用小凡模拟器 为什么no shut 能启用端口却不能启用协议呢? 协议启动了 但是会在一分钟后自动关
因为你的应该是串口,串口需要对端有设备,而且2层协商完成才能协议UP,如果是以太口的话,需要有线连出去,如果是tunnel的话,需要路由可达。loopback倒是一直up
无法连接到服务器. 协议: POP3, 端口: 110, 安全(SSL): 否, 套接字错误: 10061, 错误
客户端连接到的邮件服务器上的端口被阻止或不可用。
如果客户端尝试发送邮件,阻止的端口是 25;
如果客户端尝试检索邮件,则阻止的端口是 110。
一般是邮件服务器故障,你这是公司内部邮件服务器还是外部服务器,或者你等待试试。
路由器上封装802.1q协议错误了怎么处理
聚合端口(Aggregate-port) ,是把交换机多个特性相同的端口物理连接并绑定为一个逻辑端口,将多条链路聚合成一条逻辑链路。
IEEE 802.3ad协议的标准
聚合方式
静态聚合
动态聚合
聚合端口是逻辑端口,根据可以加入的以太口的类型
二层聚合口
三层聚合口
配置二层聚合端口
interface FastEthernet 0/23
port-group 1 !将F0/23加入聚合组1
interface FastEthernet 0/24
port-group 1 !F0/24加入聚合组1
配置三层聚合端口
Ruijie# configure terminal
Ruijie(config)# interface aggretegateport 1
Ruijie(config-if)# no switchport
Ruijie(config-if)# ip address 192.168.1.1 255.255.255.0
Ruijie(config-if)# end
注意事项
只有同类型端口且双工速率一致才能聚合为一个AG端口。光口和电口不能绑定。
所有物理端口必须属于同一个VLAN。
最多支持8个物理端口聚合为一个AG。
当一个端口加入AP后,不能在该端口上进行任何配置,直到该端口退出AP.
AP不能设置端口安全功能。
负载均衡
AP 可以根据报文的源 MAC 地址、目的 MAC 地址、源 MAC 地址+目的 MAC 地址、源 IP 地址,目的 IP 地址以及源 IP 地址+目的 IP 地址等特征值把流量平均地分配到 AP 的成员链路中。
可以用 aggregateport load-balance设定流量分配方式。
生成树协议原理与应用
三种生成树(STP、RSTP、MSTP)协议的特性
生成树协议的分类,按照产生的时间先后顺序为STP、RSTP、MSTP
三种生成树所遵循的IEEE标准分别为STP-IEEE 802.3d,RSTP-IEEE 802.3W,MSTP-IEEE 802.3S
STP是怎样的一个协议呢?
通过阻断冗余链路将一个有环路的桥接网络修剪成一个无环路的树型拓扑结构,这样既解决了环路问题,又能在某条活动(active)的链路断开时, 通过激活被阻断的冗余链路重新修剪拓扑结构以恢复网络的连通.
基本思想:在网桥之间传递配置消息(BPDU),网桥利用收到的配置消息做以下工作:
从网络中的所有网桥中,选出一个作为根网桥(root)
计算本网桥到根网桥的最短路径
网桥选择一个根端口,该端口给出的路径是此网桥到根桥的最短路径
选择除根端口之外的转发端口(指定端口)
配置消息介绍
配置消息也被称做桥协议数据单元(BPDU)
主要内容包括:
根网桥的Identifier(RootID)
从本网桥到根网桥的最小路径开销(RootPathCost)
发送该配置消息的网桥的Identifier
发送该配置消息的网桥的指定端口的Identifier
即(RootID, RootPathCost, BridgeID, PortID)
配置消息的优先级比较原则:
假定有两条配置消息C1和C2,则:
如果C1的RootID小于C2的RootID,则C1优于C2
如果C1和C2的RootID相同,但C1的RootPathCost小于C2,则C1优于C2
如果C1和C2的RootID和RootPathCost相同,但C1的发送网桥ID小于C2,则C1优于C2
如果C1和C2的RootID、RootPathCost和发送网桥ID相同,但C1的发送网桥的PortID小于C2,则C1优于C2
RSTP相关配置-配置桥优先级
如果网络中的所有交换机都保持默认配置,即所有的交换机都具有相同的优先级,那么MAC地址小的交换机将具有最小的BridgeID,将被选举为根桥,但该交换机未必是理想的根桥,可以更改网桥的优先级手动指定根桥:
配置方法为: Switch(config)#spanning-tree priority priority
RSTP相关配置-配置Hello Time
Hello Time的配置需要注意:
较长的Hello Time可以降低生成树计算的消耗;较短的Hello Time可以在丢包率较高的时候,增强生成树的健壮性。
但是,过长的Hello Time会导致链路故障的错误判断;过短的Hello Time导致频繁发送配置消息,增大交换机CPU和网络负担。
配置方法为:Switch(config)#spanning-tree hello-time interval
RSTP相关配置-配置端口的Max Age
Max age的配置需要注意:
