鴻鵠論壇-ccie rampamps理論逐個擊破security

基于時間的 PorttoApplicationMap IPSource SecureS Loglog-input概ACL，并且ACL記錄下曾經(jīng)轉(zhuǎn)發(fā)過的用戶記錄，這樣，就能從路由器得知哪些用戶是發(fā)起好的ACL用于接口上。Loglog-inputLog只能記錄數(shù)據(jù)包通過時的源IP和目的log-inputIP和目的IPMAC配ACL中的說明：配置路由器R1，讓其允許R2發(fā)來的數(shù)據(jù)包通過，但R3的數(shù)據(jù)包通r1(config)#access-list100permitiphostanylogr1(config)#access-list100denyiphostanylogr1(config-if)#ipaccess-group100說明：從R2和R3分別R4，查看R1上的Oct114:15:26:%SEC-6-IPACCESSLOGDP:list100permittedicmp->Oct114:16:46:%SEC-6-IPACCESSLOGDP:list100deniedicmp->5說明：R1上彈出的日志可以看出，R2R4的數(shù)據(jù)包是被放行了的，而R3查看ACL記錄r1#shipaccess-lists10permitiphostanylog(2520denyiphostanylog(5說明：從ACL中也可以看出，R2的流量被放行，R3的流量被了ACLlog-將記錄下源MAC。r1(config)#access-list130permitipananlog-r1(config-if)#ipaccess-group130R2r2#showinterfacesf0/0Internetaddressis/24 (FastEthernet0/00013.1a2f.1200)->(0/0),1packetR2MAC概ACL時，有時因?yàn)闂l目太多，ACLACLremark來實(shí)現(xiàn)，remark可以在條目的前一行，也可以在后一行，由自己決定，但remark不能和條目同一行。配ACL 寫上R2的注r1(config)#access-list100denyiphost 寫上R3的注r1(config)#access-list100permitiphost查看結(jié)access-list100remarkaccess-list100denyiphostanyaccess-list100remarkPermit_R3access-list100permitiphost概有時，當(dāng)客戶的網(wǎng)絡(luò)出現(xiàn)故障時，需要工程師協(xié)助或指導(dǎo)客戶解決故障，這時就需要工程師net到客戶的網(wǎng)絡(luò)設(shè)備上，但是卻并不希望工程師去直接更改用戶設(shè)備的配置，在這種情況下，就可以在用戶的設(shè)備上為工程師配置一個用戶，通過這樣的用戶登陸設(shè)備之后，可以自動執(zhí)行工程師想要執(zhí)行的命令，從而達(dá)到了工程師查看設(shè)備配置的目的，又不修改配置的規(guī)矩。要實(shí)現(xiàn)這樣的功能，就可以在設(shè)備上配置mand的功能，這樣，當(dāng)相應(yīng)的用戶net到設(shè)備時，就可以自動執(zhí)行其想要令。這樣的mandVTYVTY接口下，也可以單獨(dú)為某個用戶執(zhí)行，即配置在用戶名之后。但這樣令都只能執(zhí)行配VTY下為所有用戶配置自動執(zhí)行命（1）R2上配置用戶名（2）配置為所有VTY用戶自動執(zhí)行命令r2(config)#linevty0935 mandshowipinterface（3）說明：從 net到R2，輸入正確用戶名和，即可看到命令執(zhí)行后的輸r1#netTrying...OpenUsername:ccie OK?MethodStatus Protocol YESmanualup unassigned YESunsetadministrativelydowndown YESunsetadministrativelydowndown unassigned YESunsetadministrativelydowndown unassigned YESunsetadministrativelydowndown unassigned YESunsetadministrativelydowndown[Connectiontoclosedbyforeignhost] 為單個用戶配置自動執(zhí)行命配置用戶為單個用戶配置自動執(zhí)行說明：這里配置自動執(zhí)行命令：showiprouter2(config)#usernametest 從R1 r1#netTrying...OpenUsername:testCodes:C-connected,S-static,R-RIP,M-mobile,B-D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2i-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticrouteo-ODR,P-periodicdownloadedstaticrouteGatewayoflastresortisnot [Connectiontoclosedbyforeignhost]說明：可以看到R1從VTY連上R2時，輸入相應(yīng)的用戶名和后，便自動執(zhí)行了相應(yīng)令，并且證明用戶令優(yōu)先于接口令。概可以在配置用戶名或者時賦予。CiscoUserEXECmode，而需要注意的是，在這個模式下，只能執(zhí)行等級為1令，如果要將等級提enable15115enable模式時手工指定要進(jìn)入的等級。定，默認(rèn)用戶等級為1級。