VRRP

（VRRP：Virtual Router Redundancy Protocol）
虛擬路由器冗餘協議（VRRP）是一種選擇協議，它可以把一個虛擬路由器的責任動態分配到區域網上的 VRRP 路由器中的一台。控制虛擬路由器 IP 地址的 VRRP 路由器稱為主路由器，它負責轉發數據包到這些虛擬 IP 地址。一旦主路由器不可用，這種選擇過程就提供了動態的故障轉移機制，這就允許虛擬路由器的 IP 地址可以作為終端主機的默認第一跳路由器。使用 VRRP 的好處是有更高的默認路徑的可用性而無需在每個終端主機上配置動態路由或路由發現協議。(http://www.twwiki.com/wiki/VRRP)

Juniper 

EX-3200 為例

Virtual IP : 192.168.1.10
第一台 IP : 192.168.1.11
第二台 IP : 192.168.1.12

#set vlans VLAN10 vlan-id 10
#set vlans VLAN10 l3-interface vlan.10

第一台
#set interfaces vlan unit 10 family inet address 192.168.1.11/24
#set interfaces vlan unit 10 family inet address 192.168.1.11/24 vrrp-group 0 virtual-address 192.168.1.10
#set interfaces vlan unit 10 family inet address 192.168.1.11/24 vrrp-group 0 priority 200
 ***priority 高的為 Master***


第二台
#set interfaces vlan unit 10 family inet address 192.168.1.12/24
#set interfaces vlan unit 10 family inet address 192.168.1.12/24 vrrp-group 0 virtual-address 192.168.1.10
#set interfaces vlan unit 10 family inet address 192.168.1.12/24 vrrp-group 0 priority 100

>show vrrp


Cisco

第一台
R1(config)# interface ethernet0/1
R1(config-if)# ip address 192.168.1.11 255.255.255.0
R1(config-if)# vrrp 1 ip 192.168.1.10
R1(config-if)# vrrp 1 priority 200
R1(config-if)# vrrp 1 authentication md5 key-string cisco
R1(config-if)# no shut

第二台
R2(config)# interface ethernet0/1
R2(config-if)# ip address 192.168.1.12 255.255.255.0
R1(config-if)# vrrp 1 ip 192.168.1.10
R1(config-if)# vrrp 1 priority 100
R2(config-if)# vrrp 1 authentication md5 key-string cisco
R2(config-if)# no shut

NTP DDOS 攻擊

2014年2月出現在歐洲的新攻擊方式，基本上跟 DNS DDOS 攻擊很像

http://technews.tw/2014/02/11/united-states-warning-through-scheduled-server-ntp-new-ddos-hack-attack-tactics/

http://ssorc.tw/?p=4236

http://blog.gslin.org/archives/2014/02/13/4254/%E6%9C%80%E8%BF%91%E7%9A%84-ntp-attack-%E7%9A%84%E6%AA%A2%E6%B8%AC/

http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks

http://www.computerweekly.com/news/2240214216/NTP-based-DDoS-attacks-a-concern-says-Cloudflare

解決辦法
http://www.team-cymru.org/ReadingRoom/Templates/secure-ntp-template.html

Juniper 的設定方法，Firewall Filter (類似 Cisco ACL)

remote-login ( filter name )
allow-ntp、 deny-ntp ( term name )


set firewall family inet filter remote-login term allow-ntp from source-address 59.124.196.84/32          //設定來源IP

set firewall family inet filter remote-login term allow-ntp from protocol udp          //設定來源協定

set firewall family inet filter remote-login term allow-ntp from destination-port ntp     //目的地port

set firewall family inet filter remote-login term allow-ntp then accep     //符合條件的話允許通過

下列的 term 不同，因為一個 port 只能套用一條 filter ，因此想要設定多項過濾設定就必須用 term 來做區分。

set firewall family inet filter remote-login term deny-ntp from protocol udp     //設定來源協定

set firewall family inet filter remote-login term deny-ntp from destination-port ntp     //目的地port

set firewall family inet filter remote-login term deny-ntp then discard     //符合條件的話就阻擋

set interfaces lo0 unit 1 family inet filter input remote-login     //套用在 lookback 1的 port 上

set system ntp server 59.124.196.84 prefer     //設定 NTP Server IP ，prefer 為優先使用

set system ntp server 192.168.1.254     //設定 NTP Server IP

set system ntp source-address 192.168.1.1     //限制 NTP 的封包來源




上面是 switch 的設定，下列是 route的設定，只差在開頭不同。

set firewall filter ntp term allow-ntp from source-address 59.124.196.84/32
set firewall filter ntp term allow-ntp from protocol udp
set firewall filter ntp term allow-ntp from destination-port ntp
set firewall filter ntp term allow-ntp then accept
set firewall filter ntp term deny-ntp from protocol udp
set firewall filter ntp term deny-ntp from destination-port ntp
set firewall filter ntp term deny-ntp then discard
set firewall filter ntp term not-ntp then accept

Solaris

關機相關指令

init 0     --OK mode

init 5     --關機

init 6     --重新開機


網路

vi /etc/hosts          --修改 IP

::1     localhost
127.0.0.1       localhost      
192.168.1.1     dns-backup      loghost

vi /etc/netmasks          --修改 mask

192.168.1.0      255.255.255.0

grep network /etc/path_to_inst          --查網卡名稱

ifconfig -a     --

文章清單

硬體

Cisco 中文操作手冊

20121121 cisco 3560-x series

Juniper

20121120 Juniper EX-2200

Juniper Firewall - ISG-1000、SSG-550

Juniper SRX-100

FortiGate  (暫無資料)

