byby/byby/2.交換機MAC轉還沒建立的時候，交換機會廣播這個數(shù)據(jù)FTP：21端口做認證20端口上傳/下傳防御sniffer：OTP：one-time-password反工具：IDS就是一款反工用SSH代替 A——————————————————————————A的公 B的公A的私 B的私（加密有兩種方式：對稱加密和非對稱加密；非對稱加密的速度比對稱加密慢1500倍）數(shù)據(jù)——這個KEY是加密算法自動產(chǎn)生的。SSL：接子層HTTPS（443端口IPspoofing（IPIP有兩種模式來自內網(wǎng)的（是內網(wǎng)的另一臺主機來自的（自己是內網(wǎng)的一個信任IP，默認路由器認為內網(wǎng)IP都是可以信任的，那么這時候從路由器的接口收到一個源地址為內網(wǎng)IP的時候，路由器利用ACL：還要過濾掉源地址是和55（在接口不可能會有這種地址，除獲取IP時，向網(wǎng)絡發(fā)送的SHCPDISCOVERY包。RFC1918：私有IP ——172.16.x.x——192.168.x.x——55（-55保留DOS SYNSYNTCP三次握手，其中某一部沒成功，就是半打開連接，但這時候服務器還基于UDP的，例如DNS一個DNS查詢信息后，要回復；現(xiàn)在者發(fā)生大量的不存在的，這是DNS要為這些請求去查找對應的IP，耗費大量資源，那么這時就沒能力去處理那些正常的DNS查詢，這就造成了基于DNS請求。DOS：一對一的DDOS：多對一的TC.UD.ICMP，TC317SP第二次（晚 IP ARP（ACK確認號=SEQ序列號IP頭部20字節(jié)TCP20字節(jié)UDP8DSCP區(qū)分服務代碼點（0-IPprecedenceIP（0-TCP的六大標志旗SYNACKFINURG是—自己真實MAC）注意：在IP數(shù)據(jù)包傳輸過程中，IP是沒變的，MAC變（除去NAT情況）中間人防御方法：；對等體認證（設備認證應用層紅色代碼：URL長度超過最長度時，就造成了溢出，這是2000系統(tǒng)會自動彈出cmd.exe聯(lián)動：IDS發(fā)現(xiàn)，然后聯(lián)動其他設備或者軟件進行防御掃描端口（掃描一個主機上的所有端口解決掃描：（用net可以掃描測試主機上的任何端口SSHnet：破壞系統(tǒng)文件 全局：nocdprunnocdp19字符（net19會出現(xiàn)字符刷屏現(xiàn)象13時間（net14會顯示對方的時間7icmp測試端口（net會顯示端口7是打開的）small-serversR1—————————————ConftHosR2intipaddlinevty0nologinservicestcp-small-serversservicesudp-small-serversnetR1ctrl+shift+6Xdisconnect1關閉netnetnetNoservicestcp-small-serversNoservicesudp-small-servers（默認是關閉的Fingerfinger服務：相當于在R1上執(zhí)行showuser（查看R2上net的連接服務后，在R1上直接netfinger（net地址finger）就可以查看R2上的net連接。Linevty04NologinCtrl+shift+6XCtrl+shift+6Show net

319SP第三次IdentD使用TCP113RFC1413所以，一般要關閉此服務：noipidentd（回復Identd：用自己的設備信息去回復，TCP113端口請正常流量：用戶通過Internet然后通過到總公司網(wǎng)絡施，這是的知道了，然后利用PBR（基于策略的路由）改到總公司網(wǎng)絡的下安全有極大——這就是IP源路由（IPsource-route）Noipsource-Noftp-serverenableNotftp-serverHTTPS443IphttpIphttpport8080（更改路由器HTTP的端為8080）IphttpauthenticationlocalUsernameciscopasswordciscoUsernameciscoprivilege15路由器的HTTPS配置：Iphttpsecure-NoiphttpNoiphttpsecure-SNMP：簡單網(wǎng)絡管理協(xié)議Trap：陷阱消息（類似于日志Trap：使用UDP162安裝了SNMP管理軟件的服務器，用UDP161端口連agentagent利用UDP162端口向agent都用publicprivate這兩個團體屬性（即密鑰）Nosnmp-servercommunitypublicroNosnmp-servercommunityprivaterw路由器SNMP的配置：Snmp-serverenabletrapSnmp-servercommunityccieroSnmp-servercommunityccnp關閉SNMP服務：nosnmp-serverLoggingonLogginghost(在主機8KIWISYSLOG軟件KIWIsysloglocal7cisco的網(wǎng)絡設備（代表廠家設備）LoggingfacilityNoip-如果將一臺路由器設置成BOOTP服務器，這是，網(wǎng)絡內的一臺路由器在啟動的時候沒服務器的本地IOS以及配置文件）——如果故意用一臺路由器去發(fā)BOOTP消息，那么將會對我們的網(wǎng)絡產(chǎn)生很大（知道我們的IOS以及IOS文件）NoipbootpNobootNoservicebootNoservices三層設備廣播，當一個設備配置為從DHCP處自動獲取IP的時候，初始時會發(fā)生播，所以三層設備會drop掉這個消息Iphelper-addressIP：Inte0/0IpaddNoservices重要部分 ARP（ -為什么一定要關閉R1和R3的路由功能，上圖才可以通呢？R1R3沒關掉路由功能時，R1R3是兩臺路由器，這是R1要發(fā)送一個數(shù)據(jù)包到，當R1和R3關掉路由功能后，R1和R3是可以通的（前提是R2的E0/0口開啟了ARP，R首先回去嘗試得到R3的MAC地址以便封裝數(shù)據(jù)包，那么R1就會發(fā)ARP廣播請求，請求的MAC地址，這是R2的E0/0開啟了ARP并且收到一個ARP請求，那么這是R2就會把自己E0/0的MAC地址回復給R1 R1這就是R3的MACe0/0口的MAC地址源MAC自己的MAC，然后發(fā)往R2；R2收到后，首先查看MAC然后查看路由表（是直連的，最后把數(shù)據(jù)包從自己的E0/1口發(fā)送出去，那么這是R3就會收到。，觀察開啟了ARP和沒開ARP時，R1的MAC緩存：開啟ARP后：R2e0/0R1，所以這里是沒有與其對應的MAC的ARP 者知道路由器連的網(wǎng)段（注意設置的IP24位的，而且連者的接口開啟了ARP，那么這時，者發(fā)送一個ARP請求主機B的MAC地址，路由器會用自主機B就收到了主機B收到這個包后，會回復echorelay消息注意：Bechorelay7（因為數(shù)據(jù)包里面是沒有碼匹配的原則，發(fā)現(xiàn)7在/25網(wǎng)段，于是就不會把這個回復包回復給達消息給主機B——注意，者執(zhí)行一次，這是主機B就要執(zhí)行一個收 ——所以，我們要在接口上關閉ARPInte0/0No 定向廣本地廣播：主機A發(fā)生一個目標地址55的廣播，路由器會掉，不會發(fā)（路由器默認是轉發(fā)定向廣播的三個結合在一起smurfspoofing（IP如拓撲所示，者在網(wǎng)段，如果者向路由器R1發(fā)送一個基于IPspoofng的包，者把源地址改為00，目標地址55，路由器收到這個數(shù)據(jù)包后，因為這是個定向廣播，路由器會把這個數(shù)據(jù)包轉發(fā)到網(wǎng)段，注意：00（內部網(wǎng)絡的服務器ICMPechorelay消息回復給服務器——如果這是者發(fā)送大量過的包，那么服務器將收到2網(wǎng)IntNoipdirected-——Sniffer可以做這個ICMP消ICMP不可達消destination發(fā)大量的未知網(wǎng)絡的包給路由器，路由器得回復（非常消耗資源）IntIpicmprate-limitunreachableR1現(xiàn)在我們在路由器R1上個大包這是R1R2的時候就不通,R2不會回復unreachable消R1PCR1PC.