MindMap Gallery Noções básicas de rede CCNA certificadas pela Cisco
As certificações Cisco incluem CCNA, CCDA, CCNP, CCDP, CCSP, CCIP, CCVP, CCIE (que são divididas em roteamento e comutação; voz; rede de armazenamento; segurança; operadoras de telecomunicações), etc. Entre as diversas certificações, as três mais utilizadas e com alta demanda social são CCNA, CCNP e roteamento e comutação CCIE. Este artigo resume principalmente o conhecimento do reconhecimento de rede Cisco CCNA
Edited at 2023-06-25 11:38:03Noções básicas de rede CCNA certificadas pela Cisco
conceito de rede
Mapa conceitual
componentes físicos cibernéticos
Função de compartilhamento de recursos e suas vantagens
Aplicativos de usuário na rede
E-mail (Outlook POP3 Yahoo, etc.)
Navegador da Web (ou seja, Firefox, etc.)
Mensagens instantâneas (Yahoo IM, Microsoft Messenger, etc.)
Trabalho colaborativo (quadro branco, Netmeeting, WebEx, etc.)
Banco de dados (servidor de arquivos)
Impacto dos aplicativos do usuário na rede
aplicação em lote
FTP TFTP, atualizações de inventário, etc.
Não é necessária interação direta homem-computador
A largura de banda é importante, mas não crítica
aplicativos interativos
interação humano-computador
Consulta de inventário, atualização de banco de dados
Como os humanos estão aguardando uma resposta da máquina, o tempo de resposta é importante, mas não crítico
aplicações em tempo real
VoIP e vídeo
interação entre pessoas
A latência ponta a ponta é fundamental
Características da rede
avaliar
custo
segurança
Disponibilidade
Escalabilidade
confiabilidade
Topologia
Topologia de rede
Tipos de topologia física
Topologia de barramento
O sinal é recebido por todos os dispositivos no barramento
topologia em anel
O sinal se propaga ao longo do anel.
Ponto unico de falha.
Topologia de anel duplo
O sinal viaja ao longo do anel na direção oposta.
Mais elástico que o anel único.
topologia em estrela
Os dados são transmitidos através do nó central.
Ponto único de falha, mas não como um anel que afeta outros
Estender a topologia em estrela
Mais flexível que a topologia em estrela
topologia de conexão parcial
Equilibrando tolerância a falhas e custos de rede
topologia totalmente unida
Altamente tolerante a falhas e caro
Comparado
Modelo OSI de sete camadas
Modelo TCP/IP VS OSI
O modelo de referência OSI define as funções de rede de cada camada.
A camada física define os procedimentos elétricos, mecânicos, processuais e funcionais para ativar, manter e desativar links físicos (linhas) entre sistemas finais.
A camada de enlace de dados define como os dados são formatados e transmitidos e controla como a mídia física é acessada.
(Endereço Mac, switch)
A camada de rede fornece conectividade e seleção de caminhos entre dois hosts, mesmo que estejam em redes em locais diferentes.
(Endereço IP, roteador)
A camada de transporte fragmenta os dados no host remetente e remonta os dados no host receptor.
Protocolo TCP/UDP
A camada de sessão estabelece, gerencia e encerra sessões entre dois hosts em comunicação. duplex
A camada de apresentação garante que as informações enviadas pela camada de aplicação de um sistema possam ser lidas pela camada de aplicação de outro sistema.
mídia de imagem
A camada de aplicação fornece serviços de rede para aplicações de usuários, como e-mail, transferência de arquivos e emulação de terminal.
correspondência
TCP/IP
O TCP/IP é atualmente o protocolo mais utilizado e sua popularidade decorre de seu esquema de endereçamento flexível, da disponibilidade na maioria dos sistemas operacionais e plataformas e do rico conjunto de ferramentas necessárias para se conectar à Internet.
A pilha de protocolos TCP/IP inclui a camada de acesso à rede, a camada Internet, a camada de transporte e a camada de aplicação.
O modelo OSI e a pilha de protocolos TCP/IP são semelhantes em estrutura e função, incluindo suas
Camada física, camada de enlace de dados, camada de rede e camada de transporte.
