企业被网站收录/一键seo提交收录
最近通过某个平台接的单子,最后Kali做的测试没有公开可以私聊给教程。
下面是规划与配置
1.vlan方面:推荐一个vlan下的所有主机为一个子网网段
连接电脑和http客户端的接口配置为access接口
交换机与交换机或路由器连接的接口配置为trunk接口---也可以配置为access接口但是为了扩展性,trunk接口更佳,允许vlan10到vlan100通过
对汇聚层交换配置对应的vlanif的ip地址
两个汇聚层交换机间配置eth-trunk,模式采用静态lacp
配置代码:
交换机1
sys
sys sw1
vlan 10
quit
int g0/0/3
port link-type access
port defult vlan 10
int g0/0/4
port link-type access
port defult vlan 10
int g0/0/1
port link-type trunk
port trunk allow-pass vlan 10 to 100
int g0/0/2
port link-type trunk
port trunk allow-pass vlan 10 to 100
交换机2:
sys
sys sw2
vlan batch 20 30
int g0/0/3
port link-type access
port defult vlan 30
int g0/0/4
port link-type access
port defult vlan 20
int g0/0/1
port link-type trunk
port trunk allow-pass vlan 10 to 100
int g0/0/2
port link-type trunk
port trunk allow-pass vlan 10 to 100
交换机3:
sys
sys sw3
vlan batch 40 50
int g0/0/5
port link-type access
port defult vlan 40
int g0/0/3
port link-type access
port defult vlan 50
int g0/0/4
port link-type access
port defult vlan 50
int g0/0/1
port link-type trunk
port trunk allow-pass vlan 10 to 100
int g0/0/2
port link-type trunk
port trunk allow-pass vlan 10 to 100
交换机4:
sys
sys sw4
vlan 60
quit
int g0/0/3
port link-type access
port defult vlan 60
int g0/0/1
port link-type trunk
port trunk allow-pass vlan 10 to 100
int g0/0/2
port link-type trunk
port trunk allow-pass vlan 10 to 100
交换机5
sys
sys sw5
vlan batch 10 20 30 91 92
int eth-trunk 1
mode lacp
quit
int g0/0/2
eth-trunk 1
int g0/0/6
eth-trunk 1
quit
lacp priority 100 //将优先级配置为100,使改侧成为主动端
int g0/0/1
port link-type trunk
port trunk allow-pass vlan 10 to 100
int g0/0/3
port link-type trunk
port trunk allow-pass vlan 10 to 100
int eth-trunk 1
port link-type trunk
port trunk allow-pass vlan 10 to 100
int g0/0/4
port link-type access
port defult vlan 91
int g0/0/5
port link-type access
port defult vlan 92
int vlanif 10
ip address 172.22.10.100 24
int vlanif 20
ip address 172.22.20.100 24
int vlanif 30
ip address 172.22.30.100 24
int vlanif 91
ip address 172.22.1.1 24
int vlanif 92
ip address 172.22.2.1 24
交换机6:
sys
sys sw6
vlan batch 10 20 30 93 94
int eth-trunk 1
mode lacp
quit
int g0/0/2
eth-trunk 1
int g0/0/6
eth-trunk 1
quit
int g0/0/1
port link-type trunk
port trunk allow-pass vlan 10 to 100
int g0/0/3
port link-type trunk
port trunk allow-pass vlan 10 to 100
int eth-trunk 1
port link-type trunk
port trunk allow-pass vlan 10 to 100
int g0/0/4
port link-type access
port defult vlan 93
int g0/0/5
port link-type access
port defult vlan 94
int vlanif 10
ip address 172.22.10.200 24
int vlanif 20
ip address 172.22.20.200 24
int vlanif 30
ip address 172.22.30.200 24
int vlanif 93
ip address 172.22.3.1 24
int vlanif 94
ip address 172.22.4.1 24
交换机7:
sys
sys sw7
vlan batch 40 50 60 95 96
int eth-trunk 1
mode lacp
quit
int g0/0/1
eth-trunk 1
int g0/0/7
eth-trunk 1
quit
lacp priority 100 //将优先级配置为100,使改侧成为主动端
int g0/0/2
port link-type trunk
port trunk allow-pass vlan 10 to 100
int g0/0/3
port link-type trunk
port trunk allow-pass vlan 10 to 100
int eth-trunk 1
port link-type trunk
port trunk allow-pass vlan 10 to 100
int g0/0/4
port link-type access
port default vlan 95
int g0/0/5
port link-type access
port default vlan 96
int vlanif 40
ip address 172.22.40.100 24
int vlanif 50
ip address 172.22.50.100 24
int vlanif 60
ip address 172.22.60.100 24
int vlanif 95
ip address 172.22.5.1 24
int vlanif 96
ip address 172.22.6.1 24
交换机8:
sys
sys sw8
vlan batch 40 50 60 97 98
int eth-trunk 1
mode lacp