过长的Max Age会导致链路故障不能被及时发现;
过短的Max Age可能会在拥塞的时候使交换机错误认为链路故障,造成频繁生成树计算。
配置方法为:Switch(config)#spanning-tree max-age interval
RSTP相关配置-配置端口的Forward Delay
Forward Delay的配置需要注意:
过长的Forward Delay会导致生成树的收敛太慢;
过短的Forward Delay可能会在拓扑发生改变的时候,引入暂时的环路。
配置方法为:Switch(config)#spanning-tree forward-time interval
TCP/UDP报文
IP报文
单臂路由实现VLAN间路由
步骤1:创建子接口
‒ Router(config)#interface interface.sub-port
步骤2:为子接口封装802.1q协议,并指定接口所属的VLAN
‒ Router(config-subif)#encapsulation dot1q vlan-id
步骤3:为子接口配置IP地址
‒ Router(config-subif)#ip address ip-address mask-address
管理距离
取值范围 0-255
只在本地有效
厂商私有
可以根据需要人为修改管理距离,影响路由优选
取值范围 0-255
只在本地有效
厂商私有
可以根据需要人为修改管理距离,影响路由优选
路由源 缺省管理距离
直连 0
静态 1
RIP 120
OSPF 110
IS-IS 115
EBGP 20
IBGP 200
路由协议分类
按管理范围分
‒ IGP
− RIP OSPF EIGRP IS-IS
‒ EGP
− BGP
按算法分
‒ 距离矢量
− RIP BGP
‒ 链路状态
− OSPF IS-IS
RIPv2概述
RIP是距离矢量路由协议
管理距离120
使用跳数作为度量值来衡量路径的优劣,取值范围0-15,16跳表示路由不可达。
定期更新、全路由表更新、协议收敛慢
RIPv2报文
组播报文,目标地址224.0.0.9
承载在UDP之上,端口号520
报文类型
Request
Response
RIPv2依赖三个计时器维护路由表
更新时间 30s
每隔30s定期向邻居通告所有RIP已知的路由
失效时间 180s
路由条目进入路由表后启动失效计时器
180s没有再次收到该条目则宣布该条目失效
清除时间 120s
失效后120s仍没有收到该条目则清除该条目
使用触发更新为加快收敛
水平分割和无穷大计数
路由器记住每一条路由信息的来源,并且不在收到这条信息的端口上再次发送它
16跳表示路由不可达
配置RIPv2
启动RIP进程
Router(config)# router rip
定义RIP的版本
Router(config-router)# version 2
定义关联网络
Router(config-router)# network 网络号
− 网络号指的是本路由器接口IP所在的网络
− RIP 对外通告本路由器关联网络和通过RIP从邻居学习的网络
− RIP 只向关联网络所属接口通告和接收路由信息
− 手工精确汇总
R2(config-if)# ip rip summary-address 172.16.0.0 255.255.252.0
关闭RIPv2自动汇总
Router(config-router)# no auto-summary
− RIP缺省将进行路由自动汇总:当子网路由穿越有类网络边界时,将自动汇总成有类网络路由
被动接口
Router(config-router)#passive-interface
− 某个接口仅仅学习RIP 路由,并不进行RIP 路由通告
− 连接用户主机或者非RIP邻居的接口
单播更新
Router(config-router)# neighbor ip-address
− RIP 路由信息需要通过非广播网络传输,或需要限制一个接口通告广播式的路由更新报文
− 不同路由协议之间无法相互学习路由信息
− 在协议边界路由器通过重发布引入其他协议或者进程的路由
− 重发布时要指定引入路由的度量值
− R2(config-router)# redistribute static metric 2
OSPF综述
Open Shortest Path First 开发最短路径优先协议
‒ 链路状态路由协议
‒ 全局拓扑、无路由环路
‒ 快速收敛
‒ 用链路开销衡量路径优劣
‒ 支持区域划分
‒ 适应范围广,可适应大规模网络
‒ 版本
‒ V2 RFC2328
‒ V3 支持IPv6
Router-ID
‒ 在OSPF路由域内唯一标识一台路由器
‒ 一般通过设置Loopback接口指定
Neighbor 邻居
‒ 在同一网络中都有接口的两台路由器
‒ 通过Hello包建立和维护邻居关系
Adjacency 邻接
‒ 相互交换路由信息的邻居
五种报文
‒ Hello、DBD、LSR、LSU、LSACK
‒ 通过Hello形成邻居,邻接路由器交换LSU通告路由
三个阶段
‒ 邻居发现、路由通告、路由计算
三张表
‒ 邻居表、链路状态数据库、路由表
Hello
‒ 携带参数,建立和维持邻居关系
‒ 在多路访问网络中选举DR、BDR
DBD
‒ 携带LSA头部信息,向邻居描述LSDB
LSR
‒ 向邻居请求特定的LSA
LSU
‒ 携带LSA,向邻居通告拓扑信息
