超強的ccsp筆記1.IOS安全路由器交換機

byby/byby/2.交換機MAC轉(zhuǎn)還沒建立的時候，交換機會廣播這個數(shù)據(jù)FTP：21端口做認(rèn)證20端口上傳/下傳防御sniffer：OTP：one-time-password反工具：IDS就是一款反工用SSH代替 A——————————————————————————A的公 B的公A的私 B的私（加密有兩種方式：對稱加密和非對稱加密；非對稱加密的速度比對稱加密慢1500倍）數(shù)據(jù)——這個KEY是加密算法自動產(chǎn)生的。SSL：接子層HTTPS（443端口IPspoofing（IPIP有兩種模式來自內(nèi)網(wǎng)的（是內(nèi)網(wǎng)的另一臺主機來自的（自己是內(nèi)網(wǎng)的一個信任IP，默認(rèn)路由器認(rèn)為內(nèi)網(wǎng)IP都是可以信任的，那么這時候從路由器的接口收到一個源地址為內(nèi)網(wǎng)IP的時候，路由器利用ACL：還要過濾掉源地址是和55（在接口不可能會有這種地址，除獲取IP時，向網(wǎng)絡(luò)發(fā)送的SHCPDISCOVERY包。RFC1918：私有IP ——172.16.x.x——192.168.x.x——55（-55保留DOS SYNSYNTCP三次握手，其中某一部沒成功，就是半打開連接，但這時候服務(wù)器還基于UDP的，例如DNS一個DNS查詢信息后，要回復(fù)；現(xiàn)在者發(fā)生大量的不存在的，這是DNS要為這些請求去查找對應(yīng)的IP，耗費大量資源，那么這時就沒能力去處理那些正常的DNS查詢，這就造成了基于DNS請求。DOS：一對一的DDOS：多對一的TC.UD.ICMP，TC317SP第二次（晚 IP ARP（ACK確認(rèn)號=SEQ序列號IP頭部20字節(jié)TCP20字節(jié)UDP8DSCP區(qū)分服務(wù)代碼點（0-IPprecedenceIP（0-TCP的六大標(biāo)志旗SYNACKFINURG是—自己真實MAC）注意：在IP數(shù)據(jù)包傳輸過程中，IP是沒變的，MAC變（除去NAT情況）中間人防御方法：；對等體認(rèn)證（設(shè)備認(rèn)證應(yīng)用層紅色代碼：URL長度超過最長度時，就造成了溢出，這是2000系統(tǒng)會自動彈出cmd.exe聯(lián)動：IDS發(fā)現(xiàn)，然后聯(lián)動其他設(shè)備或者軟件進(jìn)行防御掃描端口（掃描一個主機上的所有端口解決掃描：（用net可以掃描測試主機上的任何端口SSHnet：破壞系統(tǒng)文件 全局：nocdprunnocdp19字符（net19會出現(xiàn)字符刷屏現(xiàn)象13時間（net14會顯示對方的時間7icmp測試端口（net會顯示端口7是打開的）small-serversR1—————————————ConftHosR2intipaddlinevty0nologinservicestcp-small-serversservicesudp-small-serversnetR1ctrl+shift+6Xdisconnect1關(guān)閉netnetnetNoservicestcp-small-serversNoservicesudp-small-servers（默認(rèn)是關(guān)閉的Fingerfinger服務(wù)：相當(dāng)于在R1上執(zhí)行showuser（查看R2上net的連接服務(wù)后，在R1上直接netfinger（net地址finger）就可以查看R2上的net連接。Linevty04NologinCtrl+shift+6XCtrl+shift+6Show net

319SP第三次IdentD使用TCP113RFC1413所以，一般要關(guān)閉此服務(wù)：noipidentd（回復(fù)Identd：用自己的設(shè)備信息去回復(fù)，TCP113端口請正常流量：用戶通過Internet然后通過到總公司網(wǎng)絡(luò)施，這是的知道了，然后利用PBR（基于策略的路由）改到總公司網(wǎng)絡(luò)的下安全有極大——這就是IP源路由（IPsource-route）Noipsource-Noftp-serverenableNotftp-serverHTTPS443IphttpIphttpport8080（更改路由器HTTP的端為8080）IphttpauthenticationlocalUsernameciscopasswordciscoUsernameciscoprivilege15路由器的HTTPS配置：Iphttpsecure-NoiphttpNoiphttpsecure-SNMP：簡單網(wǎng)絡(luò)管理協(xié)議Trap：陷阱消息（類似于日志Trap：使用UDP162安裝了SNMP管理軟件的服務(wù)器，用UDP161端口連agentagent利用UDP162端口向agent都用publicprivate這兩個團體屬性（即密鑰）Nosnmp-servercommunitypublicroNosnmp-servercommunityprivaterw路由器SNMP的配置：Snmp-serverenabletrapSnmp-servercommunityccieroSnmp-servercommunityccnp關(guān)閉SNMP服務(wù)：nosnmp-serverLoggingonLogginghost(在主機8KIWISYSLOG軟件KIWIsysloglocal7cisco的網(wǎng)絡(luò)設(shè)備（代表廠家設(shè)備）LoggingfacilityNoip-如果將一臺路由器設(shè)置成BOOTP服務(wù)器，這是，網(wǎng)絡(luò)內(nèi)的一臺路由器在啟動的時候沒服務(wù)器的本地IOS以及配置文件）——如果故意用一臺路由器去發(fā)BOOTP消息，那么將會對我們的網(wǎng)絡(luò)產(chǎn)生很大（知道我們的IOS以及IOS文件）NoipbootpNobootNoservicebootNoservices三層設(shè)備廣播，當(dāng)一個設(shè)備配置為從DHCP處自動獲取IP的時候，初始時會發(fā)生播，所以三層設(shè)備會drop掉這個消息Iphelper-addressIP：Inte0/0IpaddNoservices重要部分 ARP（ -為什么一定要關(guān)閉R1和R3的路由功能，上圖才可以通呢？R1R3沒關(guān)掉路由功能時，R1R3是兩臺路由器，這是R1要發(fā)送一個數(shù)據(jù)包到，當(dāng)R1和R3關(guān)掉路由功能后，R1和R3是可以通的（前提是R2的E0/0口開啟了ARP，R首先回去嘗試得到R3的MAC地址以便封裝數(shù)據(jù)包，那么R1就會發(fā)ARP廣播請求，請求的MAC地址，這是R2的E0/0開啟了ARP并且收到一個ARP請求，那么這是R2就會把自己E0/0的MAC地址回復(fù)給R1 R1這就是R3的MACe0/0口的MAC地址源MAC自己的MAC，然后發(fā)往R2；R2收到后，首先查看MAC然后查看路由表（是直連的，最后把數(shù)據(jù)包從自己的E0/1口發(fā)送出去，那么這是R3就會收到。，觀察開啟了ARP和沒開ARP時，R1的MAC緩存：開啟ARP后：R2e0/0R1，所以這里是沒有與其對應(yīng)的MAC的ARP 者知道路由器連的網(wǎng)段（注意設(shè)置的IP24位的，而且連者的接口開啟了ARP，那么這時，者發(fā)送一個ARP請求主機B的MAC地址，路由器會用自主機B就收到了主機B收到這個包后，會回復(fù)echorelay消息注意：Bechorelay7（因為數(shù)據(jù)包里面是沒有碼匹配的原則，發(fā)現(xiàn)7在/25網(wǎng)段，于是就不會把這個回復(fù)包回復(fù)給達(dá)消息給主機B——注意，者執(zhí)行一次，這是主機B就要執(zhí)行一個收 ——所以，我們要在接口上關(guān)閉ARPInte0/0No 定向廣本地廣播：主機A發(fā)生一個目標(biāo)地址55的廣播，路由器會掉，不會發(fā)（路由器默認(rèn)是轉(zhuǎn)發(fā)定向廣播的三個結(jié)合在一起smurfspoofing（IP如拓?fù)渌?