思科认证CCNA考试听课笔记2 - IT人
您的位置: 首页 » 资讯 » 职场 » 正文
思科认证CCNA考试听课笔记2
09月01日 投稿 新!

  跳密码:


  启动,ctrl break进入rommon模式,confreg 0x2142,第三位的4意为启动时跳过NVRAM,直接从RAM启动,然后reset或i重启没有口令可进入特权模式,show start可查看NVRAM配置文件,copy start run将配置文件拷贝到RAM,即可修改删除密码,保存新的配置到NVRAM,再config-register 0x2102改回正常启动过程。


  用TFPT上传下载配置文件


  TFTP对大文件(大于17M)的上传下载会丢包;


  copy flash tftp将flash中的操作系统文件拷贝到TFTP SERVER,最好不要改文件名


  反之类似,需注意文件大小,因为flash容量很小


  上面是路由器的方法,对于交换机,下载操作一样,上传不同。


  RAM到NVRAM、RAM到TFTP拷贝时是完全覆盖,相反方向则是添加合并的过程。如果想保证上传到RAM的文件是干净的,要先清空RAM. CDP思科发现协议,每60秒给直连邻居发送信息,180秒收不到邻居发来的信息则认为邻居失效,从本地删除其CDP信息


  在网络中,一定要把不必要的端口关闭CDP


  在配置模式下no cdp run全局关闭CDP,在接口下no cdp enable关闭该接口的CDP


  show cdp entry * 查看详细CDP信息,包含邻居接口的IP地址和软件版本交换机安全MAC Flooding Attack:


  向交换机发送大量无效的MAC地址,占满其CAM表,致使正常的MAC无法学习而导致流量泛洪。


  防护:设置MAC地址数限制、指定允许的MAC地址、定义违规行为(protect/restrict/shutdown)


  Switchport port-security 启用端口安全,缺省这个端口只支持一个MAC地址(可以静态指定,可以动态学习)


  Switchport port-security maximum 指定端口最多可以学习的MAC地址个数(VoIP端口至少要把这个值设为2,以支持一个IP电话和一台PC)


  Switchport port-security aging 学到的地址缺省不过期,这命令指定地址过期时间


  Switchport port-security violation {shutdown|protect|restrict}


  三种方式下,当违规时端口都将变为err-disable状态,LED灯灭。Protect和restrict方式下当违规消除后端口又变为可用状态,而shutdown方式需管理员手工no shut.Protect方式不会记录违规行为,restrict和shutdown会发送SNMP Trap或syslog给LOG服务器,并把违规计数器加1.


  端口安全不能配置在trunk端口,因为地址会频繁变化


  802.1x:基于端口的认证


  IEEE 802.1X认证成功之前,交换机端口为桔色指示灯,客户连接的端口在LAN上只允许传递可扩展的认证协议(EAPOL:EAP over LAN),CDP和生成树的STP.只有认证成功后才可以传递正常的流量。


  基于EAP-MD5的802.1x认证流程:


  (1) 客户端向接入设备发送一个EAPoL-Start报文,开始802.1x认证接入;


  (2) 接入设备向客户端发送EAP-Request/Identity报文,要求客户端将用户名送上来;


  (3) 客户端回应一个EAP-Response/Identity给接入设备的请求,其中包括用户名;


  (4) 接入设备将EAP-Response/Identity报文封装到RADIUS Access-Request报文中,发送给认证服务器;


  (5) 认证服务器产生一个Challenge,通过接入设备将RADIUS Access-Challenge报文发送给客户端,其中包含有EAP-Request/MD5-Challenge;


  (6) 接入设备通过EAP-Request/MD5-Challenge发送给客户端,要求客户端进行认证;


  (7) 客户端收到EAP-Request/MD5-Challenge报文后,将密码和Challenge做MD5算法后的Challenged-Pass-word,在EAP-Response/MD5-Challenge回应给接入设备;


  (8) 接入设备将Challenge,Challenged Password和用户名一起送到RADIUS服务器,由RADIUS服务器进行认证;


  (9) RADIUS服务器根据用户信息,做MD5算法,判断用户是否合法,然后回应认证成功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授权。如果认证失败,则流程到此结束;


  (10) 如果认证通过,用户通过标准的DHCP协议(可以是DHCP Relay),通过接入设备获取规划的IP地址;


  (11) 如果认证通过,接入设备发起计费开始请求给RADIUS用户认证服务器;


  (12) RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。

[出处:中华考试网]
编辑】 【打印版】 【推荐给朋友】【投稿 新!

你觉得怎样?

昵称 *
电邮 *
网站或博客 *
内容 *
确认码 *
4 + 4 = ?  
输入表达式的结果
*
*
* = 必填

申明:本文以及评论仅代表网友个人意见,不代表本网立场!如果侵犯了您的权益,请跟我们联系。