LSAck
‒ 对LSU中的LSA进行确认
邻居发现
‒ 通过Hello报文发现并形成邻居关系
‒ 形成邻居表
路由通告
‒ 邻接路由器之间通过LSU洪泛LSA,通告拓扑信息,最终同一个区域内所有路由器LSDB完全相同-----同步
‒ 通过DBD、LSR、LSACK辅助LSA的同步
‒ 形成LSDB
路由选择阶段
‒ LSDB同步后,每台路由器独立进行SPF运算,把最佳路由信息放进路由表。
‒ 形成路由表
邻居表(neighbor table)
‒ 用邻居机制来维持路由
‒ 通过Hello包形成邻居,邻居表存储双向通信的OSPF路由器列表信息
拓扑表(LSDB)
‒ 描述拓扑信息的LSA存储在LSDB中
OSPF路由表
‒ 对LSA进行SPF计算,而得出的OSPF路由表
全局路由表
‒ 路由器的全局路由表,用于数据包转发;
‒ OSPF把计算出来的路由,安装到全局路由表。
启动OSPF进程
ruijie(config)# router OSPF 1
指定 router id
ruijie(config-router)# router-id X.X.X.X
发布直连接口
ruijie(config-router)# network ip-address wildcard-mask area area-id
修改网络类型
点对点以太网链路,DR选举是没有必要的
ruijie(config-if)#ip ospf network point-to-point
被动接口
ruijie(config-router)# passive-interface int vlan 10
或者
ruijie(config-router)# passive-interface default
ruijie(config-router)# no passive-interface int giga1/1
修改接口cost
ruijie(config-if)#ip ospf cost 开销值
在ABR上进行路由汇总
Router(config-router)#area 区域号 range 子网号 子网掩码
在ASBR上进行路由汇总
Router(config-router)# summary-address 子网号 子网掩码
虚链路
Router(config-router)#area 区域号 virtual-link 对待router-id
标准IP ACL
‒ 编号 1~99和1300~1999
‒ 命名 standard
配置标准IP ACL
‒ 全局配置模式
‒ ruijie(config)#access-list access-list-number [ time-range time-range-name ]
‒ ACL配置模式
‒ ruijie(config)# ip access-list standard
‒ Ruijie(config-std-nacl)# [ time-range time-range-name ]
Ruijie(config)#ip access-list standard sample
Ruijie(config-std-nacl)#permit 172.16.1.0 0.0.0.255
扩展IP ACL
标识方法
‒ 编号 100~199和2000~2699
配置扩展IP ACL
‒ 全局配置模式
‒ ruijie(config)#access-list access-list-number protocol [ operator port ] [ operator port ] [ precedence precedence ] [ tos tos ] [ time-range time-range-name ] [ dscp dscp ] [ fragment ]
‒ Ruijie(config)#access-list 101 deny ip 172.16.2.0 0.0.0.255 host 192.168.6.8
‒ Ruijie(config)#access-list 101 permit any any
配置扩展IP ACL
‒ ACL配置模式
‒ ruijie(config)# ip access-list extended
‒ Ruijie(config-ext-nacl)# protocol [ operator port ] [ operator port ] [ time-range time-range-name ] [ dscp dscp ] [ fragment ]
‒ Ruijie(config)#ip access-list extended sample
‒ Ruijie(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 192.168.6.10 eq www
配置IPv6 ACL
‒ ACL配置模式
‒ Ruijie(config)#ipv6 access-list name
‒ Ruijie(config-ipv6-acl)#sn] protocol [ operator port ] [flow-label ] [ time-range time-range-name ] [ dscp dscp ] [ fragment ]
‒ Ruijie(config)#ipv6 access-list sample