那么數(shù)據(jù)包的流向是：以到，就回復一個ICMP重定向消息給PC,的數(shù)據(jù)包直接發(fā)給R2IntNoipICMP掩碼答如果開啟了ICMP掩碼答復，那么網(wǎng)絡設備的時候，設備會用自己的直連的網(wǎng)絡和掩Intnoipmask-MOPinte0/1nomoplinevty0transportinputnet只允許別人用net來管理transportinputsshSSH來管理transportinputall一般都是ALLtransportoutputall我去管理別319SP第四次一.IPIPV420IPV64064paddingIdentification標識Flag標 DF,MFFragmentoffset路由器執(zhí)行分片的時候，會對分片的數(shù)據(jù)包打個標示（identification驗證字段，然后DFMF位，DF0的時候表示允許分片，MF位不等于1的時候，標示分片結束（即最后一個分片，目的地的路由器（主機）收到后，通過查看DF位和MF位，知道分片是否結束。首先在R1上R2（大包2000字節(jié)，需要分片Y（YES解決分片的的方法Eg:access101denytcpanyanyFragmentidentification字段過濾；它不能過濾分片的第一個數(shù)據(jù)包——第一個數(shù)據(jù)包和正常數(shù)據(jù)包有個相同點：都有IPAccess-list101denyicmpanyanyfragmentAccess-list101per ipanyanyInt可以看到，在使用正常包R2的時候是通的；而使用大包R2時，被R2的fragmentACLR2R2過濾掉了后續(xù)的分片，那么R2將不能重組數(shù)據(jù)，所以就不通為了看的效果很清楚，我們在R2上使用：Access-list101denyicmpanyanyfragmentlogAccess-list101peripanyanyIntAccess101denytcpanyanyfragmentAccess101denyudpanyanyfragmentAccess101denyicmpanyanyfragmentFragment只能過濾非初始分片00–l2000IdentificationMayfragment被設置為0（DF0）Morefragment被設置（MF位置為1）NTP服務NTPConftClocktimezoneGMT+8（時間是東8區(qū)Clockset13:50:0020mar2009（設置R1的時間Showclock（確定時間是否配置正確ConfNtp ConftClocktimezoneGMT+8（設置時區(qū)，NTP同步只同步時間，不能同步時區(qū)Ntpserver Showclock規(guī)定：2009年3月20日12：00到2009年3月20日15：00內，不允許（這是個絕對Time-rangeAbsolutestart12:0020mar2009end15:0020marPeriodicweekdays12:00to14:00Access-list101denyipanyanytime-rangetimeAccess-list101permiteipanyanyIntTCPestablished關鍵字的TCP標志旗SYNACKFINRSTURGTCP的三次握（建立連接A——————ABA回復ACK——連接建TCP的四次揮（斷開連接A————AB默認在路由器R2E0/1口R2inboard方向的outside接口，都有denyipanyany的ACL（為了內部的安全，不允許用戶內部）denyipanyany，那么由內部出去的流量在回程的時候也被丟棄——所以我們要到內網(wǎng)的主機）來放行UDP流量只檢查數(shù)據(jù)包內是否含有（SYN）字段，允許字段（SYN的ACK,FIN的ACK。FIN）并測連接的狀態(tài)（即不連接的狀態(tài)，只檢查數(shù)據(jù)包內的TCP標志旗）——外部可以一個TCP連接IntRACLACL：第四層RACL：3.4.5層CBAC：可以過濾掉第七RACL：能夠會話狀態(tài)，能夠檢測雙向連RACL工作R1發(fā)起的流量（內部）出去時，RACL匹配需要檢測的流量，然后動態(tài)的插入一條允許回程流量的臨ACL（inboard方向的outside接口動態(tài)插入一條臨時性ACL，這條臨時性的ACL是插到denyipanyany前面的）RACL，默認所有的外部進內部的流321SP第五次ACL末尾可以接端gtlteqrang端口范圍：1——65535（1——1023保留TCP，有狀態(tài)（TCP的標志旗echoechorelaydestinationunreachableinboard方向outside接口的in方向，這條臨時ACL的超時時間為300秒（TCP連接空閑因為TCP有狀態(tài)，所以TCP連接斷開后，ACL條目會馬上。狀態(tài)，所以當會話結束后，這條ACL還是只能等超時時間到的時候才被刪除。RACL（在滿足以下兩個條件后，插入臨時性的匹配條件（RACL設置對哪些流量做當R1netR3時目標IP Permittcphosteq23host192.16812.1eqRACL動態(tài)插入的臨時性的ACL應該插入到denyipanyany之前，這里需要使用一個evaluate占位符語句，如果不用這個evaluate語句，那么RACL插入的條目將插入到denyipanyany之后——那么這條ACL就不會生效IpaccessextendPermittcpanyanyreflectRACL（名字）PermitudpanyanyreflrctRACLIntipaccess-groupaaoutevaluateRACLdenyipanyanyinte0/1ipaccess-groupbbinInte0/1Ipaccountingaccess- 開啟ACL統(tǒng)計（被ShowipPermitudpanyanyreflectRACLtimeoutRACLACL條目被刪除的兩種情況會話結束TCP會話中，ciscoIOSFINACL5秒之后被刪除；ciscoIOS收到RST消息。馬上刪除臨時性的ACLRACL的局限性：獲得了內部網(wǎng)絡主機A的控制權，然后在主機A上向發(fā)起一個net流量，這時路由器就會為其流量在inboard方向的outside接口添加一條臨時性的ACL，然后再利用軟件斷開這條net連接（軟件斷開不會發(fā)TCP標志旗那么路由器會一直認為此net連接一直有效即一直為其維持一條臨時性的ACLL，那么現(xiàn)在可以基于這條由路由器的RACL添加的臨時性的ACL進行。