資料一次課筆記

3月16日SPIOS安全（路由器，交換機(jī)的安全SDH3月16日SPIOS安全（路由器，交換機(jī)的安全SDH （技術(shù)演變E1=2.048M專線：X.25--------frame- （私有網(wǎng)絡(luò)的技術(shù)演變SDNcisco自防御網(wǎng)絡(luò)（企業(yè)級(jí)安全策略SDN邊界網(wǎng)絡(luò)安全VPNIOS安全（IDS， 12Packetsniffer主 A和主Bsniffer 做A到主機(jī)B 交換機(jī)MAC上傳FTP：2120防御snifferOTPone-time-passwordIDSTelnet，F(xiàn)TPSNMPPOP都是明文傳輸,sniffer可以截獲數(shù)據(jù)（明文）用SSH代替telnetSSH 交換機(jī)MAC上傳FTP：2120防御snifferOTPone-time-passwordIDSTelnet，F(xiàn)TPSNMPPOP都是明文傳輸,sniffer可以截獲數(shù)據(jù)（明文）用SSH代替telnetSSH工作流程BBBA—————————————————————————AA1500倍SSH使用非對(duì)稱加密加密密鑰KEY）,KEYSSH工作流程KEY首先，AB然后，A利用B的公鑰 KEY加密，現(xiàn)在只有利BBBKEYA用KEY加密數(shù)據(jù)傳 B，B利用解密得到KEYSSL：安全套接 （443端口IP （IP欺騙IP來(lái)自內(nèi)網(wǎng)的欺騙（偽裝是內(nèi)網(wǎng)的另一臺(tái)主機(jī)IPIPIPspoofingACLRFC2827地址（RFC1918地址（私有地址IP地址 55——就是在主機(jī)自獲取IPSHCP RFC2827：定義的內(nèi)RFC1918：私有—— ——172.31.x.x —— 掩碼（-55保留DOSICMP洪水攻擊（pingdead）PINGSYN同步洪SYN—— ——172.31.x.x —— 掩碼（-55保留DOSICMP洪水攻擊（pingdead）PINGSYN同步洪SYN，服務(wù)器沒(méi)有能力回 基于UDPDNS基于UDPDNS攻擊：（TCP.UDP53端口）：基于DNSDNSDNSDNS一個(gè)DNSDNSDNSDOSDDOS：多對(duì)一DDOS減輕DOS TCP.UDP.ICMPTCP截?。ㄖ会?月17日SP（晚 TCP有三次握手（建立連接）和四次揮手（斷開(kāi)連接A發(fā)送BASYN請(qǐng)求建立ACKABFINFIN的BAFINFIN的ACK（ACK確認(rèn)號(hào)=SEQ序列號(hào)IPTCP頭UDP20字208BAFINFIN的ACK（ACK確認(rèn)號(hào)=SEQ序列號(hào)IPTCP頭UDP20字208UDP：第四層協(xié)議（傳輸層）IP的TOSDSCP區(qū)分服務(wù)代碼點(diǎn) 0-IPprecedenceIP（0-層二的COS1.802.1Q在數(shù)據(jù)幀中添加 4個(gè)字節(jié)TAG2 26ISL4ARP址是—自己真實(shí) MAC）IP沖突（ sniffer發(fā)送一個(gè)ARP地IP和目標(biāo)IPMAC地址全相ARP廣播ARPMAC沖突（snifferMAC注意： IP數(shù)據(jù)包傳輸過(guò)程中 IP是沒(méi)變的，MAC變（除NAT情況會(huì)話回放，sniffer截獲會(huì)話截獲。SnifferA到BA與BB與AA到BB（利用B察覺(jué)不到防御方法：VPN；對(duì)等體認(rèn)證（設(shè)備認(rèn)證針對(duì)統(tǒng)20001（針對(duì)英文系統(tǒng)），紅色代碼2（針對(duì)中文URL2000聯(lián)動(dòng)：掃描IP針對(duì)統(tǒng)20001（針對(duì)英文系統(tǒng)），紅色代碼2（針對(duì)中文URL2000聯(lián)動(dòng)：掃描IP段（在線主機(jī)掃描端口（掃描一個(gè)主機(jī)上的所有端口 （用telnet可以掃描測(cè)試主機(jī)上的任何端口IP段的所 80端口等等SSH端口telnet端口virus（路由器 smallCDP ：nocdp：nocdpTCP/UDP低端口服務(wù)（端19以下）19字符（telnet會(huì)出現(xiàn)字符刷屏現(xiàn)象13（telnet 會(huì)顯示對(duì)方的時(shí)間7icmp（telnet 7是打開(kāi)的R1—————————————————Conftintipaddlinevty0servicestcp-small-telnet這是在R1在servicestcp-small-telnet這是在R1在R1上按 R2 disconnect1關(guān)閉telnetDisconnect 后面的1是會(huì)話ID（telnet會(huì)話，這樣才可以結(jié)束刷屏telnet可以看 R2的時(shí)telnet可以測(cè) R2的端口7是開(kāi)放Noservicestcp-small-serversNoservicesudp-small-（默認(rèn)是關(guān)閉的三． 服R1———————————R2上showR2上telnet的連接查看telnet連接，如果在R2上開(kāi)啟fingerR1R1telnetR2telnetR1telnet （telnet地址finger）R2首先 R2上開(kāi)啟finger服R2Linevty04NologinTel Tel XXShow顯示的兩條然后在R1telnetshowR2Show顯示的兩條然后在R1telnetshowR23月19日SP使用TCP113端口 當(dāng)telnet開(kāi)啟了IdentD（telnet113）,cisconoipidentd（身份信息回復(fù)IPTCP113PBR（基于策略的路由）改到總公司網(wǎng)絡(luò)的一條為合作伙伴公司 那么這是黑客可以經(jīng)過(guò)合作伙伴公司的網(wǎng)絡(luò)進(jìn)入總公司——對(duì)總公Noipsource-IP源路由（IPsource-IP FTP端口21FTP和TFTP20——上傳下TFTP（UDP69端口 FTP服務(wù)器，F(xiàn)TP客戶端可以從路由器上下載文件Noftp-serverNo FTP服務(wù)器，F(xiàn)TP客戶端可以從路由器上下載文件Noftp-serverNotftp-server 路由器 HTTP服HTTP80HTTPS443HTTP路由器 HTTP配置IphttpIphttpport8080（更改路由 HTTP的端口號(hào)IphttpauthenticationlocalUsernameciscopasswordciscoUsernameciscoprivilege8080HTTP15的權(quán)限才可以訪問(wèn)路由器 HTTPS配置Iphttpsecure-NoiphttpNoiphttpsecure-SNMP：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP代理（UDP161 UDP162端安裝了SNMP管理軟件的服務(wù)器，UDP端口連agentagent利用UDP162端口向trap消息。