如何防止cisco交换机,HSRP被攻击,有什么措施可以预防?
发布网友
发布时间:2022-04-12 14:41
我来回答
共3个回答
热心网友
时间:2022-04-12 16:10
1.攻击原理
HSRP协议的路由器之间广播HSRP优先级,HSRP协议选出当前的主动路由器。当在预先设定的一段(Hold Time 缺省为10秒)时间内主动路由器不能发送hello消息,或者说HSRP检测不到主动路由器的hello消息时,将认为主动路由器有故障,这时HSRP会选择优先级最高的备用路由器变为主动路由器,同时将按HSRP优先级在配置了HSRP的路由器中再选择一台路由器作为新的备用路由器。HSRPv1的Hello消息是基于UDP端口为1985以及目的地址为224.0.0.2 的信息包,HSRPv2的Hello消息是基于UDP端口为1985以及目的地址为224.0.0.102 的信息包,配置了HSRP的路由器将会周期性的广播Hello消息包,并利用Hello消息包来选择主动路由器和备用路由器及判断路由器是否失效。用户与HSRP组是在同一局域网内,很容易截获HSRP组的信息,并通过此信息结合相关的攻击软件可以造成SR路由器上的HSRP组频繁切换。
2.攻击现象
被攻击路由器的对应HSRP组的active路由器会频繁切换,频繁切换HSRP组路由器的角色会占用一定cpu资源。
3.解决方案
其实HSRP的hello报文信息带有认证密码,但默认Authentication Data是明文cisco,可以采用更改Authentication Data字段的认证密码,并且使用MD5加密,可以对用户采用HSRP协议自身的弱点进行攻击起到相应的保护作用。由于目的地址为224.0.0.2和224.0.0.102,目的端口为UDP1985是HSRP特定的会话,可以采取在接入交换机通过ACL控制用户in方向的流量拒绝访问目的地址为224.0.0.2和224.0.0.102,目的端口为UDP1985的所有数据包。
相关命令:
Router(config)#key chain hsrp-key
Router(config-keychain)#key 1
Router(config-keychain-key)#key-string gzunicom
Router(config-if)#standby 1 authentication mode md5
Router(config-if)#standby 1 authentication hrsp-key
热心网友
时间:2022-04-12 17:28
hsrp不是这么用的,是核心层或者说是路由器备份使用,他们两台彼此可用一条光纤连接,启HSRP后两台路由器会虚拟出一个IP地址,如有损坏,备用设备自动切换,下面二层交换机通常使用STP防环,如果二层是cisco的,使用PVST+
组建HSRP关键是汇聚层交换机要有两根线分别接入到两台路由器上,但在节点设置网关时,只设置他们两台路由器公用的那个IP地址
配置如下
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname r1
!
enable password cisco
!
ip subnet-zero
!
!
!
!
interface Ethernet0
ip address 136.147.107.101 255.255.0.0
no ip redirects
no ip directed-broadcast
standby 150 timers 5 15 /* 定义150组5秒交换一次hello信息,15秒没收到
hello信息就开始切换 */
standby 150 priority 110 /* 定义150组的主路由器权值,值越大,为主路由
器希望越大 */
standby 150 preempt /* enable 150组的hsrp抢占功能 */
standby 150 authentication cisco /* 设置150组的router身份验证串 */
standby 150 ip 136.147.107.100 /* 定义150组的浮动地址,也是这台router
连接的网络的网关 */
standby 150 track Ethernet0 /* 定义监控的端口 */
!
interface Serial0
no ip address
no ip directed-broadcast
no ip mroute-cache
shutdown
no fair-queue
!
ip classless
!
!
line con 0
transport input none
line 1 16
line aux 0
line vty 0 4
password cisco
login
!
end
热心网友
时间:2022-04-12 19:03
配置认证
cisco HSRP问题 一台路由器两个以太口分别接两个三层交换机,请问可以做...