O modelo OSI divide a camada de aplicação da pilha de protocolos TCP/IP em três camadas independentes (Camada de sessão, camada de apresentação e camada de aplicação).
Protocolo TCP/IP
Características do protocolo da Internet (IP)
Funciona na camada de rede do OSI
sem protocolo de conexão
Cada pacote é processado de forma independente
endereçamento hierárquico
transmissão de melhor esforço
Nenhuma função de recuperação de dados
Cabeçalho IP PDU
Formato do endereço IP: decimal pontilhado
Intervalo de endereços IP
127 (01111111) é um endereço Classe A, reservado para testes de loopback e não pode ser atribuído à rede.
Endereço IP privado - LAN
DHCP
DNS
Um aplicativo na pilha de protocolos TCP/IP Um método para traduzir nomes legíveis em endereços IP
TCP/UDP
Características UDP
Funciona na camada de transporte dos modelos OSI e TCP/IP
Fornece aos aplicativos acesso à camada de rede sem a sobrecarga dos mecanismos de confiabilidade
é um protocolo sem conexão
Fornece detecção de erros limitada
Fornece transmissão de melhor esforço
Nenhuma função de recuperação de dados
Não confiável, mas eficiente
Cabeçalho UDP
Características TCP
Funciona na camada de transporte do TCP/IP
Forneça aos aplicativos acesso à camada de rede
protocolo orientado a conexão
Modo de trabalho full duplex
detecção de erro
Classificação de pacotes
Reconhecimento de recepção de pacotes
Função de recuperação de dados
Confiável, mas ineficiente porque requer três apertos de mão
Cabeçalho TCP
três apertos de mão
Hub (HUB)
Todo o Hub é um domínio de colisão porque todos os pacotes são transmitidos para todas as portas do Hub
O switch é mais eficiente que o HUB porque apenas cada porta é um domínio de colisão e a transferência de informações é direta de porta a porta.
O hub transmite qualquer pacote e a porta do switch o entrega porta a porta. Mas para dados de transmissão, o switch ainda transmitirá para cada porta
Um segmento é uma conexão de rede que consiste em um único cabo de rede. Devido à atenuação do sinal, A gama de cabos e segmentos Ethernet é limitada pela distância física. Um hub pode estender segmentos de rede; ele recebe fluxos de bits, amplifica sinais elétricos e Transmite esses bits através de sua porta para outros dispositivos da rede. Se dois ou mais hosts em um segmento transmitirem dados ao mesmo tempo, ocorrerá um conflito. Porque o Hub é um grande domínio de conflito.
tecnologia LAN comutada
ponte
Trabalhando na segunda camada do modelo OSI
Isole domínios de conflito, não isole domínios de transmissão
menos portas
O encaminhamento é lento
trocar
Trabalhando na segunda camada do modelo OSI
Encaminhar, filtrar ou transmitir quadros de dados
mais portas
Encaminhamento rápido
Comutador LAN
Maior densidade de portas
Buffer de quadro de dados maior
Suporta diferentes velocidades de porta
Troca interna rápida
Modo de troca:
Cortar
Rápido, sem verificação
Armazenar e encaminhar
lento, armazenar, verificar
Encaminhamento sem fragmentos (sem fragmentos)
Um tipo de encaminhamento direto
Enviar somente quando 64 bytes forem atingidos
característica
Perceber
1
, o switch não se importa com o endereço IP, apenas com o endereço MAC
2
O cache ARP no switch é um mapeamento de portas para endereços MAC e não tem nada a ver com endereços IP.
3
A tabela de cache ARP no switch registra continuamente a porta de origem e o MAC de origem lendo a porta de origem e o MAC de origem ao encaminhar pacotes de dados, em vez de consultar por meio de transmissão ARP.
Troca de quadros de dados
roteador
Comparado
VLAN
VLAN = Domínio de Broadcast = Rede Lógica (Sub-rede
As transmissões não cruzarão VLANs
Métodos de configuração de dispositivos Cisco
Suporta vários métodos de configuração. Porta de rede, porta de controle, discagem remota AUX
A configuração entra em vigor na memória do dispositivo.