Eg:：主機A在瀏覽網(wǎng)頁的時候不中了一個小木馬，中了這個木馬后，木馬自動在主機A上發(fā)起一個到的net（或者其他的連接），那么現(xiàn)在知道了，就可以利用其進行下一步的FTP：21端口證（控制連接20端口上傳/（數(shù)據(jù)連接第二步：如果客戶端要上傳數(shù)據(jù)，那么它會用控制連接向服務器說明，我的N+1端第一種情況：在內部，server在外第二種情況 FTP第二步 （通過控制連接第三步：server向說明自己的用于數(shù)據(jù)連接的端P（通過控制連接）第四步：發(fā)起數(shù)據(jù)連接（源端口N+1，目的端口P）FTP：控制連接和數(shù)據(jù)連接都是 第二種情況：server在內網(wǎng) 外部的TCP隨機端口到服務器的隨機端口，這樣就會產(chǎn)生隱患。DACL動態(tài)ACL（基于鎖和密鑰的ACL里的動態(tài)項生效Ipaccerss-listextendPermittcp host range2223首先要允許net開啟DACL路由器 testperipanyany定義一個動態(tài)項（認證失敗后，此項不其作用，認證成功后，前面的any被認證通過用戶的IP代替）IntLinevty0 LoginlocalDACL動態(tài)ACL，需要客戶端net或者SSH到路由器，然后再提示用戶輸入用戶名動態(tài)ACL條目只能寫一條AP，認證，當客戶的時候，AP截取會話，要求用戶輸入用戶名和進AP可以做基于用戶的認證，可以做到每個用戶通過后具有不同的權限323堂筆SP第六次Access-list101pertcpanyhostrang2223Access-list101dynamicDACLpermitipanyanyAccess-list101denyipanyany擴展命名的ACL：ipaccess-listextendaapertcpanyhostrange2223dynamicDACLperipanyanydenyipanyanyDACL的timeout：Access-list101dynamicDACLtimeout10peripanyLinevty0mandaccess-enablehosttimeouthosthostIP不會代替動態(tài)ACL里面的源ANY（即只要一個認證通過后，全部都可以出去host關鍵字，IP可以出去）當用戶net到路由器的時候，就會提示用戶認證，認證后，馬上斷開——如果用戶要 第法：rotaryport旋轉端以定義線路5用來管理，但是現(xiàn)在用戶net上來做認證，并不占用線路，那么不管我們怎么net5定義一個旋轉端口，然后net的時候接我們定義的旋轉端口，那么我們就可以登陸到線路5對設備進行管理（根據(jù)端口區(qū)分線路）LinevtyRotary35R1注意：net的rotary旋轉端口的基礎是3000，我們后面再接35，即端口就是認證或者管理）UsernamecciepasswordciscoUsernameciscopasswordUsernamecisco mandaccess-enablehostLinevty04第法：rotaryport旋轉端Ip-nameCryptokeygeneratersaUsernameciscopasswordAccess-list101permittcpanyhostrange2223Access-list101dynamicDACLperipanyanyAccess-list101denyipanyanyInte0/0Linevty0LoginlocalLinevtyRotary1Ipsshport2000rotary1注意：SSHrotary旋轉端口的基礎是2000，經(jīng)試驗，不管怎么配端口，只能通過2000上來管理；如上列來看，應該是端口2001用作區(qū)分linevty5，但是只能通過端口2000才可以ip-cryptoketgeneratersausernamecciepassciscousernameccie mandaccess-enablehostlinevty04（模擬器上面都是管理當R1netR2時，輸入用戶名和后，自動在R2上執(zhí)行命令（reload）——這是我們需要在R2上給予這個用戶名級別15的權限，否則就不能執(zhí)行；或者給予級別1執(zhí)行reload的權限UsernameciscopasswordciscoUsernamecisco Usernameciscoprivilege15R1lCBAC基于上下文的控制列 可以過濾到第七層——應用層（可以查看控制連接里面令條臨時性的ACL允許回程流量——和RACL是一樣的CBAC在IOS12.34）了B（firewallACLbypas）旁路特性，當出的，，后話立狀表程量查態(tài)表，而ACL（注意，F(xiàn)B特性默認是開啟的，且不能關閉）端口映射過濾嵌HTTP里面JAVA小程預防DOS（DOS最著名的就是半打開連接APIDS—— 能夠過濾到第七層，去查看數(shù)據(jù)包的內審計：audit，哪個IP發(fā)了多少個包可以連接的流檢測（檢查命令cisco：基于狀態(tài)的RACLCBAC的比較RACLCBAC都是要達到允許回程流量這個RACL：通過在inboardoutside接口動態(tài)的插入一條臨時性的ACL，來允許回程流量，CBAC：TCP連接SYNCBAC查看TCPSYN標志位被置位的時候，給30秒的時間讓它建立連接，如果30秒還沒建立，刪除會話信息如果5秒還沒斷開連接，那么IOS自動斷開連接，刪除會話信息夠保證TCP連接的安全CBAC，還可以檢查TCP序列號CBAC發(fā)現(xiàn)超過5000的序列號時，發(fā)生一個TCPUDP30秒，UDP流量出去后，CBAC3030所以說UDP是沒有狀態(tài)的）DNS（TCP53端口，UDP53端口CBAC只支持以下ICMP類型8Echo0Destination3CBAC：能夠控制連接令在上圖中（FTP）第一步：CBAC由內部發(fā)起的TCP連接，然后為其維持一個狀態(tài)項，允許流量回程第二步：CBAC發(fā)現(xiàn)內部要建立數(shù)據(jù)連接（查看控制連接令，然后就為其新建一個狀態(tài)項，允許由外部server發(fā)起的數(shù)據(jù)連接——CBAC檢查上圖的第二步（當，源 目的NAT后源 目的源 目的NAT后源 目的流量進來的時候：路由器先檢查狀態(tài)表，然后再NATCBAC能應用命SMTP簡單郵件傳送協(xié)議，現(xiàn)在有一種增強的SMTPCBAC只能SMTP，當?shù)紼SMTP時，會丟棄，那么這是ESMTP服務器會自動將為SMTP服務器再向路由器發(fā)送——現(xiàn)在CBAC已經(jīng)支持ESMTP第三：檢測基于主機的半打開TCP會話的數(shù)量324堂筆SP第七次CBAC支持的協(xié)議CBAC支持大部分的協(xié)注意一個協(xié)議：skinny，voice的協(xié)議（cisco）使用TCP2000端口，聯(lián)眾游戲平臺也是用的TCP2000端口，有，所以要關掉（callmanage）CBAC的局限性CBAC不能自己產(chǎn)生的流CBAC不能到自己的流CBAC不能加密過的數(shù)據(jù)包，IPSEC— ，所有設備都不能的流ACL不能過濾自己產(chǎn)生的流量，但是可以過濾到達自己的CBAC既不能自己產(chǎn)生的流量，而且不能達到自己的流量，只能穿越路由器的Ipinspecttcpsynwait-timenIpinspecttcpfinwait-timenIpinspecttcpidle-timeoutnIpinspectudpidle-timeoutnIpinspecticmpidle-timeoutnIpinspectdns-timeoutnIp pletehighIpinspect pletelownIpinspectone-minutenIpinspect pletehostnumberblock-timeAccess101denyipanyanyInte0/1IpinspectnameCBACtcpalertonaudit-trailonIpinspectnameCBACudpalertonaudit-trailonInte0/1現(xiàn)在，R1不通R3，可以 