（ciscoworkscisco的SNMP管理軟件agent都用public和private這兩個(gè)團(tuán)體屬性（即密鑰所有我們要?jiǎng)h除這個(gè)兩個(gè)團(tuán)體屬性（即密碼Nosnmp-servercommunitypublicNosnmp-servercommunityprivateRO代表只讀，RWSNMPSnmp-serverenableSnmp-serverenableSnmp-servercommunityccieSnmp-servercommunityccnp –稱8R1代表發(fā) trapSnmp-servercommunityccieSnmp-servercommunityccnp –稱8R1代表發(fā) trap消息到SNMP網(wǎng)管軟件時(shí)的Showrun有關(guān)于SNMP的很多配置（SNMP后，路由器自動(dòng)配置關(guān)閉SNMP服務(wù)：nosnmp-LoggingonLogginghost在主機(jī)8上打開(kāi)KIWI軟件Loggingtrap 7，一共 0-7，級(jí)別越低越緊急，現(xiàn)在連最不緊急的事件都要KIWIsyslog 里的local7代表是cisco的網(wǎng)絡(luò)設(shè)備（代表廠家設(shè)備）Loggingfacility Noipdomain-BootP使用UDP67端口（ghost所有主機(jī)BOOTP有找到消息，當(dāng)BOOTP服務(wù)器收到后，會(huì)回 BOOTP消息（這里 BOOTP消息就IOS以及配置文件）BOOTPNoipbootpNobootNoserviceIOS以及IOS文件BOOTP服務(wù)器bootIOS啟動(dòng)（NoservicesDHCPDHCPdiscoveryDHCPIP55，是個(gè)dropIphelper-addressDHCPIntIpadd關(guān)閉PADNoservicesDHCPDHCPdiscoveryDHCPIP55，是個(gè)dropIphelper-addressDHCPIntIpadd關(guān)閉PAD服務(wù)（Noservices/X.25網(wǎng)絡(luò) 代理ARP（proxy-）R1就可以 R3通訊（前提是R1和R3的路由功能關(guān)掉R1和R3 當(dāng)R1和R3R1和R3是兩臺(tái)路由器 這是R1要發(fā)送一個(gè)數(shù)據(jù)包R3，因?yàn)槁酚善魇紫仁菣z查路由表的，發(fā)現(xiàn)路由表里沒(méi)有 當(dāng)R1和R3R1和R3是可以通的（R2的E0/0ARPR1和R3PCR1R3R3 R1就會(huì)發(fā)ARP請(qǐng)求的MACR2的E0/0ARP R2就會(huì)把自E0/0的MAC地址回復(fù)R1，忽悠R1這就是R3的地址，這時(shí)R1 源地址 目標(biāo)MACe0/0口的MAC地源 MAC，然后發(fā)R2；R2MAC地址，然后再 IP地址，發(fā)現(xiàn)不是自己的，而是然后查看路由表是直連的），E0/1口發(fā)送出那么這 R3就會(huì)收到ARPARP代理時(shí)，R1的MAC開(kāi)啟ARPR1PC的MAC地址，R2E0/0口R2e0/0ARPARP代理時(shí)，R1的MAC開(kāi)啟ARPR1PC的MAC地址，R2E0/0口R2e0/0的MACR1,R3R1和R3R1MAC代理ARPIP地址是位的），ARPARP請(qǐng)求主機(jī)BMAC下主機(jī)BBMAC（路由器查看路由表 發(fā)現(xiàn)目標(biāo)地址所在網(wǎng)段是直連網(wǎng)段這是主 B就收到了），主機(jī)B收到這pingechorelay注意：當(dāng)主機(jī)B回復(fù)echorelay7（子網(wǎng)掩碼的信息的7在/257pingB然后回7在/257pingB然后回 PING包，主 B會(huì)垮IntNoipproxy-A定向廣播：主機(jī)A55192,168.2,0路由器R2隔離的12.0（路由器默認(rèn)是轉(zhuǎn)發(fā)定向廣播的23.0smurf攻 （ICMPspoofing（IPspoofing IP的ping0055 IP的ping0055這是個(gè)2網(wǎng)段的廣播，所以在2 的echoechorelayping包的源地址，發(fā)現(xiàn)ICMPecho源地址 00（內(nèi)部網(wǎng)絡(luò)的服務(wù)器 ，于是所有的主機(jī)都會(huì)將這ping2IntNoipdirected-——Sniffer4． 消 不可達(dá)destinationunreachable的ICMP 不可達(dá)destinationunreachable的ICMPping包給路由器，路由器得回復(fù)（非常消耗資源destinationunreachable的速率（這個(gè)更好 IntIpicmprate-limitunreachableR1———————————在R2上干掉ICMPR1將會(huì)收 R2的ICMPdestinationunreachable的回R1上pingR2R2的E0/0口關(guān)掉unreachable這是R1PingR2,R2R2R2的E0/0口關(guān)掉unreachable這是R1PingR2,R2ICMPR2的E0/0開(kāi)啟unreachableICMPunreachablepingR1 重定PCR1正常的流向 PC將數(shù)據(jù)包發(fā)往默認(rèn)網(wǎng)R1R1R2R2當(dāng)開(kāi)啟 ICMP重定向后（數(shù)據(jù)包的流向：PCR1，R1發(fā)R2ICMPPC,當(dāng)開(kāi)啟 ICMP重定向后（數(shù)據(jù)包的流向：PCR1，R1發(fā)R2ICMPPC,關(guān)閉R1R1的ARP緩存，tracerouteIntNoip 掩碼ICMPping碼回復(fù)（只能用專門抓包工具才可以看到掩碼答復(fù)Intnoipmask-intnomop8. linevty0transportinputtelnettransportinputsshtelnettransportinput 一般都 transportoutput 319SP—IPIPV4319SP—IPIPV4IPV62040IPV440字節(jié)Totallength=pay-load+headlength（最大60字節(jié)64當(dāng)數(shù)據(jù)包小 64字節(jié)的時(shí)候，路由器會(huì)認(rèn)為其是數(shù)據(jù)包碎片——丟當(dāng)數(shù)據(jù)包大 1500字節(jié)的時(shí)候，路由器會(huì)為其執(zhí)行分 Flag標(biāo)記----- Fragment 路由器執(zhí)行分片的時(shí)候，會(huì)對(duì)分片的數(shù)據(jù)包打個(gè)標(biāo)示（路由器就知道后續(xù)被分片的數(shù)據(jù)包該被發(fā)送到目的 身份驗(yàn)證字段）DF位，和位，DF位置為0為1位置為路由器執(zhí)行分片的時(shí)候，會(huì)對(duì)分片的數(shù)據(jù)包打個(gè)標(biāo)示（路由器就知道后續(xù)被分片的數(shù)據(jù)包該被發(fā)送到目的 身份驗(yàn)證字段）DF位，和位，DF位置為0為1位置為1的時(shí)候表示分片還沒(méi)結(jié)束（即不是最后一個(gè)分片，MF位不等于1的時(shí)候，標(biāo)示分片結(jié)束（即最后一個(gè)分片DF位和MFfragment R1———————————————首先在R1上pingR2（大包2000字節(jié)，需要分片pingDF位，不允許分片，然后我們注意：DFY（YESDF1（即不允許分片），那么這時(shí)候，R1pingR2(大包2000字節(jié)——需要分 )，而路由器設(shè)置1并且把MF1（那么接收端會(huì)認(rèn)為分片一直沒(méi)2Eg:access101denytcpanyany Eg:access101denytcpanyany Fragment在R2的E0/0口的inACL（Access-list101denyicmpanyanyAccess-list101IntipanyIpaccess-group101然后 R1上pingping包pingR2PING 時(shí)， R2fragment R2，但 R2過(guò)濾掉了后續(xù)的R2R2Access-list101denyicmpanyanyfragmentlogAccess-list101peripanyanyIntIpaccess-group101inACL后面接log，是在控制臺(tái)上顯示日志信息（記錄日志信息Access101denytcpanyanyfragmentAccess101denyudpanyanyfragmentAccess101denyicmpanyanyfragment 用snifferPingACL后面接log，是在控制臺(tái)上顯示日志信息（記錄日志信息Access101denytcpanyanyfragmentAccess101denyudpanyanyfragmentAccess101denyicmpanyanyfragment 