoIP使用DHCP Option 150的欄位,得到VoIP相端的參數
2.當電源有問題VoIP全部都中斷
3.FXO:受電端,接PBX或IP Backbone
   FXS:供電端,接IP Phone。
4.Voip注意的變因:

Delay(Latrncy) Delay Budget要小於150ms(one-way)
Jitter 利用Buffer改善Jitter,但會增加Delay
Pack loss 使用UDP的方式,不會重傳。
5.Code-decoder(編碼)技術
*G.729: 一路電話使用8K,不壓縮。
*G.711:一路電話是用64k,有壓縮。

Voice V.S Data

image
  Voice Data
品質 Smooth Smooth/Bursty(爆衝)
頻寬使用 Benign 較和善 Greedy 貪懶的
Drop的敏感度 敏感的 不敏感的,以正確性為主
Delay的敏感度 敏感的 不敏感的
傳輸方式 UDP
不可重傳
TCP
可以重傳
效率

VoIP Call Flow(VoIP撥打電話流程)

image
*P1要Call P2時會先去CCM詢問P2的位址(跑SKINNY的協定),再由CCM告知P2,有P1 Call P2,之後的Voice資訊直接用RTP封包傳輸(P2P的方式)
*三方通話時就必須經過CCM的設備才可達到。

Auxiliary VLANs(輔助VLAN)

image
1.在Access SW宣告Voice VLAN就會成會Auxiliary VLAN,Access SW的port設定Access port即可,不用在設定成為Trunk port。
2.若網卡啟用802.1P就不會看VLAN ID(VLAN ID=0),直接看COS值就好了。
3.SW必需要有支援才可使用。

QoS的特性

1.QoS預設的行為是FIFO
2.最佳的QoS為沒有QoS
3.有分為software跟hardware Queue
4.大BW到小BW最容易雍塞

QoS的種類

種類 定義
Inter-Serve 使用的協定:RSVP
*需要End-to-End的保留BW
*需要全部經過的設備都要支援
*若中途有設備終止RSVP即中斷
*可以用在區域網,不建議用在WAN
Diff-Serve *每一個設備設定自己的QoS(Pre-hub behavior)。
*QoS使用的方法:

1.分類(Classfication)
*使用ACL / NBAR的方法
2.標示(Marking)
3.雍塞管理Queuing (Congestion Manager)
*當Queue滿了就會執行Tial-Drop(尾端丟棄)的動作。
*雍塞發生時,TCP會使用Window Size減半的機制來控制雍塞。
4.雍塞避免(Congestion Aviodauce)
*使用RED 或 WRED的機制
*在雍塞發生前先把不重要的封包丟棄
5.Policing & Shaping
*Policing限速:超過設定的BW就會被Drop掉,BW使用效率較不好。
*Shaping碩模:建議使用的方法,使用Buffer的機制讓頻寬較穩定。
6.切割、壓縮(Link Efficiency)
*避免大封包傳輸過久導致Voice的封包被Delay
*利用IP封包的Identify / Offset / more Fragment / Inter-Frame-Leaving欄位達到避免大封包Delay到Voice的封包。

QoS的流程

image
1.Classfication(分類):
(1)分類的種類:

ACL 定義範圍
L2 參數 在802.1Q裡使用802.1P/ COS的欄位
L3 參數 IP Precedence(TOS) / DSCP(DiffServ code point)值
L4參數 Port Number / Port Rarge / Flag
L7參數 應用程式服務的種類
ex:看Http Protocol的Method / URL / Cockie / MIME…等

(2)Classfication及Marking的工作是一起的。

2.Marking(標籤) / Coloring
(1)貼上標籤協助後續的設備處理,不需要再分類一次
(2)Marking的種類:

L2 Marking image
L3 Marking image
  *ToS(Type Of Service):共有8bits
*IP Precedence:使用3個bit,有8個等級,與COS相對應。
*DSCP:使用6個bit,只用前面5個bit,後一碼都是0。
*DSCP的欄位:

Class Selector 用來相容於IP Precedence / CoS值 的欄位
Drop Prob. *用來決定丟棄率的欄位,最後一碼都為 “0″
*丟棄率有3種等級Low / Medium / High Drop
Flow Ctrl 用來管控雍塞的機制

*DSCP的分類:
AF(Assure Forearding):Class 1~4
EF(Expedited Forwarding):Class 5,最優先的值,DSCP值為46

3.Congestion Manager(雍塞管理)
(1)使用Queue的技術
(2)Queue不會增加BW,重點是保護重要的traffic
(3)Queue的種類(ONT的課程有詳細的介紹):

Priority Queue
Weighted Fair Queue (WFQ)
Class-Based WFQ (CBWFQ)
Low-Latency Queue (LLQ)
4.Hardware Queue:
*行為採用FIFO的方式
*無法做QoS

Trust Boundaries

image
1.Trust Boundary的邊界在IP Phone是最好的,因為在IP Phone就開始對語音的封包分類,QoS的效果最佳。
2.Trust Boundary的邊界在L3 SW是比較不建議的,因會造成SW CPU Loading過高的問題。
3.建議若設備支援因該要離PC端越近的設備做QoS。

啟用QoS

1.啟用QoS
image
2.觀察
image 

Auto QoS

1.CDP要啟用
2.啟用NBAR的功能
3.會使用WRR Queue
4.設定的方法
image
image
image 
5.show auto qos的觀察
image
*WRR:Weight Round Robin
6.Auto QoS的流程對應表
image
7.ONT的第5章,說明的較詳細。

2009 年 05 月 19 日

CCNP-BCMSN Module 06 Wireless LANs

Filed under: CCNP-BCMSN Module 06 — nkongkimo @ 22:00:03

Wireless LAN的特性

1.技術與傳輸距離表
2.Wireless LAN的範圍
 
*MAN的技術大都用在地大人希的地方
*WAN的技術大都用戶行動上網、mobile。
3.Wireless LAN透過AP地設備,技術採用Shared的方式
4.類似BUS的架構,資料傳輸在同一個頻帶上,所以傳輸採用半雙工。
5. LAN & WLAN的比較

  LAN WLAN
Media Access Control CSMA/CD(偵測) CSMA/CA(避免)
利用802.11 RTS/CTS去偵測
標準 802.x 家族 802.11 家族
傳輸媒介 雙絞線 空氣
傳輸功率 Full Half
MAC Address 相同 相同
穩定度 較穩定 不穩定,易受干擾
Multipath
雜訊
使用頻帶   2.4G
安全性 較佳 較差
傳輸速度
6.無線網路是有限網路的延伸。

 SSID(Service Set Identifier)

1.SSID的特性
*SSID就是Wireless LAN的代號,也可區別WLAN範圍
*一樣的SSID可以互相溝通
*Beacon會以廣播的方式送出SSID

 