‒ Ruijie(config-ipv6-acl)#permit ipv6 2001::/64 any
配置MAC ACL
‒ 全局配置模式
‒ ruijie(config)#access-list access-list-number [ ethernet-type ] [ time-range time-range-name ]
‒ ACL配置模式
‒ Ruijie(config)#mac access-list extended
‒ Ruijie(config-mac-nacl)# [ ethernet-type ] [ time-range time-range-name ]
专家ACL
‒ 编号:2700~2899
配置专家 ACL
全局配置模式
‒ ruijie(config)#access-list access-list-number [ protocol | ethernet-type ] [ VID vid ] [ ] [ operator port ] [ ] [ operator port ] [ precedence precedence ] [ tos tos ] [ time-range time-range-name ] [ dscp dscp ] [ fragment ]
ACL配置模式
‒ Ruijie(config)# expert access-list extended
‒ Ruijie(config-exp-nacl)# 。。。。。。
‒ 配置时间段
‒ Ruijie(config)#time-range name
‒ 配置绝对时间
‒ Ruijie(config-time-range)# absolute { start time [ end time ]
‒ 配置周期时间
‒ Ruijie(config-time-range)# periodic time to time
使用Nmap进行端口扫描
在未经授权的情况下夺取计算机系统控制权的行为是 违法行为, 此篇文章仅作为学习交流和探讨,若要测试成果,请在自己虚拟机上测试,或者被允许渗透的计算机系统上演练, 请勿做出违法之骚操作,操作者做出的一切违法操作均与本人和此文无关
本文使用Nmap进行扫描,其他扫描手段本文不进行探讨
Nmap是端口扫描方面的业内标准,网上的资料让人眼花缭乱,时至今日,各式各样的防火墙已经普遍采用了入侵检测和入侵防御技术,他们能够有效地拦截常见的端口扫描,所以,即使使用Nmap程序扫描结果一无所获也不是什么意外的事。换句话说, 如果你在公网上对指定网段进行主机扫描时没检测出一台在线主机,那么就应当认为扫描行动多半是被防火墙系统拦截下来了,反之则是另一种极端情况:每台主机都在线,每个端口都处于开放状态
SYN扫描
所谓的SYN扫苗实际上是一种模拟TCP握手的端口扫描技术。TCP握手分为3个阶段:SYN、SYN-ACK、ACK。在进行SYN扫描时,Nmap程序向远程主机发送SYN数据包并等待对方的SYN-ACK数据。 如果在最初发送SYN数据包之后没有收到SYN-ACK响应,那么既定端口就不会是开放端口,在此情况下,既定端口不是关闭就是被过滤了
在使用Nmap扫描之前,可以先使用maltego之类的信息搜集工具分析出有用的信息。我使用一个非法网站的IP来作为演示
需要注意的是,某个端口是开放端口不代表这个端口背后的程序存在安全缺陷,我们仅能够通过开放端口初步了解计算机运行的应用程序,进而判断这个程序是否存在安全缺陷
版本扫描
虽然SYN扫描具有某种隐蔽性,但它不能告诉我们打开这些端口的程序到底是什么版本,如果说我们想要知道这台主机的某个端口在运行着什么程序以及它运行的版本,这在我们后期威胁建模阶段有极大的用处, 使用-sT或者-sV 即可查看
运气很好,看来这个网站运行的程序有安全漏洞,这个名为OpenSSH 5.3的软件存在着一个CVE-2016-10009漏洞,攻击者可以通过远程攻击openssh来获得服务器权限。我们在这里不做攻击操作,毕竟这是别人的网站,虽然是个违法网站。如果有机会后期笔者将会根据情况写一些关于漏洞利用的文章
UPD扫描
Nmap的SYN扫描和完整的TCP扫描都不能扫描UDP,因为UDP的程序采用无连接的方式传输。在进行UDP扫描时,Nmap将向既定端口发送UPD数据包,不过UDP协议的应用程序有着各自不同的数据传输协议,因此在远程主机正常回复该数据的情况下,能够确定既定端口处于开放状态。 如果既定端口处于关闭状态,那么Nmap程序应当收到ICMP协议的端口不可达信息。 如果没有从远程主机收到任何数据那么情况就比较复杂了,比如说:端口可能处于发放状态,但是响应的应用程序没有回复Nmap发送的查询数据,或者远程主机的回复信息被过滤了,由此可见 在开放端口和被防火墙过滤的端口方面,Nmap存在相应的短板
扫描指定端口
指定端口的扫描可能造成服务器崩溃,最好还是踏踏实实的彻底扫描全部端口 。就不拿别人的服务器来测试了,毕竟我也怕被报复,在这里我把渗透目标设置为我自己的xp靶机,步骤跟前面一样,扫描出端口查看是否有可利用程序,然后对想扫描的端口进行扫描
在渗透测试中,我们都不希望致使任何服务器崩溃,但是我们的确可能会遇到那些无法正确受理非预期输入的应用程序,在这种情况下,Nmap的扫描数据就可能引发程序崩溃
为什么我的扫描仪差到电脑上后没有反应啊?是USB接口!