用snifferPingping包（icmp–l May 0（DF（MF位置為More如果 lastfragment被設(shè)（MF位置為0） R1—————————將R1設(shè)置R1設(shè)置R1將R1設(shè)置R2將R2NTPNTP客戶端R2R1不同步時(shí)區(qū)NTP客戶端也要配置時(shí)區(qū)NTP同步只同步時(shí)R1ConftClocktimezoneGMT8區(qū)Clockset13:50:0020mar2009（設(shè)置Showclock（確定時(shí)間是否配置正確）ConftR1的時(shí)間Ntp （將R1服務(wù)器ConftClocktimezoneGMT （設(shè)置時(shí)區(qū) NTP同步只同步時(shí)間，不能同步時(shí)區(qū)Ntpserver （將R2ShowclockConftClocktimezoneGMT （設(shè)置時(shí)區(qū) NTP同步只同步時(shí)間，不能同步時(shí)區(qū)Ntpserver （將R2ShowclockNTP客戶端NTP服務(wù)器的R1各種 ACL里調(diào)用這 periodic在time-range里可以定義多個(gè)周期時(shí)間和一個(gè)絕對(duì)時(shí)間（注意：在一個(gè)time-rangeR1———————在R2的E0/0規(guī)定：2009年3月20日12：00到2009年3月20日15：00內(nèi)，不允許訪問(wèn)（時(shí)間Time-range12：00到14：00Absolutestart12:0020mar2009end15:0020marPeriodicweekdays12:00to14:00Access-list101denyipanyanytime-rangetimeAccess-list101permiteipanyanyIntIpaccess-group101inTCP 關(guān)鍵字 一般和ACK 緊急A————— 發(fā)送A向 緊急A————— 發(fā)送A向B回復(fù)ACKAA————A向B發(fā)送的B回復(fù)A回復(fù)B回復(fù)ACKA和BdenyipR2E0/1口，即R2的inboard方向的outsideany的ACL（為了內(nèi)部的安全，不允許外網(wǎng)用戶訪問(wèn)內(nèi)部但是，如 denyipanyany，那么由內(nèi)部出去的流量在回程的時(shí)候也被丟棄——所以我們想個(gè)辦法，做到允許內(nèi)部流量出去 針對(duì)TCPTCPestablished關(guān)鍵的ACL 針對(duì)UDP：由于UDPACL（允許外網(wǎng)的主UDP 針對(duì)ICMPACL只允許 的echorelay進(jìn)來(lái)（即只允許內(nèi) ping外部基于 針對(duì)ICMPACL只允許 的echorelay進(jìn)來(lái)（即只允許內(nèi) ping外部基于TCPestablished關(guān)鍵字 ACL工作原理SYN是否被置位，如果被置位即丟SYN的ACKFIN的ACKFIN基于TCPestablished只檢查數(shù)據(jù)包內(nèi)是否含有拒絕ACLSYN）字段，允許字段的的ACK。FINTCP標(biāo)志旗）——外部TCP連IntR2的Ipaccess-group101in反射 RACL：3.4.5CBAC：可以過(guò)濾掉第七普通ACL，擴(kuò)展ACLestablished接RACLRACLRACLR1發(fā)起的流量（內(nèi)部） ACL（inboard方向的outsideACL性的ACL是插 denyipanyany前面的RACL3月21日SPACLgt大于lt小余eq等于rang端口范圍：165535（其中11023RACL3月21日SPACLgt大于lt小余eq等于rang端口范圍：165535（其中11023保留TCP，有狀態(tài)（TCP的標(biāo)志旗UDP：沒(méi)狀I(lǐng)CMP：沒(méi)狀I(lǐng)CMP協(xié)議號(hào) echo代碼echorelay代碼destinationunreachable代碼針對(duì)TCPRACLACLinboard方向的outside接口的inACLACL300秒（TCP空閑），因?yàn)門CPTCP連接斷開(kāi)后針對(duì)UDP和ICMPRACLACL300UDP和TCPACLRACL（ACL匹配審查條件 RACL設(shè)置對(duì)哪些流量做審查當(dāng)源R1telnetR3目標(biāo)源RACLACL目標(biāo)ACL那么RACL在inboard方向的outsidePermittcphosteq23hostACL那么RACL在inboard方向的outsidePermittcphosteq23hosteq注意：RACLdenyipany denyevaluateevaluate語(yǔ)句，那么anyany之后——那么這條ACLACL，設(shè)置RACLinboard方向的outside inside接denyipanyRACLR2IpaccessextendPermittcpanyanyreflect （名字PermitudpanyanyreflrctRACLIntipaccess-groupaaoutipaccessextendbbevaluateRACLdenyipanyanyintipaccess-groupbb查看Inte0/1Ipaccountingaccess-violation 開(kāi)啟ACLShowip統(tǒng)計(jì)（被拒絕ACL（全部更改Ipreflexive-listtimeout在ACLPermitudpanyanyreflectRACLtimeoutRACL臨時(shí)性ACL會(huì)話結(jié)束（ TCP會(huì)話中cisco 收到兩 FIN消息后，臨時(shí)性ACL條目在5刪除；cisco TCP會(huì)話中cisco 收到兩 FIN消息后，臨時(shí)性ACL條目在5刪除；ciscoIOSRSTRACL RACL不能很好的工針對(duì)RACL黑客知 R1執(zhí)行的AAtelnetinboard方向 outside接口添加一條臨時(shí)性ACLtelnet連接（軟件斷開(kāi)，不會(huì)發(fā)TCP標(biāo)志旗）RACLACLEg:：主機(jī)AAtelnet（或者其他的連接）主動(dòng)FTP和被動(dòng)FTP：21端 認(rèn)證（控制連接20上傳/下載（數(shù)據(jù)連接FTPserver的連接（N目的端 21FTPserver的連接（N目的端 21）——控制連接建N+1第三步：FTPserverN+120目的端 N+1主動(dòng)client第一種情況 client在內(nèi)部，server在外第二種情況 client在外部，server在內(nèi)FTP被動(dòng)第二種情況 client在外部，server在內(nèi)FTP被動(dòng)client發(fā)起控制連接（client向serverN，目的端（通過(guò)控制連接server向clientclient發(fā)起數(shù)據(jù)連接（client被動(dòng)FTPclientserverclientserverclient外部的TCP DACLACL（ACL和APclient外部的TCP DACLACL（ACL和APACLAP ACL一起聯(lián)用 DACL首先，PCtelnet或者SSHIpaccerss-listextendACLPermitany2223telnet開(kāi)啟DACLtestperipany 前面的anyIP代替Denyipany 認(rèn)證失敗后，這IntIpaccess-groupaaACLLinevty0Autocommandaccess-enableDACLLoginDACLAP動(dòng)態(tài)ACLtelnet或者SSHLinevty0Autocommandaccess-enableDACLLoginDACLAP動(dòng)態(tài)ACLtelnet或者SSH密碼；并且DACL 動(dòng)態(tài)ACL條目只能寫一條APAP3月23 課堂筆SP 1．