網路教學與日常學習
網路教學與日常學習
這是進階應用,從最基本的ACL一行條件篩選,到Class-map多行條件篩選,再到Route-map篩選並且設定,最後才會來到Policy-map並且應用在實際面向上,成為Service-policy。
QoS的正是Service-policy,也是ISP的關鍵設定,在生活中更是實用。除了QoS,還能做到Policy Based Routing,可以針對不同使用情境走不同路線,避免關鍵時候雍塞。
此外,像是防火牆之類的,也是如Policy-map這類層層堆起出規則,因此,這一部分只要理解是如何運作,就能幫助很多網路應用上的規則設定。
實戰演練
PM – Policing and Shaping:搭配SNMP,施用Policy-map作流量控制,親手實現Policing and Shaping的流量體驗。
概念
VRF彼此間不相通,就像VLAN。有的時候,是需要把它們相連互通,跨越那道虛擬的圍牆。
Leaking就像從牆壁漏水,漏水不是全面相通,只有部分可以通。因此Leaking可以選擇性地把部分Route轉到別的地方。
這裡採取一種簡單的設定,使用 ip route,去指定static route,因為VRF是用介面瓜分,因此可以把符合特定網段的Route直接丟到特定VRF的介面,就可以達到跨VRF的溝通。
這篇是純L3的Router版本,L2又有一種VLAN版本。
這屬於Policy Based Routing(PBR)的運算。
目標
學會使用Global去連接兩個不同的VRF,並成功使R1跟R4通、R2跟R4通、R1跟R2不通。
設定:參考
!R1
conf t
int g0/0
ip addr 10.1.1.1 255.255.255.0
no sh
exit
ip route 0.0.0.0 0.0.0.0 g0/0
conf t
int g0/0
ip addr 10.1.2.2 255.255.255.0
no sh
exit
ip route 0.0.0.0 0.0.0.0 g0/0conf t
ip vrf R1
exit
ip vrf R2
exit
ip vrf R4
exit
int g0/0
ip vrf forwarding R1
ip addr 10.1.1.3 255.255.255.0
no sh
exit
int g1/0
ip vrf forwarding R2
ip addr 10.1.2.3 255.255.255.0
no sh
exit
int g2/0
ip vrf forwarding R4
ip addr 10.1.4.3 255.255.255.0
no sh
exit!R4
conf t
int g0/0
ip addr 10.1.4.4 255.255.255.0
no sh
exit
ip route 0.0.0.0 0.0.0.0 g0/0這裡R1、R2、R4使用Default Route指向R3,R3要身上要起三者的VRF,並且作為轉送的角色。
ip route vrf <vrf-name> <network> <subnet-mask> <next-hop ip> global!R3
ip route vrf R1 10.1.4.0 255.255.255.0 10.1.4.4 global
ip route vrf R2 10.1.4.0 255.255.255.0 10.1.4.4 global
ip route vrf R4 10.1.1.0 255.255.255.0 10.1.1.1 global
ip route vrf R4 10.1.2.0 255.255.255.0 10.1.2.2 global預設的Routing Table為global,這指令是把讓VRF的static route的next-hop ip往global裡面找。
此時,Global Routing Table應該是沒有任何Route,因此還需要在此下Static Route去決定下一跳。
! R3
ip route 10.1.1.0 255.255.255.0 g0/0
ip route 10.1.2.0 255.255.255.0 g1/0
ip route 10.1.4.0 255.255.255.0 g2/0來測試ping能不能通吧,以下是R1跟R4。
運作流程:
再來換成R1跟R2,是不會通的,如果會通就要檢查一下有沒有設定錯誤。
結論心得
因為考試有考,所以特別來練習。概念是很簡單的,學一下就能理解。雖然主體是VRF,但實際是PBR的功能,當然也是可以使用Route-map去過濾與設定。
雖然能夠跨越VRF,能互通就代表要注意IP衝突。路徑上可以彈性自訂,相對要注意設備上的Route是否有設定齊全。
概念