WLAN 拓普圖

種類 定義
1.AD-Hoc
1.Peer-to-Peer的架構
2.一次只能針對一台Client
3.雙邊設定同樣的頻率即可
2.Wireless Client Accesss
1.BBS:Basic Service Set
2.電腦互相傳輸續要透過AP才可互通
3.Wireless Bridge
1.2個LAN中間透過無線的方式串接
2用在2個LAN中間無法以實體線路接取的環境
4.Wireless Mesh Network
1.提供Bridge及Access的接取
2.建立一個Mesh的無線網路
3.提供有線及無線的環境

 

WLAN Topology架構

種類 定義
1.WLAN Access

WLAN Access Topology

Access Topology的特性
*AP與AP間需要15%以上的Overlapping
*AP的SSID需要相同,但Channel不可以相同,通常都用Channel 1/ 6 / 11
*可以達到Roaming的功能。
*Roaming前AP與AP間需要先溝通,才不會斷線。
*Data 的Overlapping大約15%以上,Voice要求20%以上。
*建議由Micro-Cell升級到Pico-Cell
*Pico-Cell可以調整RF的大小,容錯率較好,AP會變多,硬體花費較高。
2.Wireless Repeater

Wireless Repeater Topology

Repeater Topology的特性
*相同SSID 相同Channel
*AP間要求50%以上的Overlapping
*架構為無線網路的延伸
*建議使用相同的設備
*不同設備的相容性較不好
3.Workgroup Brideg

Workgroup Bridge Topology

Workgroup Bridge Topology特性
*WGB(Workgroup Bridge)
*把2個LAN串接起來
*串接的方法:
    -WGB接WGB
    -WGB接AP(Standalone AP)
*建議都使用相同廠牌的設備
4.Ad-Hoc

Altennative Peer-to-Peer Topology(Ad-Hoc)(IBSS)

AD-Hoc的特性
*不需要中繼設備,可以直接互通

 

Service Set and Mode

Ad-Hoc Mode

IBSS(Independent Basic Service Set)
 
 
Inftastructure Mode 1.BSS(Basic Service Set)

*由單一AP建構Service Set,Client之間要透過AP才能溝通
2.ESS(Extended Service Set)

*由多個AP建構Service Set,不同Service Set之間的Client必須透過DS(Distribution System)來溝通

 

 Roaming

1.Roaming的特性
*分為L2及L3的Roaming
*要達到無縫隙的Roaming,L2 & L3 都不可以斷線
2.Roaming的種類:

L2 Roaming *同一個網段,不同AP 、Cell之間
*AP的SSID都要相同
*使用IAPP(Inter Access Point Protocol)協定
*由AP去控制L2 Roaming
*大部分採用此技術
L3 Roaming *不同Subnet之間,全部Cell Roaming
*使用Mobile IP 協定
*用在電信業者較多
3.Roaming的產生

(1)Re-Association:太多的資料Re-try的狀況下。
(2)AP有問題時
(3)Data Rate降低
(4)Client重新掃描

 

WLAN VLAN Support

Wireless Mesh Networking


*大型WLAN使用的架構
*類似WiFy的環境
1.Mesh Networking的架構

RAP
(Rooftop AP)
接有線環境的AP
MAP
(Mesh AP)
全無線環境的AP
AWP
(Adaptive wireless Path)
MAP建立到RAP最佳路徑及備援路徑的協定
*使用"Parent sticky"的技術去維護路徑

 

AP運作的模式

種類 定義
1.Stanfalon AP
(Promisscuous AP)
*可以獨立運作的AP
*設定檔及RF的控制都在AP上
*BSS的環境大都是此類
*家中的AP就是此架構,不建議使用在大型環境
2.Light Weight AP *設定檔及RF的控制都集中在WLC上
*AP僅扮演L2 Wire訊號的延伸
*AP會自動到WLC去Download Config file
*在大型的WLAN環境使用
*管理較方便

 

802.11a / b/ g整理

  802.11a 802.11b 802.11g
起於時間 1999 1999 2003
運作RF 5GHz 2.4GHz 2.4GHz
Channel數 12~23個
美國:23個
歐洲:19個
13個
建議使用1、6、11(不會互相干擾)
每一個channel為22MHz
13個
建議使用1、6、11(不會互相干擾)
每一個channel為22MHz
標準速度(Mbps) 6、9、12、18、24、36、48、54 1、2、5.5、11 1、2、5.5、11(802.11b)
6、9、12、18、24、36、48、54(802.11a)
實際傳輸速度 28 6 22
涵蓋範圍 最小 最大 中等
傳輸距離 室內35m
室外120m
室內38
室外140
室內38
室外140
編碼技術 OFDM DSSS(直接序列展頻) DSSS、OFDM
控制的技術 1.TPC(Transmit power control):
控制功率的技術
2.DFS(Dynamic frequency Selection)(802.11h):
動態管理Channel的選擇,在2004年之後才發展出來。
Rat shifting 自動調整頻率,由Client啟動。 Rat shifting 自動調整頻率,由Client啟動。
備註     1.相容於802.11a / 802.11b
2.會使用RTS/CTS避免碰撞

 

WLAN Security-C.I.A

C(Confidentiality)
私密性
1.讓經過授權的使用者才可存取
2.使用的方法:  

(1)Isolation(隔離) 把重要的資料與非重要的資料隔離
(2)Encrypttion(加密) 利用加密演算法把重要的資料加密或繞排,讓沒有權限的人看不出來。

3.Encryption(加密)的方式:

(1)Block cipher *區塊式
*一次一個Block的資料量
(2)Stram cipher *串流式
*一次一個bit的資料量

4.Encrtption key的種類

(1)對偁式 加解密用相同的Key(Session Key)
*Key的長度較短
(2)非對偁式 加解密用成對的Key
*有2把Key
    -Public Key:公開的Key,解密用的Key。
    -Private Key:私密的Key,加密用的Key。
*2把Key都可以用來加解密。
*Key的長度較長。
*常看到的方式為電子憑證
I(Integrity)
完整性/真確性
1.確保資料傳輸的過程都是正確的沒有被中繼設備更改。
2.使用的方法:Hash
3.Hash的特點:
    -Fixed-Length Output:相同長度的Output資料
    -Unique:唯一性
    -不可逆性
    -離散性
4.Hash的種類:
    -MD5:128bits output
    -SHA-1:160bits outputp
A(Authentication)
認證
1.認證使用者
2.使用的方法:

(1)Weak Auth. 一種方式的認證機制
(2)Storg Auth. 2種方式的認證機制

 

WLAN Attacks的種類

種類 定義
WAR Drivers 使用行動裝備,搜尋open的網路進行攻擊。
Hackers 利用資安的脆弱點或公佈的bug,進行破解及攻擊。
Employees 員工把私人的設備直接接入公司的網路。