Fortigate-300A 韌體升級

Fortigate-300A 韌體升級 - Part2

Extreme  (暫無資料)

Enterasys

WAF 網路應用程式防火牆

Solaris

觀念

SNMP

LACP

VLAN - trunk 與 access 差別

Juniper Firewall - ISG-1000、SSG-550

 指令

 get config | include 3389          //顯示設定，並只顯示有關鍵字 "3389" 的設定

 Juniper-6350

set routing-options static route 192.168.5.74/32 discard          //封鎖此 IP

Juniper-ISG1000

set interface "Inter1" mip 10.10.10.50 host 192.168.10.100 netmask 255.255.255.255 vr "trust-vr"          //設定內部 IP 轉址

set address "Untrust" "_1.1.1.15/32" 1.1.1.15 255.255.255.255 "測試用"          //設定外部要連進來的 IP

set service "TCP_80&443" protocol tcp src-port 0-65535 dst-port 80-80          //設定 port

set service "TCP_80&443" + tcp src-port 0-65535 dst-port 443-443          //在同樣名字裡附加其他 port

set policy id  from "Untrust" to "Trust"  "_1.1.1.15/32" "MIP(61.60.127.179)" "TCP_80&443" permit log          //設定 police 允許從外部 IP 連線並經由 MIP 轉址進到內部 Server

Ins5 SSG-550 新增IP

set address "Untrust" "_192.168.5.58/32" 192.168.5.58 255.255.255.255

WAF 網路應用程式防火牆

WAF 網路應用程式防火牆

http://www.amxecure.com/index.php/zh/securecontrol/476-securespherewaf

http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=7276

http://www.techbang.com/posts/1826-waf-web-host-bridge-is-falling-down

作個記錄

Cisco 中文操作手冊

從別人那裏 A 來的隨機器附送的 Cisco中文操作手冊，非常薄的一本，只有簡單的內容

基本設定 :

使用 console port 登入設備 :

一條 USB 轉 RS-232 ( 公頭 ) ( 現在 NB 大多取消了 console port )，一條 RJ-45 轉 console port ( 母頭 ) ( 有些較新的機器 console port 改成使用 RJ-45 的接頭，購買時都會附上一條 RJ-45 轉 console 的轉接線 )。

軟體 :

Windows XP : 內建超級終端機。

Windows Vista、7、8 : 建議使用 putty、Teraterm。( 個人是使用 SecureCRT 及 Xshell4，可以自動記錄文字成 txt 檔 )

連線設定

Baud rate : 9600
Date : 8 bit
Parity : none
Stop : 1 bit

連線後會要輸入帳號密碼，預設值是 帳號 : admin 密碼 : (無)，Web : 帳號 : (無) 密碼 : cisco

連線成功後會進入使用者模式 ( Switch> )，輸入 : enable 後會進入特權模式 ( Switch# )，再輸入 : configure terminal 會進入配置模式 ( Switch(config)# )。

清除所有設定

switch# write erase ( 清除 startup configuration ， 執行後 startup configuration 會回復出廠值 )

建立 VLAN

建立 vlan 2 並命名為 line2

switch# conf t
switch(config)# vlan2
switch(config-vlan)# name line2
switch(config-vlan)# exit

switch# show vlan brief

將 Fa0/1 及 Fa0/2 加入 vlan2 ，並將 Fa0/19 - 24 設定為 Trunk port ( 802.1Q )

switch# conf t
switch(config)# interface range fastethernet0/1-2
switch(config-if-range)# swithport access vlan2
switch(config-if-range)# switch mode access
switch(config-if-range)# exit

switch(config)# interface range fastethernet0/19-24
switch(config-if-range)# swithport trunk encapsulation dot1q
switch(config-if-range)# switch mode trunk
switch(config-if-range)# exit

switch# show vlan brief

啟動 L3 Switch 繞送服務

在未設定的情況下，各 vlan 是無法互通的，必須要輸入指令才能像 Router 一樣在不同 vlan 及網段中繞送封包

switch(config)# ip routing

設定 時間、NTP ( 網路時間設定 )

時間 :
switch# clock set 16:10:40 23 September 2013

時區 :
switch(config)# clock timezone TW +8

指定 debug 檔及 log 檔加上時間標記
switch(config)# service timestamps debug datetime localtime
switch(config)# service timestamps log datetime localtime

檢視 :
switch# show clock

NTP :
switch(config)# ntp int0     ---     設定 NTP 來源介面為 int0

switch(config)# ntp server 10.10.10.10   ---   連線到外部的NTP Server 自動更新時間 ( 可設定
                                                               多台 )

switch(config)# ntp peer 192.168.0.5   ---   設定內部網路的 IP 位置，當有其他設備已經連到
                                                              NTP Server 時，可以用這指令跟那台設備同步時間，
                                                              這指令可以同時設定多個。


檢視 :
switch# show ntp status
switch# show ntp peer
switch# show ntp associations



這薄薄一本幾乎都是教用快速設定或設定精靈........