quit
int g0/0/1
eth-trunk 1
int g0/0/6
eth-trunk 1
quit
int g0/0/2
port link-type trunk
port trunk allow-pass vlan 10 to 100
int g0/0/3
port link-type trunk
port trunk allow-pass vlan 10 to 100
int eth-trunk 1
port link-type trunk
port trunk allow-pass vlan 10 to 100
int g0/0/4
port link-type access
port default vlan 97
int g0/0/5
port link-type access
port default vlan 98
int vlanif 40
ip address 172.22.40.200 24
int vlanif 50
ip address 172.22.50.200 24
int vlanif 60
ip address 172.22.60.200 24
int vlanif 97
ip address 172.22.7.1 24
int vlanif 98
ip address 172.22.8.1 24
路由器1:---IP地址配置
sys
sys r1
int g5/0/3
ip address 172.22.1.2 24
int g0/0/1
ip address 172.22.3.2 24
int g0/0/2
ip address 172.22.5.2 24
int g0/0/0
ip address 172.22.7.2 24
int g5/0/0
ip address 172.22.9.1 24
int g5/0/1
ip address 115.200.60.1 24
int g5/0/2
ip address 172.22.70.1 24
int loop 1
ip address 1.1.1.1 32 //用于组播和测试
路由器2:---IP地址配置
sys
sys r2
int g0/0/0
ip address 172.22.2.2 24
int g0/0/1
ip address 172.22.4.2 24
int g0/0/2
ip address 172.22.6.2 24
int g2/0/0
ip address 172.22.8.2 24
int g2/0/1
ip address 172.22.9.2 24
int g2/0/2
ip address 223.104.244.1 24
int g2/0/3
ip address 172.22.80.1 24
int loop 1
ip address 2.2.2.2 32 //用于组播
2.dhcp方面:在汇聚层交换机上配置dhcp用于给接入层的主机分配地址---http客户端可能得自己设置地址不能dhcp自动获得,因此在配置dhcp地址池的时候应预先保留一部分的地址空间
交换机5:
sys
dhcp enable
ip pool forvlan10
gateway-list 172.22.10.254
network 172.22.10.0 mask 24
lease day 1
excluded-ip-address 172.22.10.100 172.22.10.253
ip pool forvlan20
gateway-list 172.22.20.254
network 172.22.20.0 mask 24
lease day 1
excluded-ip-address 172.22.20.100 172.22.20.253
ip pool forvlan30
gateway-list 172.22.30.254
network 172.22.30.0 mask 24
lease day 1
excluded-ip-address 172.22.30.100 172.22.30.253
interface vlanif 10
dhcp select global
interface vlanif 20
dhcp select global
interface vlanif 30
dhcp select global
交换机6:
sys
dhcp enable
ip pool forvlan10
gateway-list 172.22.10.254
network 172.22.10.0 mask 24
lease day 1
excluded-ip-address 172.22.10.1 172.22.10.100
excluded-ip-address 172.22.10.200 172.22.10.253
ip pool forvlan20
gateway-list 172.22.20.254
network 172.22.20.0 mask 24
lease day 1
excluded-ip-address 172.22.20.1 172.22.20.100
excluded-ip-address 172.22.20.200 172.22.20.253
ip pool forvlan30
gateway-list 172.22.30.254
network 172.22.30.0 mask 24
lease day 1
excluded-ip-address 172.22.30.1 172.22.30.100
excluded-ip-address 172.22.30.200 172.22.30.253
interface vlanif 10
dhcp select global
interface vlanif 20
dhcp select global
interface vlanif 30
dhcp select global
交换机7:
sys
dhcp enable
ip pool forvlan40
gateway-list 172.22.40.254
network 172.22.40.0 mask 24
lease day 1
excluded-ip-address 172.22.40.100 172.22.40.253
ip pool forvlan50
gateway-list 172.22.50.254
network 172.22.50.0 mask 24
lease day 1
excluded-ip-address 172.22.50.100 172.22.50.253
ip pool forvlan60
gateway-list 172.22.60.254
network 172.22.60.0 mask 24
lease day 1
excluded-ip-address 172.22.60.100 172.22.60.253
interface vlanif 40
dhcp select global
interface vlanif 50
dhcp select global
interface vlanif 60
dhcp select global
交换机8:
sys
dhcp enable
ip pool forvlan40
gateway-list 172.22.40.254
network 172.22.40.0 mask 24
lease day 1
excluded-ip-address 172.22.40.1 172.22.40.100
excluded-ip-address 172.22.40.200 172.22.40.253
ip pool forvlan50
gateway-list 172.22.50.254
network 172.22.50.0 mask 24
lease day 1
excluded-ip-address 172.22.50.1 172.22.50.100
excluded-ip-address 172.22.50.200 172.22.50.253
ip pool forvlan60