通過以上方法為相應(yīng)用戶或分配等級之后，他們所能執(zhí)行令也只是相應(yīng)等級范圍內(nèi)的，比如5級的用戶是不能執(zhí)行15級令的，但是可以手工賦每個等級可以執(zhí)行哪些命令，如讓5級的用戶能執(zhí)行某15級令，如果5級注：如果15級PrivilegedEXECmode沒有，默認(rèn)只有本地終端直連可以登陸VTY配UserEXECmode的默認(rèn)等級r1>showprivilege1級令查看PrivilegedEXECmode的默認(rèn)等級查看查看PrivilegedEXECmode說明：PrivilegedEXECmode15創(chuàng)建不同等級的創(chuàng)建一個5級的，為創(chuàng)建一個6級的，為5級的（1）5 查看當(dāng)前等級r1#showprivilegeCurrentprivilegelevelis5r1#showrun配^說明：5showrun6級的（1）6 （2）查看當(dāng)前等級r1#showprivilege查看showrun^說明：6showrun5級用戶可以執(zhí)行showrunr1(config)#privilegeexeclevel5show測試5級用戶Buildingconfiguration...!!6級是否可以執(zhí)行showBuildingconfiguration...!!!創(chuàng)建默認(rèn)等級的本地用戶數(shù)據(jù)配置用戶名和登陸已配置的用戶名和 輸入(3)查看默認(rèn)用戶名的等級R1>showprivilegeCurrentprivilegelevelis1說明：1創(chuàng)建等級為15的用創(chuàng)建用R1(config)#usernamecccprivilege15passwordUsername:ccc查看該用戶等說明：15基于時概才可以網(wǎng)頁，即HTTP服務(wù)，或其它服務(wù)，在時間范圍之外，就不能，那么這樣的需求，就可以通過配置基于時間的ACL來實(shí)現(xiàn)。要通過ACL來限制用戶在規(guī)定的時間范圍內(nèi)特定的服務(wù)，首先設(shè)備上必須在定義time-range（absolute，即這個時間只生效一次20101115:00；另一種時間叫（periodic配time-說明：配置R1在上面的時間范圍內(nèi)R2到R4的 r1(config)#access-list150denytcphostanyeq23time-rangeNETr1(config)#access-list150permitipanyany測試時間范圍內(nèi)的流量情況查看當(dāng)前R1的時14:34:33.002GMTThuOct1測試R2向R4發(fā) net會r2#netTrying說明：可以看到，在規(guī)定的時間范圍內(nèi)，R2向R4發(fā)起net會話是被的測試 net外的其它流TypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2說明：可以看到，在規(guī)定的時間范圍內(nèi)，除了net測試除R2之外的設(shè) net情r3#net說明：可以看到，除R2之外，其它設(shè) net并不受限制測試時間范圍外的流量情況查看當(dāng)前R1的時15:01:15.206GMTThuOct1測試R2向R4發(fā) net會r2#net說明：在時間范圍之外，所限制的流量被放開Reflexive概在某些網(wǎng)絡(luò)中，為了考慮安全性，不希望的用戶主內(nèi)網(wǎng)發(fā)起連接，因?yàn)閼岩蛇@樣的動作可能是行為。但是內(nèi)網(wǎng)用戶主外部發(fā)起的連接，的回包可以進(jìn)入內(nèi)網(wǎng)。這樣的需求，如果使用普通的ACL在進(jìn)來的接口上所有數(shù)據(jù)包，這肯定是不行的，因?yàn)檫@樣雖然保證不能內(nèi)網(wǎng)了，安全目的達(dá)可行。更好的方法就是，先所有主內(nèi)網(wǎng)發(fā)起的連接，但是在內(nèi)網(wǎng)主動向發(fā)起的連接中，作好記錄，打好標(biāo)記，等到回包時，能夠讓其順利進(jìn)入內(nèi)網(wǎng)，這樣即保證了不能主動內(nèi)網(wǎng)，實(shí)現(xiàn)了安全，又保證了內(nèi)網(wǎng)發(fā)起的連ReflexiveACL來實(shí)現(xiàn)。ReflexiveACL就是根據(jù)以上所述，先向內(nèi)網(wǎng)發(fā)送數(shù)據(jù)，然后允許內(nèi)網(wǎng)向發(fā)送數(shù)據(jù)，但是在內(nèi)網(wǎng)的數(shù)據(jù)發(fā)向時，這些數(shù)據(jù)的會話會被記錄，被標(biāo)記，等發(fā)回的數(shù)據(jù)和這些有記錄的會話屬于同一會話時，便可臨時在進(jìn)來的方所以根據(jù)這些原理，ReflexiveACLACLACL是用在外網(wǎng)到內(nèi)網(wǎng)的方向，以的主動連接，另一個ACL是用在內(nèi)網(wǎng)到的方向，用來檢測內(nèi)網(wǎng)有數(shù)據(jù)發(fā)向時，做上記錄，等回包時，就在之前那個ACL中打開一個臨時缺口，讓的回包進(jìn)入，這樣就實(shí)現(xiàn)了之前所說的安全功能。含了所有數(shù)據(jù)通過。此ACL正因?yàn)閿?shù)據(jù)在主動進(jìn)入內(nèi)網(wǎng)時被的，所以TCP的數(shù)TCP數(shù)據(jù)傳完之后，會馬目關(guān)閉缺口，但是對于沒有會話的UDP，就不能使用上面的方法了，就軟件根據(jù)timeout來判斷數(shù)據(jù)是否傳完，如果在timeout結(jié)束后，缺口被關(guān)閉。正因?yàn)檫@些從內(nèi)網(wǎng)發(fā)到的數(shù)據(jù)被記錄了，只因此，會話在中途端是不能更換的，一旦更換，就無法匹配記錄了。