，者在網(wǎng)段，如果者向路由器R1發(fā)送一個基于IPspoofng的包，者把源地址改為00，目標(biāo)地址55，路由器收到這個數(shù)據(jù)包后，因為這是個定向廣播，路由器會把這個數(shù)據(jù)包轉(zhuǎn)發(fā)到網(wǎng)段，注意：00（內(nèi)部網(wǎng)絡(luò)的服務(wù)器ICMPechorelay消息回復(fù)給服務(wù)器——如果這是者發(fā)送大量過的包，那么服務(wù)器將收到2網(wǎng)IntNoipdirected-——Sniffer可以做這個ICMP消ICMP不可達(dá)消destination發(fā)大量的未知網(wǎng)絡(luò)的包給路由器，路由器得回復(fù)（非常消耗資源）IntIpicmprate-limitunreachableR1現(xiàn)在我們在路由器R1上個大包這是R1R2的時候就不通,R2不會回復(fù)unreachable消R1PCR1PC.那么數(shù)據(jù)包的流向是：以到，就回復(fù)一個ICMP重定向消息給PC,的數(shù)據(jù)包直接發(fā)給R2IntNoipICMP掩碼答如果開啟了ICMP掩碼答復(fù)，那么網(wǎng)絡(luò)設(shè)備的時候，設(shè)備會用自己的直連的網(wǎng)絡(luò)和掩Intnoipmask-MOPinte0/1nomoplinevty0transportinputnet只允許別人用net來管理transportinputsshSSH來管理transportinputall一般都是ALLtransportoutputall我去管理別319SP第四次一.IPIPV420IPV64064paddingIdentification標(biāo)識Flag標(biāo) DF,MFFragmentoffset路由器執(zhí)行分片的時候，會對分片的數(shù)據(jù)包打個標(biāo)示（identification驗證字段，然后DFMF位，DF0的時候表示允許分片，MF位不等于1的時候，標(biāo)示分片結(jié)束（即最后一個分片，目的地的路由器（主機）收到后，通過查看DF位和MF位，知道分片是否結(jié)束。首先在R1上R2（大包2000字節(jié)，需要分片Y（YES解決分片的的方法Eg:access101denytcpanyanyFragmentidentification字段過濾；它不能過濾分片的第一個數(shù)據(jù)包——第一個數(shù)據(jù)包和正常數(shù)據(jù)包有個相同點：都有IPAccess-list101denyicmpanyanyfragmentAccess-list101per ipanyanyInt可以看到，在使用正常包R2的時候是通的；而使用大包R2時，被R2的fragmentACLR2R2過濾掉了后續(xù)的分片，那么R2將不能重組數(shù)據(jù)，所以就不通為了看的效果很清楚，我們在R2上使用：Access-list101denyicmpanyanyfragmentlogAccess-list101peripanyanyIntAccess101denytcpanyanyfragmentAccess101denyudpanyanyfragmentAccess101denyicmpanyanyfragmentFragment只能過濾非初始分片00–l2000IdentificationMayfragment被設(shè)置為0（DF0）Morefragment被設(shè)置（MF位置為1）NTP服務(wù)NTPConftClocktimezoneGMT+8（時間是東8區(qū)Clockset13:50:0020mar2009（設(shè)置R1的時間Showclock（確定時間是否配置正確ConfNtp ConftClocktimezoneGMT+8（設(shè)置時區(qū)，NTP同步只同步時間，不能同步時區(qū)Ntpserver Showclock規(guī)定：2009年3月20日12：00到2009年3月20日15：00內(nèi)，不允許（這是個絕對Time-rangeAbsolutestart12:0020mar2009end15:0020marPeriodicweekdays12:00to14:00Access-list101denyipanyanytime-rangetimeAccess-list101permiteipanyanyIntTCPestablished關(guān)鍵字的TCP標(biāo)志旗SYNACKFINRSTURGTCP的三次握（建立連接A——————ABA回復(fù)ACK——連接建TCP的四次揮（斷開連接A————AB默認(rèn)在路由器R2E0/1口R2inboard方向的outside接口，都有denyipanyany的ACL（為了內(nèi)部的安全，不允許用戶內(nèi)部）denyipanyany，那么由內(nèi)部出去的流量在回程的時候也被丟棄——所以我們要到內(nèi)網(wǎng)的主機）來放行UDP流量只檢查數(shù)據(jù)包內(nèi)是否含有（SYN）字段，允許字段（SYN的ACK,FIN的ACK。FIN）并測連接的狀態(tài)（即不連接的狀態(tài)，只檢查數(shù)據(jù)包內(nèi)的TCP標(biāo)志旗）——外部可以一個TCP連接IntRACLACL：第四層RACL：3.4.5層CBAC：可以過濾掉第七RACL：能夠會話狀態(tài)，能夠檢測雙向連RACL工作R1發(fā)起的流量（內(nèi)部）出去時，RACL匹配需要檢測的流量，然后動態(tài)的插入一條允許回程流量的臨ACL（inboard方向的outside接口動態(tài)插入一條臨時性ACL，這條臨時性的ACL是插到denyipanyany前面的）RACL，默認(rèn)所有的外部進(jìn)內(nèi)部的流321SP第五次ACL末尾可以接端gtlteqrang端口范圍：1——65535（1——1023保留TCP，有狀態(tài)（TCP的標(biāo)志旗echoechorelaydestinationunreachableinboard方向outside接口的in方向，這條臨時ACL的超時時間為300秒（TCP連接空閑因為TCP有狀態(tài)，所以TCP連接斷開后，ACL條目會馬上。狀態(tài)，所以當(dāng)會話結(jié)束后，這條ACL還是只能等超時時間到的時候才被刪除。RACL（在滿足以下兩個條件后，插入臨時性的匹配條件（RACL設(shè)置對哪些流量做當(dāng)R1netR3時目標(biāo)IP Permittcphosteq23host192.16812.1eqRACL動態(tài)插入的臨時性的ACL應(yīng)該插入到denyipanyany之前，這里需要使用一個evaluate占位符語句，如果不用這個evaluate語句，那么RACL插入的條目將插入到denyipanyany之后——那么這條ACL就不會生效IpaccessextendPermittcpanyanyreflectRACL（名字）PermitudpanyanyreflrctRACLIntipaccess-groupaaoutevaluateRACLdenyipanyanyinte0/1ipaccess-groupbbinInte0/1Ipaccountingaccess- 開啟ACL統(tǒng)計（被ShowipPermitudpanyanyreflectRACLtimeoutRACLACL條目被刪除的兩種情況會話結(jié)束TCP會話中，ciscoIOSFINACL5秒之后被刪除；ciscoIOS收到RST消息。馬上刪除臨時性的ACLRACL的局限性：獲得了內(nèi)部網(wǎng)絡(luò)主機A的控制權(quán)，然后在主機A上向發(fā)起一個net流量，這時路由器就會為其流量在inboard方向的outside接口添加一條臨時性的ACL，然后再利用軟件斷開這條net連接（軟件斷開不會發(fā)TCP標(biāo)志旗那么路由器會一直認(rèn)為此net連接一直有效即一直為其維持一條臨時性的ACLL，那么現(xiàn)在可以基于這條由路由器的RACL添加的臨時性的ACL進(jìn)行。