Virtual Routing and Forwarding(VRF),像是L3版本的VLAN,可以把Router再分出虛擬Router,這有甚麼好處?就如同VLAN做切割,兩個區域使用相同的IP,不會互相干擾。
在Default Routing Table,所有的Routing都在同一張表,這樣子,遇上相同Network就會出問題。此外Routing Table同時有客戶A跟客戶B等,這樣子也會有隱私問題,客戶A跟客戶B的Routing不該在同一張表上。
VRF可以切出Virtual Router(VR),可以跑Routing Protocols(RP),不同VR也可以重疊IP,能運作Router的功能,並且解決了資料庫分離的需求。
VRF中有Route distinguisher(RD)跟Route Target(RT)。
RD功能是在IP前面加上前綴,這樣能讓IP重疊之下,還是能區分出是哪個VRF的IP。相同RD可以視為是同一個網路。
RT有import跟export,在同一個RD之下,對方的export跟自己的import對上,就能從對方學到route。自己的export跟對方的import對上,就能把自身的route傳給對方。
在思科的VRF
先命名VRF,然後在介面設定VRF,並且設定IP位置。要注意順序!介面中設定VRF會取消掉IP位置的設定。
其餘大多功能,只要在後綴或前綴加上VRF,就能指定是在哪個VRF上運行。
實戰演練
VRF-global:三個VRF:R1、R2、R4,R1、R2區域的設備都要能到R4,但R1、R2彼此不互通。
這裡整理一些學習資源,除了需要付出或管道才能得到的題庫,也需要再從其他地方獲取去比較或補充,以免準備得過於單一,考試變題或有大量的新題就直接失敗。
免費線上題庫:
免費電子書資源:
LAB參照:
概念:
iBGP peer不會傳遞從別的iBGP peer上學到的route,這讓iBGP peer間的很難互通。不同於一般IGP的建立,BGP Neighbor建立不需要相鄰著,可以跨越設備。當如果要用鄰居關係形成傳遞鏈傳遞route,就需要使用下指令。
有兩種:Reflector、Confederation
這裡跳過了 Reflectors ,還是簡單描述Reflector指定鄰居作為Client。
1. 收到非Client的iBGP Neighbor傳來的Route,會傳遞給Client的iBGP Neighbor。
2.收到Client的iBGP Neighbor傳來的Route,會傳給其他iBGP Neighbors。
3.收到eBGP的Neighbor傳來的Route,會傳給其他iBGP Neghbors。
Reflector機制算是簡單的。然而BGP適用於對外,跨組織甚至於跨國際,有沒有甚麼方法,讓組織或國際內的AS,在對內時AS是有所區分,在對外時,外面看來的AS是一致的?
另外一種:Confederation
BGP形成鄰居是需要兩者互指,如果AS號碼不一樣是eBGP,相同則是iBGP。如果要多個AS對外是一致的,相當於形成多個AS形成一個聯盟Confederation,就需要下指令:
bgp confederation identifier <AS number>如果要使用 Confederation,設備本身的BGP AS是內部AS,然後用以下指令去指定同一聯盟不同的peers ASs。
bgp confederation peers <AS number>要是AS沒有納入在這兩種中,就會不斷報錯,無法形成鄰居。
%BGP-3-NOTIFICATION: received from neighbor 10.1.48.8 2/2 (peer in wrong AS) 2 bytes 00C8
目標:
學會如何設定 BGP Confederation,並且了解其運作。
設定:
!R1
conf t
int g0/0
ip addr 10.1.12.1 255.255.255.0
no sh
int loopback 1
ip addr 1.1.1.1 255.255.255.0
router bgp 100
redistribute connected
neighbor 10.1.12.2 remote-as 200
exit! R2
conf t
int g0/0
ip addr 10.1.12.2 255.255.255.0
no sh
int g1/0
ip addr 10.1.23.2 255.255.255.0
no sh
int loopback 1
ip addr 2.2.2.2 255.255.255.0
router bgp 65100
bgp confederation identifier 200
bgp confederation peers 65200
redistribute connected
neighbor 10.1.12.1 remote-as 100
neighbor 10.1.23.3 remote-as 65200