Recursos da interface de usuário do Cisco IOS
A interface de linha de comando (CLI) é usada para inserir comandos. As operações variam em diferentes dispositivos. O usuário insere ou cola o Poste o comando. Existem diferentes prompts em diferentes modos de comando. A tecla Enter permite que o dispositivo analise e execute o comando fazer. Os dois principais modos EXEC são o modo de usuário (modo usuário) e modo privilegiado (modo privilegiado modo).
mostre os comandos running-config e show startupconfig
árvore geradora
STP
Método de seleção de ponte raiz
Compare o ID da ponte (o menor primeiro)
Compare endereços MAC (primeiro os menores)
Como selecionar BLK
Priorize o bloqueio de links com baixa largura de banda
Se a largura de banda for a mesma, aquela com número de porta maior será fechada.
Comandos de configuração
Modifique a prioridade para definir a ponte raiz
SW2(config)#spanning-tree prioridade vlan 1? <0-61440> prioridade da ponte em incrementos de 4096
SW2(config)#spanning-tree vlan 1 prioridade 4096
Ver prioridades da árvore geradora
SW2(config)#do mostra árvore geradora VLAN0001 Protocolo habilitado para spanning tree ieee Prioridade de ID raiz 32769 Endereço aabb.cc00.0600 Custo 100 Porta 2 (Ethernet0/1) Hello Time 2 seg Idade máxima 20 seg Atraso de avanço 15 seg Prioridade de ID da ponte 32769 (prioridade 32768 sys-id-ext 1) Endereço aabb.cc00.0700 Hello Time 2 seg Idade máxima 20 seg Atraso de avanço 15 seg Tempo de envelhecimento 15 segundos Função de Interface Sts Custo Tipo Prio.Nbr ------------------ ---- --- --------- -------- ------- - ------------------------- Et0/1 Raiz LRN 100 128,2 Shr Et0/2 Altn BLK 100 128,3 Shr Et0/3 Desg FWD 100 128,4 Shr Et1/0 Desg FWD 100 128,5 Shr Et1/1 Desg FWD 100 128,6 Shr Et1/2 Desg FWD 100 128,7 Shr Et1/3 Desg FWD 100 128,8 Shr Et2/0 Desg FWD 100 128,9 Shr Et2/1 Desg FWD 100 128.10 Shr Et2/2 Desg FWD 100 128.11 Shr Et2/3 Desg FWD 100 128.12 Shr Et3/0 Desg FWD 100 128,13 Shr Et3/1 Desg FWD 100 128.14 Shr Et3/2 Desg FWD 100 128,15 Shr Et3/3 Desg FWD 100 128.16 Shr
MST
Etapas de configuração
MST – uma árvore geradora por instância
1. Instância de configuração
2. Configure o número da versão do MST
3. Configure o nome MST para ser consistente
Configurar a prioridade VLANx da instância
Comandos de configuração
SW1
SW1(config)#spanning-tree mode mst SW1(config)#spanning-tree configuração mst SW1(config-mst)#instância 1 vlan 1,3,5 SW1(config-mst)#instância 2 vlan 2,4,6 SW1(config-mst)#revisão 1 SW1(config-mst)#nome MST-1 SW1(config-mst)#exit SW1(config)#spanning-tree mst 1 raiz primária SW1(config)#spanning-tree mst 2 raiz secundária
SW1
SW2(config)#spanning-tree mode mst SW2(config)#spanning-tree configuração mst SW2(config-mst)#instância 1 vlan 1,12,3 SW2(config-mst)#instância 2 vlan 2,4,6 SW2(config-mst)#revisão 1 SW2(config-mst)#nome MST-1 SW2(config)#spanning-tree mst 2 raiz primária SW2(config)#spanning-tree mst 1 raiz secundária
Ver informações de configuração do MST
SW2(config-mst)#mostrar atual Configuração atual do MST Nome[MST-1] Revisão 2 Instâncias configuradas 3 Vlans de instância mapeadas -------------------------------------------------- --- -------------------------- 0 11,13-4094 11,3,5,7,9,12 2 2,4,6,8,10 -------------------------------------------------- --------------------------
PVST e PVST são compatíveis, mas PVST e MST não são compatíveis (o MST é baseado na árvore de abrangência de instância e o PVST é baseado na árvore de abrangência de VLAN, portanto, você não pode ter ambos.