 

WLAN Security的種類

種類 定義
WEP
WEPv2
1.Confidentiality: 使用RC4(64、128、256bits)加密
2.Integrity: CRC-32演算法
3.Authentication:

(1)Open system:不認證
(2)Pre-Shared Key: AP與Client都需要事先先建立相同的密碼

4.較不安全的方式
5.較沒有彈性
6.WEPv2使用RC4 256bits加密

802.1x EAP
1Authentication:

(1)EAP-MD5:最常使用的方式,使用MD5 hash後的密碼。
(2)EAP-OTP:使用OTP的方式
(3)EAP-TLS:數位憑證的方式

2.需要搭配AAA(RADIUS)來做

WPA 1.Confidentiality: 加密使用RC4,使用TKIP + Dynamic Keying(確保Key的正確性)
2.Integrity: 使用Michael的加密演算法
3.Authentication:

(1)IEEE 802.1x EAP:使用在企業內部,需要有RADIUS Server。
(2)Pre-Shared Key:User或SOHO使用。

4.較安全性的方式
5.若搭配802.1x EAP,User只要輸入ID/PW即可,不需要再設定。

WPA2
(802.11i)
1.Confidentiality: 加密使用AES,使用TKIP + Dynamic Keying(確保Key的正確性)
2.Integrity: 使用Michael的加密演算法
3.Authentication: 與WPA一樣
4.業界的標準
5.可搭配RADIUS,與WPA相同
6.與WPA不同的地方在於加密的演算法。

 

WLAN Client Association 過程

順序 定義
Step0.廣播SSID(Beacon)
1.AP會廣播出Beacon告知AP的存在。
Step1.探測
1.Client會在每一個Channel(1、6、11)掃描,並加入Channel。
2.當有多台AP時,Client會與訊號最強的建立線線。
2.Authentication身分認證
1.預設為Open的認證機制(不認證)
2.若有設定Key Client會傳送Key給AP做確認。
3.目前大多使用Web Authentication,認證的部份移到GW去做。
3.Association關聯
1.連線成功AP會吧Client加入關聯的Table。

 

Cisco WLAN Implementation

種類 定義
1.Automimius WLAN
(Standalone AP)
  1.組成元件:Autonomous AP
2.WDS(WLAN Domain Service):

(1)AP-Based WDS *L2 Fast Secure Roaming(IAPP),只能做L2的Roaming。
*Scable WLAN Mangment
*Advanced Radio Freguaercy Mangment Control
*Enhanced WLAN Security
*無法做到較完整的QoS
*WDS可以把config push給AP
*RF的管理可以由WDS控制。
(2)Switch-Based WDS 加強AP-Based WDS的功能:
    -支援L2 / L3的Roaming(IAPP / Mobile IP)
    -可以做到End-to-End的QoS
    -可以做到End-to-End的Security

3.支援User Authentication Cache
4.WLSE: Cisco的網管軟體
5.ACS: RADIUS/TACACS+ Server
6.建議要使用支援POE設備

2.Lightweight WLAN
(Thin AP)
  1.組成必要元件:Lightweight AP + WLAN Controller
2.Lightweight AP的功能:
    -只是用來當作Access Media的延伸
    -AP上沒有Config及Client Policy檔
2.WLC(WLAN Controller):
    -集中WLAN AP config / Client policy檔的設備
    -LWAP與WAN Controller 跑LWAPP協定
3.WCS:Cisco的網管軟體
4.ACS: RADIUS/TACACS+ Server
5.Location Server:追蹤LWAP的Server
6.建議使用支援POE設備

LWAPP的功能

功能 定義
1.Split Media Access Control(MAC) (1)Real-Time:LWAP處理
    -Beacon的傳撥
    -與WLC的連結
    -與Client的連結
    -Channel的選擇
    -加解密
(2)Non-Real-Time:WLAN Controller處理
    -處理802.11的Authentication
    -處理802.11的Association
    -不同Client資料的傳輸
    -安全的機制
    -QoS的機制
    -RF的管理
2.L2 or L3 LWAPP Tunnel (1)L2 Mode Tunnel:
    -全部的Traffic都封裝在Ethernet的Frame
    -Type:0XBBB
    -LWAP與WLC需在同一個LAN(Broadcast)
    -較沒有彈性
(2)L3 Mode Tunnel:
    -Data封裝在12222/UDP
    -Control封裝在12223/UDP
    -Mobile IP封裝在16666、16667/UDP
    -不需要在同一個VLAN裡面
    -需要有IP
    -較有彈性
3.WLAN Controller Discovery Process  
4.LWAPP Traffic 的類型 (1)LWAPP Controller MSG (控制訊號)
    -使用AES加密
    -在WLC與LWAP之間溝通
(2)Wireless Client Data Frame (User的資料)
    -沒有加密
    -只傳送IP-Ethernet Type Frame
    -預設不會傳送Multicast / Broadcast Traffic

 

Autonomous V.S Lightweight WLAN比較

 

POE

1.大部分用在IP Phone上
2.IEEE802.3af
3.規格:

Data Pairs Spare Pairs

4.運作方式:
    -使用CDP的方式偵測POE
5.價格昂貴
6.Power injector
 
7.距離限制在100M
8.設定與觀察

2009 年 05 月 16 日

CCNP-BCMSN Module 08 Mininizing Service Loss and Data Theft in a Campus Network (2)

Filed under: CCNP-BCMSN Module 08 — nkongkimo @ 03:59:13

DHCP Spoof Attacks

*網路中出現另一台非法的DHCP Server
1.DHCP的運作

*同一時間可能會有2台DHCP Server,以第一台回應DHCP Offer的DHCP Server優先
2.DHCP Snooping的防護:
(1)Cisco在配發IP前會先用ICMP-ping去檢查有無使用此IP
(2)DHCP Snooping使用Untrust及Trust 介面去區分要不要收到DHCP的封包

Untrusted 不允許收到DHCP Offer封包
Trusted 允許收到DHCP Offer

(3)啟用DHCP Snooping 預設全部介面為Untrust
(4)DHCP Snooping啟用在L2 的Access port

3.Config DHCP Snooping
image   
*Option 82可以插入DHCP與Client的相關參數,ex:VLAN / IP Phone address / config在哪邊 …
DHCP Relay Agent的功能
*當DHCP Server在不同VLAN時,需要在Router輸入下面指令
*把L2的Brocade的訊息轉換成unicast的資訊,送給DHCP server
在介面加入(config-if)#ip help-address x.x.x.x(DHCP server ip)
4.Show 的觀察
(1)show ip dhcp snooping
image
5.DHCP Buinlding DB(補充資料)
用來紀錄那一個MAC配發哪一個IP,用來讓後續的安全機制使用。