ACL擴(kuò)展 Access-list101pertcpanyhostrang2223Access-list101dynamicDACLpermitipanyanyAccess-list101denyipanyACLipaccess-listextendpertcpanyhostrange2223dynamicDACLperipanyanydenyipany2． 的timeout（超時(shí)時(shí)間 的 ACL ACLAccess-list101dynamicDACLtimeout10peripanyLinevty0Autocommandaccess-enablehosttimeouthostIP替動(dòng)態(tài)ACL里面的 ANY（即只要一個(gè)認(rèn)證通過(guò)后 全部都可以出去）；加后host關(guān)鍵字IP可以出去IP代替動(dòng) ACL里面的 63． telnet對(duì)第一種方法 63． telnet對(duì)第一種方法 rotarylinevty04給用戶作認(rèn)證 linevty5（或者其他是沒(méi)用的 ，那么我們5telnet5telnet路5對(duì)設(shè)備進(jìn)行遠(yuǎn)程管理（根據(jù)端口區(qū)分線路）LinevtyRotary35LoginR1tel注意： 3000，我們后35，即端口就UsernamecciepasswordciscoUsernameciscopasswordciscoUsernameUsernamecciepasswordciscoUsernameciscopasswordciscoUsernameciscoautocommandaccess-enablehostLinevty04Login對(duì)于SSH第一種方法 rotary 旋轉(zhuǎn)端Ipdomain-nameCryptokeygeneratersaUsernameciscopasswordciscoAccess-list101permittcpanyhostrange22Access-list101dynamicDACLperipanyanyAccess-list101denyipanyanyIntIpaccess-group101inLinevty0LoginlocalLinevtyRotary1Ipsshport2000rotarySSH的rotary旋轉(zhuǎn)端口的基礎(chǔ)是2000只能通 2001linevty5ipdomain-namecryptoketgeneratersausernameciscopassciscousernamecciepassciscousernameccieautocommandaccess-enableline0（模擬器上面都是遠(yuǎn)程管理DACL當(dāng)R1telnetcryptoketgeneratersausernameciscopassciscousernamecciepassciscousernameccieautocommandaccess-enableline0（模擬器上面都是遠(yuǎn)程管理DACL當(dāng)R1telnet 時(shí)，輸入用戶名和密碼后，自動(dòng)R2上執(zhí)行命令 reload）——這是們需要 R2上給予這個(gè)用戶名級(jí)reloadR2UsernameciscopasswordciscoUsernameciscoautocommandreloadUsernameciscoprivilege15R1tell1511執(zhí)行reload的權(quán)利 CBAC可以過(guò)濾到第七層——應(yīng)用層（可以查看控制連接里面的命令CBAC在IOS12.3（4）outside的ACLRACLCBAC在IOS12.3（4）FAB（firewallACL（注意，F(xiàn)AB特性默認(rèn)是開(kāi)啟的，且不能關(guān)閉路由 IOS防火墻可以做到HTTP里面的JAVA預(yù)防DOS攻擊（DOS攻擊最著名的就是半打開(kāi)連接APIDS——CBAC警告：alert，哪個(gè)IP的數(shù)據(jù)包匹 CBAC的審查條件，出去審計(jì)：audit，哪 IP發(fā)了多少個(gè)CBACCBAC支持CBAC警告：alert，哪個(gè)IP的數(shù)據(jù)包匹 CBAC的審查條件，出去審計(jì)：audit，哪 IP發(fā)了多少個(gè)CBACCBAC支持CBACCBACTCP序列號(hào)，丟棄違法的序列號(hào)（大5000是違法的檢測(cè)DOS檢測(cè)入侵（檢查命令cisco 和CBAC 和CBACRACL：通過(guò)在inboard方向的outsideTCP標(biāo)志旗），然后決定是否刪RACL，檢查會(huì)話（ CBAC：審查TCP連接審查TCPSYNCBA 查看到TCP的SYN標(biāo)志位被置位的時(shí)候 給予30秒的時(shí)間讓它建立連接如果30FIN，CBAC查看到TCP的FIN5如果5IOSTCP空閑超時(shí)當(dāng)連接建立成功后沒(méi)有數(shù)據(jù)流量傳輸 那么CBAC為其維持一個(gè)小時(shí)1CBACTCP的空閑連接維持這么長(zhǎng)時(shí)間是因?yàn)镃BAC夠保 TCP連接的安 TCP序列號(hào)CBAC5000的序列號(hào)時(shí)，發(fā)生一個(gè)TCPUDP30秒，UDPCBAC30的時(shí)間，如 UDP是沒(méi)有狀態(tài)的UDP端口，UDP53端口 （TCPCBAC，當(dāng)有DNS請(qǐng)求出去的時(shí)候，為其維持 55秒之后刪除會(huì)話（5當(dāng)ICMP的echo出去后，為其維持10ICMPCBAC，當(dāng)有DNS請(qǐng)求出去的時(shí)候，為其維持 55秒之后刪除會(huì)話（5當(dāng)ICMP的echo出去后，為其維持10ICMP10秒以CBACEcho803DestinationICMP5.主動(dòng)FTP工作過(guò)程：（server發(fā)起的數(shù)據(jù)連接CBAC第一步：CBACTCP連接，然后為其維持一個(gè)狀態(tài)項(xiàng)，允許流量回第二步：CBACclient要建立數(shù)據(jù)連接（查看控制連接的命令serverCBAC檢查上圖的第二步（clientserver發(fā)送一 portN（N隨機(jī)端口號(hào)），這CBAC就知道了 client要建立數(shù)據(jù)連接，就會(huì)為其新建一個(gè)狀態(tài)項(xiàng)允許由外部6.NAT源源NAT源NAT還是先CBACNAT還是 CBAC一個(gè)源 0目NATNAT源源NAT源NAT還是先CBACNAT還是 CBAC一個(gè)源 0目NATCBACCBACNAT，再目的 NAT為，那么這時(shí)路由器會(huì)丟棄該流量——所以要7. 比 簡(jiǎn)單郵件傳送協(xié)議，現(xiàn)在有一種增強(qiáng)ESMTPESMTPSMTPCBAC已經(jīng)支 8．DOSUDPUDP數(shù)量（one-minuteTCP會(huì)話的數(shù)3月24 課堂筆SPCBACCBACskinny，voice的協(xié)議（cisco專用）TCP2000用的TCP2000端口，有沖突，所以要關(guān)掉CBACCBAC不能審查自己產(chǎn)生的流量CBAC不能審查到自己的流量CBAC不能審查加密過(guò)的數(shù)據(jù)包，CBACCBACCBAC不能審查自己產(chǎn)生的流量CBAC不能審查到自己的流量CBAC不能審查加密過(guò)的數(shù)據(jù)包，CBACVPNciscoios（CBAC）ACLCBAC這CBACIpinspecttcpsynwait-timenIpinspecttcpfinwait-timenIpinspecttcpidle-timeoutnIpinspectudpidle-timeoutnIpinspecticmpidle-timeoutnIpinspectdns-timeoutnIpinspectmax-incompletehighnIpinspectmax-incompletelownIpinspectone-minutenIpinspecttcpmax-incompletehostnumberblock-timeAccess101denyipanyanyInte0/1Ipaccess-group101inAccess101denyipanyanyInte0/1Ipaccess-group101inIpinspectnameCBACtcpalertonaudit-trailonIpinspectnameCBACudpalertonaudit-trailonInte0/1IpinspectCBACout現(xiàn)在，R1ping不通R3，可以telnet到R3ShowipinspectsessionUDP要緩存30緩存10 （port-application-map）PAM HTTPSMTP去審 25（全局比如，讓CBAC的25CBACCBAC80HTTPHTTP——HTTP——8080（IpHTTP——HTTP——8080（Ipport-maphttpport （是不行的，系統(tǒng)會(huì)報(bào)錯(cuò)Ipport-maphttpportlist（可以，基于特定主機(jī)Access-list1perIpport-maphttpport8080Ipport-maphttpport8080list1showipport-map注意：port-mapHTTPHTTP更改HTTP8080webR2WEBAccess-list101denyipanyanyInte0/0Ipaccess-group101inIpinspectnameCBAChttpalertonaudit-trailonInte0/0IpinspectCBACPingWEBICMP80WEB服務(wù)器的端口 WEB這是因?yàn)椋珻BAC默認(rèn)是 80WEB服務(wù)器的端口 WEB這是因?yàn)?，CBAC默認(rèn)是 80端口去審HTTP8080，上端么做CBAC看到目的端口 8080（未知應(yīng)用）所以不會(huì)去為其維持狀態(tài)——我們要 CBAC目標(biāo)端8080是HTTPCBAC口就是HTTPR1Ipport-maphttpport8080listAccess-list1per8080的，CBAC都會(huì)以HTTP可以訪問(wèn)WEB服務(wù)器（:8080R1Access101denyipanyanyInte0/0Ipaccess-group101IpinspectnameCBAChttpalertonaudit-trailonIpport-maphttpport8080list1Access1perInte0/0IpinspectCBAC Linevty04UsernameciscopasswordciscoLinevty04Usernameciscoprivilege15Show>#0，1——enbale是enbale15>#0，1——enbale是enbale15，級(jí)別15是唯一一個(gè)不需要密碼進(jìn)去的級(jí)別（前提是我們沒(méi)設(shè)置密碼（要求輸入密碼（不需要輸入密碼3Enablesecretlevel3 12，CSACS（ciscosecureaccesscontrolserver）——AAACSACS：ciscosecureaccesscontrolACS軟件的主機(jī)cisco安全訪問(wèn)控制服務(wù)器（在利用 服務(wù)器做外部認(rèn)證的時(shí)候，路由器扮演兩個(gè)角色AAANAS（網(wǎng)絡(luò)訪問(wèn)服務(wù)器1，路由器 AAAserver，路由器扮演2，路由器和用戶useAAAserveruser想訪問(wèn)Internet，于是將數(shù)據(jù)發(fā)給自己的默認(rèn)網(wǎng)關(guān)R1收到從userAAAserveruser想訪問(wèn)Internet，于是將數(shù)據(jù)發(fā)給自己的默認(rèn)網(wǎng)關(guān)R1收到從userR1AAAAAA/AAAserverdrop在AAAAAATACACS+ RADIUS Kerberos安裝ACSACSTACACS+StartReply報(bào)Continue報(bào) Access-accept報(bào)文Access-reject報(bào)文ExchangeTACACS+TACACS+RADIUS3月25SPAAA與AAAservertacacs+（cisco私有，但是已經(jīng)公開(kāi)，允許其他廠商使用RADIUS（IETF公有TACACS+XTACACS（UDP作為傳輸協(xié)議TACACS（使用UDP3月25SPAAA與AAAservertacacs+（cisco私有，但是已經(jīng)公開(kāi)，允許其他廠商使用RADIUS（IETF公有TACACS+XTACACS（UDP作為傳輸協(xié)議TACACS（使用UDP作為傳輸協(xié)議TACACS+（使用TCP49號(hào)端口TACACS+TCP49TCP保證了client和serverclient與server之間有ACK確認(rèn)機(jī)制（TACACS+本身沒(méi)有client與server之間鏈路擁塞和合理的分配帶寬TCP滑動(dòng)窗口TCPRST標(biāo)志旗重置連接server出現(xiàn)問(wèn)題時(shí)，發(fā)送一消息通知clientclient問(wèn)題：當(dāng)A發(fā)生了3BB會(huì)通知AB這是因?yàn)?，A發(fā)的是3和BBB，A，讓A重傳掉的包 TACACS+AAA（認(rèn)證，授權(quán)，統(tǒng)計(jì)都可以使用單獨(dú)的服務(wù)器encryptionAAATACACS+：加密clientTACACS+TACACS+連接；start消息內(nèi)包含認(rèn)證類型start消息通 server continue，client已continueclient與server使用tacacs+第一步：userstartAAAserver第三步：server回復(fù)一個(gè)第五步：server回復(fù)一個(gè)serverreply消息要求輸入用戶名continue消息（里面包含用戶名）reply消息要求輸入密碼continue消息（里面包含密碼reply消息（Reject：代表認(rèn)Error：代表client與server之間的連接出現(xiàn)問(wèn)題（當(dāng)Reject：代表認(rèn)Error：代表client與server之間的連接出現(xiàn)問(wèn)題（當(dāng)client與server使用TACACS+第一步：userAAAserver由器 AAAserver發(fā)送一Start消息（AAAserver的連接AAAserver回復(fù)一 reply消息，要求輸入用戶名（隨即路由器提示用戶輸入用continue消息傳 AAAAAAserverreply消息，要求輸入密碼（user輸入密碼第五步：usercontinueAAAreply消息給路由器（第六步：AAAserveracceptrejecterrorcontinue字段AAAserverreplyTACACS+TACACS+authorizationresponse認(rèn)證成功后，這時(shí)用戶就登陸到路由器上（并且具有相應(yīng)的權(quán)限TACACS+authorizationresponse認(rèn)證成功后，這時(shí)用戶就登陸到路由器上（并且具有相應(yīng)的權(quán)限TACACS+使用TACACS+第一步：user認(rèn)證通過(guò)后，用戶請(qǐng)求使用路由器資源（在路由器上執(zhí)行命令authorizationrequestAAA第三步：AAAserverauthorizationresponse消息（failresponse,pass-add,pass-reply,follow,authorizationresponseFollow：指出授權(quán)要拿到其他服務(wù)器上做（client上（AAAserver上做的serverKEY與AAAserverAAAKEYKEYTACACS+TACACS+Startrecord，開(kāi)始統(tǒng)計(jì)，執(zhí)行命令的時(shí)候開(kāi)始統(tǒng)計(jì)（服務(wù)開(kāi)始的時(shí)候統(tǒng)計(jì)stoprecord，停止統(tǒng)計(jì)，執(zhí)行命令完成后開(kāi)始統(tǒng)計(jì)（服務(wù)停止的時(shí)候統(tǒng)計(jì) AAATACACS+TACACS+Startrecord，開(kāi)始統(tǒng)計(jì)，執(zhí)行命令的時(shí)候開(kāi)始統(tǒng)計(jì)（服務(wù)開(kāi)始的時(shí)候統(tǒng)計(jì)stoprecord，停止統(tǒng)計(jì)，執(zhí)行命令完成后開(kāi)始統(tǒng)計(jì)（服務(wù)停止的時(shí)候統(tǒng)計(jì) AAAserver（有更新就記錄TACACS+accountingaccountingTACACS+第一步：userrequest消息給第三步：server回復(fù)一 