Ver comando
Comando de visualização de árvore abrangente
mostre a árvore geradora
Segurança de Spanning Tree (proteção BPDU)
Guarda BPDU
A interface de acesso filtra BPDUs e será filtrada enquanto as regras forem violadas.
IOU1(config)#int e0/0 Acesso ao modo IOU1(config-if)#switchport IOU1(config-if)#spanning-tree bpduguard ativar
Filtro BPDU
Os filtros da interface de acesso BPDUs recebidos são filtrados por padrão, mas o status da interface não é afetado.
IOU1(config)#int e0/0 Acesso ao modo IOU1(config-if)#switchport IOU1(config-if)#spanning-tree bpdufilter ativar
protetor de raiz
A proteção da ponte raiz é feita no tronco de todos os switches da LAN.
IOU1(config)#int e0/0 IOU1(config-if)#spanning-tree guard root
tecnologia de agregação de links
Etapas de configuração
Feche as portas que precisam ser agregadas
Selecione o protocolo de agregação (ligação manual / lacp automático)
porta aberta
(Camada 3) Feche a porta da Camada 2
(Camada 3) Configurar endereço IP
Comandos de configuração da camada 2
SW2(config)#int executou e0/0-1 SW2(config-if-range)#shutdown SW2(config-if-range)#canal-grupo 1 modo ativado SW2(config-if-range)#sem desligamento
Comandos de configuração da camada 3
SW2(config)#int executou e0/0-2 SW2(config-if-range)#shutdown SW2(config-if-range)#canal-grupo 1 modo ativado Criando uma interface port-channel Port-channel 1 SW2(config-if-range)#sem desligamento SW2(config-if-range)#exit SW2(config)#int canal de porta 1 SW2(config-if)#sem switchport SW2(config-if)#endereço IP 192.168.1.1 255.255.255.0 SW2(config-if)#exit
Solução de problemas do switch
Use o pensamento em camadas para solucionar problemas
Os switches funcionam na segunda camada do modelo OSI.
O switch fornece interfaces físicas.
Problemas com switches geralmente se manifestam na Camada 1 e na Camada 2.
Pode haver problemas de Camada 3 envolvidos ao acessar as funções de gerenciamento do switch.
Alterar problemas de mídia
Os problemas de mídia geralmente surgem das seguintes possibilidades:
O cabo está danificado.
Surgem novas fontes de interferência eletromagnética
TEMPESTADE
Os padrões de tráfego mudam.
Instale novos equipamentos.
barulho excessivo
Etapas sugeridas:
Use o comando show interface para visualizar o status da interface Ethernet do dispositivo. Se a letra de saída
Informações que mostram um grande número de erros de CRC, mas poucas colisões, indicam ruído excessivo.
Verifique o cabo quanto a danos.
Se estiver usando 100Base-TX, confirme se são usados cabos Categoria 5 ou Categoria 5e.
conflito tardio (
Colisão Tardia
Etapas sugeridas:
Use um analisador de protocolo para verificar conflitos tardios. É improvável que ocorram colisões tardias em uma rede Ethernet adequadamente projetada.
As colisões tardias ocorrem frequentemente quando o cabo Ethernet é muito longo ou há muitos repetidores na rede.
Verifique a distância entre o primeiro e o último host em um segmento.
Problemas duplex (importante)
Modo duplex:
Definir uma extremidade como full duplex e a outra como half duplex resultará em erro.
Uma extremidade está configurada para full duplex e a outra está configurada para negociação automática:
Se a negociação automática falhar, a outra extremidade funcionará no modo half-duplex
resulta em um erro.
Uma extremidade está configurada para half-duplex e a outra para negociação automática:
Se a negociação automática falhar, a outra extremidade funcionará no modo half-duplex.
Ambas as extremidades funcionam em half-duplex, sem erros.