ShowipinspectsessionPAM（port-application-map）PAM表 ——不能覆蓋系統(tǒng)定義的常見端口，比如讓CBAC去HTTP對應端口25（全局）這是不行的但是可以基于主機這樣設置比如，讓CBAC去的HTTP流量在端口25上CBAC是根據(jù)端口定義的類型，當CBAC看到端口是80的時候，就會用HTTPHTTP——HTTP——Ipport-maphttpport25（是不行的，系統(tǒng)會報錯）Ipport-maphttpportlist1（可以，基于特定主機）Access-list1perIpport-maphttpportIpport-maphttpport8080list1showipport-map更改HTTP端是在目的主機上更改的 為8080的web服務Access-list101denyipanyanyInte0/0IpinspectnameCBAChttpalertonaudit-trailonInte0/0這是因為，CBAC默認是用80端口去HTTP流量，現(xiàn)在我們使用目標端口是8080，那么CBAC看到目的端口是8080（未知應用）所以不會去為其維持狀態(tài)——我們要在R1上做port-map，告訴CBAC目標端口8080是HTTP應用，那么CBAC就會知道8080端口就是HTTP流量，然后會為其維持一個狀態(tài)。R1Ipport-maphttpport8080list1Access-list1perAccess101denyipanyanyInte0/0IpinspectnameCBAChttpalertonaudit-trailonIpport-maphttpport8080list1Access1perInte0/0AAA認證，，統(tǒng)計Linevty04UsernameciscopasswordciscoLinevty04Show 是enbale15，級別15是唯一一個不需要進去的級別（前提是我們沒設置，而進低級別——高級別（要求輸入高級別——低級別（不需要輸入Enablesecretlevel3Authentication）2，CSACS（ciscosecureaccesscontrolserver）——AAACSACS：ciscosecureaccesscontrol cisco安全控務器（其實就是一個裝ACS軟件的主機1路由器和AAAserver，路由器扮AAA（user第一步：user想Internet，于是將數(shù)據(jù)發(fā)給自己的默認網(wǎng)關第三步：user輸入用戶名和，路由器R1將用戶名和發(fā)往AAAserver在AAA和AAAserver之間交換信息是需要一種協(xié)議來達到雙方都認可（支持）和同 KerberosStart報文Reply報文RADIUS的報文：Access-accept報文Access-reject報文Exchange報文TACACS+工作流RADIUS工作流程325SP第八次 AAAservertacacs+（cisco私有，但是已經(jīng)公開，允許其他廠商使用TACACS+發(fā)展過XTACACS（使用UDP作為傳輸協(xié)議 與server之間鏈路擁塞和合理的分配帶寬（TCP滑動窗口使用TCPRST標志旗，重置連接；當server出現(xiàn)問題時，發(fā)送一個RST消息通知server掛掉了，然 斷掉連接使用備份認證方這是因為，ABBTACACS+TACACS+的消息類型連接；start消息內包含認證類型reply，server要求路由器輸入用戶名和 第一步：user發(fā)起到連接需求第三步：server回復一個reply消息要求輸入用戶名第五步：server回復一個reply消息要求輸入 與server之間的連接出現(xiàn)問題（當 使用TACACS+協(xié)議認證的過程由器AAAserver發(fā)送一個Start消息（AAAserver的連接）user輸入accept,rejecterror,continue字段TACACS+TACACS+的消息類型authorization authorizationresponseTACACS+的流程使用TACACS+的過程第二步：路由器將這個命令打包到authorizationrequest消息傳給AAAserver第三步：AAAserver收到后，校驗該用戶是否有權限執(zhí)行這條命令，然后回復一個authorizationresponse消息（failresponsepass-addpass-replyfollowerrorPass-add：代表成功，隨即把權限現(xiàn)在 Pass-relay：代表忽略這個請Error：可能預共享KEY不匹配，需要排TACACS+TACACS+統(tǒng)計的類型Startrecord，開始統(tǒng)計，執(zhí)行命令的時候開始統(tǒng)計（服務開始的時候統(tǒng)計stoprecord，停止統(tǒng)計，執(zhí)行命令完成后開始統(tǒng)計（服務停止的時候統(tǒng)計TACACS+的消息類型accountingaccountingTACACS+的統(tǒng)計流程第一步：user成功后，執(zhí)行相應的動作第二步：路由器發(fā)送request消息給serverRADIUS（ciscoIOS11.1后支第一組：UDP1645（認證）1646（統(tǒng)計）——大部分使用這組（cisco使用這組）第二組：UDP1812（認證）1813（統(tǒng)計）RADIUS不支持模塊化的AAA策略，它的認證和是在一起的不能分開（只要認 RADIUS使用共享KEY加密信息（只加密信息RADIUS不支持字符模式的認證（只有TACACS+才支持字符模式的認證RADIUS的統(tǒng)計是advancement（高級）而TACACS+是basic（基本RADIUS的認證RADIUS的消息類access-access-access-access-RADIUS的認證流Access-request包含：用戶名，加密過的，IP地址，端時信息已經(jīng)包含在返回的access-accept消息里的RADIUS的統(tǒng)RADIUS的消息類第三步：server回復accounting-responseConfigtHosR1IntIpaddNoAaanew-AaaauthenticationloginnoconAaaauthenticationloginvtygrouptacacs+Lineconsole0Linevty04AaaauthorizationexecnoconnoneAaaauthorizationexecvtygrouptacacs+Lineconsole0Linevty04AuthorizationexecvtyAaaauthorizationcommand1noconAaaauthorizationcommand5noconAaaauthorizationcommand1vtygroupAaaauthorizationcommand5vtygrouptacacs+Lineconsole0Authorizationcommand1noconAuthorizationcommand5noconLinevty04Authorizationcommand1vtyAuthorizationcommand5vtyAaaauthorization