Eg:：主機A在瀏覽網(wǎng)頁的時候不中了一個小木馬，中了這個木馬后，木馬自動在主機A上發(fā)起一個到的net（或者其他的連接），那么現(xiàn)在知道了，就可以利用其進(jìn)行下一步的FTP：21端口證（控制連接20端口上傳/（數(shù)據(jù)連接第二步：如果客戶端要上傳數(shù)據(jù)，那么它會用控制連接向服務(wù)器說明，我的N+1端第一種情況：在內(nèi)部，server在外第二種情況 FTP第二步 （通過控制連接第三步：server向說明自己的用于數(shù)據(jù)連接的端P（通過控制連接）第四步：發(fā)起數(shù)據(jù)連接（源端口N+1，目的端口P）FTP：控制連接和數(shù)據(jù)連接都是 第二種情況：server在內(nèi)網(wǎng) 外部的TCP隨機端口到服務(wù)器的隨機端口，這樣就會產(chǎn)生隱患。DACL動態(tài)ACL（基于鎖和密鑰的ACL里的動態(tài)項生效Ipaccerss-listextendPermittcp host range2223首先要允許net開啟DACL路由器 testperipanyany定義一個動態(tài)項（認(rèn)證失敗后，此項不其作用，認(rèn)證成功后，前面的any被認(rèn)證通過用戶的IP代替）IntLinevty0 LoginlocalDACL動態(tài)ACL，需要客戶端net或者SSH到路由器，然后再提示用戶輸入用戶名動態(tài)ACL條目只能寫一條AP，認(rèn)證，當(dāng)客戶的時候，AP截取會話，要求用戶輸入用戶名和進(jìn)AP可以做基于用戶的認(rèn)證，可以做到每個用戶通過后具有不同的權(quán)限323堂筆SP第六次Access-list101pertcpanyhostrang2223Access-list101dynamicDACLpermitipanyanyAccess-list101denyipanyany擴展命名的ACL：ipaccess-listextendaapertcpanyhostrange2223dynamicDACLperipanyanydenyipanyanyDACL的timeout：Access-list101dynamicDACLtimeout10peripanyLinevty0mandaccess-enablehosttimeouthosthostIP不會代替動態(tài)ACL里面的源ANY（即只要一個認(rèn)證通過后，全部都可以出去host關(guān)鍵字，IP可以出去）當(dāng)用戶net到路由器的時候，就會提示用戶認(rèn)證，認(rèn)證后，馬上斷開——如果用戶要 第法：rotaryport旋轉(zhuǎn)端以定義線路5用來管理，但是現(xiàn)在用戶net上來做認(rèn)證，并不占用線路，那么不管我們怎么net5定義一個旋轉(zhuǎn)端口，然后net的時候接我們定義的旋轉(zhuǎn)端口，那么我們就可以登陸到線路5對設(shè)備進(jìn)行管理（根據(jù)端口區(qū)分線路）LinevtyRotary35R1注意：net的rotary旋轉(zhuǎn)端口的基礎(chǔ)是3000，我們后面再接35，即端口就是認(rèn)證或者管理）UsernamecciepasswordciscoUsernameciscopasswordUsernamecisco mandaccess-enablehostLinevty04第法：rotaryport旋轉(zhuǎn)端Ip-nameCryptokeygeneratersaUsernameciscopasswordAccess-list101permittcpanyhostrange2223Access-list101dynamicDACLperipanyanyAccess-list101denyipanyanyInte0/0Linevty0LoginlocalLinevtyRotary1Ipsshport2000rotary1注意：SSHrotary旋轉(zhuǎn)端口的基礎(chǔ)是2000，經(jīng)試驗，不管怎么配端口，只能通過2000上來管理；如上列來看，應(yīng)該是端口2001用作區(qū)分linevty5，但是只能通過端口2000才可以ip-cryptoketgeneratersausernamecciepassciscousernameccie mandaccess-enablehostlinevty04（模擬器上面都是管理當(dāng)R1netR2時，輸入用戶名和后，自動在R2上執(zhí)行命令（reload）——這是我們需要在R2上給予這個用戶名級別15的權(quán)限，否則就不能執(zhí)行；或者給予級別1執(zhí)行reload的權(quán)限UsernameciscopasswordciscoUsernamecisco Usernameciscoprivilege15R1lCBAC基于上下文的控制列 可以過濾到第七層——應(yīng)用層（可以查看控制連接里面令條臨時性的ACL允許回程流量——和RACL是一樣的CBAC在IOS12.34）了B（firewallACLbypas）旁路特性，當(dāng)出的，，后話立狀表程量查態(tài)表，而ACL（注意，F(xiàn)B特性默認(rèn)是開啟的，且不能關(guān)閉）端口映射過濾嵌HTTP里面JAVA小程預(yù)防DOS（DOS最著名的就是半打開連接APIDS—— 能夠過濾到第七層，去查看數(shù)據(jù)包的內(nèi)審計：audit，哪個IP發(fā)了多少個包可以連接的流檢測（檢查命令cisco：基于狀態(tài)的RACLCBAC的比較RACLCBAC都是要達(dá)到允許回程流量這個RACL：通過在inboardoutside接口動態(tài)的插入一條臨時性的ACL，來允許回程流量，CBAC：TCP連接SYNCBAC查看TCPSYN標(biāo)志位被置位的時候，給30秒的時間讓它建立連接，如果30秒還沒建立，刪除會話信息如果5秒還沒斷開連接，那么IOS自動斷開連接，刪除會話信息夠保證TCP連接的安全CBAC，還可以檢查TCP序列號CBAC發(fā)現(xiàn)超過5000的序列號時，發(fā)生一個TCPUDP30秒，UDP流量出去后，CBAC3030所以說UDP是沒有狀態(tài)的）DNS（TCP53端口，UDP53端口CBAC只支持以下ICMP類型8Echo0Destination3CBAC：能夠控制連接令在上圖中（FTP）第一步：CBAC由內(nèi)部發(fā)起的TCP連接，然后為其維持一個狀態(tài)項，允許流量回程第二步：CBAC發(fā)現(xiàn)內(nèi)部要建立數(shù)據(jù)連接（查看控制連接令，然后就為其新建一個狀態(tài)項，允許由外部server發(fā)起的數(shù)據(jù)連接——CBAC檢查上圖的第二步（當(dāng)，源 目的NAT后源 目的源 目的NAT后源 目的流量進(jìn)來的時候：路由器先檢查狀態(tài)表，然后再NATCBAC能應(yīng)用命SMTP簡單郵件傳送協(xié)議，現(xiàn)在有一種增強的SMTPCBAC只能SMTP，當(dāng)?shù)紼SMTP時，會丟棄，那么這是ESMTP服務(wù)器會自動將為SMTP服務(wù)器再向路由器發(fā)送——現(xiàn)在CBAC已經(jīng)支持ESMTP第三：檢測基于主機的半打開TCP會話的數(shù)量324堂筆SP第七次CBAC支持的協(xié)議CBAC支持大部分的協(xié)注意一個協(xié)議：skinny，voice的協(xié)議（cisco）使用TCP2000端口，聯(lián)眾游戲平臺也是用的TCP2000端口，有，所以要關(guān)掉（callmanage）CBAC的局限性CBAC不能自己產(chǎn)生的流CBAC不能到自己的流CBAC不能加密過的數(shù)據(jù)包，IPSEC— ，所有設(shè)備都不能的流ACL不能過濾自己產(chǎn)生的流量，但是可以過濾到達(dá)自己的CBAC既不能自己產(chǎn)生的流量，而且不能達(dá)到自己的流量，只能穿越路由器的Ipinspecttcpsynwait-timenIpinspecttcpfinwait-timenIpinspecttcpidle-timeoutnIpinspectudpidle-timeoutnIpinspecticmpidle-timeoutnIpinspectdns-timeoutnIp pletehighIpinspect pletelownIpinspectone-minutenIpinspect pletehostnumberblock-timeAccess101denyipanyanyInte0/1IpinspectnameCBACtcpalertonaudit-trailonIpinspectnameCBACudpalertonaudit-trailonInte0/1現(xiàn)在，R1不通R3，可以 