Ambas as extremidades estão configuradas para negociação automática:
Se a negociação falhar, uma extremidade funcionará em full duplex e a outra extremidade funcionará em half duplex. Por exemplo:
Uma interface Ethernet 1G funciona em modo full-duplex por padrão, enquanto uma interface Ethernet 10/100M funciona em modo half-duplex por padrão.
Se a negociação falhar, ambas as partes trabalharão no modo half-duplex.
Half-duplex em ambas as extremidades, sem erros.
Problema de taxa
Modo de taxa:
Definir uma extremidade para uma taxa e a outra para outra taxa resulta em erros.
Uma extremidade está configurada para uma velocidade mais alta e a outra extremidade está configurada para negociação automática.
Se a negociação automática falhar, a extremidade configurada para negociação automática funcionará na taxa mais baixa que puder suportar.
resulta em um erro.
Ambas as extremidades estão configuradas para negociação automática:
Se a negociação automática falhar em ambos os lados, ambos trabalharão com a taxa mais baixa que puderem suportar.
Sem erros
firewall
Porta padrão
Registrar porta
0-1023: Controlado pela IANA, reservado para serviços conhecidos
1024-49151: Porta registrada listada pela IANA, usada por usuários regulares
Essas portas podem ser usadas por processos de usuários comuns ou programas em execução.
49152-65535: Portas dinâmicas e/ou dedicadas.
Hackers preferem a porta 445
Firewall (chave)
Arquitetura de firewall
UTM
WAF
Firewall de aplicativos (WAF) e gateway de serviço anti-negação
O firewall de aplicativos da Web foi projetado especificamente para implementar uma série de políticas de segurança para HTTP/HTTPS.
Um produto que fornece proteção para aplicativos da web.
O firewall do aplicativo WEB está localizado no front-end do farm de servidores do portal.
Fortalecer os recursos de proteção de segurança do portal por meio de anti-varredura, anti-injeção, scripts anti-cross-site, ataque anti-backdoor e outras estratégias de segurança para minimizar a possibilidade de o site ser invadido por hackers
O gateway de ataque do serviço anti-negação pode detectar prontamente vários tipos de tráfego de ataque no tráfego em segundo plano.
Intercepte rapidamente o tráfego de ataque de acordo com o tipo de ataque para garantir a passagem do tráfego normal.
NGFW
O Gartner definiu o NGFW pela primeira vez em 2009:
Deve ter funcionalidade de firewall padrão,
Como tradução de endereços de rede, inspeção de estado, VPN e funções exigidas por grandes empresas, como - IPS, AV,
Gerenciamento de comportamento e outras funções O PAN é o pioneiro do NGFW e introduz os conceitos de App, Usuário e Ccontent.
4 regras para firewalls
• Regra silenciosa • Regras silenciosas, não registre logs indesejados e logs sem importância e reduza a quantidade de logs •Regra furtiva • Regras furtivas que impedem que sistemas não autorizados acessem o software de firewall •Regra de limpeza • Regras de limpeza, registrando violações de regras anteriores, são a última regra básica • Negar regra • Regras negativas, que não permitem que os administradores definam regras amplas no firewall e limitem estritamente Controle quais sistemas podem ser acessados e como
LCA
Aplicativo ACL
Permitir (Permitir) ou negar (Negar) pacotes fluindo através do roteador.
Permitir ou negar acesso ao roteador por meio de linhas vty.