而像FTP這樣的會話，在中途要改變端，所以FTP在有ReflexiveACL時，不能很好的工在ReflexiveACL數(shù)據(jù)進(jìn)入內(nèi)網(wǎng)時，是不能先向內(nèi)網(wǎng)發(fā)起連接的，但是并不需要將所有數(shù)據(jù)都，在配置時，某些數(shù)據(jù)就可以放開，讓它和正常數(shù)配說明：R4為，R2和R3為內(nèi)網(wǎng)配 主動內(nèi)說明：主動內(nèi)網(wǎng)，但是ICMP可以不受限配置允許ICMP可以不用標(biāo)記就進(jìn)入內(nèi)網(wǎng)，其它的必須被標(biāo)記才返r1(config-ext-nacl)#permiticmpanyany 被允許的ICMP是不用標(biāo)記內(nèi)網(wǎng) 測試R4的ICMP內(nèi)TypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2說明：可以看到，ICMP是可以任意測試 r4#netTrying說明：可以看到，除ICMP測試內(nèi)R2ICMPTypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2說明：可以看到，內(nèi)網(wǎng)發(fā)ICMP到，也正常返回測試內(nèi)網(wǎng)R2發(fā) netr2#netTrying%Connectiontimedout;remotehostnotresponding說明：可以看到，除ICMP配置內(nèi)網(wǎng)向發(fā)起 net被返 為abc的，所以在此為內(nèi)網(wǎng)發(fā)向的 net標(biāo)為abc，返回時，就會有缺口，因 net，但不可主動 net內(nèi)網(wǎng)。配置內(nèi)網(wǎng)出去時，net被記錄為abc,將會被允許返r1(config-ext-nacl)#permittcpanyany netreflectabctimeout net（1）查看R2到的TypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2說明：ICMP查看內(nèi)網(wǎng)向發(fā) r2#net說明：可以看出，此時內(nèi)網(wǎng)發(fā)向的net因?yàn)楸粯?biāo)記為abc，所以在回來時，開r1#shipaccess-listspermittcphosteqnethosteq23395(16matches)(timeleft33)ExtendedIPaccesslistcome10permiticmpanyany(86matches)20evaluateabcExtendedIPaccesslist10permittcpanyanyeqnetreflectabc20permitipanyany(20matches)說明：可以看到，有一條為abc的ACL為允許到內(nèi)網(wǎng)的net，正是由于內(nèi)網(wǎng)發(fā)到的net被標(biāo)記了，所以也自動產(chǎn)生了允許其返回的ACL，并且后面跟有剩Context-BasedAccess概的，ReflexiveACLCBACACL去匹配，CBAC所寫的協(xié)議，就是OSI7層應(yīng)用層的協(xié)議，所以很方便用戶匹配數(shù)據(jù)，并且可以寫多個協(xié)議。CBAC在思科文檔中也會說不支持ICMP這個協(xié)議，所以請注意你的IOS，在實(shí)際中，支持CBAC的，都是支持ICMP的。被允許返回，對于這樣的數(shù)據(jù)，應(yīng)該一開始就從進(jìn)入內(nèi)網(wǎng)，然后從內(nèi)網(wǎng)發(fā)向時，讓CBAC記住這個會話，并且在從進(jìn)入內(nèi)網(wǎng)的接口上打開缺口，方在進(jìn)入的接口上臨時創(chuàng)建缺口，讓其返回。這個用在進(jìn)入內(nèi)網(wǎng)的ACL，必ACLCBAC所記錄。CBAC同樣有配說明：R4為，R2和R3為內(nèi)網(wǎng)配置所有的數(shù)據(jù)包從進(jìn)入內(nèi)R1上配ACL防止所有數(shù)據(jù)包進(jìn)來r1(config)#access-list100denyipanr1(config-if)#ipaccess-group100使用ICMP net測試內(nèi)TypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2seconds:r4#netTrying說明：從結(jié)果中看出，向內(nèi)網(wǎng)發(fā)起的ICMP net均不能通過使用ICMP net測試內(nèi)TypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2r2#netTrying%Connectiontimedout;remotehostnotresponding說明：從結(jié)果中看出，內(nèi)網(wǎng)向發(fā)起的ICMP net也不能通過配置CBAC允許相應(yīng)協(xié)議被返（1）R1上配CBAC記錄net會話，因此可以返回r1(config)ipinspectnameccietcpaudit-trailontimeout60r1(config)#intf0/1r1(config-if)#ipinspectccie說明：測試IOS沒有單獨(dú)的net協(xié)議，只能選整個TCPCBAC效果測試向內(nèi)網(wǎng)發(fā)起TypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2seconds:Successrateis0percent說明：向內(nèi)網(wǎng)發(fā)起的ICMP是不能進(jìn)入的測試向內(nèi)網(wǎng)發(fā) r4#netTrying說明：向內(nèi)網(wǎng)發(fā)起的net是不能進(jìn)入的測試內(nèi)網(wǎng)向發(fā)起TypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2測試內(nèi)網(wǎng)向發(fā) r2#net說明：因?yàn)镃BAC記錄TCP，所 