gateway-list 172.22.60.254
network 172.22.60.0 mask 24
lease day 1
excluded-ip-address 172.22.60.1 172.22.60.100
excluded-ip-address 172.22.60.200 172.22.60.253
interface vlanif 40
dhcp select global
interface vlanif 50
dhcp select global
interface vlanif 60
dhcp select global
至此各个vlan的主机ping 172.22.x.100和 172.22.x.200 都能ping通
3.mstp方面:接入层和汇聚层的交换机配置mstp协议,实现不同vlan对应的mstp实例的根桥不同以实现负载分担和主备备份-----注意:对于一个vlan来说mstp的根桥和vrrp的主交换机应该一致
交换机5:
sys
stp region-configuration
region-name campusnet1
revision-level 1
instance 1 vlan 10
instance 2 vlan 20
instance 3 vlan 30
active region- configuration
stp instance 1 root primary
stp instance 2 root secondary
stp instance 3 root secondary
交换机6:
sys
stp region-configuration
region-name campusnet1
revision-level 1
instance 1 vlan 10
instance 2 vlan 20
instance 3 vlan 30
active region-configuration
quit
stp instance 1 root secondary
stp instance 2 root primary
stp instance 3 root primary
交换机1:
sys
stp region-configuration
region-name campusnet1
revision-level 1
instance 1 vlan 10
active region-configuration
交换机2:
sys
stp region-configuration
region-name campusnet1
revision-level 1
instance 2 vlan 20
instance 3 vlan 30
active region-configuration
交换机7:
sys
stp region-configuration
region-name campusnet2
revision-level 1
instance 1 vlan 40
instance 2 vlan 50
instance 3 vlan 60
active region-configuration
stp instance 2 root primary
stp instance 1 root secondary
stp instance 3 root secondary
交换机8:
sys
stp region-configuration
region-name campusnet2
revision-level 1
instance 1 vlan 40
instance 2 vlan 50
instance 3 vlan 60
active region-configuration
quit
stp instance 2 root secondary
stp instance 1 root primary
stp instance 3 root primary
交换机3:
sys
stp region-configuration
region-name campusnet2
revision-level 1
instance 1 vlan 40
instance 2 vlan 50
active region-configuration
交换机4:
sys
stp region-configuration
region-name campusnet2
revision-level 1
instance 3 vlan 60
active region-configuration
4.vrrp方面:对汇聚层和核心层的交换机路由器配置vrrp协议,实现不同vlan的主备备份和负载分担-----注意:对于一个vlan来说mstp的根桥和vrrp的主交换机应该一致
交换机5:
sys
int vlanif 10
vrrp vrid 1 virtual-ip 172.22.10.254
vrrp vrid 1 priority 110
vrrp vrid 1 preempt-mode timer delay 3
vrrp vrid 1 authentication-mode md5 campus
int vlanif 20
vrrp vrid 2 virtual-ip 172.22.20.254
vrrp vrid 2 priority 90
vrrp vrid 2 preempt-mode timer delay 3
vrrp vrid 2 authentication-mode md5 campus
int vlanif 30
vrrp vrid 3 virtual-ip 172.22.30.254
vrrp vrid 3 priority 90
vrrp vrid 3 preempt-mode timer delay 3
vrrp vrid 3 authentication-mode md5 campus
交换机6:
sys
int vlanif 10
vrrp vrid 1 virtual-ip 172.22.10.254
vrrp vrid 1 priority 90
vrrp vrid 1 preempt-mode timer delay 3
vrrp vrid 1 authentication-mode md5 campus
int vlanif 20
vrrp vrid 2 virtual-ip 172.22.20.254
vrrp vrid 2 priority 110
vrrp vrid 2 preempt-mode timer delay 3
vrrp vrid 2 authentication-mode md5 campus
int vlanif 30
vrrp vrid 3 virtual-ip 172.22.30.254
vrrp vrid 3 priority 110
vrrp vrid 3 preempt-mode timer delay 3
vrrp vrid 3 authentication-mode md5 campus
交换机7:
sys
int vlanif 40
vrrp vrid 1 virtual-ip 172.22.40.254
vrrp vrid 1 priority 90
vrrp vrid 1 preempt-mode timer delay 3
vrrp vrid 1 authentication-mode md5 campus
int vlanif 50
vrrp vrid 2 virtual-ip 172.22.50.254
vrrp vrid 2 priority 110
vrrp vrid 2 preempt-mode timer delay 3
vrrp vrid 2 authentication-mode md5 campus
int vlanif 60
vrrp vrid 3 virtual-ip 172.22.60.254
vrrp vrid 3 priority 90
vrrp vrid 3 preempt-mode timer delay 3
