CCIE за год. Цикл 3. Тема 18. Вопросы.

1. По какому принципу работает port-security?

Port security — функция коммутатора, позволяющая указать MAC-адреса хостов, которым разрешено передавать данные через порт. После этого порт не передает пакеты, если MAC-адрес отправителя не указан как разрешенный. Кроме того, можно указывать не конкретные MAC-адреса, разрешенные на порту коммутатора, а ограничить количество MAC-адресов, которым разрешено передавать трафик через порт.

2. Что является целью port-security?

Используется для предотвращения:

  • несанкционированной смены MAC-адреса сетевого устройства или подключения к сети,
  • атак направленных на переполнение таблицы коммутации.
3. Опишите режимы реагирования на нарушения? Дайте их полные характеристики.

shutdown (по умолчанию) — При нарушении порт переходит в error-disabled, отсылается SNMP trap и syslog message, счетчик нарушений увеличивается
protect — Когда количество MAC-адресов достигает максимального предела разрешенных на порту — пакеты с неизвестными адресами источника отбрасываются. Нотификации не происходит.
restrict — Когда количество MAC-адресов достигает максимального предела разрешенных на порту — пакеты с неизвестными адресами источника отбрасываются.Отсылается SNMP trap и syslog message, счетчик нарушений увеличивается

4. Какой командой можно посмотреть характеристики интерфейса port-security?

show port-security

5. К каким интерфейсам можно подключить port-security?

Trunk port, SPAN source port, EtherChannel, Tunneling port, Protected port, IEEE 802.1x port, Voice VLAN port, IP source guard,

6. Сколько мак-адресов по умолчанию включены в port-security? Какой командой это можно проверить?

Максимальное количество безопасных MAC-адресов на порту — 1

show port-security interface [intf]

7. Какие есть режимы Secure Mac адресов. Дайте их характеристики.
  • Статические MAC-адреса:
    задаются статически командой switchport port-security mac-address mac-address в режиме настройки интерфейса,
    хранятся в таблице адресов,
    добавляются в текущую конфигурацию коммутатора;
  • Динамические MAC-адреса:
    динамически выучиваются,
    хранятся только в таблице адресов,
    удаляются при перезагрузке коммутатора;
  • Sticky MAC-адреса:
    могут быть статически настроены или динамически выучены,
    хранятся в таблице адресов,
    добавляются в текущую конфигурацию коммутатора. Если эти адреса сохранены в конфигурационном файле, после перезагрузки коммутатора, их не надо заново перенастраивать.
8. Дайте характеристики ограничения на транковых портах в port-security.

Режим protect не рекомендуется настраивать для транка. Этот режим выключает запоминание адресов, когда какой-либо VLAN достигает максимума адресов, даже если порт не достиг максимального ограничения.

9. Дать характеристику error disable режиму порта.

Если в конфигурации отображается порт, который должен быть включен, но программное обеспечение на коммутаторе обнаружило порт в состояние ошибки, то программное обеспечение отключит этот порт. Другими словами, порт автоматически отключается операционной системой коммутатора, так как порт обнаружен в состоянии ошибки. Функция отключения из-за ошибки решает две задачи: Она позволяет администраторам знать, когда и где возникла проблема с портом;Она исключает возможность того, что данный порт может вызвать сбой других портов модуля (или всего модуля).
Интерфейс может перейти в состояние «errdisabled» по различным причинам. Среди таких причин могут быть следующие:

  • Несоответствие дуплексных режимов
  • неправильная конфигурация каналов портов
  • нарушение защиты BPDU
  • состояние обнаружения однонаправленной связи (UDLD)
  • обнаружение поздних конфликтов
  • обнаружение переброски канала
  • нарушение безопасности
  • переброска по протоколу агрегации портов (PAgP)
  • защита протокола туннелирования уровня 2 (L2TP)
  • ограничение скорости DHCP-отслеживания
  • неисправный модуль GBIC, подключаемый модуль малого форм-фактора (SFP) или кабель
  • проверка протокола ARP
  • встроенное питание
10. Какие проблемы могут возникнуть при настройке port-security на маршрутизаторах (HSRP, VRRP, GLBP)? Как их избежать?

