Основы сетевых технологий (Маршрутизаторы и Коммутаторы CISCO). ОСТ билеты. Ответ Этапы построения таблицы

1. Обнаружение DHCP (DHCPDISCOVER)
2. Предложение DHCP (DHCPOFFER)
3. Запрос DHCP (DHCPREQUEST)
4. Подтверждение DHCP (DHCPACK)
Шаг 1. DHCP Discover (обнаружение)
Клиент начинает процесс с сообщения DHCPDISCOVER широковещательной рассылки со своего MAC-адреса с целью обнаружения доступных DHCPv4-серверов. Поскольку во время загрузки у клиента нет верной IPv4-информации, для связи с сервером используются широковещательные адреса уровня 2 и уровня 3. Цель сообщения
DHCPDISCOVER - найти серверы DHCPv4 в сети.
Шаг 2. DHCP Offer (предложение)
Когда сервер DHCPv4 получает сообщение DHCPDISCOVER, он резервирует доступные
IPv4-адреса для выдачи в аренду клиенту. Сервер также создает запись ARP, состоящую из MAC-адреса запрашивающего клиента и выданного клиенту IPv4-адреса. DHCPv4- сервер посылает сообщение привязки DHCPOFFER запрашивающему клиенту.
Шаг 3. DHCP Request (запрос)
Когда клиент получает от сервера сообщение DHCPOFFER, он отправляет в ответ сообщение DHCPREQUEST. Это сообщение используется как для первоначальной аренды адреса, так и для ее продления. Когда сообщение используется при первоначальной аренде, DHCPREQUEST служит уведомлением о принятии предложения привязки к предложенным сервером параметрам и косвенным отклонением для всех других серверов, которые могли предоставить клиенту предложение привязки.
В корпоративных сетях часто используется несколько DHCPv4-серверов. Сообщение
DHCPREQUEST отправляется в форме широковещательной рассылки с целью информирования данного DHCPv4-сервера и других DHCPv4-серверов о том, что предложение было принято.
Шаг 4. Подтверждение DHCP (DHCPACK)
При получении сообщения DHCPREQUEST сервер проверяет информацию об аренде с помощью ping-запроса ICMP на этот адрес, чтобы убедиться, что он еще не используется, создает новую запись ARP для клиентской аренды и отвечает сообщением одноадресной рассылки DHCPACK. Сообщение DHCPACK является копией сообщения DHCPOFFER, за исключением изменения в поле типа сообщения. При получении сообщения DHCPACK клиент загружает информацию о конфигурации и выполняет ARP-проверку присвоенного адреса. Если ARP-ответа нет, значит, IPv4-адрес доступен, и клиент начинает использовать его в качестве собственного адреса.

В какой ситуации может понадобиться DHCP-ретрансляция?
В сложной иерархической сети серверы обычно находятся не в той же сети, что и клиенты. В результате если DHCP сервер находится в другой сети, то до него не смогут доходить запросы от клиентов, поскольку маршрутизаторы не пересылают широковещательные сообщения. Чтобы решить эту проблему нужно воспользоваться командной ip helper-address [адрес_DHCP-сервера], которую нужно ввести на маршрутизаторе в режиме конфигурации интерфейса, чтобы он перенаправлял broadcast сообщения от DHCP клиентов уже в виде unicast к DHCP серверу, находящемуся в другой сети.
С помощью какой команды можно задать пул адресов при настройке DHCP-
сервера?
Команда задания пула -
ip dhcp pool "pool_name"
Билет № 10
Опишите принцип работы протокола DHCP. Какие сообщения используются при продлении срока аренды адреса, полученного с помощью протокола DHCP? С помощью какой команды можно исключить адреса из пула DHCP?
Ответ:
Опишите принцип работы протокола DHCP.
DHCPv4 работает по модели «клиент-сервер». Когда клиент подключается к серверу
DHCPv4, сервер присваивает или сдает ему в аренду IPv4-адрес. Клиент с арендованным
IP-адресом подключается к сети до истечения срока аренды. Периодически клиент должен связываться с DHCP-сервером для продления срока аренды. Благодаря подобному механизму «переехавшие» или отключившиеся клиенты не занимают адреса, в которых они больше не нуждаются. По истечении срока аренды сервер DHCP возвращает адрес в пул, из которого адрес может быть повторно получен при необходимости.
Какие сообщения используются при продлении срока аренды адреса, полученного с
помощью протокола DHCP?
До истечения срока аренды клиент начинает двухэтапный процесс продления аренды с сервером DHCPv4, как показано на рисунке:
1. DHCP Request (DHCPREQUEST)
Перед окончанием аренды клиент отправляет сообщение DHCPREQUEST непосредственно DHCPv4-серверу, который первоначально предложил IPv4-адрес. Если сообщение DHCPACK не получено за определенный период времени, клиент отправляет другое сообщение DHCPREQUEST широковещательной рассылкой, чтобы другой
DHCPv4-сервер мог продлить срок аренды.

