如何防止cisco交換機，HSRP被攻擊，有什麼措施可以預防

1樓：匿名使用者

hsrp不是這麼用的，是核心層或者說是路由器備份使用，他們兩臺彼此可用一條光纖連線，啟hsrp後兩臺路由器會虛擬出一個ip地址，如有損壞，備用裝置自動切換，下面二層交換機通常使用stp防環，如果二層是cisco的，使用pvst+

組建hsrp關鍵是匯聚層交換機要有兩根線分別接入到兩臺路由器上，但在節點設定閘道器時，只設定他們兩臺路由器公用的那個ip地址

配置如下

version 12.0

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!hostname r1

!enable password cisco

!ip subnet-zero!!

!!inte***ce ethernet0

ip address 136.147.107.101 255.255.0.0

no ip redirects

no ip directed-broadcast

standby 150 timers 5 15 /* 定義150組5秒交換一次hello資訊，15秒沒收到

hello資訊就開始切換 */

standby 150 priority 110 /* 定義150組的主路由器權值，值越大，為主路由

器希望越大 */

standby 150 preempt /* enable 150組的hsrp搶佔功能 */

standby 150 authentication cisco /* 設定150組的router身份驗證串 */

standby 150 ip 136.147.107.100 /* 定義150組的浮動地址，也是這臺router

連線的網路的閘道器 */

standby 150 track ethernet0 /* 定義監控的埠 */

!inte***ce serial0

no ip address

no ip directed-broadcast

no ip mroute-cache

shutdown

no fair-queue

!ip classless!!

line con 0

transport input none

line 1 16

line aux 0

line vty 0 4

password cisco

!end

2樓：匿名使用者

1.攻擊原理

hsrp協議的路由器之間廣播hsrp優先順序，hsrp協議選出當前的主動路由器。當在預先設定的一段（hold time 預設為10秒）時間內主動路由器不能傳送hello訊息，或者說hsrp檢測不到主動路由器的hello訊息時，將認為主動路由器有故障，這時hsrp會選擇優先順序最高的備用路由器變為主動路由器，同時將按hsrp優先順序在配置了hsrp的路由器中再選擇一臺路由器作為新的備用路由器。hsrpv1的hello訊息是基於udp埠為1985以及目的地址為224.

0.0.2 的資訊包，hsrpv2的hello訊息是基於udp埠為1985以及目的地址為224.

0.0.102 的資訊包，配置了hsrp的路由器將會週期性的廣播hello訊息包，並利用hello訊息包來選擇主動路由器和備用路由器及判斷路由器是否失效。

使用者與hsrp組是在同一區域網內，很容易截獲hsrp組的資訊，並通過此資訊結合相關的攻擊軟體可以造成sr路由器上的hsrp組頻繁切換。

2.攻擊現象

被攻擊路由器的對應hsrp組的active路由器會頻繁切換，頻繁切換hsrp組路由器的角色會佔用一定cpu資源。

3.解決方案

其實hsrp的hello報文資訊帶有認證密碼，但預設authentication data是明文cisco，可以採用更改authentication data欄位的認證密碼，並且使用md5加密，可以對使用者採用hsrp協議自身的弱點進行攻擊起到相應的保護作用。由於目的地址為224.0.

0.2和224.0.

0.102，目的埠為udp1985是hsrp特定的會話，可以採取在接入交換機通過acl控制使用者in方向的流量拒絕訪問目的地址為224.0.

0.2和224.0.

0.102，目的埠為udp1985的所有資料包。

相關命令：

router(config)#key chain hsrp-key

router(config-keychain)#key 1

router(config-keychain-key)#key-string gzunicom

router(config-if)#standby 1 authentication mode md5

router(config-if)#standby 1 authentication hrsp-key

cisco 兩臺3750交換機hsrp 如何連線兩臺交換機

3樓：匿名使用者

組建hsrp關鍵是匯聚層交換機要有兩根線分別接入到兩臺路由器上，但在節點設定閘道器時，只設定他們兩臺路由器公用的那個ip地址

配置如下

version 12.0

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!hostname r1

!enable password cisco

!ip subnet-zero!!

!!inte***ce ethernet0

ip address 136.147.107.101 255.255.0.0

no ip redirects

no ip directed-broadcast

standby 150 timers 5 15 /* 定義150組5秒交換一次hello資訊，15秒沒收到

hello資訊就開始切換 */

standby 150 priority 110 /* 定義150組的主路由器權值，值越大，為主路由

器希望越大 */

standby 150 preempt /* enable 150組的hsrp搶佔功能 */

standby 150 authentication cisco /* 設定150組的router身份驗證串 */

standby 150 ip 136.147.107.100 /* 定義150組的浮動地址，也是這臺router

連線的網路的閘道器 */

standby 150 track ethernet0 /* 定義監控的埠 */

!inte***ce serial0

no ip address

no ip directed-broadcast

no ip mroute-cache

shutdown

no fair-queue

!ip classless!!

line con 0

transport input none

line 1 16

line aux 0

line vty 0 4

password cisco

!end

4樓：匿名使用者

其實，你可以用兩條，然後做**，做了**後就在物理上被看成是一條鏈路了，如果不做**，那會自動啟用stp，會阻塞其中的一個埠，防止產生環路！

5樓：默默的劫難

不管是光還是電如果你僅僅是想互聯的話，只需要一個模組（裡面有2個介面）但是如果你想做一個完美的hsrp的話我建議你再做一個etherchannl**一下

6樓：匿名使用者

一條就可以..但兩條可以聚合下提高冗餘

兩條的話記得啟用stp

現醜了. :-)

cisco三層交換機可以配hsrp麼？急用！謝謝！

7樓：曲臂三十三

可以思科模擬器pt不可以配置hsrp

需要互聯

8樓：匿名使用者

pt 6.0支援hsrp，不過3層交換的hsrp有bug，一直沒修復。

這種設計必須起閘道器冗餘啊。要不就是純粹的分流，那也應該互聯，走3層也能起到一點冗餘（比如3層交換上聯口down）

33說的不是stp冗餘，說的是hsrp的冗餘是針對閘道器。

9樓：呵呵

你可能用的是三層的裝置，啟動了路由的功能

求指點，思科模擬器拓撲圖上面兩個三層交換機配置了hsrp熱備份路由協議，你們覺得還要配生成樹協議還

10樓：日落於清晨

portchannel不是必須的，但是portchannel明顯能提升核心之間的傳出速率，但是生成樹是必須的，不然會有環。

如何防止cisco交換機，HSRP被攻擊，有什麼措施可以預防

cisco交換機根橋問題cisco交換機問題

cisco交換機當前配置如何檢視

cisco交換機的型號

如何防止cisco交換機，HSRP被攻擊，有什麼措施可以預防

cisco交換機根橋問題cisco交換機問題

cisco交換機當前配置如何檢視

cisco交換機的型號

相關推薦