Privilegeexeclevel5writeterminalPrivilegeexeclevel5configterminalPrivilegeconfigurelevel5router(privilegeconfigurealllevel5router)AaaaccountingexecnoconnoneAaaaccountingexecvtygrouptacacs+Lineconsole0Linevty04AccountingexecvtyAaaaccountingcommand0noconnoneAaaaccountingcommand1noconnoneAaaaccountingcommand5noconnoneAaaaccountingcommand0vtystart-stopgrouptacacs+Aaaaccountingcommand1vtystart-stopgrouptacacs+Aaaaccountingcommand5vtystart-stopgrouptacacs+Lineconsole0Accountingcommand0noconAccountingcommand1noconAccountingcommand5noconLinevty04Accountingcommand0vtyAccountingcommand1vtyAccountingcommand5vty重令注解aaaauthorizationcommand1aaaauthorizationcommand1vtygroup設置級別1令需要，要為級別1是有showarp;showiproute;showipintb等show命令，如果不對級別1令，那么我們定義的級別5即使沒有AAA使用這些命令，它還是可以用的，這樣就不滿足我們的要求，所以級別1需要Aaaauthorization Privilegeconfigurelevel5router(privilegeconfigurealllevel5router我們給了級別5在配置模式下的router命令，aaaauthorization mands這條命令是）Allall5router命令，即只能routerriprouterrip里面，發(fā)現(xiàn)時沒有命令的；如果加上all關鍵字，更進一層的配置模式里面令都會出現(xiàn)——通過ACS后，發(fā)現(xiàn)還是不能使用更進一步令，這是因為ACS不能控制到這么細，沒有這么智能Aaaaccountingcommand0noconnoneAaaaccountingcommand1noconnoneAaaaccountingcommand0vtystart-stopgrouptacacs+Aaaaccountingcommand1vtystart-stopgrouptacacs+這里為什么要給級別0和級別1開啟統(tǒng)計呢？那為什么不開級別0的呢？326堂筆SP第九次AP（auth-）認不能基于每個用戶做認證（ACL只能寫一條，所有用戶認證成功后的權限都是一只能對到達路由器（net，ssh）的流量做認證，不能對穿越路由器的流量做認AP的工作過程：外部用戶想內部的web服務要求用戶輸入用戶名和第五步：AAAserver返回認證通過或者失敗消息給路由（還有相應權限）將一profile文件download到路由器e0/0接口（其實就是一個ACL文件，直接調用在路由器e0/0接口定義的ACL之前）去做認證，用戶對應的相應權限都是在AAAserver上配置的，如果認證成功，那么AAAserver就會把對應這個用戶的profile文件（權限實就是ACL條目，download到路由器進行配置，那么我們就得基于相應用戶級別15的權限，這樣AAAserver才可以把profile文件download到路由器。（priv-lvl=15）AP可以截?。?AP可以檢測DOS，可以定義一個閾值，當路由器收到的HTTP請求超過我們定義在這半個小時內，路由器不應答IP的服務請求）AP還可以與一起工作，提供額外的認證（一般不使用AP還可以和NAT,CBAC一起使用默認，R1E0/1E0/0denyipanyanyACL，現(xiàn)在我們分析一下，當，AAE0/1口的indenyipanyanydropAAAserver的流量，所以我們得放一條由AAAserver到路由器的流量：Access-list101pertcphost8eq49hostAccess-list101denyipanyanyIntIpaccess-list101inhsoR1intipaddnoshipaddaccess101pertcphost8eq49hostaccess101denyipanyanyintaaanew-aaaauthenticationlogindefaultgroupaaaauthorization defaultgroupaaaaccountingauth- defaultstart-stopgrouptacatacacs-serverhost8keycisco123ipauth- inte0/1ipauth- access10perinte0/0inte0/1ipnatinipnatinsidesoulist10inte0/0overloadaccess102denyipanyanyintipinspectnameCBACtcpalertonaudit-trailonipinspectnameCBACudpalertonaudit-trailonipinspectnameCBACicmpalertonaudit-trailoninte0/0Showipaccess-ipauth-nameAUTHhttpinactivity-time10（空閑超時——特定條目）ipauth-nameAUTHhttpabsolute-time10（絕對超時——特定條目）ipauth-inactivity-time10（全局定義空閑超時——所有條目）ipauth-absolute-time10（全局定義絕對超時——所有條目）ipauth-nameAUTHhttplist100access100pertcpanyhosteqAP防DOSIpauth- watch-listenable開啟監(jiān)視列表，當一個IP在輸入用戶名和錯誤5次時，把這個IP地址丟到（鎖的該IP30分鐘，30分鐘內忽略該IP的認證請求）Ip Ip Ip 327SP第十次Port-security交換機的端口安802.1Port-security端口安全主要是防止ARPx功能時給接入用戶做認證，防止非ARP的三種第一種：自己是PC4會發(fā)送一個ARP（回復）說：我是MACPC4IPMAC第二種：IP第三種：MAC相對于交換機接口來說：IP沒變MACPort-security端口安全特性，可以到err-disable狀態(tài)（操作）可以為手動設置 MAC（靜態(tài)綁定項）設置超時時switchportmodeaccessswitchportport- umswitchportport-securitymac-address0004.0004.0004switchportport-securityviolationshutdownno手動綁定一個MAC地址到這個交換機端口口）——進入err-disable狀態(tài)端口才能激活Showport-securityinterfaceInte0/0NoshErrdisablerecoverycausesecurity-Errdisablerecoverycause設置端口自動恢復時間為120秒SwitchportmodeaccessSwitchportport-Switchportport-securityum1Switchportport-securitystickySwitchportport-securityviolationShowport-securityinterfaceIntSwitchportport-securityagingSwitchportport-securityagingtypeinactivity/absoluteSwitchportport-securityagingtime2(分鐘)設置老化時間為2分鐘（默認動態(tài)項老化時間是5分鐘）限制模式：丟棄未知源MAC地址的數(shù)據(jù)包，同時在安全急計數(shù)器上記錄丟棄的未知MACMACMAC地址并且刪除以前的MAC進而為其轉發(fā)流量802.1x（基于端口的認證802.1x于無---當開啟802.1X認證的交換機，在端口檢測到有網(wǎng)卡接入的時候，交換機會想接入該端口的主機發(fā)送EAPOL數(shù)據(jù)幀，要求進行認證EAPoL（基于局域網(wǎng)的擴展認證協(xié)議x 