vrrp vrid 3 authentication-mode md5 campus
交换机8:
sys
int vlanif 40
vrrp vrid 1 virtual-ip 172.22.40.254
vrrp vrid 1 priority 110
vrrp vrid 1 preempt-mode timer delay 3
vrrp vrid 1 authentication-mode md5 campus
int vlanif 50
vrrp vrid 2 virtual-ip 172.22.50.254
vrrp vrid 2 priority 90
vrrp vrid 2 preempt-mode timer delay 3
vrrp vrid 2 authentication-mode md5 campus
int vlanif 60
vrrp vrid 3 virtual-ip 172.22.60.254
vrrp vrid 3 priority 110
vrrp vrid 3 preempt-mode timer delay 3
vrrp vrid 3 authentication-mode md5 campus
5.nat方面:在核心层交换机的出口流量处配置nat映射,acl设置成对内网已知的网段允许nat映射
路由器1和路由器2:
sys
acl 2999
rule 5 permit source 0.0.0.0 0.0.255.255
quit
int g5/0/1 | int g2/0/2
nat out bound 2999
quit
6.ospf方面:
交换机5:
sys
ospf 1
area 0
network 172.22.10.100 0.0.0.255
network 172.22.20.100 0.0.0.255
network 172.22.30.100 0.0.0.255
network 172.22.1.1 0.0.0.255
network 172.22.2.1 0.0.0.255
交换机6:
sys
ospf 1
area 0
network 172.22.10.200 0.0.0.255
network 172.22.20.200 0.0.0.255
network 172.22.30.200 0.0.0.255
network 172.22.3.1 0.0.0.255
network 172.22.4.1 0.0.0.255
交换机7:
sys
ospf 1
area 0
network 172.22.40.100 0.0.0.255
network 172.22.50.100 0.0.0.255
network 172.22.60.100 0.0.0.255
network 172.22.5.1 0.0.0.255
network 172.22.6.1 0.0.0.255
交换机8:
sys
ospf 1
area 0
network 172.22.40.200 0.0.0.255
network 172.22.50.200 0.0.0.255
network 172.22.60.200 0.0.0.255
network 172.22.7.1 0.0.0.255
network 172.22.8.1 0.0.0.255
路由器1:
sys
ospf 1
area 0
network 172.22.1.2 0.0.0.255
network 172.22.3.2 0.0.0.255
network 172.22.5.2 0.0.0.255
network 172.22.7.2 0.0.0.255
network 1.1.1.1 0.0.0.0
network 172.22.9.1 0.0.0.255
network 115.200.60.1 0.0.0.255
network 172.22.70.1 0.0.0.255
路由器2:
sys
ospf 1
area 0
network 172.22.2.2 0.0.0.255
network 172.22.4.2 0.0.0.255
network 172.22.6.2 0.0.0.255
network 172.22.8.2 0.0.0.255
network 2.2.2.2 0.0.0.0
network 172.22.9.2 0.0.0.255
network 223.104.244.1 0.0.0.255
network 172.22.80.1 0.0.0.255
至此各个主机ping 1.1.1.1 ;2.2.2.2;115.200.60.2;223.104.244.2都能ping通
7 igmp和pim方面:
交换机5:
sys
multicast routing-enable
int vlanif 10
pim sm
int vlanif 20
pim sm
int vlanif 30
pim sm
int vlanif 91
pim sm
int vlanif 92
pim sm
quit
int vlanif 10
igmp enable
igmp version 2
int vlanif 20
igmp enable
igmp version 2
int vlanif 30
igmp enable
igmp version 2
pim
static-rp 1.1.1.1
交换机6:
sys
multicast routing-enable
int vlanif 10
pim sm
int vlanif 20
pim sm
int vlanif 30
pim sm
int vlanif 93
pim sm
int vlanif 94
pim sm
quit
int vlanif 10
igmp enable
igmp version 2
int vlanif 20
igmp enable
igmp version 2
int vlanif 30
igmp enable
igmp version 2
pim
static-rp 1.1.1.1
交换机7:
sys
multicast routing-enable
int vlanif 40
pim sm
int vlanif 50
pim sm
int vlanif 60
pim sm
int vlanif 95
pim sm
int vlanif 96
pim sm
quit
int vlanif 40
igmp enable
igmp version 2
int vlanif 50
igmp enable
igmp version 2
int vlanif 60
igmp enable
igmp version 2
pim
static-rp 1.1.1.1
交换机8:
sys
multicast routing-enable
int vlanif 40
pim sm
int vlanif 50
pim sm
int vlanif 60
pim sm
int vlanif 97
pim sm
int vlanif 98
pim sm
quit
int vlanif 40
igmp enable
igmp version 2
int vlanif 50
igmp enable
igmp version 2
int vlanif 60
igmp enable
igmp version 2
pim
static-rp 1.1.1.1
路由器1:
sys
multicast routing-enable
int g5/0/3
pim sm
int g0/0/1
pim sm
int g0/0/2
pim sm
int g0/0/0
pim sm
int g5/0/0
pim sm
int loopback 1
pim sm
int g5/0/1
pim sm
int g5/0/2
pim sm
quit
pim
static-rp 1.1.1.1
c-bsr priority 3
c-bsr loopback 1
c-rp priority 1
c-rp loopback 1
quit
路由器1:
sys
multicast routing-enable
