CCIE за год. Цикл 4. Тема 24. Вопросы.

1. Из чего состоит DHCP атака?

Rogue DHCP Server (подмена DHCP-сервера)
DHCP starvation (спуффинга клиентских запросов)

2. Как работает DHCP Snooping?

DHCP snooping позволяет:
защитить клиентов в сети от получения адреса от неавторизованного DHCP-сервера,
регулировать какие сообщения протокола DHCP отбрасывать, какие перенаправлять и на какие порты.
Для правильной работы DHCP snooping, необходимо указать какие порты коммутатора будут доверенными (trusted), а какие — нет (untrusted, в дальнейшем — ненадёжными):

  • Ненадёжные (Untrusted) — порты, к которым подключены клиенты. DHCP-ответы, приходящие с этих портов отбрасываются коммутатором. Для ненадёжных портов выполняется ряд проверок сообщений DHCP и создаётся база данных привязки DHCP (DHCP snooping binding database).
  • Доверенные (Trusted) — порты коммутатора, к которым подключен другой коммутатор или DHCP-сервер. DHCP-пакеты полученные с доверенных портов не отбрасываются.
3. Из чего состоит DHCP Snooping Binding Database?

В DHCP Snooping Binding Database хранятся (информация хранится только о ненадёжных портах):

  • MAC-адрес клиента
  • Арендованный IP-адрес клиента
  • Время аренды в секундах
  • Идентификатор VLAN
  • Идентификатор порта к которому присоединен клиент
4. Опишите атаку ARP-spoofing.

Протокол ARP является уязвимым — он не проверяет подлинность ARP-запросов и ARP-ответов. А так как сетевые интерфейсы на компьютерах поддерживают самопроизвольный ARP (ARP-ответ присылается на интерфейс устройства без необходимости), то как раз в таком случае возможна атака ARP-spoofing (перехват трафика между узлами, которые расположены в пределах одного широковещательного домена). Злоумышленник шлет ARP-ответы узлам о новом MAC-адресе. На самом деле, этот MAC-адрес соответствует интерфейсу машины злоумышленника и весь трафик будет теперь получать машина злоумышленника.

5. На чем основывается принцип работы Dynamic ARP Inspection?

Dynamic ARP Inspection позволяет:

  • защитить клиентов в сети от атак с использованием протокола ARP,
  • регулировать какие сообщения протокола ARP отбрасывать, какие перенаправлять.

Для правильной работы Dynamic ARP Inspection, необходимо указать какие порты коммутатора будут доверенными (trusted), а какие — нет (untrusted, в дальнейшем — ненадёжными):

  • Ненадёжные (Untrusted) — порты, к которым подключены клиенты. Для ненадёжных портов выполняется ряд проверок сообщений ARP.
  • Доверенные (Trusted) — порты коммутатора, к которым подключен другой коммутатор. Сообщения протокола ARP полученные с доверенных портов не отбрасываются.

Проверка соответствия MAC-адреса IP-адресу может выполняться на основании информации:

  • Базы данных привязки DHCP,
  • Статических записей
6. Что позволяет сделать команда rate limit и для чего она нужна?

Если команда на интерфейсе:
rate-limit {input | output} [dscp dscp-value] [access-group [rate-limit] acl-index] bps burst-normal burst-max conform-action conform-action exceed-action exceed-action
То она позволяет настроить политику committed access rate (CAR) и distributed CAR (DCAR)

Если команда на интерфейсе:
ip arp inspection limit { rate pps [ burst interval seconds ] | none }
То она позволяет ограничить входящие ARP запросы и ответы на интерфейсе. По умолчанию — на ненадежных: 15 pps, для доверенных: неограниченно.

7. Дать описание атаки IP-spoofing.

IP-spoofing — атака, заключающаяся в использовании в IP-пакетах, отправляемых жертве, в качестве обратного адреса IP-адрес хоста, которому она доверяет; легко осуществима в UDP, в некоторых случаях возможна в TCP-соединениях.

CCIE за год. Цикл 4. Тема 23. Вопросы.

1. Какое количество знаков может содержать System Message Logging?

до 80 знаков

2. От чего зависит часть сообщения в выводе лога до знака %?

sequence number или timestamp information и зависит от настроек:
service sequence-numbers,
service timestamps log datetime,
service timestamps log datetime [localtime] [msec] [show-timezone],
service timestamps log uptime

3. Какие настройки System Message Logging по умолчанию?