Error：代表收到統(tǒng)計(jì)信息但是放到數(shù)據(jù)庫(kù)時(shí)出錯(cuò)FollowRADIUS（ciscoIOS11.1后支持RADIUSRADIUS是IETF使用UDP第一組：UDP1645（認(rèn)證授權(quán)第二組：UDP1812（認(rèn)證授權(quán)1646（統(tǒng)計(jì)）——大部分使用這組1813（統(tǒng)計(jì)cisco使用這組 使用共 KEY加密密碼信息（只加密密碼信息RADIUS不支持字符模式的認(rèn)證（TACACS+才支持字符模式的認(rèn)證RADIUS的統(tǒng)計(jì) 使用共 KEY加密密碼信息（只加密密碼信息RADIUS不支持字符模式的認(rèn)證（TACACS+才支持字符模式的認(rèn)證RADIUS的統(tǒng)計(jì) TACACS+是basic（基本 RADIUSRADIUS第一步：userAAAserver發(fā)送access-第三步：AAAserver回復(fù)access-accept或者access-IPRADIUS RADIUSserver發(fā)送accounting-第三步：server回復(fù)accounting- R1：ConfigtHosR1Inte0/0IpaddNoAaanew-AaaauthenticationloginnoconAaaauthenticationloginvtygrouptacacs+Lineconsole0Linevty04Tacacs-serverhost8keyciaco123AaaauthorizationexecnoconnoneAaaauthorizationexecvtygroupLineconsole0Linevty04AuthorizationexecvtyAaaauthorizationcommand1noconnoneAaaauthorizationcommand5noconAaaauthorizationcommand1vtygroupAaaauthorizationcommand5vtygroupAaaauthorizationcommand5vtygrouptacacs+Lineconsole0Authorizationcommand1noconAuthorizationcommand5noconLinevty04Authorizationcommand1vtyAuthorizationcommand5vtyAaaauthorizationconfig-commandsPrivilegeexeclevel5writeterminalPrivilegeexeclevel5configterminalPrivilegeconfigurelevel5(privilegeconfigurealllevel5routerAaaaccountingexecnoconnoneAaaaccountingexecvtygrouptacacs+Lineconsole0Linevty04AccountingexecvtyAaaaccountingcommand0noconAaaaccountingcommand1noconnoneAaaaccountingcommand5nocon)Aaaaccountingcommand0vtystart-stopgrouptacacs+Aaaaccountingcommand1vtystart-stopgrouptacacs+Aaaaccountingcommand5vtystart-stopgrouptacacs+Lineconsole0Accountingcommand0noconAccountingcommand1noconAccountingcommand5noconLinevty04Accountingcommand0vtyAccountingcommand1vtyAccountingcommand5vtyaaaauthorizationcommand1aaaauthorizationcommand1vtygroup設(shè)置級(jí) 1的命令需要授權(quán)，要為級(jí)1是有showarpshowiproute;showipint等15即使沒(méi) 授權(quán)使用這些1Privilegeconfigurelevel5router(privilegeconfigurealllevel5router5routeraaaauthorizationconfig-那么級(jí) 5的用戶就能在配置 router命令（routerospfall5 routerriprouterrip5routeraaaauthorizationconfig-那么級(jí) 5的用戶就能在配置 router命令（routerospfall5 routerriprouterrip上allACSACSAaaaccountingcommand0noconnoneAaaaccountingcommand1noconAaaaccountingcommand0vtystart-stopgroupAaaaccountingcommand1vtystart-stopgroup0和級(jí)別1比如quit,exit001，所以我們也得開(kāi)級(jí)100ACS上授 exit.quit權(quán)限，那么我們?cè)诼酚善魃贤硕纪瞬籩xit或者quit命令）0授權(quán)（0的命令326 課堂筆SPAP（auth-proxy） 和APDACL 只能對(duì)到達(dá)路由器， AP APweb第一步：user在瀏覽器上輸入webip地址E0/0口，路由http會(huì)話，彈出一個(gè)對(duì)話框（應(yīng)用層彈出第三步：userAAAweb第一步：user在瀏覽器上輸入webip地址E0/0口，路由http會(huì)話，彈出一個(gè)對(duì)話框（應(yīng)用層彈出第三步：userAAA第五步：AAAserver返回認(rèn)證通過(guò)或者失敗消息給路由 （還有相應(yīng)權(quán)限）——將一文件download ACL之前e0/0接口（其實(shí)就是一ACLe0/0接web服務(wù)器；（認(rèn)證失?。﹗serAP首先截 然后把用戶名和密碼拿AAAAAAserverserverprofile文件（權(quán)限），ACLdownload注意：AAAserver會(huì)下載一 profile文件（一ACLACL條目）文件download到路由器。