int g0/0/0
pim sm
int g0/0/1
pim sm
int g0/0/2
pim sm
int g2/0/0
pim sm
int g2/0/3
pim sm
int loopback 1
pim sm
int g2/0/2
pim sm
int g2/0/1
pim sm
quit
pim
static-rp 1.1.1.1
c-rp priority 3
c-rp loopback 1
quit
至此,各个主机都能收到组播源的数据
8.bfd方面:bfd协议用于辅助vrrp和(ospf协议)实现快速切换主备,以减少流量的丢失提高网络健壮性
交换机5:
sys
bfd
bfd 1
bfd 1 bind peer-ip 172.22.1.2 source-ip 172.22.1.1
discriminator local 11
discriminator remote 21
detect-multiplier 3
min-tx-interval 100
min-rx-interval 100
commit
quit
bfd 2
bfd 2 bind peer-ip 172.22.2.2 source-ip 172.22.2.1
discriminator local 12
discriminator remote 22
detect-multiplier 3
min-tx-interval 100
min-rx-interval 100
commit
quit
int vlanif 10
vrrp vrid 1 track bfd-session 10 reduced 10
vrrp vrid 1 track bfd-session 11 reduced 10
交换机6:
sys
bfd
bfd 3
bfd 3 bind peer-ip 172.22.3.2 source-ip 172.22.3.1
discriminator local 13
discriminator remote 23
detect-multiplier 3
min-tx-interval 100
min-rx-interval 100
commit
quit
bfd 4
bfd 4 bind peer-ip 172.22.4.2 source-ip 172.22.4.1
discriminator local 14
discriminator remote 24
detect-multiplier 3
min-tx-interval 100
min-rx-interval 100
commit
quit
int vlanif 20
vrrp vrid 2 track bfd-session 13 reduced 10
vrrp vrid 2 track bfd-session 14 reduced 10
int vlanif 30
vrrp vrid 3 track bfd-session 13 reduced 10
vrrp vrid 3 track bfd-session 14 reduced 10
交换机7:
sys
bfd
quit
bfd 5
bfd 5 bind peer-ip 172.22.5.2 source-ip 172.22.5.1
discriminator local 15
discriminator remote 25
detect-multiplier 3
min-tx-interval 100
min-rx-interval 100
commit
quit
bfd 6
bfd 6 bind peer-ip 172.22.6.2 source-ip 172.22.6.1
discriminator local 16
discriminator remote 26
detect-multiplier 3
min-tx-interval 100
min-rx-interval 100
commit
quit
int vlanif 50
vrrp vrid 2 track bfd-session 15 reduced 10
vrrp vrid 2 track bfd-session 16 reduced 10
交换机8:
sys
bfd
quit
bfd 7
bfd 7 bind peer-ip 172.22.7.2 source-ip 172.22.7.1
discriminator local 17
discriminator remote 27
detect-multiplier 3
min-tx-interval 100
min-rx-interval 100
commit
quit
bfd 8
bfd 8 bind peer-ip 172.22.8.2 source-ip 172.22.8.1
discriminator local 18
discriminator remote 28
detect-multiplier 3
min-tx-interval 100
min-rx-interval 100
commit
quit
int vlanif 40
vrrp vrid 1 track bfd-session 17 reduced 10
vrrp vrid 1 track bfd-session 18 reduced 10
int vlanif 60
vrrp vrid 3 track bfd-session 17 reduced 10
vrrp vrid 3 track bfd-session 18 reduced 10
路由器1:
sys
bfd
quit
bfd 1
bfd 1 bind peer-ip 172.22.1.1 source-ip 172.22.1.2
discriminator local 21
discriminator remote 11
detect-multiplier 3
min-tx-interval 100
min-rx-interval 100
commit
quit
bfd 3
bfd 3 bind peer-ip 172.22.3.1 source-ip 172.22.3.2
discriminator local 23
discriminator remote 13
detect-multiplier 3
min-tx-interval 100
min-rx-interval 100
commit
quit
bfd 5
bfd 5 bind peer-ip 172.22.5.1 source-ip 172.22.5.2
discriminator local 25
discriminator remote 15
detect-multiplier 3
min-tx-interval 100
min-rx-interval 100
commit
quit
bfd 7
bfd 7 bind peer-ip 172.22.7.1 source-ip 172.22.7.2
discriminator local 27
discriminator remote 17
detect-multiplier 3
min-tx-interval 100
min-rx-interval 100
commit
quit
路由器2:
sys
bfd
quit
bfd 2
bfd 2 bind peer-ip 172.22.2.1 source-ip 172.22.2.2
discriminator local 22
discriminator remote 12
detect-multiplier 3
min-tx-interval 100
min-rx-interval 100
commit
quit
bfd 4
bfd 4 bind peer-ip 172.22.4.1 source-ip 172.22.4.2
discriminator local 24
discriminator remote 14
detect-multiplier 3
min-tx-interval 100
min-rx-interval 100
commit