IP Source Guard

image
1.IP Snoofing Attack的型態
*在原本為10.0.0.1的設備,因為IP snoofing 偽裝成10.0.0.2,達到攻擊的效果
2.IP Source Guard的防護
(1)先要啟動DHCP Snooping,建立DHCP Burinding DB
(2)手動建立Static IP Source MAC Burinding DB
(3)只能設定L2的DHCP Untrust (Access port)介面上
(4)在DHCP Untrust Port 加上一條Port ACL(自動產生)
(5)IP Source Guard可以針對IP 及 MAC來防護
3.Config IP Source Guard
image

ARP Spoofing Attacks

image
1.ARP Spoofing Attacks定義
*攻擊者在同一個網段
*攻擊者把SW的ARP table變更目的地都往攻擊者PC送。
2.ARP Spoofing 的防護:
image
*必須有一個IP對應MAC的DB,故必須先啟動DHCP Snooping建立DHCP Burinding DB。
*也可以手動建立DHCP Burinding DB。
*啟用Dynamic ARP Inspection (DAI)。
*預設所有介面都是Untrust
3.Config Dynamic ARP Inspection
image

Protecting the Operation of STP

STP 3大防護機制

1.BPDU Guard
*STP運作的原理
1.STP Security保護的目標:
(1)預防收到意料外的BPDU
(2)預防沒有收到正常的BPDU
2.收到意料外的BPDU時使用的指令:

(1)BPDU Guard 在PortFast的介面收到BPDU的封包,表示異常,介面會進入"Error-Disable"的狀態。
(2)BPDU Filter 在介面啟用時,介面收到BPDU時,可以選擇把BPDU Filter掉或是尚失PortFast的功能。(不建議使用)
在global啟用時,會忽略incoming bpdu,停止送bpdu。
3.Config BPDU Guard & BPDU Filter
(1)設定BPDU Guard(也可以在glbal下設定)
image
(2)設定BPDU Filter(也可以在glbal下設定)
image
4.Show 的觀察
Show spanning-tree summary totals
(1)BPDU Guard
image
(2)BODU Filter
 image
2.Loop Guard
image
1.Loop Guard 保護的目標
*避免造成原本Bloack的Port變成Forwarding的狀態,導致行成Loop。
2.Loop Guard的特性
*預設關閉
*在每個介面上啟動
*在Root Port及Block Port上啟動,確定會收到BPDU
*偵測到Loop時,Root Port或Bloak Port會變成"loop-inconsistent"的狀態,防止Loop發生
*功能與Root Guard相反。
*沒有收到BPDU會自動恢復。
*不可以同時啟動Root Guard會有互斥性
3.Config Loop Guard
*可在Gabal的模式下設定,也可以在介面模式下設定
image
4.Show的觀察
*show spanning-tree guard int fa x/x
image
3.Root Guard
image
1.Root Guard保護的目標:
image 
*避免外來的"PRI"比較小的SW搶走原本的RB
2.Root Guard的特性
*預設關閉
*需要在每個介面上啟動,當收到PRI較小的BPDU時,Port會出現"Root-Inconsistent"的狀態,表示新的SW會自己形成一個Domain,不會參與原本的STP競選,也無法傳送資訊。
*在沒有收到"PRI"較小的BPDU時會自動恢復。
*port上面的VLAN都參與Root Guard的保護。
*在原本Access SW的DP上啟動,防止外接SW。
*與Loop Guard有互斥性,不可以同時啟動。
3.Config Root Guard
image
BPDU Skew
用來偵測bpdu傳送的狀況,有通知的作用,他用syslog通知管理者
3.Show 的觀察
Show spanning-tree inconsistentport
image

UDLD(Uni-Direction Link Detertion)

image
1.發生Unidirectional Link Failure的狀況,大部分為SW的CPU Loading過高。
2.UDLD防護的機制
*Cisco專屬的功能
*像Keeplive的概念,SW間會互相傳送UDLD的訊息,告知還活著,UDLD 3次沒收到表示對方Link問題,STP會重算。
*UDLD使用的Destination MAC為01-00-0C-CC-CC-CC
*雙邊設備都要啟動UDLD
*有2種模式:
    -Aggressive mode:3次UDLD封包沒有收到,port會進入"error-disable"的狀態(建議值)。
    -Normal mode:3次UDLD封包沒有收到,只產生Syslog。
*Cisco 光纖的設備預設啟動
*Cisco 非光纖的設備需要手動啟動
3.Config UDLD
*可在Gabal的模式下設定,也可以在介面模式下設定
*雙邊都需要設定
(1)Global 模式
image
(2)介面 模式
*雙邊都需要設定
image
(3)重置UDLD
image
4.Show的觀察
*Show udld 觀察UDLD有沒有啟動
*show udld interface fa x/x

Root Guard / Loop Guard / UDLD 比較表

  Loop Guard Root Guard UDLD
Configuration Per port Per Port Per Port
使用的介面 RP & Block Port DP 所有介面
Action Granularity Per VLAN Per VLAN Per Port
違規的狀態 Loop-Inconsistent
(Blocking)
Root-Inconsistet
(Blocking)
Error-Disable
(Shutdown)
Auto-recovery Yes Yes No
需要手動reset UDLD或
設定Error-disable timeout 的功能
可否偵測STP的狀況 Yes Yes No
可否偵測Link的狀況 No No Yes

CDP Attacks

image
1.CDP的特性
*Cisco專屬協定
*CDP傳輸都是明文
*不需要認證
*預設啟動
*建議在特定的介面關閉CDP
2.Config CDP
Router(config-if)#no cdp enable (關閉CDP)

SSH(Security Shell Protocol)

1.SSH的特性
*建議使用SSH version2
*傳送資料會加密
*可以搭配ACL使用
2.Config SSH
(1)設定ACL限制SSH的範圍
(2)設定IP Domain Name
    Router(config)#ip domain -name xxxx
(3)設定RSA Key
    Router(config)#cryto key zeroize(移除之前的Key)
    Router(config)#cryto key generte rsa (建議大於1024,會較安全)
(4)建議ID/PW
   使用Local or AAA
(5)只允許SSH,關閉Telnet
   Router(config)#line vty 0 4
   Router(config-line)#transport input none
   Router(config-line)#transport input ssh
(6)修改SSH版本
    Router(config)#ip ssh version 2
(7)Login 的方式
    Router(config)#ssh -l name -v 2 ip address
3.Show的觀察
(1)show ip ssh
(2)show cryto key

DHCP Server設定(補充)

Config DHCP Server
(1)設定DHCP Pool
    Router(config)#ip dhcp pool name
(2)設定DHCP網段
    Router(dhcp-config)#network A.B.C.D/xx
(3)設定DHCP Gateway
    Router(dhcp-config)#default-router A.B.C.D
(4)設定DNS Server
    Router(dhcp-config)#dns-server A.B.C.D
(5)設定IP租期
    Router(dhcp-config)#lease x x
(6)設定排除的IP
    Router(config)#ip shcp exclud A.B.C.D