exit!R3
conf t
int g0/0
ip addr 10.1.23.3 255.255.255.0
no sh
int g1/0
ip addr 10.1.34.3 255.255.255.0
no sh
int loopback 1
ip addr 3.3.3.3 255.255.255.0
router bgp 65200
bgp confederation identifier 200
bgp confederation peers 65100
redistribute connected
neighbor 10.1.23.2 remote-as 65100
neighbor 10.1.34.4 remote-as 300
exit!R4
conf t
int g0/0
ip addr 10.1.34.4 255.255.255.0
no sh
int loopback 1
ip addr 4.4.4.4 255.255.255.0
router bgp 300
redistribute connected
neighbor 10.1.34.3 remote-as 200
exit流程:
照著貼上設定之後,可以發現BGP很快就形成Neighbor,但是route等一下才會交換。
稍後片刻,可以看到R1有了R4的route,觀察AS-Path,200 300 i。
中間有 AS 200 其實是由 65100 跟 65200 組成,AS range 在64512 – 65535是Private AS。
show ip bgp觀察R2收到AS 65200的route會加上括號(),如果要對外面的AS傳送route,整個()都會被換成 <identifier AS>。
同一AS聯盟的route其AD為多少?
接著,新增一個R5,AS65300,納入AS200聯盟。是否R2的peer AS要增加R5的?R5能夠正常收到R2的route嗎?這個實際操作就知道了。
結論心得:
BGP Confederation好用!
可以解決iBGP間需要彼此交換route得形成Full-mesh的麻煩設定,只需要對左右鄰居設定稍微改變就能形成如IGP那般的route交換鏈,能夠省下很多設定時間。
也可以讓BGP區分內外,可以讓private AS轉換成Public AS,就很像NAT。
特別獨立出來,著重於IPv6跟IPv4不同之處。基本知識請去Google。
IPv6設定
如同IPv4,IPv6有靜態指定跟DHCP。
不同IPv4,只有兩種型態指定,IPv6有更多種型態,更複雜。
IPv6最特別的地方就是有主動發現鄰居的能力,然後得到資訊,一行通用簡單指令就能自動產生Public IP,不需要DHCPv6-Server去發送IPv6。
IPv6也不需要做NAT,因此在Gateway設備實際上是用兩個Public Network,一個是ISP內部路由用的,一個是指派給客戶用的,客戶端的設備都指向Gateway,由Gateway設備做路由轉送就可以順利上網。
IPv6的ARP: Neighbor Discovery Protocol(NDP) 參考 參考2
ARP的功能是為了取得鄰居的IPv4與MAC對照關係,在IPv6上,變成了NDP,可以得到更多資訊,相對也有了更多的型態。
NDP主要運作是透過ICMPv6進行,NDP有五種訊息種類,對應ICMPv6不同Type。(※ICMPv6 Types)
今天有兩個路由器,啟用IPv6,介面會自動產生Link-Local型態IPv6。當設備要到另外一個IPv6位置,就會發出NS,而鄰居收到就會回傳NA。
NS跟NA都是使用Link-Local類型的IPv6。
當路由器介面啟用IPv6,會透過Link-Local發出RA,去告訴其他設備IPv6的相關設定,如Prefix等。如果收到RA的設備介面有啟用autoconfig,就會使用其內含的Prefix資訊,去形成一個IPv6。
RS則是在介面啟用時,會直接發出,告訴路由器要發出RA,當路由器收到RS,就會立刻回傳RA。
今天公司拿到了一台HP 1950,重新紀錄學習一台 Switch 的操作。
Console連入
這邊要注意,連入速率是「38400」,不是預設的9600。
密碼復原
1950 xtd-cli-mode password:foes-bent-pile-atom-ship
※其餘型號的Password,參考
1910: 512900
1920: Jinhua1920unauthorized
由於在xtd-cli-mode的阻擋,不小心將startup-config抹掉,已經Fail了。今天被問到熟不熟,從來沒碰過,還好說不熟,不然要一人去客戶那邊被電了。
復原密碼的流程,可以參考這裡。使用tftp去取出startup-config。
與其他廠商的指令差異觀察
| 功能 | Aruba | Cisco | HP |