2. DHCP Acknowledgment (DHCPACK)
При получении сообщения DHCPREQUEST сервер подтверждает информацию об аренде ответным сообщением DHCPACK.
Примечание: Эти сообщения (в первую очередь DHCPOFFER и DHCPACK) могут отправляться в виде одноадресной рассылки или широковещательной рассылки в соответствии с IETF RFC 2131.
С помощью какой команды можно исключить адреса из пула DHCP?
ip dhcp excluded-address 192.168.10.1 192.168.10.9
Билет № 11
Укажите методы получения глобальных уникальных адресов (GUA) IPv6. Какие методы позволят сгенерировать 64-битный идентификатор интерфейса (ID)? С помощью какой команды можно посмотреть, был ли присвоен IP-адрес компьютеру под управлением ОС
Windows?
Ответ:
Укажите методы получения глобальных уникальных адресов (GUA) IPv6
На маршрутизаторе глобальный одноадресный адрес IPv6 настраивается вручную с помощью команды конфигурации интерфейса ipv6 address ipv6-address/prefix-length.
GUA IPv6 может быть назначен динамически с помощью служб без состояния и с отслеживанием состояния, как показано на рисунке.

Какие методы позволят сгенерировать 64-битный идентификатор интерфейса (ID)?

Генерация случайным образом — 64-битный IID может быть случайным числом, сгенерированным операционной системой клиента. Этот метод теперь используется хостами
Windows 10.

EUI-64 - хост создает идентификатор интерфейса, используя свой 48-битный MAC-адрес и вставляет шестнадцатеричное значение fffe в середине адреса. Некоторые операционные системы по умолчанию используют случайно сгенерированный идентификатор интерфейса вместо метода EUI-64, из-за проблем конфиденциальности. Это связано с тем, что MAC-адрес узла Ethernet используется EUI-64 для создания идентификатора интерфейса.
ipv6 address ipv6-address / prefix-length eui-64 – с помощью процесса EUI-64 настраивает глобальный индивидуальный IPv6-адрес c идентификатором интерфейса в младших 64 битах IPv6-адреса.
ID присваивается на основе MAC-адреса хоста
С помощью какой команды можно посмотреть, был ли присвоен IP-адрес
компьютеру под управлением ОС Windows?
Ipconfig
Билет № 12
Укажите флаги, которые могут содержаться в сообщении ICMPv6 RA для определения динамических параметров, доступных хосту. Какой процесс используется хостом для обеспечения уникальности глобальных уникальных адресов GUA IPv6? Какую команду необходимо выполнить для активации IPv6-маршрутизации?

Ответ:
Укажите флаги, которые могут содержаться в сообщении ICMPv6 RA для
определения динамических параметров, доступных хосту.
Решение о том, как клиент получит GUA IPv6, зависит от настроек в сообщении RA.
Сообщение ICMPv6 RA содержит три флага для определения динамических параметров, доступных узлу:

Флаг А - это флаг автонастройки адреса. Автоматическая конфигурация адреса без сохранения состояния (Stateless Address Autoconfiguration, SLAAC) для создания
IPv6 GUA.

Флаг Other Configuration (флаг O) - Это флаг конфигурации Other. Другая информация доступна с сервера DHCPv6 без состояния.