ShowipinspectsessionPAM（port-application-map）PAM表 ——不能覆蓋系統(tǒng)定義的常見端口，比如讓CBAC去HTTP對應(yīng)端口25（全局）這是不行的但是可以基于主機這樣設(shè)置比如，讓CBAC去的HTTP流量在端口25上CBAC是根據(jù)端口定義的類型，當(dāng)CBAC看到端口是80的時候，就會用HTTPHTTP——HTTP——Ipport-maphttpport25（是不行的，系統(tǒng)會報錯）Ipport-maphttpportlist1（可以，基于特定主機）Access-list1perIpport-maphttpportIpport-maphttpport8080list1showipport-map更改HTTP端是在目的主機上更改的 為8080的web服務(wù)Access-list101denyipanyanyInte0/0IpinspectnameCBAChttpalertonaudit-trailonInte0/0這是因為，CBAC默認(rèn)是用80端口去HTTP流量，現(xiàn)在我們使用目標(biāo)端口是8080，那么CBAC看到目的端口是8080（未知應(yīng)用）所以不會去為其維持狀態(tài)——我們要在R1上做port-map，告訴CBAC目標(biāo)端口8080是HTTP應(yīng)用，那么CBAC就會知道8080端口就是HTTP流量，然后會為其維持一個狀態(tài)。R1Ipport-maphttpport8080list1Access-list1perAccess101denyipanyanyInte0/0IpinspectnameCBAChttpalertonaudit-trailonIpport-maphttpport8080list1Access1perInte0/0AAA認(rèn)證，，統(tǒng)計Linevty04UsernameciscopasswordciscoLinevty04Show 是enbale15，級別15是唯一一個不需要進(jìn)去的級別（前提是我們沒設(shè)置，而進(jìn)低級別——高級別（要求輸入高級別——低級別（不需要輸入Enablesecretlevel3Authentication）2，CSACS（ciscosecureaccesscontrolserver）——AAACSACS：ciscosecureaccesscontrol cisco安全控務(wù)器（其實就是一個裝ACS軟件的主機1路由器和AAAserver，路由器扮AAA（user第一步：user想Internet，于是將數(shù)據(jù)發(fā)給自己的默認(rèn)網(wǎng)關(guān)第三步：user輸入用戶名和，路由器R1將用戶名和發(fā)往AAAserver在AAA和AAAserver之間交換信息是需要一種協(xié)議來達(dá)到雙方都認(rèn)可（支持）和同 KerberosStart報文Reply報文RADIUS的報文：Access-accept報文Access-reject報文Exchange報文TACACS+工作流RADIUS工作流程325SP第八次 AAAservertacacs+（cisco私有，但是已經(jīng)公開，允許其他廠商使用TACACS+發(fā)展過XTACACS（使用UDP作為傳輸協(xié)議 與server之間鏈路擁塞和合理的分配帶寬（TCP滑動窗口使用TCPRST標(biāo)志旗，重置連接；當(dāng)server出現(xiàn)問題時，發(fā)送一個RST消息通知server掛掉了，然 斷掉連接使用備份認(rèn)證方這是因為，ABBTACACS+TACACS+的消息類型連接；start消息內(nèi)包含認(rèn)證類型reply，server要求路由器輸入用戶名和 第一步：user發(fā)起到連接需求第三步：server回復(fù)一個reply消息要求輸入用戶名第五步：server回復(fù)一個reply消息要求輸入 與server之間的連接出現(xiàn)問題（當(dāng) 使用TACACS+協(xié)議認(rèn)證的過程由器AAAserver發(fā)送一個Start消息（AAAserver的連接）user輸入accept,rejecterror,continue字段TACACS+TACACS+的消息類型authorization authorizationresponseTACACS+的流程使用TACACS+的過程第二步：路由器將這個命令打包到authorizationrequest消息傳給AAAserver第三步：AAAserver收到后，校驗該用戶是否有權(quán)限執(zhí)行這條命令，然后回復(fù)一個authorizationresponse消息（failresponsepass-addpass-replyfollowerrorPass-add：代表成功，隨即把權(quán)限現(xiàn)在 Pass-relay：代表忽略這個請Error：可能預(yù)共享KEY不匹配，需要排TACACS+TACACS+統(tǒng)計的類型Startrecord，開始統(tǒng)計，執(zhí)行命令的時候開始統(tǒng)計（服務(wù)開始的時候統(tǒng)計stoprecord，停止統(tǒng)計，執(zhí)行命令完成后開始統(tǒng)計（服務(wù)停止的時候統(tǒng)計TACACS+的消息類型accountingaccountingTACACS+的統(tǒng)計流程第一步：user成功后，執(zhí)行相應(yīng)的動作第二步：路由器發(fā)送request消息給serverRADIUS（ciscoIOS11.1后支第一組：UDP1645（認(rèn)證）1646（統(tǒng)計）——大部分使用這組（cisco使用這組）第二組：UDP1812（認(rèn)證）1813（統(tǒng)計）RADIUS不支持模塊化的AAA策略，它的認(rèn)證和是在一起的不能分開（只要認(rèn) RADIUS使用共享KEY加密信息（只加密信息RADIUS不支持字符模式的認(rèn)證（只有TACACS+才支持字符模式的認(rèn)證RADIUS的統(tǒng)計是advancement（高級）而TACACS+是basic（基本RADIUS的認(rèn)證RADIUS的消息類access-access-access-access-RADIUS的認(rèn)證流Access-request包含：用戶名，加密過的，IP地址，端時信息已經(jīng)包含在返回的access-accept消息里的RADIUS的統(tǒng)RADIUS的消息類第三步：server回復(fù)accounting-responseConfigtHosR1IntIpaddNoAaanew-AaaauthenticationloginnoconAaaauthenticationloginvtygrouptacacs+Lineconsole0Linevty04AaaauthorizationexecnoconnoneAaaauthorizationexecvtygrouptacacs+Lineconsole0Linevty04AuthorizationexecvtyAaaauthorizationcommand1noconAaaauthorizationcommand5noconAaaauthorizationcommand1vtygroupAaaauthorizationcommand5vtygrouptacacs+Lineconsole0Authorizationcommand1noconAuthorizationcommand5noconLinevty04Authorizationcommand1vtyAuthorizationcommand5vtyAaaauthorization