net被允許返回r1#shipinspectsessionsEstablishedSessionsSession835AC510(:63276)=>(:23)tcp說明：內(nèi)網(wǎng)到的net被CBAC成功記ACLCBAC打開的缺r1#shipaccess-listspermittcphosteqnethosteq20029(13matches)10denyipanyany(48matches)看日志Oct118:52:22:%FW-6-SESS_AUDIT_TRAIL:tcpsessioninitiator(:62155)30bytes--responder(:23)sent32bytes說明：CBACPorttoApplicationMap概常用的協(xié)議HTTP對應(yīng)TCP端80，常用的協(xié)議net對應(yīng)TCP端23，這些端，Cisco設(shè)備也是遵守默認(rèn)的端規(guī)則，而這些協(xié)議對應(yīng)的端，是TCP80HTTP來處理，看到TCP23，就會當(dāng)成net來處理。TCP80的數(shù)據(jù)通過時，就會記錄下會話，并且為其打開缺口，而檢測TCP端已經(jīng)被改變，如已經(jīng)改成1000，那么這個時候你發(fā)起的HTTP會話就是TCP1000TCP1000CBAC中，是不會為其記錄并打開這個功能就是靠PAM來實(shí)現(xiàn)的。需要PAM來完成這個工作。要讓設(shè)備知道相應(yīng)協(xié)議是用哪些端，可以配置協(xié)議和對應(yīng)的端，如果主機(jī)映射就是可以使用重復(fù)端口，即是基于每臺主機(jī)的，比如定義某臺主機(jī)配說明：在R3上配置NAT， net到00的結(jié)果被轉(zhuǎn)到netR3說明：配置讓net到00，目標(biāo)端口為1000的，結(jié)果被轉(zhuǎn) net定義NAT方向r3(config)#intf0/0r3(config)#intf0/1（2）配置r3(config)#ipnatinsidesourcestatictcp2300說明： net到測 net結(jié)（1）測試從 net00，目標(biāo)端口為r2#net00Trying00,1000...說明：從結(jié)果中看出，當(dāng) net 配置ACL所有數(shù)據(jù)進(jìn)入r1(config-if)#ipaccess-group100in配置CBAC允 net返r1(config)#ipinspectnameccienettimeout100r1(config)#intf0/1r1(config-if)#ipinspectccieCBAC結(jié)果（1）測試R2 r2#net00Trying00,1000%Connectiontimedout;remotehostnotresponding說明：從結(jié)果中看出，CBAC并不會為端為1000的數(shù)據(jù)創(chuàng)建返回缺口，因?yàn)橐袰BAC只記錄netTCP23端口，而現(xiàn)在是TCP1000端口，所為TCP端1000，所以并沒有被記錄，因此配置PAM，改變設(shè)備的默認(rèn)net端口，應(yīng)改為1000，從而讓CBAC根據(jù)此端口映射表作記錄。（1）配 net端為r1(config)#ipport-mapnetporttcpCBACPAM非常規(guī)端口再次測試 net00，目標(biāo)端口為1000時，CBAC是否打開缺r2#net00Trying00,1000...說明：可以看出，CBAC已經(jīng)認(rèn)為net為TCP端1000，并成功為其打開缺口r1#shipinspectsessionsEstablishedSessions說明：看到CBAC中成功理解net為端1000定義范圍端口給協(xié)（1）定義端8001到8004都給HTTPr1(config)#ipport-maphttpport8001r1(config)#ipport-maphttpport8002r1(config)#ipport-maphttpport8003r1(config)#ipport-maphttpport8004定義到主機(jī)映說明：可以讓同一個端口被不同主機(jī)使r1(config)#access-list10permitr1(config)#ipport-maphttpport8000list10定義主機(jī)的FTP使用端8000r1(config)#access-list20permitr1(config)#ipport-mapftpport8000list20Lock-and-KeySecurity(Dynamic概有一種特殊的需求，比如一臺連接了內(nèi)網(wǎng)和的路由器，某些時候想限制內(nèi) ACL恢復(fù)最初的DynamicACL什么時候恢復(fù)最初的配置，可以定義會話超時，即會話DynamicACL給用戶提供的認(rèn)證方法有多種，最常用的可以使用AAA，本地用戶路由器提供用戶名和以獲得認(rèn)證，就必須 net配置了DynamicACL的路由器， net到路由器時，輸入了正確的用戶名和之后，認(rèn)證就算通過。而要注意 輸入的用戶名是具有功能的，才能通過認(rèn)證并獲得網(wǎng)絡(luò)權(quán)。要賦即一個用戶名網(wǎng)絡(luò)權(quán)的功能，就需要配置 mand來實(shí)現(xiàn)。當(dāng)使用AAA認(rèn)證時，用戶名要有 用戶名添加，并且還可以加在VTY接口下。空閑時間必須小于絕對時間，如果兩個時間都不配，DynamicACL打開的缺口因?yàn)镈ynamicACL在認(rèn)證時是依靠用戶 net自己，所以一定要為用戶打開net權(quán)限，某些數(shù)據(jù)也可以讓其默認(rèn)通過，比如路由協(xié)議的數(shù)據(jù)。認(rèn)證通過之后，就可以相應(yīng)的服務(wù)，在認(rèn)證通過之后，具體可以哪些，需要配置ACLACL，IOSDynamicACLACL。