2009 年 05 月 14 日

CCNP-BCMSN Module 08 Mininizing Service Loss and Data Theft in a Campus Network (1)

Filed under: CCNP-BCMSN Module 08 — nkongkimo @ 15:18:40

Switch Attack 種類

種類 定義 防護方法
MAC Layer Attack MAC flooding Attack(灌爆MAC Addr. Table)
若MAC Addr. table被灌爆,SW就像Hub一樣,用flooding傳送資料。
使用Port Security
VLAN Attack VLAN Hoping,在不同VLAN中跳躍。 使用Prival VLAN / 關閉DTP / Trunk allow VLAN的過慮
Spoofing Attack 1.DHCP Spoofing Attack,防止區域內有人使用DHCP功能的設備介接。
2.防止有人把介接SW,導致STP(VLAN Spanning Tree)重新計算。
3.MAC Spoofing Attack
使用Root Guard / BPDU Guard / Dynamic ARP Inspection / port Security
Attack in switch devices 使用CDP的竊聽,設備的訊息並找出弱點攻擊 關閉CDP / 使用SSH / ACL設定授權範圍

MAC Layer Attacker

image
1.MAC table概念:
(1)MAC addr.的欄位:

VLAN MAC Addr. Type Port

(2)CAM-table大部分可存8000筆(8K)
(3)CAM-table的運作模式:要完全相同的資訊才會從特定介面傳送出去,否則會用flooding的方式送出。
(4)TCAM-table的運作模式:部份相同就可以傳送。
(5)系統/靜態 CAM-table不會被移除
(6)動態產生的CAM-table會被移除。
(7)MAC Addr. MAX Age為300 sec或Interface Down,會移除CAM table

2.防護機制:

(1)Port Security *用在限制每一個port可以存取的MAC及學習到MAC的數量。
*主要是針對特定/重要的設備(ex:DG、Router、Server…)
*Port Security的方法:

1.Static MAC Entery設定
2.Port Security Secured MAC(在MAC會以"static"的方式出現)
    -手動設定的Static Secured MAC: 已CLI的方式存在Running-config中
    -學習來的Dynamic Secured MAC:
        -Dynamic Secured MAC: 只存在RAM中,但重開機或介面down會消失
        -Dynamic Sticky MAC: Dynamic Secured + Auto產生Config的機制,重開機會繼續存在Running-config中,show run可以看到
(2)Port Security Violtion
(限制)
1.啟用Port Security介面學習到超過設定"Maxium"數量的MAC,若超過max的數量會shutdown。
2.Secured MAC出現在非原關聯的介面時(另外的介面)(設定FHRP要注意,建議使用use-bia的方法),若出現會被shutdown。
(3)Port Security Violation
Reaction(動作)
1.Protect:(不建議用)
只讓合法的Frame通過(src=Secured MAC),Drop other Sicencely(drop的動作會靜靜的執行),沒有任何通報機制。
2.Restrict:
Protect功能+產生Syslog / SNMP Trap 通報。
3Shutdown:(default值)
將該介面進入"Error-disable"的狀態
3.Config Port Security:
*預設每個介面是disable,所以要先啟動port security。
*只可以使用在Access port上。
*預設Violtion值=1
*手動設定Allow MAC Address

1.啟用Port Security
image
2.設定Port Violtion
image
3.設定Allow MAC Address
image
4.設定Reaction值
image
4.Show的觀察

1.Show port security
image
2.Show port-security interface x/x
*正常狀況下
image
*違背的狀況下
image
3.Show port-security address
image
4.show mac-address-table
*與port-serurity定義的不同,show mac-addr-table表示這一個port是用不使用DTP協商的。
image

AAA Network Configutation

image
1.AAA的定義:
(1)Authentication(認證):認證你是誰
(2)Authorization(授權):授權你可以做甚麼事
(3)Accounting(計量):記錄你做了甚麼事(監控、紀錄、稽核)
2.AAA注意事項:
(1)預設為Disale,啟動使用aaa new-model
(2)有預設的method-list->default
     自動啟用並套用到每一個可以套用的地方(console / AUX / telent / SSH…)
(3)Method-list:
     使用aaa authentication login name method去制定AAA的使用項目
image
3.Config AAA:
(1)建立Local Database的User Account
    (config)#user xxx pass xxx
(2)啟用AAA服務
    (config)#aaa new-model
(3)修改Default-list
    (config)#aaa authentication login default none (不使用default的方法)
(4)建立Methold-list
     (config)#aaa authentication login NAME local enable none
(5)套用到VTY / Console / AUX
      (config)#line vty 0 4
      (config-line)#login authentication NAME(list name)
4.Show 的觀察
show aaa methold-list authentication
image
5.RADIUS 與 TACACS+1比較

  RADIUS TACACS+
標準 公開的標準 Cisco標準
port Cisco->1645/1646 UDP
MS IAS->1812/1813 UDP
49/TCP
認證方法
授權方法
認證+授權
使用1645 or 1812 UDP
可在同一個TCP49的session或個別的TCP 49的session
ex:
認證使用TACACS+ 走TCP49
授權使用TACACS+走TCP 49
計量使用RADIUS 走TCP 49
計量方法 計量
使用1646 / 1813 UDP
 
加密 只加密payload 整個packet加密

802.1x Port-based Authentication

image
1.802.1x特性
(1)認證Server只支援RADIUS。
(2)未認証成功之前在Switch port上只有802.1x的控制訊號傳輸,且不行傳送Data資料。
(3)Client端需要支援802.1x,導致不普及。
(4)Client與NAS有3種認證方法:
    -MD5
    -TLS(憑證)
    -OTP
(5)建議要有2種以上的認證機制(two-factor)
(6)預設沒有啟動802.1x
(7)要先認證才可使用
(8)只能設定在Access Port上
(9)不可以設定在Etherchannel / Tunmk port / Span port(Sniff port)
(10)可以給予不同VLAN,就可以套用不同的QoS設定
2.802.1x的流程圖
image
3.Config 802.1x步驟
image 

指定RADIUS server
Switch(config)#radius-server host x.x.x.x key xx
補充:
AAA Authorization
 
設定方法
image

觀察等級的方法:
show privilege

VLAN Hopping Attack & Dobule Tagging

image
1.VLAN Hopping的定義:
(1)設備可以在不同VLAN傳送資料
(2)Attacker與其他VLAN可以傳送資料
2.防護方法
(1)手動設定SW port為Access port
(2)關閉DTP,不自動形成Trunk
(3)使用無Data traffic的VLAN成為Native VLAN
(4)設定ACL去區分存取的範圍