Privilegeexeclevel5writeterminalPrivilegeexeclevel5configterminalPrivilegeconfigurelevel5router(privilegeconfigurealllevel5router)AaaaccountingexecnoconnoneAaaaccountingexecvtygrouptacacs+Lineconsole0Linevty04AccountingexecvtyAaaaccountingcommand0noconnoneAaaaccountingcommand1noconnoneAaaaccountingcommand5noconnoneAaaaccountingcommand0vtystart-stopgrouptacacs+Aaaaccountingcommand1vtystart-stopgrouptacacs+Aaaaccountingcommand5vtystart-stopgrouptacacs+Lineconsole0Accountingcommand0noconAccountingcommand1noconAccountingcommand5noconLinevty04Accountingcommand0vtyAccountingcommand1vtyAccountingcommand5vty重令注解aaaauthorizationcommand1aaaauthorizationcommand1vtygroup設(shè)置級別1令需要，要為級別1是有showarp;showiproute;showipintb等show命令，如果不對級別1令，那么我們定義的級別5即使沒有AAA使用這些命令，它還是可以用的，這樣就不滿足我們的要求，所以級別1需要Aaaauthorization Privilegeconfigurelevel5router(privilegeconfigurealllevel5router我們給了級別5在配置模式下的router命令，aaaauthorization mands這條命令是）Allall5router命令，即只能routerriprouterrip里面，發(fā)現(xiàn)時沒有命令的；如果加上all關(guān)鍵字，更進(jìn)一層的配置模式里面令都會出現(xiàn)——通過ACS后，發(fā)現(xiàn)還是不能使用更進(jìn)一步令，這是因為ACS不能控制到這么細(xì)，沒有這么智能Aaaaccountingcommand0noconnoneAaaaccountingcommand1noconnoneAaaaccountingcommand0vtystart-stopgrouptacacs+Aaaaccountingcommand1vtystart-stopgrouptacacs+這里為什么要給級別0和級別1開啟統(tǒng)計呢？那為什么不開級別0的呢？326堂筆SP第九次AP（auth-）認(rèn)不能基于每個用戶做認(rèn)證（ACL只能寫一條，所有用戶認(rèn)證成功后的權(quán)限都是一只能對到達(dá)路由器（net，ssh）的流量做認(rèn)證，不能對穿越路由器的流量做認(rèn)AP的工作過程：外部用戶想內(nèi)部的web服務(wù)要求用戶輸入用戶名和第五步：AAAserver返回認(rèn)證通過或者失敗消息給路由（還有相應(yīng)權(quán)限）將一profile文件download到路由器e0/0接口（其實就是一個ACL文件，直接調(diào)用在路由器e0/0接口定義的ACL之前）去做認(rèn)證，用戶對應(yīng)的相應(yīng)權(quán)限都是在AAAserver上配置的，如果認(rèn)證成功，那么AAAserver就會把對應(yīng)這個用戶的profile文件（權(quán)限實就是ACL條目，download到路由器進(jìn)行配置，那么我們就得基于相應(yīng)用戶級別15的權(quán)限，這樣AAAserver才可以把profile文件download到路由器。（priv-lvl=15）AP可以截取： AP可以檢測DOS，可以定義一個閾值，當(dāng)路由器收到的HTTP請求超過我們定義在這半個小時內(nèi)，路由器不應(yīng)答IP的服務(wù)請求）AP還可以與一起工作，提供額外的認(rèn)證（一般不使用AP還可以和NAT,CBAC一起使用默認(rèn)，R1E0/1E0/0denyipanyanyACL，現(xiàn)在我們分析一下，當(dāng)，AAE0/1口的indenyipanyanydropAAAserver的流量，所以我們得放一條由AAAserver到路由器的流量：Access-list101pertcphost8eq49hostAccess-list101denyipanyanyIntIpaccess-list101inhsoR1intipaddnoshipaddaccess101pertcphost8eq49hostaccess101denyipanyanyintaaanew-aaaauthenticationlogindefaultgroupaaaauthorization defaultgroupaaaaccountingauth- defaultstart-stopgrouptacatacacs-serverhost8keycisco123ipauth- inte0/1ipauth- access10perinte0/0inte0/1ipnatinipnatinsidesoulist10inte0/0overloadaccess102denyipanyanyintipinspectnameCBACtcpalertonaudit-trailonipinspectnameCBACudpalertonaudit-trailonipinspectnameCBACicmpalertonaudit-trailoninte0/0Showipaccess-ipauth-nameAUTHhttpinactivity-time10（空閑超時——特定條目）ipauth-nameAUTHhttpabsolute-time10（絕對超時——特定條目）ipauth-inactivity-time10（全局定義空閑超時——所有條目）ipauth-absolute-time10（全局定義絕對超時——所有條目）ipauth-nameAUTHhttplist100access100pertcpanyhosteqAP防DOSIpauth- watch-listenable開啟監(jiān)視列表，當(dāng)一個IP在輸入用戶名和錯誤5次時，把這個IP地址丟到（鎖的該IP30分鐘，30分鐘內(nèi)忽略該IP的認(rèn)證請求）Ip Ip Ip 327SP第十次Port-security交換機的端口安802.1Port-security端口安全主要是防止ARPx功能時給接入用戶做認(rèn)證，防止非ARP的三種第一種：自己是PC4會發(fā)送一個ARP（回復(fù)）說：我是MACPC4IPMAC第二種：IP第三種：MAC相對于交換機接口來說：IP沒變MACPort-security端口安全特性，可以到err-disable狀態(tài)（操作）可以為手動設(shè)置 MAC（靜態(tài)綁定項）設(shè)置超時時switchportmodeaccessswitchportport- umswitchportport-securitymac-address0004.0004.0004switchportport-securityviolationshutdownno手動綁定一個MAC地址到這個交換機端口口）——進(jìn)入err-disable狀態(tài)端口才能激活Showport-securityinterfaceInte0/0NoshErrdisablerecoverycausesecurity-Errdisablerecoverycause設(shè)置端口自動恢復(fù)時間為120秒SwitchportmodeaccessSwitchportport-Switchportport-securityum1Switchportport-securitystickySwitchportport-securityviolationShowport-securityinterfaceIntSwitchportport-securityagingSwitchportport-securityagingtypeinactivity/absoluteSwitchportport-securityagingtime2(分鐘)設(shè)置老化時間為2分鐘（默認(rèn)動態(tài)項老化時間是5分鐘）限制模式：丟棄未知源MAC地址的數(shù)據(jù)包，同時在安全急計數(shù)器上記錄丟棄的未知MACMACMAC地址并且刪除以前的MAC進(jìn)而為其轉(zhuǎn)發(fā)流量802.1x（基于端口的認(rèn)證802.1x于無---當(dāng)開啟802.1X認(rèn)證的交換機，在端口檢測到有網(wǎng)卡接入的時候，交換機會想接入該端口的主機發(fā)送EAPOL數(shù)據(jù)幀，要求進(jìn)行認(rèn)證EAPoL（基于局域網(wǎng)的擴展認(rèn)證協(xié)議x 