說明： 做認(rèn)證，然后只有當(dāng)認(rèn)證通過之后，ICMPDynamic（1）配置默認(rèn)不需要認(rèn)證就可以通過的數(shù)據(jù)， r1(config)#access-list100permittcpananeq配置認(rèn)證之后才能通過的數(shù)據(jù)，如ICMP，絕對時間為2分鐘r1(config)#access-list100dynamicccietimeout2permiticmpanyr1(config-if)#ipaccess-group100測試測試內(nèi)網(wǎng)R2 netR4r2#netTrying...說明：從結(jié)果中看出，net測試測試內(nèi)網(wǎng) r2#TypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2seconds:Successrateis0percent(0/5)說明：內(nèi)網(wǎng)在沒有認(rèn)證之前，ICMP配置本地用戶數(shù)據(jù)配置所有人的用戶名具有功r1(config)#linevty0181 mandaccess-enable內(nèi)網(wǎng)R2做認(rèn)r2#netTrying...Open[Connectiontoclosedbyforeignhost]說明： 測試內(nèi)網(wǎng)到的ICMP通信功r2#TypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2說明：認(rèn)證通過之后，ICMPACLr1#shipaccess-lists10permittcpanyanyeqnet(105matches)20Dynamiccciepermiticmpanyanypermiticmpanyany(5說明：可以看到動態(tài)允許的流量已放行host功能 mandaccess-enable mandaccess-enablehost在配置功能時，如果沒有加host，那么內(nèi)網(wǎng)一臺主機(jī)通過認(rèn)證之后，所有主機(jī)都能，加了host，就變成誰通過了認(rèn)證，誰才能。TCP概TCPUDP可靠，是因?yàn)門CP是有會話的，是面向連接的，任何TCP器R2建立TCP會話，這三次握手的過程是：第二次握手：R2R1回一個數(shù)據(jù)包，先回答R1100+1,101，第三次握手：R1根據(jù)R2序列號，作出回答，200+1，結(jié)果為201。R1R2R2回應(yīng)之R1當(dāng)一臺網(wǎng)絡(luò)上的正常服務(wù)器向用戶提供服務(wù)時，如果用戶對其進(jìn)行上述的，將導(dǎo)致該服務(wù)器停止工作，所以就試圖尋找法來避免服務(wù)器這樣的TCP。很顯然，要避免這樣的，可以讓服務(wù)器盡早的清除半開連接，從因?yàn)楫?dāng)客戶服務(wù)器時，會話是通過路由器的，所以中間的路由器可以開啟監(jiān)測功能，來監(jiān)測這些握手會話，當(dāng)某些握手長時間不完成時，便可認(rèn)為是，就向TCP保護(hù)，有兩種工作模式。第一種是客戶向watch模式。第二種是當(dāng)客戶向服務(wù)器發(fā)起握手配置配置需要監(jiān)視的說明：ACLACLTCPr1(config)#iptcpinterceptlistTCPIntercept的模watchinterceptr1(config)#iptcpinterceptmode配置半開連接最長等待時間（30秒配置說明：既然三次握手成功完成，TCP會話也建立，而路由器也會默認(rèn)該會話24定義總的未r1(config)#iptcp pletelow 定義每分鐘的未完成數(shù)，有高低兩個，是閥值，默認(rèn)是900和r1(config)#iptcpinterceptone-minutelow800配置丟棄模r1(config)#iptcpinterceptdrop-modeUnicastReversePathForwarding概uRPF被稱為單播的反向路徑轉(zhuǎn)發(fā)，功能是讓路由器具備防IP或IP的uRPF所認(rèn)為的IP，是指某個IP的數(shù)據(jù)包的并不應(yīng)該從某個接口進(jìn)來，卻從某IP地址，同時與路由表中的路由條目作對比，經(jīng)過判斷后，如果到達(dá)這個源IP的出uRPF的接口，則數(shù)據(jù)包被轉(zhuǎn)發(fā)，否則被丟棄。比如路由器從接F0/0收到一個IP就將IP和路由表作對F0/0（F0/1），那么該數(shù)據(jù)包被丟棄。CEFuRPF。uRPFin方向上開啟，在做檢查時，所IP的最優(yōu)路徑都認(rèn)為是可行的，EIGRP非等價出口也算正常，并且即使是默全由ACL來決定，ACL允許，就放行，ACL，就丟棄。這里的ACL和常用ACL一樣配置，可以帶log和log-input參數(shù)。配說明：R3到任何網(wǎng)段的數(shù)據(jù)包都發(fā)向（即R4）確認(rèn)說明：先測試網(wǎng)絡(luò)的路徑（1）查R3的路r3#shipCodes:C-connected,S-static,R-RIP,M-mobile,B-D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltypeE1-OSPFexternaltype1,E2-OSPFexternaltypei-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticrouteo-ODR,P-periodicdownloadedstaticrouteGatewayoflastresortistonetwork /32issubnetted,1subnets /24issubnetted,1subnets S*/0[1/0]via(2)從R3到R1的路徑r3#tracerouteTracingtherouteto0msec4msec012msec12msec12312msec*8msec說明：從結(jié)果中看出，R3R1，是先發(fā)往R4，然后R4R2s0/0發(fā)過來，最后到R1的。