quit
bfd 6
bfd 6 bind peer-ip 172.22.6.1 source-ip 172.22.6.2
discriminator local 26
discriminator remote 16
detect-multiplier 3
min-tx-interval 100
min-rx-interval 100
commit
quit
bfd 8
bfd 8 bind peer-ip 172.22.8.1 source-ip 172.22.8.2
discriminator local 28
discriminator remote 18
detect-multiplier 3
min-tx-interval 100
min-rx-interval 100
commit
quit
display vrrp brief
display vrrp 1
9.端口镜像/防火墙方面:在核心层路由器连接防火墙侧配置端口镜像,使其通过流量同时复制到防火墙,用于入侵检测或者攻击分析
路由器1:
sys
observe-port interface GigabitEthernet 5/0/2
int g5/0/3
mirror to observe-port both
int g0/0/1
mirror to observe-port both
int g0/0/2
mirror to observe-port both
int g0/0/0
mirror to observe-port both
int g5/0/0
mirror to observe-port both
int g5/0/1
mirror to observe-port both
路由器2:
sys
observe-port interface GigabitEthernet 2/0/3
int g0/0/0
mirror to observe-port both
int g0/0/1
mirror to observe-port both
int g0/0/2
mirror to observe-port both
int g2/0/0
mirror to observe-port both
int g2/0/2
mirror to observe-port both
int g2/0/1
mirror to observe-port both
10.配置kali虚拟机到目标网络
配置VMware中的虚拟网卡(此配置为172.22.30.x网段),并将其连接到交换机上(注意交换机要配置端口类型为access;并确保无ip地址冲突—真机的ip地址; kali虚拟机从交换机的dhcp服务器上获取ip地址)
kali注意要先nat联网下载Dsniff套装工具集,之后再连接到ensp虚拟环境(切记不要在nat模式下使用macof)
macof的攻击指令 sudo macof
交换机2:(实际是在所有上下行接口配置,此处演示需要只在一个接口配置)
sys
int g0/0/5
port-security enable
port-security protect-action shutdown
port-security max-mac-num 50
port-security aging-time 1000
arp anti-attack entry-check fixed-all enable
arp gratuitous-arp send enable
arp gratuitous-arp send interval 1
(启用ip报文转发模式:echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward)
arp欺骗的指令:sudo arpspoof -i eth0 -t 172.22.30.199 172.22.30.254
arp –d:清理arp表
arp –a 查看arp表
第一条配置arp固化,实验中没法显示(将本来接入的正常主机替换为攻击的kali机再发送arp欺骗时,可能可以显示效果)
第二第三条,配置免费arp并设置时间间隔为0.5s,只能在一定程度上抵抗已经接入的“可信”主机
还可以配置dhcp snooping,并在其基础上配置动态arp检测,以在新主机接入时就防范于未然
还可以直接在主机上指定静态arp来预防
11.端口安全和密钥方面:vrrp中使用了md5认证,交换机2配置了端口安全用于限制mac地址最大学习数量,交换机2.5.6配置了免费arp和arp固话用于预防arp欺骗,telnet远程认证配置了aaa认证,nat配置了对应的acl
12.主机侧的http
学习到的:
1~~~导入已有的包需要设置tomcat环境,配置项目结构
2~~~leaflet的access_token已经过期,需要自己去Account | Mapbox注册账号并替换
3~~~leaflet的地图库似乎更新了,需要更换参数和导入方式
注意:要开启mysql服务
ensp虚拟环境的任意http客户端通过该网址获取内容:http://223.104.244.33:8888/Idea_war_exploded/index.html (主机记得关闭防火墙,否则ping不通)
13.telnet配置交换机和路由器
路由器1、2和交换机5-8:
sys
aaa
local-user campaus privilege level 15
local-user campaus password cipher campaus
quit
user-interface vty 0 4
authentication-mode aaa
quit
ctrl+]退出telnet界面
13.ftp:在外网服务器上直接开启ftp服务即可
14.dns:
交换机5,6:
sys
ip pool forvlan10
dns-list 223.104.244.2
ip pool forvlan20
dns-list 223.104.244.2
ip pool forvlan30
dns-list 223.104.244.2
交换机7,8:
sys
ip pool forvlan40
dns-list 223.104.244.2
ip pool forvlan50
dns-list 223.104.244.2
ip pool forvlan60
dns-list 223.104.244.2
15.m0n0wall防火墙:于172.22.70.x网段处配置了m0n0wall防火墙,可用于如流量控制,流量监控的作用
16.wireshark 统计---捕获文件属性,协议分级
snmp-agent
snmp-agent community read campaus
snmp-agent community read campaus1
snmp-agent sys-info version all
snmp-agent target-host trap-hostname zjut address 223.104.244.33 udp-port 162 trap-paramsname zjut
snmp-agent trap enable
开启步骤:主机联网并关闭防火墙(kali虚拟机端的云可能需要手动undo shutdown下)--->开启kali虚拟机和windows虚拟机(windows 7为snmp用)
有待改进的地方:
内网ospf可以划分多个区域,将核心层至出口路由器组成区域0,核心层和汇聚层间的路由器/三层交换机组成区域x
snmp-网管系统;dhcp安全àipsg(防止用户私自修改ip或防止非法用户使用静态ip地址私自接入)和dai(新开个端口接入设备模拟arp和dhcp攻击),mac地址防漂移
相关文章:
某高校的毕设
最近通过某个平台接的单子,最后Kali做的测试没有公开可以私聊给教程。 下面是规划与配置 1.vlan方面:推荐一个vlan下的所有主机为一个子网网段 连接电脑和http客户端的接口配置为access接口 交换机与交换机或路由器连接的接口配置为trunk接口---也可以…...