一、上述问题一般应该是驱动程序没有正确安装所致。可能原因:
1、设备管理器中-通用串行总线控制器-USB Root Hub控制器错误,删除刷新应该就发现新设备了。
2、CMOS设置中USB Root Hub控制器被禁用。启用就行了。
3、根本就没有安装驱动程序。
二、正确的驱动安装步骤如下:
1.扫描仪首先不要与计算机联接,就是不接USB线。
2.计算机开机,并注意使用管理员身份进行WIN XP系统的登录
3.安装对应扫描仪的驱动程序。驱动程序安装完毕后,计算机重新启动。
4.计算机系统重新启动完毕,再次使用管理员身份登录完毕后,在扫描仪已经通电的情况下,将扫描仪后面的USB线插上。
5.此时注意计算机的屏幕,操作系统会出现“找到新的硬件向导”的窗口,并询问用户,此时请用户选择“从列表或指定位置安装(高级)(S)”的选项,并单击下一步。
两路由器由FA端口连接,但protocol是DOWN是什么原因?我用模拟器做的,端口状态都是开的,但是灯依然是红
基本明确你的原因了,我也尝试了一下cisco模拟器。
需要在模拟器的.net文件中把两个fa口连到一起,否则会出现你说的哪种情况
[[ROUTER R1]]
console = 3001
slot1 = PA-8E
e1/0 = R2 e1/0
fa0/0 = R2 fa0/0 ------增加这句
完成这步后,再尝试,就没有这种问题。
实验结果:
R2(config)#do show ip inter bri
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 unassigned YES NVRAM administratively down down
Ethernet1/0 192.168.1.2 YES NVRAM up up
Ethernet1/1 10.129.2.1 YES NVRAM up up
Ethernet1/2 unassigned YES NVRAM administratively down down
Ethernet1/3 unassigned YES NVRAM administratively down down
Ethernet1/4 unassigned YES NVRAM administratively down down
Ethernet1/5 unassigned YES NVRAM administratively down down
Ethernet1/6 unassigned YES NVRAM administratively down down
Ethernet1/7 unassigned YES NVRAM administratively down down
Loopback0 2.2.2.2 YES NVRAM up up
R2(config)#
---配置IP,no shu后的结果----
R2(config)#inter fa0/0
R2(config-if)#ip addr 3.1.1.2 255.255.255.0
R2(config-if)#do show ip inter bri
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 3.1.1.2 YES manual administratively down down
Ethernet1/0 192.168.1.2 YES NVRAM up up
Ethernet1/1 10.129.2.1 YES NVRAM up up
Ethernet1/2 unassigned YES NVRAM administratively down down
Ethernet1/3 unassigned YES NVRAM administratively down down
Ethernet1/4 unassigned YES NVRAM administratively down down
Ethernet1/5 unassigned YES NVRAM administratively down down
Ethernet1/6 unassigned YES NVRAM administratively down down
Ethernet1/7 unassigned YES NVRAM administratively down down
Loopback0 2.2.2.2 YES NVRAM up up
R2(config-if)#no shu
R2(config-if)#
*Aug 29 00:32:38.331: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
R2(config-if)#
*Aug 29 00:32:38.335: %ENTITY_ALARM-6-INFO: CLEAR INFO Fa0/0 Physical Port Administrative State Down
R2(config-if)#
*Aug 29 00:32:39.331: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
R2(config-if)#
R2(config-if)#
R2(config-if)#
R2(config-if)#do show ip inter bri
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 3.1.1.2 YES manual up up
Ethernet1/0 192.168.1.2 YES NVRAM up up
Ethernet1/1 10.129.2.1 YES NVRAM up up
Ethernet1/2 unassigned YES NVRAM administratively down down
Ethernet1/3 unassigned YES NVRAM administratively down down
Ethernet1/4 unassigned YES NVRAM administratively down down
Ethernet1/5 unassigned YES NVRAM administratively down down
Ethernet1/6 unassigned YES NVRAM administratively down down
Ethernet1/7 unassigned YES NVRAM administratively down down
Loopback0 2.2.2.2 YES NVRAM up up
R2(config-if)#
0条大神的评论