(3)R2R3的loopback0Codes:C-connected,S-static,R-RIP,M-mobile,B-D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2i-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticrouteo-ODR,P-periodicdownloadedstaticrouteGatewayoflastresortisnot [1/0]via [1/0]via /24issubnetted,1subnets /24issubnetted,1subnets 說明：從路由表中可以看出，R2R3loopback0()(從R2到loopback0()的路r2#tracerouteTracingtherouteto0msec*0msecR3loopback0()為源R1的連通Typeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:Packetsentwithasourceaddressof說明：可以看到通信R3loopback0()為源R1的路Typeescapesequencetoabort.Tracingtherouteto0msec4msec012msec12msec112msec*8msec說明：在任何情況下到達(dá)R1R2（1）在R2S0/0測試開啟uRPF后的通信情（1）以R3的loopback0()R1發(fā)送數(shù)r3#sourceloopbackTypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2seconds:Packetsentwithasourceaddressof說明：可以看到，在R2S0/0uRPFR2uRPF情況r2#shipinterface5verificationdrops說明：5uRPF被丟棄，正是因?yàn)镽2R3loopback0()F0/1R3loopback0()為源的數(shù)據(jù)包必須也從須配置ACL允許。R3F0/0為源R1發(fā)送r3#TypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2R2uRPF情況r2#shipinterface10verificationdrops說明：可以看到丟棄的數(shù)據(jù)包R2上配ACLR3loopback0(3.3.33)為源的數(shù)據(jù)包即使uRPF檢查失敗也r2(config)#access-list100permitiphostanyr2(config)#ints0/0測試R3loopback0(3.3.33)為源的數(shù)據(jù)包通信情Typeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:Packetsentwithasourceaddressof再看R3F0/0為源R1發(fā)送數(shù)據(jù)的通信情況r3#TypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2概我們通常配置的console下的，進(jìn)入PrivilegedEXEC模式的enable，VTY線路下的，以及其它二層接口的認(rèn)證等等。這些配置在哪里，那里就更重要的是，這些只能本地，卻不可以通過服務(wù)器的認(rèn)證方式來接口使用服務(wù)器的認(rèn)證方式，那就需要AAA中的認(rèn)證來實(shí)現(xiàn)。AAA中的認(rèn)證可以給設(shè)備提供的認(rèn)證方式，AAA認(rèn)證就相當(dāng)于一個裝有認(rèn)入這個容器中，包含服務(wù)器的認(rèn)證方式。AAAlistlist加個認(rèn)證方式，如果某個認(rèn)證方式是可用的，但用戶提供了錯誤的用戶名或，這AAA中的認(rèn)證方式除了調(diào)用設(shè)備本地的認(rèn)證方式之外，還可以調(diào)用服務(wù)器時，IOS可能并不認(rèn)為是認(rèn)證不響應(yīng)，所以很難使用下一個認(rèn)證方式，只有當(dāng)前一個是服務(wù)器時，服務(wù)器不響應(yīng)，才會使用下一個，這是IOS的不足之處。listIOS是不會讓用戶登陸的，除非最后有none指示放棄認(rèn)證。是給dot1x認(rèn)證的，就要指定為dot1x。所有支持login認(rèn)證的方法有：groupradiusgrouptacacs+ AAA的list可以調(diào)用多個認(rèn)證方式，同樣也可以調(diào)用服務(wù)器，比如radius、tacacs+，不僅如此，還可以允許服務(wù)器有多個備份組，以便一臺服務(wù)器壞了，AAA服務(wù)器組，在里面添加多臺服務(wù)器的IP地址即可，并且配置了AAA的Cisco設(shè)備和服務(wù)器配置：r2#netTrying...Open說明：AAAVTYlocal本地用戶數(shù)據(jù)VTYAAA認(rèn)證list，并指定認(rèn)證方法順序locaor1(config)#aaaauthenticationloginlist1localVTYAAAr1(config)#linevty0創(chuàng)建認(rèn)證（1）創(chuàng)建enable測試認(rèn)（1）測試使用的認(rèn)證方r2#netTrying...Open采用服務(wù)器認(rèn)說明：將服務(wù)器認(rèn)證做為第一個，當(dāng)服務(wù)器不響應(yīng)時，直接跳到下一個認(rèn)AAAlist，第一個為tacacs+，第二個為enabler1(config)#aaaauthenticationloginlist2grouptacacs+enabler1(config)#linevty0935r2#netTrying...Open說明：在沒有配置服務(wù)器時，AAA認(rèn)證認(rèn)證無響應(yīng)，所以切換到第二個認(rèn)證方式enable認(rèn)證。