两台三层交换机之间的链路,设成二层链路之后,最好做成以太通道(EtherChannel)。然后在两台三层交换机的SVI接口上,启用HSRP。多看看书,根据书上的例子做做实验,好好领悟那基本的概念吧!这孩子~要意识地培养自己独立解决问题的能力,遇到问题先自己思考,别一有问题就来百度上求助。哎~...
ip 池 - StormProxies
StormProxies是全球大数据IP资源服务商,其住宅代理网络由真实的家庭住宅IP组成,可为企业或个人提供满足各种场景的代理产品。点击免费测试(注册即送1G流量)StormProxies有哪些优势?1、IP+端口提取形式,不限带宽,IP纯净高匿;2、覆盖全球20...
cisco HSRP配置命令
no ip redirects是禁止IP重定向到这个接口,有时很多的ICMP重定向信息将会降低路由器的性能,可能是你的模拟器不支持吧 还有 这个跟HSRP一点关系都没有吧 HSRP就是在参与HSRP的交换机中定义虚IP,以及VLAN的优先级和配置抢占,其他的就跟踪上联接口还需要配,请问你问的东西和这些有关系么 ...
如何配置Cisco HSRP
完成标准2 LAN内的PC配置HSRP虚拟IP地址作为网关,任意中断组内一台路由器时,与外部通信不断 任务4 配置HSRP的端口跟踪 完成标准 中断活跃路由器的外出接口线路,使用show standby,可以看到原备份路由器成为活跃路由器,两个网段的PC之间通信不中断 4.具体配置步骤:第一步:配置路由器接口的IP和H...
利用核心交换机,做VRRP组网,怎么做,还需要那些硬件或软件支持,能达到什 ...
虚拟交换机根据配置的优先级的大小选择主交换机,优先级最大的作为主交换机,状态为Master,若优先级相同(如果交换机没有配置优先级,就采用默认值100),则比较接口的主IP地址,主IP地址大的就成为主交换机,由它提供实际的路由服务。其他交换机作为备份交换机,随时监测主交换机的状态。当主交换机正常...
Cisco 交换机多个端口指定一个MAC地址(新手勿进)
mac地址绑定的话只能是一个ip对应一个mac和接口,这样才安全,才可以防止arp欺骗。只有楼主说的情况个人认为两台防火墙做热备的,同时也可以启动负载的作用,所以那个mac应该是两台防火墙的虚拟mac地址。对外可以逻辑上看做一台。。
Cisco交换机堆叠与HSRP之间的区别深入剖析
图解Cisco交换机堆叠与HSRP之间的区别 随着Internet的日益普及,人们对网络的依赖性也越来越强。这同时对网络的稳定性提出了更高的要求,人们自然想到了基于设备的备份结构,就像在服务器中为提高数据的安全性而采用双硬盘结构一样。核心交换机是整个网络的核心和心脏,如果核心交换机发生致命性的故障,将...
关于CISCO网络三层交换机3750的一个奇怪问题。详见如下描述。_百度知 ...
但如果你是PING的防火墙,由于防火墙一般的CPU都配置的不低,并且处理到自身数据包能力高。所以回复的速度较快。简单的说:PING防火墙时 对于交换机是过境数据包,对于这些数据包,交换机是不走CPU的而是走线速卡{就是转发芯片},所以会很快得到防火墙的回应,而PING交换机是,数据不是过境包,要经过37...
cisco 两台3750交换机hsrp 如何连接两台交换机
组建HSRP关键是汇聚层交换机要有两根线分别接入到两台路由器上,但在节点设置网关时,只设置他们两台路由器公用的那个IP地址 配置如下 version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption !hostname r1 !enable password cisco !ip subnet-zero...
三层交换机配置了HSRP后还需要配置vrrp吗?
HSRP 热备份路由协议(cisco 专有协议)VRRP 虚拟网关路由协议,第一跳冗余备份,冗余网关负载协议。如果配置了HSRP是不需要再配置VRRP协议的
cisco3750交换机做hrsp,两设备之间需要心跳线吗,如果要接口怎么...
该功能在实际应用中完全可以由线路备份功能实现。 路由器之间通过广播HSRP优先级选出当前的主动路由器:先比优先级,再比ip,大的选上。 两设备靠hello消息相互响应,3s一次,hold time 10s一次;当HSRP检测不到主动路由器的hello消息时(一个hold time), 将认为主动路由器有故障,这时HSRP会选择优先...