（priv-lvl=1515AAAserver才可以 APHTTPS(12.4后)注意：APFTP，23端口的80端口 HTTP，443端口HTTPS，21APAPDOSHTTPIPIP地址丟進(jìn)黑名單（IP的服務(wù)請(qǐng)求APAPAPDOSHTTPIPIP地址丟進(jìn)黑名單（IP的服務(wù)請(qǐng)求APAPVPN一起工作，提供額外的認(rèn)證（一般不使用NAT,CBAC一起使用（ AP只能截取標(biāo)準(zhǔn)的流量（AP80端口的HTTPAP實(shí)驗(yàn)：denyipany默認(rèn)，R1的E0/1口和E0/0的ACL08webR1E0/1截取會(huì)話（做APAAAserver（路由器自己產(chǎn)生的流量——允許profile文件） R1，那么現(xiàn)在因的E0/1口的in方向有 denyipanyany，所以路由器的drop掉自來(lái)AAAserverAAAserverAccess-list101pertcphost8eq49hostAccess-list101denyipanyanyIntIpaccess-list101inconfigthsoR1intipaddnoshipaddaccess101pertcphost8eq49hostaccess101denyipanyanyintipaccess101inaaanew-aaaauthenticationlogindefaultgroupaaaauthorizationauth-proxydefaultgroupaaaaccountingauth-proxydefaultstart-stopgrouptacatacacs-serverhost8keycisco123ipauth-proxynameAUTHhttpinte0/1ipauth-proxyaccess10perinte0/0inte0/1ipnatinipnatinsidesoulist10inte0/0overloadaccess102denyipanyanyintipaccess102inipinspectnameCBACtcpalertonaudit-trailipinspectnameCBACudpalertonaudit-trailonipinspectnameCBACicmpalertonaudit-trailoninte0/0ipinspectCBACoutShowipaccess-APipauth-proxynameAUTHhttpinactivity-time10 ipauth-proxynameAUTHhttpabsolute-time10 ipauth-proxyinactivity-time10 Showipaccess-APipauth-proxynameAUTHhttpinactivity-time10 ipauth-proxynameAUTHhttpabsolute-time10 ipauth-proxyinactivity-time10 ipauth-proxyabsolute-time10（全局定義絕對(duì)超時(shí)——所有條目ipauth-proxynameAUTHhttplistaccess100pertcpanyhosteqAPAP接口的httpACL的HTTPAP防DOSIpauth-proxywatch-list開(kāi)啟監(jiān)視列表，當(dāng)一個(gè)IP5把這 IP地址丟到黑名單（鎖的Ipauth-proxymax-login-attemptsIpauth-proxywatch-listexpiry-timeIP30分鐘，30IP的認(rèn)證請(qǐng)求3次IPIP30Ipauth-proxywatch-listadd-tiem3月 27SP ARP ARP如果PC4ARPARP（回復(fù)）說(shuō)：我MAC是IP為0004，那么現(xiàn)第二種：IP如果PC4ARPARP（回復(fù)）說(shuō)：我MAC是IP為0004，那么現(xiàn)第二種：IP為是MAC沒(méi)第三種：MACIPARP是IP Port-securityMAC12到err-disable狀態(tài)（違反操作 5MAC（靜態(tài)綁定項(xiàng)）設(shè)置超時(shí)時(shí)switchportmodeswitchportport-switchportport-securitymaximumswitchportport-securitymac-address0004.0004.0004switchportport-securityviolationshutdownnodynamicMAC地switchportport-securitymaximumswitchportport-securitymac-address0004.0004.0004switchportport-securityviolationshutdownnodynamicMAC地MAC地址到這個(gè)交換機(jī)端MAC不是綁 MAC時(shí)，關(guān)閉此端口（違反操作后，關(guān)閉此Showport- err-disablenoshutdown5120個(gè)MACShowport-securityaddress（Showport-securityinterfaceMAC沒(méi)有時(shí)間限制，動(dòng)態(tài)默認(rèn)300秒改PC4的MACIntNoshShowmac-基于port-security Errdisablerecoverycausesecurity-ErrdisablerecoverycauseerrdisableerrdisableErrdisablerecoveryinterval120（秒120 讓交換機(jī)自動(dòng)綁 MAC地Switchportport-securitySwitchportport-securitymaximumSwitchportport-Switchportport-securityviolationShowport-securityinterfaceMAC綁定在此 IntMAC項(xiàng)開(kāi)啟時(shí)Switchportport-securityagingShowport-securityinterfaceMAC綁定在此 IntMAC項(xiàng)開(kāi)啟時(shí)Switchportport-securityagingSwitchportport-securityagingtypeSwitchportport-securityagingtime 分鐘MAC老化時(shí)間（時(shí)間限制設(shè)置老化時(shí)間類型為空閑超時(shí)或者絕對(duì)超時(shí)（默認(rèn)是絕對(duì)超時(shí)2分鐘（5分鐘 MAC地址并且刪除以前MAC進(jìn)而為其轉(zhuǎn)發(fā)流 MAC進(jìn)而為其轉(zhuǎn)發(fā)流MAC地址的數(shù)據(jù)包時(shí)，進(jìn)errdisabled802.1x（基于端口的認(rèn)證802.1x802.1x認(rèn)證（輸入用戶名和密碼---當(dāng)開(kāi) 802.1X認(rèn)證的交換機(jī)，在端口檢測(cè)到有網(wǎng)卡接入的時(shí)候，交換機(jī)會(huì)想接入該端EAPOL在交換機(jī)認(rèn)證成功之前802.1x）EAPoL（基于局域網(wǎng)的擴(kuò)展認(rèn)證協(xié)議client交換機(jī) AAAserver之間使802.1x（進(jìn)行802.1x認(rèn)證）——client得支持802.1x認(rèn)證服務(wù)器 AAAserver（RADIUS）——802.1x只client交換機(jī) AAAserver之間使802.1x（進(jìn)行802.1x認(rèn)證）——client得支持802.1x認(rèn)證服務(wù)器 AAAserver（RADIUS）——802.1x只 信息傳 AAAserver（對(duì)用戶 AAAserver來(lái)說(shuō)是透明的 AAAserver（由認(rèn)證服務(wù)器做認(rèn)證 EAPOL和EAPOLEAPOL幀中的ethernethead（以太頭部）EAP交換機(jī) EAP幀重新封裝RADIUSEAP格式的數(shù)據(jù)幀AAAserver回復(fù)一 RADIUS格式的數(shù)據(jù)幀給交換RADIUSAAAserver（AAAserverEAPethernethead（以太頭部）802.1xEAPOL（802.1x統(tǒng)來(lái)不及回復(fù)）MAC 特性（基 MAC做認(rèn)證，如果通過(guò)就允許其訪問(wèn)網(wǎng)絡(luò)，如果認(rèn)證失敗，那guestguestvlan802.1xguestvlan 如果用 802.1x認(rèn)證失敗，那么交換機(jī)會(huì)把這個(gè)端口（用戶）丟restricted VLAN（restrictedVLAN 如果AAA 如果用 802.1x認(rèn)證失敗，那么交換機(jī)會(huì)把這個(gè)端口（用戶）丟restricted VLAN（restrictedVLAN 如果AAA 掛掉后，如果交換機(jī)開(kāi)啟inaccessibleauthenticationbypass802.1x802.1x802.1x開(kāi)啟 macauthenticationbypass的特性，如果開(kāi)啟了，就用用戶MAC做認(rèn)證認(rèn)證失guest