| 進階設定(config mode) | Conf t | conf t | system-view |
| 指令儲存 | write memorry | copy run startup | save |
| Tab | 剩餘指令補齊 | 剩餘指令補齊 | 第一個符合指令補齊 |
| 顯示STP | show spanning-tree | show spanning-tree | display stp |
設定snmp
system-view
snmp community jn user-role network-admin設定port-mirrior
這裡選擇48當作mirror的出口,47為側錄的Port。
mirroring-group 1 local
mirroring-group 1 mirroring-port GigabitEthernet 1/0/47 both
mirroring-group 1 monitor-port GigabitEthernet 1/0/48用電腦Ping Switch,經由wireshark可以驗證有成功轉出,但看不到目的端不是電腦的封包,因為預設會被丟棄。從PRTG上觀察,Monitor Port流量只剩一半。
結論請愛用GUI
除非沒有密碼,得經過一些步驟撈出Config進行後續處理。不然建議使用GUI介面,可以避免打xtd-cli-mode輸入一組特別長字串。
GUI的使用體驗也不錯,做得不錯,能很輕易的設定想要的參數,數量少就可以一台台加。(超過三台還是用CLI吧,愛惜時間。)
需求:
GNS3串接PRTG,可以利用SNMP,去看到模擬器裡設備介面的即時流量。這一部份可以幫助SNMP的學習,更進一步是Policy、Shape,Route map,最終QOS、Service Policy,以及Cisco CoPP、IP SLA、Netflow。
如果搭建好,可以即時看到成果。此外,PRTG是套很強大的工具,也可以去設定Sensor主動偵測。讓模擬環境可以更多元,練就更多樣化的操作。
步驟:
決定Network,這裡以「11.12.13.0/24」為網段。於是Loopback的IP為11.12.13.1。
用瀏覽器開啟PRTG網頁,先來到「Devices」刪到如圖,這可避免自動偵測添加不想要設備。也可以順便到「Notification Triggers」刪掉事件郵件通知。
打開GNS3,加入Router(VM)跟Cloud(電腦)。
對Cloud按右鍵「Configure」,進到設定畫面添加Loopback。
把兩者串接,記得Cloud要選Loopback。
進入Router的Console,設定介面IP,並且去Ping Loopback:11.12.13.1。
這裡可能會無法順利Ping到的情形發生,有兩種方法可以解決:
第一種,停用Loopback,然後重新啟用。
第二種,斷開Router跟Cloud的線路,然後重新連接。
一定要有Ping到,才能繼續往下。
在router上設定 snmp community,這裡使用2c版本。
回到PRTG網頁,在Local Probe添加一個Group。
命名為「GNS3」
在「GNS3」按右鍵,新增Device。
※Device Identification and Auto-Discovery 要選「No auto-discovery」
往下捲動,在SNMP設定中,取消inherit,並自行設定對應的community string。
按下完成後,在剛剛新增的Device新增Sensor。
這邊有很多選項可以做篩選,這裡選擇SNMP。
向下捲動,選擇 SNMP Traffc。
選擇想要傳送流量資訊的介面。再往下捲動可以調整掃描頻率。
新增後,過一段時間,用Ping給流量,之後可以從Sensor上看到介面流量。
到這裡已經完成基本的設定。之後可以玩玩PRTG其他種類的Sensor,或用同一套模式去偵測更多的設備,嘗試LAB。
環境準備:
有些有版權的,這裡不提供任何下載連結,請到別處找找。
GNS3
去官方網站,申請帳號,就可以下載。
GNS3 VM
只推薦 VMware Worktstation Pro,一套不含Support要價199鎂,買斷制。其他的VMplayer 跟 VirtualBox 都有用過,都不是那麼方便用跟穩定。
Router IOS
去「duckduckgo」搜尋「c7200-adventerprisek9-mz.124-24.T5」之類的。
c7200的個人預設是外加4個PA-GE,很好用。
其他環境需求
LINUX
Kali linux:內有豐富好用的程式,本身是Linux,也可以安裝一些適合Linux運行的軟體。
SNMP
PRTG:免費版可以用100個sensor,在學習用途,已經很夠用了。要小心預設的自動加入,以及事件的郵件發送,強烈建議一開始就要取消掉!