測試認(rèn)配置第一個為tacacs+，第二個enable，第三個為空，并且enable密r1(config)#aaaauthenticationloginlist3grouptacacs+enablenoner1(config)#linevty0935測試認(rèn)r2#netTrying...Open說明：當(dāng)不是服務(wù)器無響應(yīng)的認(rèn)證方式失敗時，都不會跳到下一個認(rèn)證方式配置服務(wù)器組r1(config-sg-tacacs+)#server定義服務(wù)器提示說明：AAAlist中，當(dāng)?shù)谝豁?xiàng)為服務(wù)器時，檢測不可用，才會往后退，如果服務(wù)器后localnone時，隨便輸入什么認(rèn)證都無項(xiàng)，直接讓用戶登陸，所以請此類配置。配置第一項(xiàng)為服務(wù)器，第二項(xiàng)為local，且緊跟r1(config)#aaaauthenticationloginlist4grouptacacs+localr1(config)#linevty0測試認(rèn)r2#netTrying...OpenUsername:abc說明：可以看到，此類配置，隨便輸入任何認(rèn)證，都為通IPSource概擊源，創(chuàng)建必要的描述DOS易用的信息，可以多個IP。并且這些信息全部可以輸出到服務(wù)器，如GRP和RSP，也只有高端系列75，12000才支持。配配置的主機(jī)，可以配置多個主機(jī)配置產(chǎn)生日志的間隔，單位為階段配置輸出的時間間配置最多記錄的地址數(shù)SecureS概在對設(shè)備進(jìn)行連接的方法中，最常用的是net，而所有通過net會話能原文意思，為了安全性，有一種在net會話之上的連接方法，將數(shù)據(jù)進(jìn)行加密后傳輸，這就是SecureS(SSH)。SSH共有兩個版本，ver1ver2，Cisco設(shè)備在沒有指定版本的情況下，默認(rèn)ver1SSHIPSec(DESor3DES)IOS，從12.1(1)T或之后都是可以的。除此之外，必須為設(shè)備配置主機(jī)名和，否則會報刪除RSA使用命令cryptokeyzeroizersa，如果被刪除，則表示SSH被禁用。CiscoSSH，SSHserverclient兩種，serverSSHclient在配置server功能后自動開啟，并且自身是不需要任何命令打開的，也沒有clientSSH120秒，即使是手工配置也過這個值。并且SSH的最大連接數(shù)量就是VTY所允許的數(shù)量。SSH2RSA768配配置雙方主機(jī)名和注：server和client之間的是可以不一樣的R1的主機(jī)名和router(config)#hostnamer1r1(config)#ip-nameR2的主機(jī)名和router(config)#hostnamer2r2(config)#ip-name配置RSA配置R1RSAkeyThenameforthekeyswillbe:Choosethesizeofthekeymodulusintherangeof360to2048foryourGeneralPurposeKeys.Choosingakeymodulusgreaterthan512maytakeafewminutes.Howmanybitsinthemodulus[512]:%Generating1024bitRSAkeys配置R2RSAkeyThenameforthekeyswillbe:Choosethesizeofthekeymodulusintherangeof360to2048foryourGeneralPurposeKeys.Choosingakeymodulusgreaterthan512maytakeafewminutes.Howmanybitsinthemodulus[512]:%Generating1024bitRSAkeys,keyswillbenon-*Mar105:24:34.940:%SSH-5-ENABLED:SSH1.99hasbeenenabled創(chuàng)建用戶名和，client通過此用戶名和登VTY下開啟認(rèn)證，并指定SSH可以登r1(config)#linevty0測試SSH登陸r2#sshlccie說明：可以成功登SSH版本r1#shipSSHEnabled-versionAuthenticationtimeout:120secs;Authenticationretries:3r2#shipSSHEnabled-versionAuthenticationtimeout:120secs;Authenticationretries:3SSH啟用SSHr2(config)#ipsshversion查看版本r2#shipSSHEnabled-versionAuthenticationtimeout:120secs;Authenticationretries:3說明：2指定源地址說明：當(dāng)使用net登陸時，可以指定源IP地址，在使用SSH時，需要在配置中修改源IP地址。9同時開啟兩個SSH版本R1(config)#noipsshIntrusionPreventionSystem概抵御的，這就需要配置路由器某些發(fā)向內(nèi)網(wǎng)的可疑流量。但是，而廠商寫的特征碼文件，被稱為signatures（簽名文件。設(shè)備上可用的SDF有兩種：1默認(rèn)的，也就是系統(tǒng)內(nèi)置的簽名（100條2廠商的，也就是使用路由器或SDM的簽名文需要注意的是，如果要從廠商的SDF，強(qiáng)烈建議使用SDM，如果從路由器，會有意想不到的問題。并且從路由器的CLI模式不能調(diào)整IPS的動作的，所以配置IPS，建議使用SDM。attack-drop.sdf83條)128MB128MB.sdf300)128MB或256MB.sdf(500)，適用于內(nèi)存256MB或SDF只能用于12.4(9)Tx或更早IOSIOS也支持。IPSACL要定義哪些流量需要檢測，哪些不需要檢測。命名和數(shù)字ACL都支持，但是12.3(8)T，只支持標(biāo)準(zhǔn)數(shù)字ACL。