System message logging to the console   Enabled.
Console severity                                            Debugging.
Logging file configuration                           No filename specified.
Logging buffer size                                       4096 bytes.
Logging history size                                      1 message.
Time stamps                                                   Disabled.
Synchronous logging                                    Disabled.
Logging server                                                Disabled.
Syslog server IP address                               None configured.
Server facility                                                  Local7
Server severity                                                Informational.

4. Какой командой сохраняется лог во Flash памяти?

logging file flash: filename [max-file-size [min-file-size]] [severity-level-number | type]

5. Какой размер буфера лога по умолчанию?

4096 bytes

6. Каким образом ограничить количество выдаваемых сообщений на терминал в секунду? К чему может привести, если не сделать такие ограничения?

logging rate-limit seconds [all | console][except severity]

7. Что такое Syslog Server?

Сервер для централизованного сбора информации с устройств

8. Какие сообщения получает Syslog Server по умолчанию?

Informational

9. На каком уровне работают команды debug?

?

10. Что произойдет, если размер записей локального логирования настроить на меньшее значение, чем текущий?

старые будут потеряны

11. Какой порт включается по умолчанию при настройке удаленного Syslog сервера?

514/UDP

CCIE за год. Цикл 4. Тема 22. Вопросы.

1. Объясните понятие TCP Synchronization.

Процесс, когда каждый источник ТСР-соединения уменьшает и увеличивает скорость передачи одновременно с другими источниками ТСР-соединений

2. Назовите основное отличие WRED от других технологий.

Алгоритм WRED использует взвешенное значение длины очереди в качестве фактора, определяющего вероятность отбрасывания пакета. По мере роста средней длины очереди растет вероятность отбрасывания пакетов. Если средняя длина очереди меньше определенного порога, вероятность отбрасывания пакета равна нулю.

3. Для какого вида трафика используется технология WRED и почему? Дайте развернутое объяснение.

Алгоритм WRED удобен для адаптивного трафика, который формируется протоколом ТСР, так как здесь потеря пакетов приводит к снижению темпа их посылки отправителем. Алгоритм WRED присваивает пакетам не IP-типа нулевой приоритет, повышая вероятность их потери.

4. Дайте объяснение понятию Tail Drop

Tail Drop — обрабатывает весь трафик одинаково и не делает различий между классами обслуживания. Если выходная очередь полная, пакеты отбрасываются до тех пор, пока затор не будет устранен.

5. Дайте пояснения для чего нужны min threshold, average и max threshold

Когда приходит пакет, вычисляется среднее значение длины очереди(average). Если вычисленное значение меньше минимального порога очереди (min threshold), приходящий пакет ставится в очередь. Если вычисленное значение лежит между минимальным порогом очереди для данного типа трафика и максимальным порогом для интерфейса (max threshold), пакет ставится в очередь или отбрасывается в зависимости от вероятности отброса, установленной для данного типа трафика. И, наконец, если усредненный размер очереди больше максимального порога, пакет безальтернативно отбрасывается.

6. Что такое Mark probability denominator (MPD) и как он работает?

Используется для расчета максимального процента отбрасываемых пакетов, когда средняя длина очереди находится между минимальным и максимальным значением порога очереди.

7. Дайте понятие о Distributed Weighted Random Early Detection(DWRED)

Distributed WRED (DWRED) реализация WRED для Versatile Interface Processor (VIP). DWRED представляет полный набор функций для VIP, такие же, какие WRED представляет на стандартных Cisco IOS платформах. DWRED поддерживается на Cisco 7000 маршрутизаторах с  RSP-based RSP7000 interface processor и Cisco 7500 маршрутизаторах с  VIP-based VIP2-40 или выше interface processor.

8. Как работает Exponential Weighting Constant (EWC)?

Используется для расчета скорости изменения средней длины очереди по сравнению с текущей длиной очереди. Чем больше число, тем медленнее изменение средней длины очереди.

9. Какой командой можно проверить вид технологии QoS, используемой на интерфейсе?

show interfaces [intf]

10. Для чего нужен параметр hold-queue на интерфейсе?

Определяет длину входящей или исходящей очереди

11. Какая технология приоретизации трафика используется по умолчанию при настройке WRED?

по умолчанию включается WRED с использованием IPP

12. Что должно быть настроено, если WRED используется для default class и user-defined class?

?

13. Какая команда используется для включения DSCP?

random-detect dscp-based