authenticationbypassguestvlan802.1x802.1x認(rèn)證（802.1x認(rèn)證如果AAAserverVLAN） inaccessibleauthenticationbypass802.1x3月31日SP 802.1xguest Guest 當(dāng)交換 802.1x認(rèn)證超時(shí)后（客戶端不支guestVLANguestVLANMACauthentication802.1x3月31日SP 802.1xguest Guest 當(dāng)交換 802.1x認(rèn)證超時(shí)后（客戶端不支guestVLANguestVLANMACauthentication 特性tMAC地址）得到用MAC，然后 MAC封裝 guestVLANGuest 提供802.1x客戶端的下載（guest guest注意：RSPANVLANVOICERestricted （限制VLAN當(dāng)用戶認(rèn)證失敗時(shí)（用戶名和密碼輸入錯(cuò)誤多次VLAN VLAN（VLAN##每隔60（交換機(jī)喚醒功能InaccessibleauthenticationAAA當(dāng)交換機(jī)與（ 服務(wù)器的回復(fù)802.1xAV 指示的是重認(rèn)證期間的一個(gè)動(dòng)作default或者是RADIUS-request用該命令()dot1xre-authenticationinterface802.1xDot1x （開(kāi)啟接口重認(rèn)證Dot1xtimeoutreauth-periodic 用該命令()dot1xre-authenticationinterface802.1xDot1x （開(kāi)啟接口重認(rèn)證Dot1xtimeoutreauth-periodic （設(shè)置重認(rèn)證周期時(shí)間802.1x802.1x認(rèn)證（upport-controlautoPC連上后（EAPrequest/identity消息提示用戶認(rèn)證。 電源一通電，PC，然后發(fā)EAPrequest/identity802.1XEAPrequest/identityPC802.1x開(kāi)始802.1xEAPEAPstart802.1xMACauthentication 特性3次）EAP802.1xMACauthentication 特性3次）EAPMAC地址認(rèn)MAC地址，封 RADIUS第三步：RADIUS 返回消息指示認(rèn)證是否成VLAN失敗丟 ethernetpacketMACethernetpacketEAPOLstart802.1x 非授權(quán)狀態(tài)：開(kāi)啟交換機(jī)端口802.1xEAPOLCDP，STPvoicevoice VOIP通過(guò)，因?yàn)殡娫捄蛡髡鏅C(jī)時(shí)不能做認(rèn)證的 授權(quán)狀態(tài)：當(dāng)用戶通 802.1x 非授權(quán)狀態(tài)：開(kāi)啟交換機(jī)端口802.1xEAPOLCDP，STPvoicevoice VOIP通過(guò)，因?yàn)殡娫捄蛡髡鏅C(jī)時(shí)不能做認(rèn)證的 授權(quán)狀態(tài)：當(dāng)用戶通 802.1x認(rèn)證的時(shí)，端口由非授權(quán)狀態(tài)轉(zhuǎn)換為授權(quán)狀態(tài) 802.1x802.1x 802.1xEAP-start請(qǐng)求交換機(jī)做認(rèn)證的時(shí)候（數(shù)次802.1xrequest/identity消息802.1x認(rèn)證時(shí)（dot1xport-control?force force auto，開(kāi)啟 802.1x認(rèn)證，端口默認(rèn)處在非授權(quán)狀態(tài)，只允EAPOL,，CDP，STPEAPOL DOWN變?yōu)镋APOLstart802.1x1.single-host單主機(jī)模式，只能連一個(gè)客戶端 客戶端離開(kāi)后，端口馬上變?yōu)榉鞘跈?quán)狀（MAC地址2.multiple- 到指定 AV中（根據(jù)用戶名81 到指定 AV中（根據(jù)用戶名81 tunnel-medium-type=IEEEtunnel-private-groupID=VLANnameVLAN上圖是ACS29terminationactionRADIUS-request64tunnel-type 65tunnel-medium-type802：指定協(xié)議類型IETF—— ：指定 名稱（該丟到哪VLAN——名稱802.1xAAAconsoleAAAconsoleConfigtHosSWIntvlanIpaddNoIPAaanew-Aaaauthenticationloginnocon （console口不需要認(rèn)證Lineconsole0Aaaauthenticationdot1xdefaultgroupradiusAaaauthorizationnetworkdefaultgroupradiusACS添加一 AAAADDADD點(diǎn)擊點(diǎn)擊AVpairs是我們后面要用到的29terminationactionRADIUS-request64tunnel-typeVLAN29terminationactionRADIUS-request64tunnel-typeVLAN 65tunnel-medium-type802：指定協(xié)議類型IETF—— ：指定名稱（VLAN——名稱為VLAN VLAN 現(xiàn)在ACS 并開(kāi)啟802.1x2name34Configdot1xsystem-auth- 交換機(jī)全局開(kāi)intswitchportmodeaccess802.1x802.1x時(shí)會(huì)報(bào)錯(cuò)dot1xport-control 接口開(kāi)802.1xdot1xguest-vlandot1xauth-failvlan指定guest 為VLAN指定限 為VLANdot1xguest-vlandot1xauth-failvlan指定guest 為VLAN指定限 為VLAN 3（用戶名或者密 然后丟限 dot1xre-reqdot1xre-auth-req3no3個(gè)EAPrequest/identity802.1x3個(gè)EAPrequest/identity4月1日SPIDS/IPS（IOS安全I(xiàn)DSIDSintrusionpreventionsystemIDSIPS 4.0及以前都軟件版 5.0及以后都IDS與IPSIDS工作在混雜模式（離線模式IPS工作在inline模式（在線模式IDSIDS，讓IDS分析（把交換機(jī)IDS有兩種接口：監(jiān)控 管理 SPAN，把外網(wǎng)到內(nèi)網(wǎng)的流一份到3號(hào)口copy1當(dāng)IDSACL注意：IDSIDSIDSSPAN分當(dāng)IDSACL注意：IDSIDSIDSSPAN分 普通SPAN VSPAN RSPAN 普通ConfiguretMonitorsession1sourceinterfaceMonitorsession1destinationinterface2個(gè)SPANSPAN很消耗交換機(jī)的性 接收的流量 tx發(fā)送的流量both接收和發(fā)送的流量（fa0/1copy一份給ConfigureMonitorsession1sourcevlan2Monitorsession1destinationinterface將VLANcopy一份到VSPAN的時(shí)候，鏡像流 只能copycopySW1Monitorsession1sourceinterfacefa0/1 SW1Monitorsession1sourceinterfacefa0/1 （做RSPAN，最好鏡像接收的流量Monitorsession1destinationremotevlan99reflect-portRSPAN流量的VLAN99（IOS要輸入反射端口，Vlan 現(xiàn)在 IOS已經(jīng)不用輸VLAN99Remote-span（指明 RSPAN流量的SW2trunkSW3Monitorsession1sourceremotevlanMonitorsession1destinationinterfa