利用uvicorn、Starlette和pipeline将一个训练好的大模型发布成一个web服务
技术名词: 1、Starlette: 它是一个轻量级、高度可用性和可扩展性的Web框架,它专门为异步应用程序设计。 Starlette基于Python 3.6的异步/协程语法,具有快速响应性能和低延迟。你可以将它理解为Java的Spring。 安装:…...
贝赛尔曲线 - Vue3实现加入购物车抛物线效果组件
贝赛尔曲线 - Vue3实现加入购物车抛物线效果组件(可连续多个动画,动态回收DOM) 前言 在前几天的一次迭代中,我遇到了这么一个需求,模仿支付宝首页应用中心的编辑功能,支持编辑首页展示的应用,…...
AddressSanitizer failed to allocate 0xdfff0001000 (15392894357504) bytes解决方法
打开一个编译选项启用ASan的程序: AddressSanitizer failed to allocate 0xdfff0001000 (15392894357504) bytes然后程序启动失败。 原因: [cfe-dev] Question about Clang/LLVM addresssanitizer /proc/sys/vm/overcommit_memory是一个用于控制内存…...
Fortinet 2023上半年全球威胁态势研究报告:勒索软件检测成下降趋势,针对性攻击持续升温
近日,专注于推动网络与安全融合的全球网络安全领导者Fortinet(NASDAQ:FTNT),发布《2023上半年全球威胁态势研究报告》。报告显示,2023 年上半年勒索软件检出数量继续下降、高级持续性威胁(APT&a…...
MySQL ——多表连接查询
一、(左、右和全)连接概念 内连接: 假设A和B表进行连接,使用内连接的话,凡是A表和B表能够匹配上的记录查询出来。A和B两张表没有主付之分,两张表是平等的。 关键字:inner join on 语句…...
前沿技术 --> 待定
一、可会可不会 1.1如何优雅的编写技术文档 网址: 如何优雅的编写技术文档? - YouTube...
Linux定时python脚本(crontab版本)
1.0 使用Linux系统命令 crontab 自带的定时命令2.0 crontab的使用 2.1 添加定时任务 crontab -e2.2 查看定时任务的完成情况 2.2.1 查看日志 tail -f /var/log/syslog | grep CRON 2.2.2 任务执行情况 grep CRON /var/log/syslog 2.3 定时任务的规则 每隔一分钟执行一次…...
修改 Ubuntu .cache 和 pip cache 默认路径
修改 Ubuntu .cache 和 pip cache 默认路径 非常不建议修改 .cache 默认路径,除非你知道修改后的影响。 执行下面命令进行修改, vi /root/.bashrc--- 追加 export XDG_CACHE_HOME/u01/.cache export PIP_CACHE_DIR/u01/.cache ---完结!...
【Java SE】Lambda表达式
目录 ♫什么是Lambda表达式 ♫Lambda表达式的语法 ♫函数式接口 ♫Lambda表达式的使用 ♫变量捕获 ♫ Lambda表达式在集合中的使用 ♪Collection的foreach(): ♪List的sort(): ♪Map的foreach() ♫什么是Lambda表达式 Lambda 表达式是 Java SE 8中一个…...
Kafka-UI
有多款kafka管理应用,目前选择的是github上star最多的UI for Apache Kafka。 关于 To run UI for Apache Kafka, you can use either a pre-built Docker image or build it (or a jar file) yourself. UI for Apache Kafka is a versatile, fast, and lightweight…...
Unity 制作登录功能02-创建和链接数据库(SQlite)
国际惯例:先看效果 1.SQlite是一种嵌入型数据库 在Unity开发游戏时使用SQLite有多种原因,以下是其中一些主要原因: 嵌入式数据库:SQLite是一个嵌入式数据库引擎,这意味着它不需要单独的服务器进程。这使得使用SQLite非…...
算法 岛屿数量-(递归回溯)
牛客网 BM57. 二维矩阵,值为1表示岛屿,0表示海洋,求海洋中岛屿数量。 解题思路: 遍历二维数组,值为1增加岛屿数量记数,同时对此位置进行单独递归遍历上下左右4个方向,将数组坐标范围内同时值为1的元素置…...
安卓恶意应用识别(番外篇)(Python并行(多线程or多进程)执行cmd)
前言 本人为了批量反编译,不得不涉及到批量执行,之前没有彻底理解有关于多线程的概念和python方法,现在只能一步一步尝试,并且实践,写本文以记录。 1. 进程与线程 1.1 什么是进程? 1.1.1 概念 进程是一…...
基于大语言模型扬长避短架构服务
秘诀: 扬泛化之长, 避时延之短...
初识网络编程
一、概述 地球村:亦称世界村,是通过电子媒介将世界紧密联系起来的形象表达,是信息网络时代的集中体现 TCP和UDP: TCP:打电话 -->连接 -->接了 -->通话 UDP:发送完即可 -->接收 计算机网络&a…...