認證服務器：AAAserver（RADIUS）——802.1x只有RADIUS才支 ，信息傳給AAAserver（對用戶和AAAserver來說是透明的）傳用戶信息到AAAserver（由認證服務器做認證格式的數(shù)據(jù)幀當交換機發(fā)EAPOL請求超時后（用戶并不802.1x認證或者是用戶正在啟動系統(tǒng)來不及回復MACbypass特性（MAC地址的認證，那么交換機會根據(jù)用戶的MAC做認證，如果通過就允許其網(wǎng)絡，如果認證失敗，那么交換機就會把這個端口（用戶）丟到guestvlan，提供一些限制性的服務；guestVLAN——對那些不支持802.1x認證的用戶丟到這個guestvlan，通常guestvlan有一臺服務器，提供客戶端軟件的VLA（restricteAAAserverinaccessibleauthenticationbypass特性，那那么就丟到guestVLAN中去，認證成功，則允許用戶網(wǎng)絡；如果沒開啟MACauthenticationbypass特性，那么就直接丟到guestvlan中去802.1x802.1x認證（802.1x認證，如果認證失（開啟了限制VLAN）就丟到限制VLAN中去；如果認證成功，就允許用戶訪bypass特性，那么用戶認證會失敗，那么用戶將不能網(wǎng)絡331SP第十一次802.1x認證超時后（802.1x認證guestVLAN，那acketMAC地址）MACMACRADIUS-access-request數(shù)據(jù)GuestVLAN里一般都有一臺服務器，提供802.1x客戶端的（服務器連在交換機的另一個接口，并且劃分在guestVLAN里）RestrictedVLAN（限VLAN：交換機會將連接用戶的端口丟到限制VLAN里。注意：默認三次輸入用戶名和錯誤就丟到限制VLAN（前提是設置了限制VLAN）（交換機喚醒功能Inaccessibleauthenticationbypass當交換機與AAAserver之間的鏈路出現(xiàn)問題時（即交換機數(shù)次發(fā)送RADIUSaccess-request，但是沒受到RADIUS服務器的回復），如果交換機開啟了inaccessibleAV2729指示的是重認證期間的一個動作（defaultRADIUS-request）RADIUS-request——重認證期間連接不會受到Dot1xreauthentication（開啟接口重認證Dot1xtimeoutreauth-periodic120（設置重認證周期時間802.1x第一步：交換機和客戶端都可以發(fā)起做認證；當交換機端口開啟了802.1x認證（dot1xport-controlauto，交換機檢測到PC連上后（端口鏈路狀態(tài)up），這時交換機就會發(fā)送一個EAPrequest/identity消息提示用戶認證。第二步：如果客戶端有能力回應（802.1x認證），那么客戶端會回復一個EAPEAPrequest/identityPC802.1x認開始802.1x認證。戶端的回復，使用MAC地址認證access-request消息發(fā)給RADIUSserverethernetpacketMAC地么交換機會馬上轉換認證方式，使用802.1x認證。EAPOL，CDP，STPvoiceVLAN端口都只允許這三種流量通過（voiceVLANVOIP流量通過，因為和傳真機時不能做認證的）802.1x802.1x認證，交換機會不允許客戶當客戶端支持802.1x認證，而交換機沒開啟802.1x認證，當客戶端發(fā)送EAP-start報文（802.1xEAPrequest/identity消息）unauthorized強制非，端口一直處于非狀態(tài)，忽略所有認證請求主機模式下交換機會記錄主機的MAC地址）multiple-host多主機模式，多主機模式下，只要一個客戶端能認證成功，其他客戶端都可認證成功后VLAN到指定的VLAN中（根據(jù)用戶名）AV65tunnel-medium-type=IEEE802RADIUS-request——重認證不影響連65tunnel-medium-type802：指定協(xié)議類型（IETF——ConfigtHosSWIntvlanIpaddAaanew-Aaaauthenticationloginnoconnone（console口不需要認證Lineconsole0Aaaauthenticationdot1xdefaultgroupradiusAaaauthorizationnetworkdefaultgroupradiusRadius-serverhost8keycisco添加一個ADD然后 選的基于用戶的然后 勾上RADIUS-request——重認證不影響連65tunnel-medium-type802：指定協(xié)議類型（IETF——為VLAN0002的VLAN）VlanVlan3Vlan4intdot1xport-controlauto802.1xdot1xguest-vlan3 指定guestVLAN為VLAN3dot1xauth-failvlan 指定限制VLAN為VLANdot1xauth-failmax-attempts3設置用戶最多輸錯3（用戶名或者然后丟限制VLANdot1xre-req3 設置交換機最多發(fā)3個EAPrequest/identity消息dot1xre-authentication802.1xdot1xre-auth-req 3個EAPrequest/identityno41SP第十二次IDS：檢測系統(tǒng)intrusiondetectionsystem；發(fā)現(xiàn)，與其他設備一起解決（聯(lián)動特性）——比如，IDS檢測到，然后讓干掉這個。IPS：防御系統(tǒng)intrusionpreventionsystem；檢測，直接干IDSIPS就是軟件版本的差別：軟件版本4.0及以前都是IDSIDS工作在混雜模式（離線模式IDS的工作方當IDS發(fā)現(xiàn)時，通過聯(lián)動特性，通過管理口告訴，那些流量是，那么防火墻會做出相應的動作（比如寫ACL），過濾掉流量。普通SPAN，鏡像流量來自于接VSPAN，鏡像流量來自于SPAN配置：Monitorsession1sourceinterfacefa0/1Monitorsession1destinationinterfacefa0/15rx接收的流量；tx發(fā)送的流量；both接收和發(fā)送的流量（默ConfigureMonitorsession1sourcevlan2Monitorsession1destinationinterfaceMonitorsession1sourceinterfacefa0/1rx（做RSPAN，最好鏡像接收的流量）Monitorsession1destinationremotevlan99reflect-portfa0/20設置鏡像流量的目標是用做承載RSPAN流量的VLAN99（后面還接了反射端口，在早些的Vlan99（新建一個VLAN第二步：在SW3上配置Monitorsession1sourceremotevlan99Monitorsession1destinationinterfacefa0/15IPS的工作方發(fā)現(xiàn)的時候，直接把流量丟注意：IPSinline模式，對設備要求是相當高的，IPS不僅僅要做流量分析，而且還要做防御，轉發(fā)流量IDS/IPS的實現(xiàn)方式比對，發(fā)現(xiàn)異常流量后，就認為是——其實就是一個訓練過程，當買回IDS設備時，一個流量匹配模版，然后再使用這個模版作為標準，去檢測。