概念: 參考
SNMP在v3,有三種安全等級:1. noAuthNoPriv 2. authNoPriv 3. authPriv。
Auth為Authentication,也就是對於帳密進行雜湊運算。
Priv為Privacy,也就是對於內容進行加密運算。
※提示:雜湊是破壞性的,不可逆向還原。加密可以逆性還原。
v3的User會採取哪種安全級別,是取決於User屬於甚麼Group。因此要先建立Group並設定其安全級別,再設定User。如果沒有設定Group,是無法通過驗證的。再設定User時,其安全級別也要跟其Group一致。
環境:
目標:
設定:
!R1 noAuthNoPriv
conf t
int g0/0
ip addr 11.12.13.10 255.255.255.0
no sh
snmp-server group admin1 v3 noauth
snmp-server user jn1 admin1 v3!R2 authNoPriv
conf t
int g0/0
ip addr 11.12.13.20 255.255.255.0
no sh
snmp-server group admin2 v3 auth
snmp-server user jn2 admin2 v3 auth sha 12345678!R3 authPriv
conf t
int g0/0
ip addr 11.12.13.30 255.255.255.0
no sh
snmp-server group admin3 v3 priv
snmp-server user jn3 admin3 v3 auth sha 12345678 priv aes 128 12345678
! aes 128 是PRTG能支援的上限,用192或256都無法讀取到其餘在PRTG網頁版手動設定,
最後使用wireshark錄封包,觀察三者的差異。
所有的封包都可以看到Username,如果使用noAuth就可以直接被看光,如沒有ACL就可以隨便拿一個外接設備去看MD的資訊,再不小心就能讀寫了。
而authNoPriv,可以看到向MD要了甚麼資訊。
最後authPriv,看不到了要了甚麼。
雖然破解所需的必要資訊都在封包上看得到,不過要破解速度上太難。
除錯 TroubleShooting
錯誤代碼:
#16: Authorization Error:檢查MD的group跟user是否一致,user所屬的groupg是否存在。
#33: SNMPERR_UNKNOWN_USER_NAME:檢查NMS或MD的輸入的User Name是否正確。
#34: SNMPERR_UNSUPPORTED_SEC_LEVEL:檢查NMS是否有多輸入,如noAuth的User卻輸入了密碼。
#35: SNMPERR_AUTHENTICATION_FAILURE:檢查NMS與MD的Authentication是否一致。
SNMP的TroubleShooting通常是檢查兩端設定是否一致,這也是最常見的錯誤,如漏打一個字母。面對這種可能,只有眼睛張大一點,看仔細一點去發現。需要「一致性」的設定,建議都是複製貼上會保險一點。手Key很難保證不手抖一下。
Simple Network Management Protocol(SNMP)是一個用於管理網路設備的協定,可以取得網路設備的設定與資訊,又或者去設定網路設備。由SNMP的觀念衍生出許多高階的Application,基本上大廠牌都有一套自己的軟體,如Aruba Airwave等。SNMP的使用上可是相當頻繁,成為一位「P級」的一定得去學學。
本文根據「維基百科」為主,把資料做整理,並做一些解釋。
| Protocol Name | Version | Port | Function | RFC |
| SNMP | 1 | 161 162 |
簡單的網路管理 | RFC 1155 RFC 1156 RFC 1157 |
| SNMP | 2c | 161 162 |
可以一次詢問多種資訊,初階加密 | RFC 1901–RFC 1908 |