VLAN Hoppint with Dobule Tagging

image
1.VLAN Hopping with Dobule Tagging的定義:
(1)Native VLAN設定與Data的VLAN相同
(2)Attacker的Frame有2個Tag,在經過第一個SW會把Native Vlan移除,就會造成不同VLAN可以互相溝通
2.防護方法
(1)手動設定Switch port為Access port
(2)使用無Data traffic的VLAN成為Native VLAN

ACL的種類

image 
1.ACL的種類

種類 定義
Port ACL *L2 ACL,最優先檢查,只針對Inbound的方向
*適用於IP-ACL & MAC-ACL
VLAN ACL
(VLAN access map)
*L2 ACL,用在VLAN上,沒有方向,進出都檢查,設定較複雜
*適用於IP-MAC & MAC-ACL
*以VLAN access-map去過濾
*VLAN access map沒有任何match就表示都permit,若有定義但沒有match表示都drop
Routed ACL *L3 ACL,有In/Out的方向
*只用於IP-ACL
*經過Router介面才會檢查
2.VLAN ACL(VACL)設定方法
image 
3.VALN ACL範例
image

Private VLAN(Sub-VLAN)

1.Private VLAN角色定義

角色 定義
Primary VLAN
(Parent VLAN)
最外層的VLAN,就是原本的VLAN
Second VLAN
(Child VLAN)
(Private VLAN)
再區分2種VLAN

1.Community VLAN:
*可以有多個Community Member
*被歸類在Community VLAN的host可以互通。
2.Isolated(隔離) VLAN:
*只有一個Isolated Member
*被歸類為Isolated VLAN的host不可以互通。
2.Private VLAN port種類
image

種類 定義
Isolated port *Isolated Port 的PC彼此不互通
*可與Promiscuous port互通
Promiscuous port *成為Primary Port,可以與其他port互通
*也是大家的default Gateway
Community port 可與Community port互通
3.Private VLAN注意事項
(1)關閉VTP
(2)不可以為Port Security介面
(3)可以使用在Etherchannel
(4)使用在VLAN 1006~4096
(5)不可以是SPAN port
(6)大部分是用在Virtual Mechin上,在Data Sation上較常用。
4.設定的方法
Step1:
image
Step2:
image
Step3:(GW在上層設備)
image
Step4:(GW在本機上面)
image  
5.設定範例:

Step1: Configuring and Associating VLANs in a Private VLAN

Switch(config)# vlan 20
Switch(config-vlan)# private-vlan primary
Switch(config)# vlan 501
Switch(config-vlan)# private-vlan isolated
Switch(config)# vlan 502
Switch(config-vlan)# private-vlan community
Switch(config)# vlan 20
Switch(config-vlan)# private-vlan association 501-502
Switch# show vlan private vlan


Step 2: Configuring a Layer 2 Interface as a Private-VLAN Host Port

Switch(config)# interface fastethernet0/22
Switch(config-if)# switchport mode private-vlan host
Switch(config-if)# switchport private-vlan host-association 20 501

Step 3: Configuring a Layer 2 Interface as a Private-VLAN Promiscuous Port

(Default Gsteway在上層設備上)

Switch(config)# interface fastethernet0/2
Switch(config-if)# switchport mode private-vlan promiscuous
Switch(config-if)# switchport private-vlan mapping 20 add 501-503
Switch#show vlan private-vlan
Switch#sh interfaces status

Step 4: Mapping Secondary VLANs to a Primary VLAN Layer 3 VLAN Interface

(Default Gsteway在本機上)

Switch(config)# interface vlan 20
Switch(config-if)# private-vlan mapping 501-502

*L2的設備可使用protect port達到同vlan的port不通的功能,如同Isolated的功能

2009 年 05 月 10 日

CCNP-BCMSN Module 05 Implementing HSRP/VRRP/GLBP

Filed under: CCNP-BCMSN Module 05 — nkongkimo @ 10:56:23

Proxy ARP

image
Proxy ARP的機制:
1.預設啟動
2.當收到ARP Request的時候,滿足以下條件時會發生Proxy ARP:
    (1)ARP Traget IP(目的地IP)與接收介面不在同一個Subnet上,會發生Proxy-ARP。
    (2)ARP Traget IP(目的地IP)有Routing Info.,會發生Proxy-ARP
3.Proxy-ARP的動作會幫外部的設備代理回應ARP Reply的訊息給PC,告知PC 他知道往目的地的路由資訊。
3.建議關閉Proxy ARP
  (config-if)#no ip proxy-arp
4.檢查Proxy-ARP的方法:
   show ip int fa x/x
image
目前Windows ARP的機制:
1.當PC有設定Default Gateway時,網卡會發ARP去問Gateway的MAC,再往目的地送。
2.當沒有設定Default Gateway跨網段的封包會被Drop。
SW的機制:
不管有無設定Default Gateway都發ARP去詢問Gateway的MAC。

IRDP(ICMP Router Discovery Protocol)

1.預設關閉
2.使用(config-if)#ip irdp啟動
3.使用Broadcast的方式傳送給同網段的設備
4.Router定期告知Subnet 設備Router的存在。
5.使用在Router與PC之間的協定,PC要有支援才可以。
6.雙邊設備都要啟動才有效果。

HSRP(Hot Standby Router Protocol)

image 

  HSRP v1 HSRP v2
Virtual MAC 0000:0C07:ACxx
0000:0C-OUI(廠商識別碼)
07:AC-表示HSRP v1
xx-表示Group(最多256個)
0000:0C9F:Fxxx
0000:0C – OUI(廠商識別碼)
9F:F – 表示HSRP v2
xxx – 表示Group編號(max 4096個)
Virtual IP 使用一個獨立的V-IP及V-MAC
是PC的Default Gateway
與HSRP v1一樣
HSRP 角色
角色 定義
Active Router 1.負責轉送資料
    -Dest IP=VIP
    -Dest MAC=VMAC
2.負責回應對VIP的Request
3.負責回應ARP
Standby Router 當Active Router掛掉時,變成Active的角色,負責Atcive的工作
Speak Router 其他的Router都叫做Speak Router

*更新角色的動作:
Standby Router接手時會發一個ARP的廣播問自己,為了做全部MAC的更新,Src的MAC會是Virtual的MAC,告訴所有人誰是Virtual IP並自己回答是自己的網卡MAC,達到由Sandby並成Active的目的。