訓練的時候，如果有，那么流量會被創(chuàng)建到模版被IDS認為是正常流量，那么當再有的時候，IDS會認為其時正常流量優(yōu)點：能夠檢測到未知的（殺毒軟件里面稱為IDS/IPS稱為特征IDS/IPS發(fā)現(xiàn)的動作：，SNMP時間查看器）——使用RDEP，SDEE協(xié)議路由器 路由器上的IDS模塊（2600系列等等）——NM-CIDS（網(wǎng)絡模塊ASAIDS模塊——AIP-SSM-10(AIP-SSM-NIPS不能很好解決分片（一個一個分片不是，但是在重組的時候就是一個攻擊HIPS可以很好的解決分片NIPS不能檢測到 流量里面的，而HIPS可以檢測到 流量通過路由器是被，到主機的時候其實就是普通的流量）路由器IDS配置：（早期的路由器IOS才支持）IpauditinfoalertIpauditattackalertdropresetIpauditnameAUDITinfoalertIpaufitnameAUDITattackalertdropresetIpauditsignature2000disableIpauditsignature2004disableInts0/0IpauditAUDITH ICMPechoreply43SP第十三次PSTN公共交 ISDN綜合業(yè)務數(shù)字網(wǎng)絡（B信道；P信道）FR幀中繼（端到端的網(wǎng)絡）——逐漸被代DDN（數(shù)字數(shù)據(jù)網(wǎng)）——T1鏈路；EI鏈路；DDNSONET——SDH（同步光纖環(huán)網(wǎng)（1.544M有兩種標準，G.703和G.704G.703：不劃分時隙（相當于信道G.704：這個標準時是為了在TI鏈承載voice流量（VOIP）而制定的，它把一個T1鏈路劃分成2464K的時隙（相當于信道然后預留8k的帶寬給兩端的同（因為G704.T1鏈路采用時分復用TDM技術，所以兩端需要利用各種參數(shù)協(xié)商在什么時候使用那個時隙）以太網(wǎng)的水晶頭標準：RJ4（芯用于發(fā)送接收數(shù)據(jù)——兩接兩發(fā)當速度達RJ-48：通常是指RJ-48C，用E1/T1/語音接口，用RI-45RJ-48的水晶頭物理規(guī)格是一樣的（相同的以前的網(wǎng)絡：封閉的網(wǎng)絡（企業(yè)網(wǎng)絡通過專線連在一起第一步：截獲用戶的DNS請求，然后用自己的IP地址回復用戶，然后用web服務器，這是的就可以通過HTTP界面，把一些JAVA程序，發(fā)給用戶第二步：還可以成用戶，對WEB服務器進行戶B通訊——用戶A和用戶B的數(shù)據(jù)全部都被截獲只適合點到點（一臺設備到一臺設備）——packetpay-loadencryption數(shù)據(jù)包凈載荷加密，一個數(shù)據(jù)包=IP頭部+數(shù)據(jù)包凈載荷（那么現(xiàn)在數(shù)據(jù)包就可以再公網(wǎng)在傳輸）— 密典型算法：DES56位；3DES168位；AES128192256位；RC440128RC62040被者數(shù)據(jù)——這里就存在一個KEY的傳遞問題。KEY第一步：A請求B的公鑰第三步：B使用自己的私鑰對其，第一步：A，B相互去請求對方的公鑰第二步：A使用自己的私鑰對進行加密——形成一個簽名第三步：A把簽名信息和明文的一起傳給B第五步：B使用得到的對比A傳過來的明文這里有個問題：因為A傳給B的認證信息是簽名和明文的認證信息，如果更改了包內的明文，那么A在B處認證會失敗。KEYKEY的傳遞問題；但是由于非對稱加密要比對稱加密慢1500倍，因此，我們選擇了一個折中的方法：使用非對稱算法加 KEY，利用對稱加密算法加密數(shù)非對稱算型代表 5127681024 128位（16字節(jié)SHA160位（20字節(jié)每個算法都會產(chǎn)生一個自己的KEY相同散列值；而這個KEY的傳遞又存在安全隱患。加密KEY傳遞問 算法（非對稱算法：通過不安全的公網(wǎng)，安全的傳遞對稱加密算法使用的B使用自己的私鑰和ADH運算得到一個相同的X組1：768位21024位515367163（PDA）路由器只支持組1，2，5那么用戶C就可以對用戶A用戶B加密的數(shù)據(jù)進行。和自己的私鑰經(jīng)過DH運算得出一個XCADHX第五步：用戶C使用X得到用戶A和用戶B的對稱加密KEY密鑰交換（密鑰刷新IKEInternetkeyexchange因特網(wǎng)密鑰交換協(xié)議48SP第十四次SP的課程內容IPSECovereasy設備認KEYDHDH組只能保證安全的傳KEY，不能對設備進行認證，所以DH組易受中間人——現(xiàn)在的pre-shareRSA- RSA簽名（CA（不安全由于HMAC算法是不可逆的，所以預共享設備認證使用了第二種認證模式進行設備認對稱算法KEY的傳遞：DH組IKE：因特網(wǎng)設備交換協(xié) 這里的ISAKMPIKE是有區(qū)別IKEISAKMPISAKMPIKESA：兩端協(xié)商完成，構建了一條安全的連接，保證后續(xù)動作是在一個安全的環(huán)境下進IKESA的生存周期到了后重新生成密鑰（傳遞主模式（分六步去協(xié)商這些參數(shù)就會得到KEY（屬于自己的）第五六步：設備驗證（已經(jīng)處于安全的連接——KEY在三四步已經(jīng)過來過去算法得到的散列值（IPSEC階段：真正用來保護數(shù)IPSEC階段有兩個協(xié)議AH和ESP是兩個數(shù)據(jù)封裝協(xié)議：IPSEC階段的兩個模式tunnelmode隧道模式（IP頭部transportmode傳輸模式（IP頭部）默認IPSEC使用的是隧道模式AHtunnelIPESPtunnelIPIPESPESP隧道模式：ESP頭部——ESPIP頭部——ESPESPESP傳輸模式：ESP頭部——ESPIPSECIP頭部可以使一個IP到一個IP或者是一個網(wǎng)絡到一個網(wǎng)絡（私網(wǎng)到私網(wǎng)）IPSEC階段同樣要去協(xié)商參數(shù)得到一個SAIPSEC階段，我們把所有的參數(shù)放在transform-set（轉換集）里SADB安全關聯(lián)數(shù)據(jù)庫（4月10 第三次pre-shareRSA- RSA- 預共享密鑰：在設備較少的時候，使用方便，但是設備數(shù)量多的時候而且是全網(wǎng)狀的頒發(fā)的機構是雙方信任的第機構CACA來頒發(fā)。CA，信任的頒發(fā)機在使PKI分層結構時，有個問題，當對方的發(fā)證服務器CA掛了呢，那么怎么就能去信任他的數(shù)字呢？