HSRP, VRRP, GLBP используют виртуальные MAC адреса. Решения: использовать «физические» MAC адреса (standby use-bia) или разрешить виртуальные MAC адреса.

11. Дать характеристику для Storm Control.

Storm Control отслеживает пакеты проходящие от интерфейса к шине коммутации и определяет является ли пакет unicast, multicast или broadcast. Коммутатор подсчитывает количество пакетов заданного типа полученных в течение 1-секундного интервала времени и сравнивает измерения с предварительно установленным уровнем порога. Порт блокирует трафик когда будет достигнут порог. Порт остается заблокированным до тех пор, пока скорость не упадет ниже нижнего порога (если он указан). Если нижний порого не указан, коммутатор блокирует весь трафик до тех пор, пока скорость не упадет ниже верхнего порога.

12. Какая команда используется для настройки Storm Control?

storm-control { broadcast | multicast | unicast } level { level [ level-low ] | bps bps [ bps-low ] | pps pps [ pps-low ]}

CCIE за год. Цикл 3. Тема 17. Вопросы.

1. На каких портах работает SNMP?

161/UDP 162/UDP

2. Каким образом настраивается SNMP?

snmp-server community [string] [ro | rw] [acl]

3. Дать понятие о MIB

Так как адреса объектов устройств определяются в цифровом формате, их сложно запомнить. Для упрощения применяются базы управляющей информации (MIB). Базы MIB описывают структуру управляемых данных на подсистеме устройства; они используют иерархическое пространство имен, содержащее идентификаторы объектов (OID-ы). Каждый OID состоит из двух частей: текстового имени и SNMP адреса в цифровом виде. Базы MIB являются необязательными и выполняют вспомогательную роль по переводу имени объекта из человеческого формата (словесного) в формат SNMP (цифровой).

4. Объяснить разницу между SNMP Trap и SNMP Inform

SNMP работает на протоколе UDP, в котором доставка сообщений не гарантирована и не сообщается о потерянных пакетах. InformRequest исправляет это отправлением назад подтверждения о получении. Получатель отвечает Response-ом, повторяющим всю информацию из InformRequest. Этот PDU был введен в SNMPv2.

5. Какие версии поддерживает SNMP? Объяснить разницу между версиями.

SNMP, версия 1 (SNMPv1) — изначальная реализация протокола SNMP. SNMPv1 работает с такими протоколами, как UDP, IP, CLNS, DDP и IPX. Аутентификация клиентов производится с помощью community string, которая передается в открытом виде.

SNMPv2 пересматривает Версию 1 и включает в себя улучшения в области производительности, безопасности, конфиденциальности и связях между менеджерами. Протокол ввел GetBulkRequest, альтернативу итерационному применению GetNextRequest для получения большого количества управляющих данных через один запрос. SNMPv2c включает SNMPv2 без её спорной модели безопасности; вместо этого используется простая схема безопасности на основе сообществ из SNMPv1.

SNMPv3 добавляет важные особенности безопасности:

Конфиденциальность — шифрование пакетов для предотвращения перехвата несанкционированным источником.
Целостность — целостность сообщений, для предотвращения изменения пакета в пути, включая дополнительный механизм защиты от повторной передачи перехваченного пакета.
Аутентификация — чтобы убедиться, что сообщение пришло из правильного источника.

6. Сколько версий безопасности можно настроить на SNMPv3? Дать пояснение.

NoAuthNoPriv (Unauthenticated/Unencrypted)
AuthNoPriv (Authenticated only)
AuthPriv (Authenticated and encrypted)

7. Каким образом Traps работают в SNMPv3?

supports traps/informs
authentication model is different
trap needs to have a user associated
user credentials are used to authenticate
the nms needs to implement authentication

8. Объяснить работу view в SNMPv3.

С помощью view можно ограничить доступ к записям MIB. Работает аналогично ACL. Два стандартных предопределенных views могут быть использованы, когда требуются view: Everything — пользователь может видеть все объекты, Restricted — пользователь может видеть три группы: system, snmpStats, and snmpParties.