認(rèn)證服務(wù)器：AAAserver（RADIUS）——802.1x只有RADIUS才支 ，信息傳給AAAserver（對用戶和AAAserver來說是透明的）傳用戶信息到AAAserver（由認(rèn)證服務(wù)器做認(rèn)證格式的數(shù)據(jù)幀當(dāng)交換機發(fā)EAPOL請求超時后（用戶并不802.1x認(rèn)證或者是用戶正在啟動系統(tǒng)來不及回復(fù)MACbypass特性（MAC地址的認(rèn)證，那么交換機會根據(jù)用戶的MAC做認(rèn)證，如果通過就允許其網(wǎng)絡(luò)，如果認(rèn)證失敗，那么交換機就會把這個端口（用戶）丟到guestvlan，提供一些限制性的服務(wù)；guestVLAN——對那些不支持802.1x認(rèn)證的用戶丟到這個guestvlan，通常guestvlan有一臺服務(wù)器，提供客戶端軟件的VLA（restricteAAAserverinaccessibleauthenticationbypass特性，那那么就丟到guestVLAN中去，認(rèn)證成功，則允許用戶網(wǎng)絡(luò)；如果沒開啟MACauthenticationbypass特性，那么就直接丟到guestvlan中去802.1x802.1x認(rèn)證（802.1x認(rèn)證，如果認(rèn)證失（開啟了限制VLAN）就丟到限制VLAN中去；如果認(rèn)證成功，就允許用戶訪bypass特性，那么用戶認(rèn)證會失敗，那么用戶將不能網(wǎng)絡(luò)331SP第十一次802.1x認(rèn)證超時后（802.1x認(rèn)證guestVLAN，那acketMAC地址）MACMACRADIUS-access-request數(shù)據(jù)GuestVLAN里一般都有一臺服務(wù)器，提供802.1x客戶端的（服務(wù)器連在交換機的另一個接口，并且劃分在guestVLAN里）RestrictedVLAN（限VLAN：交換機會將連接用戶的端口丟到限制VLAN里。注意：默認(rèn)三次輸入用戶名和錯誤就丟到限制VLAN（前提是設(shè)置了限制VLAN）（交換機喚醒功能Inaccessibleauthenticationbypass當(dāng)交換機與AAAserver之間的鏈路出現(xiàn)問題時（即交換機數(shù)次發(fā)送RADIUSaccess-request，但是沒受到RADIUS服務(wù)器的回復(fù)），如果交換機開啟了inaccessibleAV2729指示的是重認(rèn)證期間的一個動作（defaultRADIUS-request）RADIUS-request——重認(rèn)證期間連接不會受到Dot1xreauthentication（開啟接口重認(rèn)證Dot1xtimeoutreauth-periodic120（設(shè)置重認(rèn)證周期時間802.1x第一步：交換機和客戶端都可以發(fā)起做認(rèn)證；當(dāng)交換機端口開啟了802.1x認(rèn)證（dot1xport-controlauto，交換機檢測到PC連上后（端口鏈路狀態(tài)up），這時交換機就會發(fā)送一個EAPrequest/identity消息提示用戶認(rèn)證。第二步：如果客戶端有能力回應(yīng)（802.1x認(rèn)證），那么客戶端會回復(fù)一個EAPEAPrequest/identityPC802.1x認(rèn)開始802.1x認(rèn)證。戶端的回復(fù)，使用MAC地址認(rèn)證access-request消息發(fā)給RADIUSserverethernetpacketMAC地么交換機會馬上轉(zhuǎn)換認(rèn)證方式，使用802.1x認(rèn)證。EAPOL，CDP，STPvoiceVLAN端口都只允許這三種流量通過（voiceVLANVOIP流量通過，因為和傳真機時不能做認(rèn)證的）802.1x802.1x認(rèn)證，交換機會不允許客戶當(dāng)客戶端支持802.1x認(rèn)證，而交換機沒開啟802.1x認(rèn)證，當(dāng)客戶端發(fā)送EAP-start報文（802.1xEAPrequest/identity消息）unauthorized強制非，端口一直處于非狀態(tài)，忽略所有認(rèn)證請求主機模式下交換機會記錄主機的MAC地址）multiple-host多主機模式，多主機模式下，只要一個客戶端能認(rèn)證成功，其他客戶端都可認(rèn)證成功后VLAN到指定的VLAN中（根據(jù)用戶名）AV65tunnel-medium-type=IEEE802RADIUS-request——重認(rèn)證不影響連65tunnel-medium-type802：指定協(xié)議類型（IETF——ConfigtHosSWIntvlanIpaddAaanew-Aaaauthenticationloginnoconnone（console口不需要認(rèn)證Lineconsole0Aaaauthenticationdot1xdefaultgroupradiusAaaauthorizationnetworkdefaultgroupradiusRadius-serverhost8keycisco添加一個ADD然后 選的基于用戶的然后 勾上RADIUS-request——重認(rèn)證不影響連65tunnel-medium-type802：指定協(xié)議類型（IETF——為VLAN0002的VLAN）VlanVlan3Vlan4intdot1xport-controlauto802.1xdot1xguest-vlan3 指定guestVLAN為VLAN3dot1xauth-failvlan 指定限制VLAN為VLANdot1xauth-failmax-attempts3設(shè)置用戶最多輸錯3（用戶名或者然后丟限制VLANdot1xre-req3 設(shè)置交換機最多發(fā)3個EAPrequest/identity消息dot1xre-authentication802.1xdot1xre-auth-req 3個EAPrequest/identityno41SP第十二次IDS：檢測系統(tǒng)intrusiondetectionsystem；發(fā)現(xiàn)，與其他設(shè)備一起解決（聯(lián)動特性）——比如，IDS檢測到，然后讓干掉這個。IPS：防御系統(tǒng)intrusionpreventionsystem；檢測，直接干IDSIPS就是軟件版本的差別：軟件版本4.0及以前都是IDSIDS工作在混雜模式（離線模式IDS的工作方當(dāng)IDS發(fā)現(xiàn)時，通過聯(lián)動特性，通過管理口告訴，那些流量是，那么防火墻會做出相應(yīng)的動作（比如寫ACL），過濾掉流量。普通SPAN，鏡像流量來自于接VSPAN，鏡像流量來自于SPAN配置：Monitorsession1sourceinterfacefa0/1Monitorsession1destinationinterfacefa0/15rx接收的流量；tx發(fā)送的流量；both接收和發(fā)送的流量（默ConfigureMonitorsession1sourcevlan2Monitorsession1destinationinterfaceMonitorsession1sourceinterfacefa0/1rx（做RSPAN，最好鏡像接收的流量）Monitorsession1destinationremotevlan99reflect-portfa0/20設(shè)置鏡像流量的目標(biāo)是用做承載RSPAN流量的VLAN99（后面還接了反射端口，在早些的Vlan99（新建一個VLAN第二步：在SW3上配置Monitorsession1sourceremotevlan99Monitorsession1destinationinterfacefa0/15IPS的工作方發(fā)現(xiàn)的時候，直接把流量丟注意：IPSinline模式，對設(shè)備要求是相當(dāng)高的，IPS不僅僅要做流量分析，而且還要做防御，轉(zhuǎn)發(fā)流量IDS/IPS的實現(xiàn)方式比對，發(fā)現(xiàn)異常流量后，就認(rèn)為是——其實就是一個訓(xùn)練過程，當(dāng)買回IDS設(shè)備時，一個流量匹配模版，然后再使用這個模版作為標(biāo)準(zhǔn)，去檢測。