IOSSDF之后，要告訴設(shè)備從哪些接口檢測進(jìn)來還是出去的流量，SDF，當(dāng)在系統(tǒng)中出現(xiàn)錯誤時，默認(rèn)使用內(nèi)置SDF，但可以在廠商SDF失敗時使用內(nèi)置SDF。配安裝內(nèi)置（1）導(dǎo)入內(nèi)置r1(config)#ipipssdf創(chuàng)建策略r1(config)#ipipsname在接口上開啟r1(config)#intf0/0IPS結(jié)果（1）查IPSr1#shipipsBuiltinsignaturesareenabledandLastsuccessfulSDFloadtime:01:43:33UTCMar12002IPSfailclosedisdisabledFastpathipsisenabledQuickrunmodeisEventnotificationthroughsyslogisenabledEventnotificationthroughSDEEisdisabledTotalActiveSignatures:135TotalInactiveSignatures:0Signature50000:0disableSignature1107:0IPSnameippInterfaceConfigurationInterfaceFastEthernet0/0InboundIPSruleisippOutgoingIPSruleisnotset將內(nèi)SDF結(jié)合使加載廠保存為新的加載新R1(config)#ipipssdflocationdisk2:my-在接口配置IPS的方法和之前一開啟SDEE功R1(config)#ipipsnotify配置條目數(shù)：最多R1(config)#ipsdeeevents不加載內(nèi)不使用內(nèi)置SDF（1）關(guān)閉使用內(nèi)置R1(config)#noipipslocationin關(guān)閉說明：在IPSSDFR1(config)#ipipsfailZone-BasedPolicy概Firewall，也就是說這種是基于zone的，是基于區(qū)域的。既然是基于區(qū)域，那么配置的策略都是在數(shù)據(jù)從一個區(qū)域發(fā)到另外一個區(qū)域時才生效，在同一個區(qū)域內(nèi)的數(shù)據(jù)是不會應(yīng)用任何策略的。而要配置這些策略，方法像使用MQC來配置QOS一樣配置策略，但是兩個的配置方法并不完全一致，因?yàn)閆one是應(yīng)用策略的最小單位，一個zone中可以包含一個接口，也可以包含SecurityZoneszoneSecurityZones是指應(yīng)用了策略的zone，而且SecurityZones應(yīng)該是要包含接口的。SecurityZonesSecurityZones的成員時，所有任何zone的任何接口通信。R4屬于區(qū)域zone2R5不屬于任何區(qū)域R2R3Zone1R2R3zone2R4zone，必須明確配他們默認(rèn)就是可以自由的，我們只需要在區(qū)域與區(qū)域之間配置策略，而配置這Zone1到Zone2的數(shù)據(jù)全部被放行。可以看出，Zone1是源區(qū)域，Zone2稱為Zone-Pairs。因此可以看出，一個Zone-Pairs，就表示了從一個區(qū)域到另一個區(qū)域的策略，而配置一個區(qū)域到另一個區(qū)域的策略，就必須配置一個Zone-Pairs，并加selfzone即作源又作目的。selfzonesystem-definedzone，即系zonezone-pairselfzone時，被應(yīng)用的策略只的策略應(yīng)用于Zone-Pairs，因?yàn)橐粋€Zone-Pairs就表示了一個區(qū)域到另一個區(qū)域的策在為zone之間配置策略，使用的方法類似MQC配置QOS，但格式會有略MapClassMapPolicyMap應(yīng)用Zone-Pairs。下面分別針對Zone-BasedPolicyFirewallClassMapPolicyMapClassMapsPolicyMapsClassMapsPolicyMapsMQCClassMapPolicyMapClassMaps和頂級PolicyMapsinspectclassmapsinspectpolicymapsClassMapsPolicyMapszone-pairzone-pair,passservice-policy,andurlfilterClassMapsOSI第三層數(shù)據(jù)MQC的MapsinspectpolicyMapszone-pair的，如果兩個都配，zone-pairr是在接口進(jìn)方向策略之后的，但在出策略之前。但兩不7ClassMapsPolicy7classmaps7PolicyMaps7PolicyMaps7Mapsparentpolicy7PolicyMapschildpolicy。7ClassMapsPolicyMapsHTTP協(xié)議，ClassMapsclass-maptypeinspecthttp，PolicyMapspolicy-maptypeinspecthttp。7PolicyMapsPolicyMaps來處ParameterpolicymapandclassmapInspectparametermapURLFilterparametermapInspectparametermap是可選的，如果兩級都有，級的有效。URLFilterparametermapURL34policyMAP中Protocol-specificparametermap7policymap需要。配測試默認(rèn)通信說明：在沒有配置的情況下，測試通信情測試R2到R3、R4、R5ICMP通信情況TypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2r2#TypeescapesequencetoSending5,100-byteICMPEchosto,timeoutis2TypeescapesequencetoSend