與HSRP v1一樣
Hello MSG 224.0.0.2(所有的IPv4的Router)(Multicast位址)
Src & Dest都走1985/UDP
224.0.0.102
Src & Dest都走1985/UDP
HSRP Hello Active Hello 每3秒傳送一次(預設值)
Standby Helo 每3秒傳送一次(預設值)
*建議改為MS等級傳送一次
與HSRP v1一樣
HSRP Holdtime Active Holdtime 10秒(為Hello time的3倍)
Standby Holdtime 10秒(為Hello time的3倍)
與HSRP v1一樣
HSRP State
狀態 定義
1.Initial(進入) 1.介面剛UP
2.Router 不會送出Hello
2.Learn(學習) 1.已收到Hello的訊息
2.還不知道誰是Active Router
3.還不知道Virtual IP
4.Router不會送出Hello
3.Listen(頃聽) 1.已知道HSRP Group Vritual IP
2.自己的角色還未確定
(可以手動設定or自動學習)
3.Router不會送出Hello
4.Speak 1.主動送出HSRP Hello
2.參與Active / Standby的競選(利用PRI值)
5.Standby(備援) 1.唯一Active的候選人
2.Group只有一個Standby Router
3..開始送出Hello的訊息
6.Active(主要) 1.負責傳送Virtual IP及Virtual MAC
2.Group只有一個Active Router
3.開始送出Hello訊息
與HSRP v1一樣
HSRP 競選 1.必須要在同一個Group下
2.Highest Priority(越大越好),PRI值預設為100。
3.Highest Interface IP(越大越好)
與HSRP v1一樣
Preempt 1.當A為Active Router,B是Standby Router。
當A設備掛掉時,會由B設備取代,若A Router恢復時,會把原來的B Router的Active角色搶回來。
2.建議都要設定Preempt
 
備註 1.在一個Group裡面最少要有一個Router,通常都是2個
2.Virtual IP與PC在同一個VLAN或同一個網段。
3.一個Virtual Router只能服務一個群組,也可以設定多個
4.PC也可以設定真實Router但是要是真實Router 掛掉就無法傳送資料。
5.Cisco 3750 3560 SW都只支援HSRP,要Router才支援VRRP/GLBP的協定
6.Cisco專屬協定
7.啟用HSRP時會自動關閉ICMP Redirect。
與HSRP v1一樣

Config HSRP

1.設定群組 & V-IP
 
由此可知V-MAC為0000:0C07:AC01
2.最佳化的調整

(1)調整PRI值 確認那一台可以成為Active
*預設值為100
*當PRI=0時不加入競選
image
image
(2)設定Preempt 確保封包繞送的路徑
*預設沒有啟動
*建議Router都要啟動
*可使用Delay去配合VTP / Routing收斂的時間
image
image
(3)調整Timer 加快收斂速度
*可依重要性使用msec等級的hellotime / holdtime
*建議Holdtime為3倍的Hello
image
image
(4)追蹤Tracing 外線發生未提的追蹤
*當外線有問題時,自動調整PRI值去調整路徑
*Cisco使用扣分制
*當線路恢復正常時會加回來
*可以定義多種物件來判斷
image
image
3.HSRP Authentication

(1)Plain-text認證方法:
*明文的方式較不安全
image   
(2)MD5 key-string認證方法:
*較安全的方式
image  
(3)MD5 Key-chain認證方法:
*最安全的方式
step1:
建立Key-chain(一串鑰匙)
image
step2:
建立key-string
image
step3:
套用到HSRP認證裡面
image

Show的觀察

1.Show standby brief
image
2.show standby
image
3.debug standby
image

Multiple HSRP Group

image
1.一個VLAN下可以設定多組Group,可以達到Load Sharing的機制
2.較少人使用,通常都是由一個Router當作Active,一個Router當作Standby
3.查修較不容易
4.設定在Route Port或SVI上

VRRP(Virtual Router Redundancy Protocol)

image

Virtual MAC 0000.5E00.01XX
0000:5E-OUI(廠商識別碼)
00:01-表示VRRP
xx-表示Group(最多256個)
Virtual IP 使用一個獨立的V-IP及V-MAC
是PC的Default Gateway
VRRP 角色
角色 定義
Master Router 1.負責轉送資料
    -Dest IP=VIP
    -Dest MAC=VMAC
2.負責回應對VIP的Request
3.負責回應ARP
4.只有Master會送出Hello訊息
5.當V-IP被設定為實體Router的IP時,此Router馬上成為Master
Backup Router 1.其他的Router都叫做Backup Router
2.當Master Router掛掉時,會看PRI高的Router成為Master
3.不會送出Hello的訊息
Hello MSG 224.0.0.18
直接封裝在IP封包裡面,Protocol號碼為112
VRRP Hello 1.Advertisement time 預設 1 Sec傳送一次
2.只有Master Router會送Hello
VRRP Holdtime Down Interval = 3* Advertisement Timer + Skew time(傾斜的時間)
註:Skew Time = 256-priority/256
VRRP 競選 1.必須要在同一個Group下
2.當V-IP被設定成實體Router的IP時,此Router馬上成為Master Router。(PRI值會自動設成255)
3.Highest Priority(越大越好),PRI值預設為100。
4.Highest Interface IP(越大越好)
5.當PRI值=0時表示永遠當做Backup角色
Preempt 1.當A為Master Router,B是Bakup Router。
當A設備掛掉時,會由B設備取代,若A Router恢復時,會把原來的B Router的Master角色搶回來。
2.建議都要設定Preempt
備註 1.在一個Group裡面最少要有一個Router,通常都是2個
2.Virtual IP與PC在同一個VLAN或同一個網段。
3.一個Virtual Router只能服務一個群組,也可以設定多個
4.IEEE (RFC 2338)標準,各家都支援(建議使用同一家設備)
5.啟用HSRP時會自動關閉ICMP Redirect。
6.使用tracertout時,會發現第一站為實體IP,非V-IP,是因為TTL的機制所以會出現此狀況。

Config VRRP

1.設定群組 & V-IP
  
由此可知V-MAC為0000.5E00.0110
2.最佳化的調整

(1)調整PRI值 確認那一台可以成為Active
*預設值為100
*當PRI=0時不加入競選
  
(2)設定Preempt 確保封包繞送的路徑
*預設啟動
*建議Router都要啟動
*可使用Delay去配合VTP / Routing收斂的時間
與HSRP設定的方法相同
(3)調整Timer 加快收斂速度
*可依重要性使用msec等級的hellotime / holdtime
 
(4)追蹤Tracing 外線發生未提的追蹤
*當外線有問題時,自動調整PRI值去調整路徑
*Cisco使用扣分制
*當線路恢復正常時會加回來
*可以定義多種物件來判斷
*預設使用Line Protocol / Routing資訊
step1:建立Track的Profile
(1)track Line Protocol的方式
image
(2)track路由資訊的方式
image 
step2:套用到VRRP裡面
image
3.VRRP Authentication

(1)Plain-text認證方法:
*明文的方式較不安全
*設定方法與HSRP相同  
(2)MD5 key-string認證方法:
*較安全的方式
*設定方法與HSRP相同 
(3)MD5 Key-chain認證方法:
*最安全的方式
*步驟皆與設定HSRP相同