Sem ACLs, os pacotes podem ser transmitidos para qualquer parte da rede
Princípio ACL
Configuração de ACL
Palavras-chave
192.168.1.1 0.0.0.0, que pode ser abreviado usando o endereço IP com a palavra-chave na frente (host 192.168.1.1)
0.0.0.0 255.255.255.255 Ignore todos os bits de endereço e use a palavra-chave any para abreviar a expressão
na interface
interface de saída
ALC padrão (1-99)
Permitir a passagem de um único segmento de rede
R2(config)#lista de acesso 1 permissão 192.168.1.0 0.0.0.255 R2(config)#int e0/0 R2(config-if)#ip grupo de acesso 1 saída
Negar hosts específicos
config)#lista de acesso 1 negar 192.168.1.2 0.0.0.0
config)#lista de acesso 1 permissão 0.0.0.0 255.255.255.255
Permitir todos os hosts, exceto 192.168.1.2 (oculto, negar todos)
configuração)#int e0/0
config-if)#ip grupo de acesso 1 saída
Negar segmentos de rede específicos
config)#lista de acesso 1 negar 192.168.1.0 0.0.0.255
config)#access-list 1 permite qualquer
configuração)#int e0/0
config-if)#ip grupo de acesso 1 saída
Controlar o acesso VTY
config)#lista de acesso 1 permissão 192.168.1.0 0.0.0.255
configuração)#linha vty 0 4
config-vty)#classe de acesso 1 em
Instância ACL nomeada
config)#ip nome padrão da lista de acesso-acl
config-std-nacl)#deny host 192.168.1.1
config-std-nacl)#permitir 192.168.0.0 0.0.255.255
config-std-nacl)#int e0/0
config-if)#ip nome do grupo de acesso-acl out
ACL estendida (100-199)
Negar tráfego FTP de segmentos de rede específicos
config)#lista de acesso 101 negar tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 21
config)#access-list 101 permit ip any any (permitir todas as passagens, exceto as acima)
config-std-nacl)#int e0/0
config-if)#ip grupo de acesso 101 saída
NAT e PAT
Tradução do Endereço da Rede (NAT, tradução de endereços de rede)
Um endereço IP é local ou global. O endereço IPv4 local (Local) só é visível na rede interna. O endereço IPv4 global é visível em redes externas
tradução de endereço de porta (PAT, Tradução de Endereço de Porta)
Traduzir o endereço de origem da rede interna
Configure e verifique o NAT estático
ip nat dentro da fonte static local-ip global-ip
Configure um endereço local interno e um endereço global interno (dentro do endereço global) relacionamento de conversão estática.
ip nat dentro
Indica que a interface está conectada à rede interna (inside)
ip nat fora
Identificar a interface conectada à rede externa (fora)
mostrar traduções ip nat
Ver tabela de tradução NAT
S-NAT
S-NAT (muitos para um)
config)#lista de acesso 1 permissão 192.168.1.0 0.0.0.255
configuração)#ip rota 0.0.0.0 0.0.0.0 S2/0
config)#ip nat dentro da lista de fontes 1 sobrecarga da interface S2/0
S-NAT (muitos para muitos)
config)#ip nat source list 1 pool x-name
config)#ip nat pool x-name 172.16.16.1 172.16.16.2 máscara de rede 255.255.255.0
S-NAT (NAT estático)
config)#ip nat dentro da fonte ststic 192.168.1.1 172.16.16.1
ip nat fonte interna endereço de rede interno estático endereço de rede externo
S-NAT (PAT estático)
config)#ip nat fonte estática tcp 172.16.16.2 80 int e0/0 80
ip nat fonte serviço estático endereço de rede externa número da porta porta de acesso à rede interna correspondente à rede interna
Protocolo de autenticação
Protocolo de autenticação PPP
Visão geral do PPP
O PPP utiliza o protocolo LCP para controlar a negociação dos parâmetros do link. Usando o protocolo NCP, o PPP pode transportar vários protocolos da camada de rede
Processo de estabelecimento de sessão PPP:
1.
Fase de estabelecimento do link (negociado pelo protocolo LCP)
2.
Fase de verificação (opcional)
Existem 2 protocolos de autenticação PPP: PAP e CHAP
3.
Fase do protocolo da camada de rede (negociada pelo protocolo NCP)
PAP
A senha é enviada pela rede em texto não criptografado Dois apertos de mão (ou seja, a verificação é concluída através de 2 mensagens) Incapaz de evitar ataques de repetição
INDIVÍDUO
O que é enviado na linha não é a senha real, mas o valor do hash Como ambas as partes definiram a mesma senha antecipadamente, você só precisa verificar o valor do hash. Handshake triplo (ou seja, a verificação é concluída por meio de 3 mensagens)
O roteador central desafia os roteadores remotos na forma de uma chave de criptografia exclusiva para cada conexão. O roteador remoto usa essa chave para criptografar o nome de usuário e a senha e os envia ao roteador central. Depois de recebê-lo, o roteador central descriptografa e verifica usando a chave emitida para aquela conexão.
Comparado