Флаг Managed Address Configuration (флаг M) -Это флаг настройки управляемого
(managed) адреса. Используйте сервер DHCPv6 с сохранением состояния для получения GUA IPv6.
Какой процесс используется хостом для обеспечения уникальности глобальных
уникальных адресов GUA IPv6?
Поскольку SLAAC — это процесс без отслеживания состояния, компьютер PC1 должен проверить, что новый созданный IPv6-адрес является уникальным, прежде чем его использовать. Процесс обнаружения дубликатов адресов (DAD) используется хостом для обеспечения уникальности GUA IPv6.
DAD реализован с использованием ICMPv6. Чтобы выполнить DAD, хост отправляет сообщение ICMPv6 Neighbor Solicitation (NS) со специально созданным адресом многоадресной рассылки, который называется адресом многоадресной рассылки запрашиваемого узла. Этот адрес дублирует последние 24 бита IPv6-адреса узла.
Если другие устройства не отвечают сообщением с объявлением соседей, значит, практически гарантировано, что адрес является уникальным и может быть использован
PC1. Если сообщение запроса поиска соседей получено PC1, значит, адрес не уникален и операционная система должна установить новый идентификатор интерфейса для использования.
Какую команду необходимо выполнить для активации IPv6-маршрутизации?
ipv6 unicast-routing – включает ipv6 маршрутизацию
DHCPv6 без состояния включен на интерфейсе маршрутизатора с помощью команды конфигурации интерфейса ipv6 nd other-config-flag. Это устанавливает флаг O в 1.

Протокол DHCPv6 с протоколом состояния включен на интерфейсе маршрутизатора с помощью команды конфигурации интерфейса ipv6 nd managed-config-flag. Это устанавливает флаг M в 1.
R1(config)#
int g0/0/1
R1(config-if)#
ipv6 nd managed-config-flag
R1(config-if)#
ipv6 nd prefix default no-autoconfig
R1(config-if)#
end
Билет № 13
Какова цель использования протокола резервирования первого перехода (FHRP)? Какой параметр влияет на выбор активного маршрутизатора при использовании протокола
HSRP? С помощью какой команды можно настроить маршрутизатор в качестве активного?
Ответ:
Какова цель использования протокола резервирования первого перехода (FHRP)?
В случае сбоя маршрутизатора или интерфейса маршрутизатора (который выступает в качестве шлюза по умолчанию), узел, для которого настроено использование этого шлюза по умолчанию, изолируется от внешних сетей. Требуется механизм для предоставления альтернативных шлюзов по умолчанию в коммутируемых сетях, где два или более маршрутизаторов подключены к одним и тем же сетям VLAN. Этот механизм обеспечивается протоколами резервирования первого перехода (FHRP)
Какой параметр влияет на выбор активного маршрутизатора при использовании
протокола HSRP?
Для определения активного маршрутизатора можно использовать приоритет HSRP.
Маршрутизатор с наивысшим приоритетом HSRP станет активным маршрутизатором. По умолчанию приоритет HSRP равен 100. Если приоритеты равны, то в качестве активного выбирается маршрутизатор с максимальным в численном отношении адресом IPv4.
С помощью какой команды можно настроить маршрутизатор в качестве активного?
Чтобы настроить маршрутизатор в качестве активного, используйте команду интерфейса standby priority. Приоритеты HSRP имеют диапазон от 0 до 255.
Билет № 14
Как работает приоритетное вытеснение для протокола HSRP? Какой параметр повлияет на выбор активного маршрутизатора, если приоритеты равны? С помощью какой команды можно посмотреть, какой маршрутизатор является активным?
Ответ:
Как работает приоритетное вытеснение для протокола HSRP

Приоритетное вытеснение — это способность маршрутизатора HSRP запускать процесс повторного выбора. Если приоритетное вытеснение включено, то при появлении в сети маршрутизатора с более высоким приоритетом HSRP он становится активным маршрутизатором.
Приоритетное вытеснение позволяет маршрутизатору стать активным, только если у него более высокий приоритет. Если у маршрутизатора такой же приоритет, но больший адрес
IPv4, он не будет вытеснять действующий активный маршрутизатор. См. топологию на рисунке.
Маршрутизатор R1 имеет приоритет HSRP, равный 150, а маршрутизатор R2 имеет приоритет
HSRP по умолчанию, равный 100. На маршрутизаторе R1 включено приоритетное вытеснение. Благодаря большему приоритету маршрутизатор R1 является активным, а маршрутизатор R2 — резервным. В результате сбоя питания, который коснулся только R1, активный маршрутизатор становится недоступным и резервный маршрутизатор R2 принимает роль активного маршрутизатора. После восстановления питания R1 возвращается в сеть.
Поскольку R1 имеет более высокий приоритет и включено приоритетное вытеснение, будет запущен новый процесс выбора. R1 снова принимает роль активного маршрутизатора, а R2 возвращает себе роль резервного маршрутизатора.
Какой параметр повлияет на выбор активного маршрутизатора, если приоритеты
равны?
Если приоритеты равны, то в качестве активного выбирается маршрутизатор с максимальным в численном отношении адресом IPv4.
С помощью какой команды можно посмотреть, какой маршрутизатор является
активным?
show standby
Билет № 15

Опишите сетевые атаки, которые могут быть использованы злоумышленниками. В чем заключается суть атаки VLAN Hopping? С помощью какой команды можно посмотреть динамически полученные MAC-адреса на коммутаторе?
Ответ:
Опишите сетевые атаки, которые могут быть использованы злоумышленниками.