Show的觀察

1.Show vrrp brief
 image
2.show vrrp
image

GLBP(Gateway Load Balancing Protocol)

image

Virtual MAC 0007:B4yy:yyyy
0007:B4-OUI(廠商識別碼)
yy:yyyy-表示AVF
 
Group最多1024個
ex:若有一個第一群組的第3個Router,他的V-MAC為0007:B400:01(群組)03(Router)
Virtual IP 使用一個獨立的V-IP及多個V-MAC
V-IP是PC的Default Gateway
*作法第一台PC來詢問就給第一台Router的MAC,第2台來詢問就給第2台Router的MAC…
GLBP角色
角色 定義
AVG
(Active Virtual Gateway)
1.負責Assing V-MAC給Forwarder
    -Dest IP=VIP
    -Dest MAC=AVF MAC
2.負責回應對VIP的Request
3.負責回應ARP
4.會選出Active 及 Standby AVG
AVF
(Active Virtual Forwarder)
1.負責轉送Data的Router
2.再同一個Group裡最多4台AVF
3.每一個Router都是AVF

*GLBP可以達到Load Blance的目標
*GLBP裡同一個Router可以是AVG又是AVF

Hello MSG 224.0.0.102
Src & Dest都走3222/UDP
GLBP Hello Active Hello 每3秒傳送一次(預設值)
Standby Helo 每3秒傳送一次(預設值)
*建議改為MS等級傳送一次
GLBP Holdtime Active Holdtime 10秒(為Hello time的3倍)
Standby Holdtime 10秒(為Hello time的3倍)
GLBP 競選 1.必須要在同一個Group下
2.Highest Priority(越大越好),PRI值預設為100。
3.Highest Interface IP(越大越好)
4.PRI最大的會成為AVG
5.PRI=0表示永遠都不成為AVG Router
GLBP Load Blance
1.Weight(權重)
*設定權重的方式
2.Host-Dependant
*建議值
*同一個Client詢問時,都會回同一個AVF Router
3.Round-Rabai
*不建議使用
*第一個Client就給他第一個AVF,第2個就給他第2個AVF
Preempt 1.當A為Active AVG Router,B是Standby AVG Router。
當A設備掛掉時,會由B設備取代,若A Router恢復時,會把原來的B Router的Active角色搶回來。
2.建議都要設定Preempt
備註 1.GLBP要達到的目標為,一個Group裡面的Router都可以轉送Data,不像HSRP與VRRP,都只有一台Active的Router轉送Data。
2.Virtual IP與PC在同一個VLAN或同一個網段。
3.多個Router服務一個群組。
4.PC也可以設定真實Router但是要是真實Router 掛掉就無法傳送資料。
5.Cisco 3750 3560 SW都只支援HSRP,要Router才支援VRRP/GLBP的協定
6.Cisco專屬協定
7.啟用HSRP時會自動關閉ICMP Redirect。

Config GLBP

1.設定群組 & V-IP
 
  
由此可知V-MAC為0007:B400:0701
2.最佳化的調整

(1)調整PRI值 確認那一台可以成為Active
*預設值為100
*當PRI=0時不加入競選
  
(2)設定Preempt 確保封包繞送的路徑
*預設啟動
*建議Router都要啟動
*可使用Delay去配合VTP / Routing收斂的時間
與HSRP設定的方法相同
(3)調整Timer 加快收斂速度
*可依重要性使用msec等級的hellotime / holdtime
  
(4)load balance 分流的方法
(5)追蹤Tracing 外線發生未提的追蹤
*當外線有問題時,自動調整PRI值去調整路徑
*Cisco使用扣分制
*當線路恢復正常時會加回來
*可以定義多種物件來判斷
*預設使用Line Protocol / Routing資訊
step1:建立Track的Profile
(1)track Line Protocol的方式
image
(2)track路由資訊的方式
image 
step2:套用到GLBP裡面
image
3.GLBP Authentication

(1)Plain-text認證方法:
*明文的方式較不安全
*設定方法與HSRP相同  
(2)MD5 key-string認證方法:
*較安全的方式
*設定方法與HSRP相同 
(3)MD5 Key-chain認證方法:
*最安全的方式
*步驟皆與設定HSRP相同

Show的觀察

1.Show glbp brief
*Active Router
  image
*Standby Router
image
2.showglbp
 image
3.showip int fa x/x
image

HSRP/VRRP/GLBP比較表

  HSRP v1 HSRP v2 VRRP GLBP
標準 Cisco Proprietary Cisco Proprietary IEEE (RFC 2338) Cisco Proprietary
Hello Message (IP) 224.0.0.2 224.0.0.102 224.0.0.18 224.0.0.102
Port # / Pro. # 1985 /UDP
(both src & dest Port)
1985 /UDP
(both src & dest Port)
Proto. # 112 3222 /UDP
(both src & dest Port)
Virtual Router # 256 (GID 0~255) 4096 (GID=0~4095) 256 (GID= 0~255) 1024 Groups
4 AVF per Group
  Single VIP
Single V-MAC
Single VIP
Single V-MAC
Single VIP
Single V-MAC
Single VIP
Multiple V-MAC
Virtual MAC # 0000.0c07.acXY 0000.0c9F.FXXX 0000.5e00.01XX 0007.b4yy.yyyy
where lower 24-bits: 000000-Group ID-Forwarder #
(6 bits) (10 bits) (8 bits)
角色 1 Active/ 1 Standby/ others: Speak 1 Active/ 1 Standby/ others: Speak 1 Master / Others : Backup AVG: Assign V-MAC / Reply ARP Request for VIP
AVF: Forward packets destinated for V-MAC
Router Election 1. Highest Priority
2. Highest Interface IP
1. Highest Priority
2. Highest Interface IP
1. Highest Priority
2. Highest Interface IP
1. Highest Priority
2. Highest Interface IP
Hello Timer 3 Sec (Active/Standby/Speak都會送) 3Sec (Active/Standby/Speak
都會送)
Advertisement Interval: 1 Sec
(只有Master會送)
3 Sec. (learnedn form AVG)
Hold-Down Timer Active Timer: 10 Sec
Standby Timer: 10 Sec
Active Timer: 10 Sec
Standby Timer: 10 Sec
Down Interval = 3* Advertisement Timer + Skew time
Skew Time = 256-priority/256
10 Seconds (learnedn form AVG)
State 1.initial(進入)
2.Learn(學習)
3.Listen(頃聽)
4.Speak
(競選active or standby)
5.Standy(備援)
6.Active(主要)
     
Load Blance       1.Weighted load-balacning
2. Host-dependent load-balacning
3. Round-Robin load-balacning

在WordPress.com寫網誌.