訓(xùn)練的時候，如果有，那么流量會被創(chuàng)建到模版被IDS認(rèn)為是正常流量，那么當(dāng)再有的時候，IDS會認(rèn)為其時正常流量優(yōu)點：能夠檢測到未知的（殺毒軟件里面稱為IDS/IPS稱為特征IDS/IPS發(fā)現(xiàn)的動作：，SNMP時間查看器）——使用RDEP，SDEE協(xié)議路由器 路由器上的IDS模塊（2600系列等等）——NM-CIDS（網(wǎng)絡(luò)模塊ASAIDS模塊——AIP-SSM-10(AIP-SSM-NIPS不能很好解決分片（一個一個分片不是，但是在重組的時候就是一個攻擊HIPS可以很好的解決分片NIPS不能檢測到 流量里面的，而HIPS可以檢測到 流量通過路由器是被，到主機的時候其實就是普通的流量）路由器IDS配置：（早期的路由器IOS才支持）IpauditinfoalertIpauditattackalertdropresetIpauditnameAUDITinfoalertIpaufitnameAUDITattackalertdropresetIpauditsignature2000disableIpauditsignature2004disableInts0/0IpauditAUDITH ICMPechoreply43SP第十三次PSTN公共交 ISDN綜合業(yè)務(wù)數(shù)字網(wǎng)絡(luò)（B信道；P信道）FR幀中繼（端到端的網(wǎng)絡(luò)）——逐漸被代DDN（數(shù)字?jǐn)?shù)據(jù)網(wǎng)）——T1鏈路；EI鏈路；DDNSONET——SDH（同步光纖環(huán)網(wǎng)（1.544M有兩種標(biāo)準(zhǔn)，G.703和G.704G.703：不劃分時隙（相當(dāng)于信道G.704：這個標(biāo)準(zhǔn)時是為了在TI鏈承載voice流量（VOIP）而制定的，它把一個T1鏈路劃分成2464K的時隙（相當(dāng)于信道然后預(yù)留8k的帶寬給兩端的同（因為G704.T1鏈路采用時分復(fù)用TDM技術(shù)，所以兩端需要利用各種參數(shù)協(xié)商在什么時候使用那個時隙）以太網(wǎng)的水晶頭標(biāo)準(zhǔn)：RJ4（芯用于發(fā)送接收數(shù)據(jù)——兩接兩發(fā)當(dāng)速度達(dá)RJ-48：通常是指RJ-48C，用E1/T1/語音接口，用RI-45RJ-48的水晶頭物理規(guī)格是一樣的（相同的以前的網(wǎng)絡(luò)：封閉的網(wǎng)絡(luò)（企業(yè)網(wǎng)絡(luò)通過專線連在一起第一步：截獲用戶的DNS請求，然后用自己的IP地址回復(fù)用戶，然后用web服務(wù)器，這是的就可以通過HTTP界面，把一些JAVA程序，發(fā)給用戶第二步：還可以成用戶，對WEB服務(wù)器進(jìn)行戶B通訊——用戶A和用戶B的數(shù)據(jù)全部都被截獲只適合點到點（一臺設(shè)備到一臺設(shè)備）——packetpay-loadencryption數(shù)據(jù)包凈載荷加密，一個數(shù)據(jù)包=IP頭部+數(shù)據(jù)包凈載荷（那么現(xiàn)在數(shù)據(jù)包就可以再公網(wǎng)在傳輸）— 密典型算法：DES56位；3DES168位；AES128192256位；RC440128RC62040被者數(shù)據(jù)——這里就存在一個KEY的傳遞問題。KEY第一步：A請求B的公鑰第三步：B使用自己的私鑰對其，第一步：A，B相互去請求對方的公鑰第二步：A使用自己的私鑰對進(jìn)行加密——形成一個簽名第三步：A把簽名信息和明文的一起傳給B第五步：B使用得到的對比A傳過來的明文這里有個問題：因為A傳給B的認(rèn)證信息是簽名和明文的認(rèn)證信息，如果更改了包內(nèi)的明文，那么A在B處認(rèn)證會失敗。KEYKEY的傳遞問題；但是由于非對稱加密要比對稱加密慢1500倍，因此，我們選擇了一個折中的方法：使用非對稱算法加 KEY，利用對稱加密算法加密數(shù)非對稱算型代表 5127681024 128位（16字節(jié)SHA160位（20字節(jié)每個算法都會產(chǎn)生一個自己的KEY相同散列值；而這個KEY的傳遞又存在安全隱患。加密KEY傳遞問 算法（非對稱算法：通過不安全的公網(wǎng)，安全的傳遞對稱加密算法使用的B使用自己的私鑰和ADH運算得到一個相同的X組1：768位21024位515367163（PDA）路由器只支持組1，2，5那么用戶C就可以對用戶A用戶B加密的數(shù)據(jù)進(jìn)行。和自己的私鑰經(jīng)過DH運算得出一個XCADHX第五步：用戶C使用X得到用戶A和用戶B的對稱加密KEY密鑰交換（密鑰刷新IKEInternetkeyexchange因特網(wǎng)密鑰交換協(xié)議48SP第十四次SP的課程內(nèi)容IPSECovereasy設(shè)備認(rèn)KEYDHDH組只能保證安全的傳KEY，不能對設(shè)備進(jìn)行認(rèn)證，所以DH組易受中間人——現(xiàn)在的pre-shareRSA- RSA簽名（CA（不安全由于HMAC算法是不可逆的，所以預(yù)共享設(shè)備認(rèn)證使用了第二種認(rèn)證模式進(jìn)行設(shè)備認(rèn)對稱算法KEY的傳遞：DH組IKE：因特網(wǎng)設(shè)備交換協(xié) 這里的ISAKMPIKE是有區(qū)別IKEISAKMPISAKMPIKESA：兩端協(xié)商完成，構(gòu)建了一條安全的連接，保證后續(xù)動作是在一個安全的環(huán)境下進(jìn)IKESA的生存周期到了后重新生成密鑰（傳遞主模式（分六步去協(xié)商這些參數(shù)就會得到KEY（屬于自己的）第五六步：設(shè)備驗證（已經(jīng)處于安全的連接——KEY在三四步已經(jīng)過來過去算法得到的散列值（IPSEC階段：真正用來保護數(shù)IPSEC階段有兩個協(xié)議AH和ESP是兩個數(shù)據(jù)封裝協(xié)議：IPSEC階段的兩個模式tunnelmode隧道模式（IP頭部transportmode傳輸模式（IP頭部）默認(rèn)IPSEC使用的是隧道模式AHtunnelIPESPtunnelIPIPESPESP隧道模式：ESP頭部——ESPIP頭部——ESPESPESP傳輸模式：ESP頭部——ESPIPSECIP頭部可以使一個IP到一個IP或者是一個網(wǎng)絡(luò)到一個網(wǎng)絡(luò)（私網(wǎng)到私網(wǎng)）IPSEC階段同樣要去協(xié)商參數(shù)得到一個SAIPSEC階段，我們把所有的參數(shù)放在transform-set（轉(zhuǎn)換集）里SADB安全關(guān)聯(lián)數(shù)據(jù)庫（4月10 第三次pre-shareRSA- RSA- 預(yù)共享密鑰：在設(shè)備較少的時候，使用方便，但是設(shè)備數(shù)量多的時候而且是全網(wǎng)狀的頒發(fā)的機構(gòu)是雙方信任的第機構(gòu)CACA來頒發(fā)。CA，信任的頒發(fā)機在使PKI分層結(jié)構(gòu)時，有個問題，當(dāng)對方的發(fā)證服務(wù)器CA掛了呢，那么怎么就能去信任他的數(shù)字呢？