| SNMP | 3 | 161 162 |
SNMP第三版提供三項重要的服務:認證、隱私和存取控制 | RFC3411-RFC3418 |
一個SNMP管理的網路由下列三個關鍵元件組成:
以戰場為例:agent是指揮官,被管理裝置(MD)是它的手下,網路管理系統(NMS)則是將軍。
今天要詢問狀況,會由agent去向MD問,問說哪個介面目前流量如何?問你叫甚麼名字?但這是人的問法,換成機器,流量、Hostname這些資訊放在管理資訊庫(MIB,Management Information Base)的特定位置,如:1.3.6.1.2.1.25.3.3.1.2 表示要監視所有 CPU Core 使用狀況。但是,不同家的資訊位置會略有不同,正確位置可以去其官網查表。
再簡單敘述一遍,如果想要知道甚麼資訊,就去MIB查該參數存放至哪裡,得到一串類似「1.2.3.4.5.6.7.8.9」的字串,agent去向MD問這字串,MD就會回覆對應的參數。
使用概念:
SNMP在1版跟2c版都是以 community 作為通關口號,只要agent跟MD兩邊的community string對得上,就可以順利管理。但這樣的安全性是低的,它太簡單了。
SNMP在3版同時強化了驗證與加密功能,可以使用帳號密碼去做驗證,並且使用加密讓關鍵訊息增加破解的難度。
為了安全,所以多半使用v3的authPriv。要是自家SNMP的方式被破解,相當於控制權會被拿走,想一想其實相當可怕。
實戰練習:
最後更新日期:2021-01-26
這裡要分享一些工作上常用的工具軟體,彼此間交流應用程式也是很重要的。
| 功能 | 名稱 | 功能說明 |
| 螢幕截圖(*) | picpick | 按下快捷鍵可以針對當前視窗做截圖,截圖可以在軟體直接修改,也可以直接設定存到特定資料夾,省去了整理的麻煩。 |
| 無線訊號偵測 | inSSIDer | 能將無線訊號的訊號強弱走勢精美呈現。缺點就是免費版沒有辦法選擇要用來偵測的介面卡。 |
| 無線訊號偵測 | WifiInfoView | 用清單的方式呈現,可以抓取到許多資訊,如MAC等。有特定目標就可以用。有缺點是介面沒有走勢。 |
| 無線訊號偵測(*) | Acrylic Wi-Fi Home | 能將無線訊號強弱變成走勢圖,不過納入太多顯得雜亂。可以選擇要用的偵測介面卡,不用上網連線的去偵測。 |
| 封包側錄(*) | WiresharkPortable | 可以錄特定介面卡的封包,用途為TroubleShooting,適用廣泛。不過得有基本實力,才能駕馭Wireshark去找到自己想知道的。 |
| 螢幕延伸 | Duet Display | 平板可以當延伸螢幕,搭配筆電超讚。解析度比較好,可調參數比較多。缺點:要付費,透過無線需要專業版。 |
| 螢幕延伸(*) | spacedesk SERVER | 平板變成延伸螢幕,免費,可以透過無線連接延伸。缺點:較少參數可調整,電腦需要開啟服務,相對安全性較差。 |
| 熱鍵巨集(*) | QuickTextPaste | 可以用熱鍵去複製設好的對應文字,對於設備Config是相當好用的。免費。缺點:調整熱鍵的對應文字有點反直覺,只有改最下層才會有用。 |
| 延伸攝像頭(*) | iVCam | 手機可以透過無線連接變成延伸的攝像頭,意味著可以即時串流手機錄到的影像。如果會用影像處理,如刷barcode等,就只需要把注意力放到電腦操作就好。 |
個人覺得最實用的第一名:平板變成延伸螢幕。
身為一個會把筆電帶上山下海,扛在背包的人,總不可能到處帶一台X吋的顯示器。需要一個解決「行動」方案,平板很好攜帶,本身也自帶電力,就不需要侷限於插座附近。
當做事情會想要有雙螢幕的時候,有了雙螢幕絕對不只讓事半,會更少。像是文件對照等,處理文件也是很常見的事情,像是設備清單更是一絕,要求不能出錯,不然都是大事。
如果平板可以當雙螢幕,就會想買大尺寸一點了。要是需要搭配無線連接,自然望向ipad pro 2020 12.9″,有ax對接應該能有效降低延遲,使用上頓感更少。