轻松使用androidstudio交叉编译libredwg库
对于安卓或嵌入式开发者而言,交叉编译是再熟悉不过的操作了,可是对于一些刚入门或初级开发者经常会遇到这样的问题:如何交叉编译C++库来生成安卓下的so库呢? 最近有一些粉丝找到我求救,那么我最近刚好有空大致研究了下,帮他们成功编译了其中一个libredwg的C++库,这篇文章…...
【C++杂货铺】一颗具有搜索功能的二叉树
文章目录 一、二叉搜索树概念二、二叉搜索树的操作2.1 二叉搜索树的查找2.2 二叉搜索树的插入2.3 二叉搜索树的删除 三、二叉搜索树的实现3.1 BinarySearchTreeNode(结点类)3.2 BinarySearchTree(二叉搜索树类)3.2.1 框架3.2.2 in…...
uni-app使用vue3,在元素或组件实例上添加ref,用this.$refs显示undefined
项目中引用了一个UI组件库,在表单上添加了ref属性,方便提交时验证。触发提交方法时显示不存在这个方法或this.$refs为undefined。 <u--form labelPosition"left" :model"userInfo" :rules"rules" ref"loginForm&…...
蜂蜜配送销售商城小程序的作用是什么
蜂蜜是农产品中重要的一个类目,其受众之广市场需求量大,但由于非人人必需品,因此传统线下门店经营也面临着痛点,线上入驻平台也有很多限制难以打造自有品牌,无法管理销售商品及会员、营销等,缺少自营渠道&a…...
大数据Flink(八十四):SQL语法的DML:窗口聚合
文章目录 SQL语法的DML:窗口聚合 一、滚动窗口(TUMBLE)...
系统集成|第十八章(笔记)
目录 第十八章 安全管理18.1 信息安全管理18.2 信息系统安全18.3 物理安全管理18.4 人员安全管理18.5 应用该系统安全管理18.6 信息安全等级保护18.7 拓展 上篇:第十七章、变更管理 下篇:第十九章、风险管理 第十八章 安全管理 18.1 信息安全管理 信息安…...
480万商品,如何架构商品治理平台?
说在前面 在40岁老架构师 尼恩的读者交流群(50)中,很多小伙伴拿高薪,完成架构的升级,进入架构师赛道,打开薪酬天花板。 最近有小伙伴拿到了一线互联网企业如京东、网易、微博、阿里、汽车之家、极兔、有赞、希音、百度、滴滴的架…...
【C++入门指南】C如何过渡到C++?祖师爷究竟对C++做了什么?
【C入门指南】C如何过渡到C?祖师爷究竟对C做了什么? 前言一、命名空间1.1 命名空间的定义1.2 命名空间使用 二、C输入、输出2.1 std命名空间的使用惯例 三、缺省参数3.1 缺省参数的定义3.2 缺省参数分类 四、函数重载4.1 函数重载概念4.2 C支持函数重载的…...
简易磁盘自动监控服务
本文旨在利用crontab定时任务(脚本请参考附件)来监控单个服务节点上所有磁盘使用情况,一旦超过既定阈值则会通过邮件形式告警相关利益人及时介入处理。 1. 开启SMTP服务 为了能够成功接收告警信息,需要邮件接收客户都安开启SMTP服务。简要流程请参考下…...
【100天精通Python】Day65:Python可视化_Matplotlib3D绘图mplot3d,绘制3D散点图、3D线图和3D条形图,示例+代码
1 mpl_toolkits.mplot3d 功能介绍 mpl_toolkits.mplot3d 是 Matplotlib 库中的一个子模块,用于绘制和可视化三维图形,包括三维散点图、曲面图、线图等。它提供了丰富的功能来创建和定制三维图形。以下是 mpl_toolkits.mplot3d 的主要功能和功能简介&am…...
十六,镜面IBL--预滤波环境贴图
又到了开心的公式时刻了。 先看看渲染方程 现在关注第二部分,镜面反射。 其中 这里很棘手,与输入wi和输出w0都有关系,所以,再近似 其中第一部分,就是预滤波环境贴图,形式上与前面的辐照度图很相似&#…...
信息安全:恶意代码防范技术原理.
信息安全:恶意代码防范技术原理. 恶意代码的英文是 Malicious Code, 它是一种违背目标系统安全策略的程序代码,会造成目标系统信息泄露、资源滥用,破坏系统的完整性及可用性。 目录: 恶意代码概述: (1&a…...
开源媒体浏览器Kyoo
什么是 Kyoo ? Kyoo 是一款开源媒体浏览器,可让您流式传输电影、电视节目或动漫。它是 Plex、Emby 或 Jellyfin 的替代品。Kyoo 是从头开始创建的,它不是一个分叉。一切都将永远是免费和开源的。 软件特性: 管理您的电影、电视剧…...
人脸解锁设备时出现相机报错
(1)背景分析 这是项目当中实际遇到的问题,如下代码仅用作分析和记录。 现在问题的现象是:刚亮屏大概在2s以内对着人脸一般是能解锁的,但是超过2s之后在对着人脸,是无法解锁成功的。 (2&#…...