Распределенный отказ в обслуживании (DDoS) – это скоординированная атака со многих устройств, называемых зомби, с целью ослабления или прекращения публичного доступа к веб-сайту и ресурсам организации.

Кража данных – это атака, при которой серверы или хосты организации подвергаются риску кражи конфиденциальной информации.

Вредоносное ПО – Это атака, при которой узлы организации заражаются вредоносным программным обеспечением, вызывающим множество проблем. Например, вымогатель, такой как WannaCry, показанный на рисунке, шифрует данные на хосте и блокирует доступ к нему, пока выкуп не будет выплачен.
В чем заключается суть атаки VLAN Hopping?
VLAN hopping позволяет видеть трафик из одной VLAN в другой VLAN без помощи маршрутизатора. В базовой атаке VLAN hopping, атакующий настраивает узел так, чтобы он действовал как коммутатор, чтобы использовать функцию автоматического согласования магистрального порта включенную по умолчанию на большинстве портов коммутатора.
Злоумышленник настраивает хост на подделку сигналов 802.1Q и проприетарной сигнализации DTP-протокола Cisco для магистрального канала между коммутаторами. В случае успеха коммутатор устанавливает магистральную связь с хостом, как показано на рисунке. Теперь злоумышленник может получить доступ ко всем VLAN на коммутаторе. Хакер может отправлять и получать трафик в любой VLAN, эффективно переключаясь между VLAN.
С помощью какой команды можно посмотреть динамически полученные MAC-
адреса на коммутаторе?

Билет № 16
В чем суть атаки с двойным тегированием (Double-Tagging) VLAN? Укажите назначение протокола CDP. С помощью какой команды можно посмотреть статические MAC-адреса на коммутаторе?
Ответ:
В чем суть атаки с двойным тегированием (Double-Tagging) VLAN?
Принцип атаки с двойным тегированием заключается в том, что хакер формирует кадр, в который вставляет две метки (два тега). Первая (внешняя) метка совпадает с native
VLAN транкового порта, поэтому коммутатор считает, что кадр получен на транковый порт. Коммутатор удаляет первую внешнюю метку и не проверяет вторую (внутреннюю) метку. Кадр заново не тегируется, поскольку относится к native VLAN, и пересылается из всех портов native VLAN. Когда кадр попадает в следующий коммутатор, то анализируется вторая метка, в которой указана атакуемая сеть. Данный вид атаки реализуется только в случае, если хакер подключен к сети native VLAN транкового порта.
Поэтому сеть native VLAN транковых портов должна отличаться от пользовательских сетей.
1. Злоумышленник передает коммутатору кадр 802.1Q с двойным тегированием.
Внешний заголовок имеет тег принадлежащей злоумышленнику сети VLAN, которая совпадает с нативной VLAN магистрального порта. В рамках рассматриваемого примера примем, что это VLAN 10. Внутренний тег указывает на VLAN-жертву, в данном примере VLAN 20.
2. Кадр поступает в первый коммутатор, который видит первый 4-байтовый тег
802.1Q. Коммутатор видит, что кадр предназначен для VLAN 10, которая является сетью native VLAN. Коммутатор рассылает пакет через все порты VLAN 10, отбросив тег VLAN 10. В магистральном порте тег VLAN 10 отброшен, но новый тег не присваивается, поскольку это часть сети native VLAN. В это время метка сети VLAN 20 по-прежнему нетронута и не проверяется первым коммутатором.
3. Кадр поступает во второй коммутатор, но он не имеет информации о том, что он предназначен для VLAN 10. Трафик native VLAN не тегируется передающим коммутатором в соответствии со спецификацией протокола 802.1Q. Второй коммутатор видит только внутренний тег 802.1Q, который передал злоумышленник, и понимает, что кадр адресован сети VLAN 20, или целевой
VLAN. Второй коммутатор пересылает кадр в порт-жертву или рассылает его по всем портам в зависимости от того, существует ли запись в таблице MAC-адресов для хоста-жертвы.