（信任對方的，是因為信任給他發(fā)證的CA）現(xiàn)在就引入了RA（機構）用來給CA做備份，RA既不能頒發(fā)，也不能撤PKCS#10公鑰加密標準#10CA設備把PKCS#10的信息使用自己的私鑰簽名+設備的公鑰+明文的PKCS#10信息傳給協(xié)議，SCEP會以HTTP方式把PKCS#10信息傳給CA）（CA驗證設備的）當設備認證和隨機數(shù)口令認證都通過時，CA會為其產(chǎn)生一個實體（進入下一步CA使用（設備的PKCS#10信息+CA自己的+隨機的HMAC對稱密鑰）進行hashCAHMAC對稱密鑰進行加密，最后把信息打包就形成了數(shù)字（X.509）——實體——最后CA把這個傳給設備CA（PKCS#10+CA）進過HASH得到的散列HMAC使用的對稱密鑰（CA私鑰加過密的HMAC的功能（即HMAC所使用的算法和另外一些參數(shù)實體（設備的根（CA的——包含CA的公鑰PKCS#7是一個RSA標準，用于簽名和加密實體并且發(fā)給設PKCS#7使用需要的設備的公鑰對進行加密，然后發(fā)給設PKCS#7允許在一個用戶請求中發(fā)送多個（實體+根PKCS#7——負責將安全的傳給設備的（PKCS#10信息+CA的信息）進行hash運算，得到一個散列值對等體通過一個安全的連接（經(jīng)過IPSEC主模式的3.4步后，得出DH組的X，各KEY已經(jīng)傳遞過去，現(xiàn)在的連接時安全的，最后才是設備認證）把數(shù)字證因為都是信任的CA頒發(fā)，所以雙方都有CA的公鑰，然后對實體進行驗證，驗證成功后，對等體建立（流量觸發(fā)）——上面所說的是在PKI集中的環(huán)境下（的那么在分級的環(huán)境下（分層的在分級的環(huán)境下，簽署的權力被分配到不同的層次，頂級為根CA，它為下一級的CA簽署，下一級的CA又為更低一級的CA簽署，最后一級的CA為用戶簽署身頂級CA字段（其實就是CA公鑰的一個副本，然后下一級再向下一級的時候也會把這個頂級CA字段添加進去，一直到最低一級給用戶簽署的CA，給用戶簽署的時候同樣會把這個頂級CA字段添加在根里——現(xiàn)在，雖然給不同用戶的簽署的CA不同，但是不同CA的根包含的頂級CA字段（即頂級CA的公鑰）是相同的，所以雙方可以利用這個頂級CA的公鑰認證對方的。在這里，有個問題，密鑰每隔一段時間都是要更換的（IKE，那么每次都要去請求對方的字字緩存1證對字。現(xiàn)在又引入了一個CRL（吊銷列表可以再設備上開啟CRL吊銷列表功能（可選項當開啟了CRL，設備會定期的到CA服務器上去被吊銷的序列號（每個，把緩存中的數(shù)字的序列號拿到CRL里比較，如果沒有相同的，則有效（沒有被吊銷）可以進行設備認證；如果有相同的（被吊銷，那么設備會再一次去向對方請求證掛起（需要管理員手動處理頒發(fā)現(xiàn)在cepsetup.exe軟件（使windows2003服務器能夠支持SCEP）第一步：R1,R3到CAserver去申請ConftHosClocktimezoneGMT+8首先設置時間，防止與CA服務器時間差別太大導致申請失Clockset11:00:0011apr2009Conftip- cryptokeygenerate cryptocatrustpoint enrollmentmode enrollmenturl/certsrv/mscep/mscep.dll設置CA信任點位crl 開啟CRL（撤銷列表）——可選cryptocaauthen cryptocaenrollcaserver申請實體，這時提示輸入隨即口令，需要到CA服務器上查看口令，或者是在本地直接登錄到服務器（服務器需要安裝SCEP軟件）：本地瀏覽 （需要：re-enterR3

Cryptoisakmppo10En3Aursa-GCryptoipsectransmysetesp-3esp-mModetunAcc101periphhCryptomapmap10ipsec-isakmpSettransmysetSetpeerInt第四次課GREoverIPSECGRE：通用路由封裝協(xié)GRE是一個網(wǎng)絡層協(xié)議（第三層議號為GRE的優(yōu)點：可以封裝任何第三層協(xié)GRE的缺點沒有安全機制（不能支持認證，加密，完整性校驗IPSEC的優(yōu)點：提供安GRE有幾種EGRE比如說我們的兩個內網(wǎng)（被公網(wǎng)隔開EIGRPGRE在公網(wǎng)中虛性，所以可以選用IPSEC。ProtocolIPIPProtocolIPIPEGRE支持隧道默認的封裝為：greGRE是一個隧道協(xié)議（協(xié)議號GREoverIPSEC：IPIPIPIPIPIP；是模擬我們的兩個內網(wǎng)的數(shù)據(jù)包：原IP頭部：——GRE封裝的IP頭部：12.1——23.3IPSECIP頭部：12.1——23.3這里，GREIPSECIPIPSEC的傳輸模式（隧道模式也是可以通的只是增加了20字節(jié)的頭部的開銷）R的數(shù)據(jù)包時，通過查看路由表（最長掩碼匹配原則，選擇了下一條的路由（tunnel么就會觸發(fā)GRE封裝一個新的IP頭部，其實數(shù)據(jù)包最后還是走的物理接口（R1E0/0R3，那么現(xiàn)在由R1的內R3的內網(wǎng)的IP數(shù)據(jù)包為：23.3GREGREoverIPSEC和普通的site-to-siteIPSEC有兩處不同1IPSEC模式不2，IPSEC感流量不同（GRE流量IpaddNoshIntloIpaddIprouteInttunIpaddTunsouTundesNoauNetNetCryptoisakmppo10En3AupHmG2CryptoisakmpkeyciscoaddCryptoipsectransmysetesp-3esp-mModetransAcc101pergrehhCryptomapmap10ipsec-isakmpSettransmysetInt(注意：隧道要兩邊同步配，否者會出問題R3 ，SA就協(xié)商好了——EIGRP ShowcryptoisakmpCryptoisakmpkey0/6ciscoadd了加密后，no掉后加密后，同時被no掉，所有在no掉加密后，需要重新配：Passwordencryption Keyconfig-keypassword-encrypt加密我們的IPSECVTI認為，只要是在隧道走到流量都是要被加密的inttunipaddtunsounoauneten3hmg2cryptoisakmpkey0ciscoaddcryptoipsectransesp-3esp-mcryptoipsecprofilePRO settransform-setmysetinttuntunnelmodeipsectunnelprotectionipsecprofilePROIPSECprofile)showcryptoisakmpShowcryptoisakmpShowcryptoipsecIPSEC階段會產(chǎn)生兩個SA：進站SA和出SA其實有SPI（安全參數(shù)索引：可以表示一個SA本端的出站SA就是對端的進站SA

4月13 第五次LAN-TO-remote IP地址不固定，而且會有很多個 server和 的IKE策略和IPSEC策略匹配問題第三：server使用預共享密鑰的時候，KEY的對端不能指定 server在cryptomap里，不能指定setpeer第五：server感的流不好定增加了X-authentication擴展認證階段，當撥入到組后，server再要求輸入用戶名和（可以使用本地數(shù)據(jù)庫或者是AAA對客戶認證）當X-authentication認證通過后，server會助推配置參數(shù)給（最主要的是分配一個IP地址給 server的內網(wǎng)）MAPtransform-set 撥號成功后，客戶會有兩個IP，一個公網(wǎng)IP（用于初始化 server分配的IP（用于公司內網(wǎng)）server：cisco路由器，， 客戶端有兩種：硬件客戶端（PIX 有兩種連接類客戶端模式（軟件客戶端只支持客戶端模式 ，內網(wǎng)所以主機都要公司總部的內網(wǎng)。 server的時候， 公司內網(wǎng)，然后的硬件設備會自動的執(zhí)行PAT（端口地址轉換使得內網(wǎng)的所有主機都可以公司總部（都使用server分配給硬件的IP地