（信任對方的，是因為信任給他發(fā)證的CA）現(xiàn)在就引入了RA（機構(gòu)）用來給CA做備份，RA既不能頒發(fā)，也不能撤PKCS#10公鑰加密標(biāo)準(zhǔn)#10CA設(shè)備把PKCS#10的信息使用自己的私鑰簽名+設(shè)備的公鑰+明文的PKCS#10信息傳給協(xié)議，SCEP會以HTTP方式把PKCS#10信息傳給CA）（CA驗證設(shè)備的）當(dāng)設(shè)備認(rèn)證和隨機數(shù)口令認(rèn)證都通過時，CA會為其產(chǎn)生一個實體（進(jìn)入下一步CA使用（設(shè)備的PKCS#10信息+CA自己的+隨機的HMAC對稱密鑰）進(jìn)行hashCAHMAC對稱密鑰進(jìn)行加密，最后把信息打包就形成了數(shù)字（X.509）——實體——最后CA把這個傳給設(shè)備CA（PKCS#10+CA）進(jìn)過HASH得到的散列HMAC使用的對稱密鑰（CA私鑰加過密的HMAC的功能（即HMAC所使用的算法和另外一些參數(shù)實體（設(shè)備的根（CA的——包含CA的公鑰PKCS#7是一個RSA標(biāo)準(zhǔn)，用于簽名和加密實體并且發(fā)給設(shè)PKCS#7使用需要的設(shè)備的公鑰對進(jìn)行加密，然后發(fā)給設(shè)PKCS#7允許在一個用戶請求中發(fā)送多個（實體+根PKCS#7——負(fù)責(zé)將安全的傳給設(shè)備的（PKCS#10信息+CA的信息）進(jìn)行hash運算，得到一個散列值對等體通過一個安全的連接（經(jīng)過IPSEC主模式的3.4步后，得出DH組的X，各KEY已經(jīng)傳遞過去，現(xiàn)在的連接時安全的，最后才是設(shè)備認(rèn)證）把數(shù)字證因為都是信任的CA頒發(fā)，所以雙方都有CA的公鑰，然后對實體進(jìn)行驗證，驗證成功后，對等體建立（流量觸發(fā)）——上面所說的是在PKI集中的環(huán)境下（的那么在分級的環(huán)境下（分層的在分級的環(huán)境下，簽署的權(quán)力被分配到不同的層次，頂級為根CA，它為下一級的CA簽署，下一級的CA又為更低一級的CA簽署，最后一級的CA為用戶簽署身頂級CA字段（其實就是CA公鑰的一個副本，然后下一級再向下一級的時候也會把這個頂級CA字段添加進(jìn)去，一直到最低一級給用戶簽署的CA，給用戶簽署的時候同樣會把這個頂級CA字段添加在根里——現(xiàn)在，雖然給不同用戶的簽署的CA不同，但是不同CA的根包含的頂級CA字段（即頂級CA的公鑰）是相同的，所以雙方可以利用這個頂級CA的公鑰認(rèn)證對方的。在這里，有個問題，密鑰每隔一段時間都是要更換的（IKE，那么每次都要去請求對方的字字緩存1證對字?，F(xiàn)在又引入了一個CRL（吊銷列表可以再設(shè)備上開啟CRL吊銷列表功能（可選項當(dāng)開啟了CRL，設(shè)備會定期的到CA服務(wù)器上去被吊銷的序列號（每個，把緩存中的數(shù)字的序列號拿到CRL里比較，如果沒有相同的，則有效（沒有被吊銷）可以進(jìn)行設(shè)備認(rèn)證；如果有相同的（被吊銷，那么設(shè)備會再一次去向?qū)Ψ秸埱笞C掛起（需要管理員手動處理頒發(fā)現(xiàn)在cepsetup.exe軟件（使windows2003服務(wù)器能夠支持SCEP）第一步：R1,R3到CAserver去申請ConftHosClocktimezoneGMT+8首先設(shè)置時間，防止與CA服務(wù)器時間差別太大導(dǎo)致申請失Clockset11:00:0011apr2009Conftip- cryptokeygenerate cryptocatrustpoint enrollmentmode enrollmenturl/certsrv/mscep/mscep.dll設(shè)置CA信任點位crl 開啟CRL（撤銷列表）——可選cryptocaauthen cryptocaenrollcaserver申請實體，這時提示輸入隨即口令，需要到CA服務(wù)器上查看口令，或者是在本地直接登錄到服務(wù)器（服務(wù)器需要安裝SCEP軟件）：本地瀏覽 （需要：re-enterR3

Cryptoisakmppo10En3Aursa-GCryptoipsectransmysetesp-3esp-mModetunAcc101periphhCryptomapmap10ipsec-isakmpSettransmysetSetpeerInt第四次課GREoverIPSECGRE：通用路由封裝協(xié)GRE是一個網(wǎng)絡(luò)層協(xié)議（第三層議號為GRE的優(yōu)點：可以封裝任何第三層協(xié)GRE的缺點沒有安全機制（不能支持認(rèn)證，加密，完整性校驗IPSEC的優(yōu)點：提供安GRE有幾種EGRE比如說我們的兩個內(nèi)網(wǎng)（被公網(wǎng)隔開EIGRPGRE在公網(wǎng)中虛性，所以可以選用IPSEC。ProtocolIPIPProtocolIPIPEGRE支持隧道默認(rèn)的封裝為：greGRE是一個隧道協(xié)議（協(xié)議號GREoverIPSEC：IPIPIPIPIPIP；是模擬我們的兩個內(nèi)網(wǎng)的數(shù)據(jù)包：原IP頭部：——GRE封裝的IP頭部：12.1——23.3IPSECIP頭部：12.1——23.3這里，GREIPSECIPIPSEC的傳輸模式（隧道模式也是可以通的只是增加了20字節(jié)的頭部的開銷）R的數(shù)據(jù)包時，通過查看路由表（最長掩碼匹配原則，選擇了下一條的路由（tunnel么就會觸發(fā)GRE封裝一個新的IP頭部，其實數(shù)據(jù)包最后還是走的物理接口（R1E0/0R3，那么現(xiàn)在由R1的內(nèi)R3的內(nèi)網(wǎng)的IP數(shù)據(jù)包為：23.3GREGREoverIPSEC和普通的site-to-siteIPSEC有兩處不同1IPSEC模式不2，IPSEC感流量不同（GRE流量IpaddNoshIntloIpaddIprouteInttunIpaddTunsouTundesNoauNetNetCryptoisakmppo10En3AupHmG2CryptoisakmpkeyciscoaddCryptoipsectransmysetesp-3esp-mModetransAcc101pergrehhCryptomapmap10ipsec-isakmpSettransmysetInt(注意：隧道要兩邊同步配，否者會出問題R3 ，SA就協(xié)商好了——EIGRP ShowcryptoisakmpCryptoisakmpkey0/6ciscoadd了加密后，no掉后加密后，同時被no掉，所有在no掉加密后，需要重新配：Passwordencryption Keyconfig-keypassword-encrypt加密我們的IPSECVTI認(rèn)為，只要是在隧道走到流量都是要被加密的inttunipaddtunsounoauneten3hmg2cryptoisakmpkey0ciscoaddcryptoipsectransesp-3esp-mcryptoipsecprofilePRO settransform-setmysetinttuntunnelmodeipsectunnelprotectionipsecprofilePROIPSECprofile)showcryptoisakmpShowcryptoisakmpShowcryptoipsecIPSEC階段會產(chǎn)生兩個SA：進(jìn)站SA和出SA其實有SPI（安全參數(shù)索引：可以表示一個SA本端的出站SA就是對端的進(jìn)站SA

4月13 第五次LAN-TO-remote IP地址不固定，而且會有很多個 server和 的IKE策略和IPSEC策略匹配問題第三：server使用預(yù)共享密鑰的時候，KEY的對端不能指定 server在cryptomap里，不能指定setpeer第五：server感的流不好定增加了X-authentication擴展認(rèn)證階段，當(dāng)撥入到組后，server再要求輸入用戶名和（可以使用本地數(shù)據(jù)庫或者是AAA對客戶認(rèn)證）當(dāng)X-authentication認(rèn)證通過后，server會助推配置參數(shù)給（最主要的是分配一個IP地址給 server的內(nèi)網(wǎng)）MAPtransform-set 撥號成功后，客戶會有兩個IP，一個公網(wǎng)IP（用于初始化 server分配的IP（用于公司內(nèi)網(wǎng)）server：cisco路由器，， 客戶端有兩種：硬件客戶端（PIX 有兩種連接類客戶端模式（軟件客戶端只支持客戶端模式 ，內(nèi)網(wǎng)所以主機都要公司總部的內(nèi)網(wǎng)。 server的時候， 公司內(nèi)網(wǎng)，然后的硬件設(shè)備會自動的執(zhí)行PAT（端口地址轉(zhuǎn)換使得內(nèi)網(wǎng)的所有主機都可以公司總部（都使用server分配給硬件的IP地