CCNA-security笔记

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

CCNASECURITY笔记A)命令级别:a).Privilegeexeclevel1clearline*privilegeconfigurealllevel5router”all”就是把全局配置模式下的router这个命令下面的所有命令给于5级别。如果不加all,则只有router后面的命令在5级别可以使用。意思是把原来exec下面的【包括#和下面的,不论是原来是什么级别的命令clearline*】移动到1级别去。将高级别的命令放到级别的时候也要有先后顺序的:比如:你要把router这个命令放到level1下面去,但是你没有把configureterminal放过去,你是看不到router命令的。因为路由器觉得router是在全名模式下的命令,你必须要进入全局模式下才可以敲入router.如下图:R1(config)routerR1(config)routeros1R1(config-router)network192.168.1.10.0.0.0a0虽然进入到全名模式也是这个符号,但是也要进入这种全局模式。才有router命令。b).View命令集:将命令做成一集合,然后授权给某个用户使用。控制力度更强。则此用户只能使用此命令集中的命令。Rootview比15级别更强Aaanew-modeEablesecretwang/enblepasswang配置进入到rootview下面的密码Rootview可以创建删除VIEW,但是15级别不可以。Enableview(进入rootview)Parserviewyuan(创建一个view)Secretyeslabccies配置yuan这个子view下面的密码Commandsexecincludeshowversion使用本地数据库绑定VIEW先去掉aaanew-model只是为了演示,其实一般都是用AAA做VIEW的授权UseryuanpasswordyuanUseryuanviewyuanB)CISCO路由器的加密级别0,5,6,70是不加密5是MD56是在做VPN的时候加密的6:keyconfig-keypassword-encryptwang1245passworencryptionaescryptiskmapkey0yuanadd192.168.1.1最后变成:cryptoisakmpkey6ZFSN\VVKfdcf\cBKKBLZWDgVXGDaddress192.168.1.17是开启了servicepassword-encrytionC)chatper认证不能够使用enablesecret加密1.securitypasswordsmin-length2.noservicepassword-recovery【让你无法找回running-config】就是让用户在重启的时候无法进入ROMMON下面中破解密码。3.priviligeexeclevel1clearline在ISR路由器上面有效保护IOS和configure的安全。secureboot-image[加密保护隐藏IOS]secureboot-config【加密备份配置】只有CONSOLE进入才可以no掉。6.loginblock-for10sattempt10within10s(10S内联系登入10次,在10S内谁都不可以登入了)loginon-failurelogevery10(log和trap的区别,貌似有LOG就不可以有TRAP)logindelay2loginquiet-modeaccess-classadmin(由于第一句话在10S内谁都不可以登入了,将管理员IP地址例外)ipaccess-liststandardadminpermit192.1681.1permit192.168.1.00.0.0.2558.rommonbootIOSrouter#secureboot-configrestoreflash:/secure.cfgrouter#copyflash:/secure.cfgrunning-config9.console口默认是nologin的10.在做8O21.X和AUTH-PROXY只能使用AAAauthenticationdefaultgroupradius,不能使用命名的策略。11.tcp的小服务(servicetcp-small),可以做TCP的PING,对方时间回显,字符回来等,客户端踢掉ctrl+shift+6,x.服务器端踢掉cleartcptcb回话号(showtcpbrife)。12.主机算不算是有路由能力的设备。routeprint可以看见主机的路由表,但是不设置网关也可以上网。对于主机,如果网关的代理ARP关闭了,而且又不配网关,那么主机去往任何的非同以网段的IP地址的时候,将不会发送任何ARP请求。如果配置了网关那么将向网关请求ARP请求。配置网关设备关闭代理ARP的时候上不了网。如果网关设备开启了代理ARP的时候,那么配不配网关都无所谓,但是像家用的一些路由器是关闭了代理ARP功能的。13.IP选项源站路由,路由器默认是打开的。可以通过PING测试,可以自己填写下一条来指引数据包的流向。而且源站路由如果你知道一个做了PAT的站点的外网地址,你可以穿越PAT到达这个站点的内网地址。在你写了下一条任何路由器上面关闭的ipsource-route那么目的地将无法到达。14.servicefinger在开启的时候,可以远程telnet192.168.1.1finger等于在192.168.1.1上面showuser.15.ICMPUreachable只是在路由器发给一个地址,而下一条的地址不知道的情况下,发给自己的。如果是下下一条不知道那么自己将收不到这个Ureachable的。一般可以在边界的接口上面取消这种告警。16.terminalmonitor17.logginbuffered是将相关的告警信息保存一份到本地的内存中。可以通过showlogging查看出来。18.syslog服务器:loggingtrap消息登记logginhost192.168.1.1loggingbuffered+日志缓存区大小。19.snmp的三个组建:agenet:就是运行了agent的设备。management:server:安装了SNMP软件的PC。MIB:关于设备上面的信息数据库。mangent\server可以通过162端口getagent上面的信息。mangentment\server可以通过162setagent上面的相关参数。angent可以通过161端口在有信息的时候主动发送trap消息给server.配置:设置get/set的参数:snmpcommunityyuanro/rw(get/set设置读和写时候的关键字信息)snmp-serverhost192.168.1.1GW(在V2中是关键信息和community一样,但是在V3就是用来加密的PASSWORD)snmp-serverenabletraps20.ssh配置:ipdomainnameyuan.com,cryptokeygenratersa,linevty04,loginlocal,transportinputsshsshv2的密钥长度必须大于768长度,cryptokeygenratersamodulus1024sh21.NTP端口是UDP123,NTP在SYSLOG和PKI中非常重要。配置:clocktimezoneGMT+8clockset16:33:333jun2012ntpauthentication-key1md5120010161C7ntpauthenticatentptrusted-key1ntpmaster(服务器的配置)ntp服务器有一个特性就是它必须先自己同步自己,然后给其他设备同步。所有如果设置了NTP的ACL的话,要放开自己ntpaccess-groupserver127.0.0.1和其他向它同步的设备的IP地址。客户端配置:clocktimezoneGMT+8ntpserver192.168.1.1key1ntpauthentication-key1md5120010161C7ntpauthenticatentptrusted-key122.CAM表,就是交换机端口和本端口学习到的MAC地址的映射。常见的MAC地址攻击,就是:MAC地址防洪,MAC地址欺骗。解决方案:1.PORT-SECURITY:遵行的原则是:默认一个端口就只能有一个MAC地址存在,一个VLAN下的两个端口不能学习到同一个MAC地址。23.STP保护:ROOTGUARD:在端口下面开启,这个端口还是可以连接交换机,接的交换机也可以参与STP的选举,但是你不能选取成为ROOT,如果你成为ROOT,那么这个接口将成为一种生成树不连续状态和SHUTDOWN差不多。1.BPDUGUARD:接口下面只能接PC,如果收到BPDU的包端口将立刻SHUTDOWN。2.BPDUFILETER:如果是在全局启用,那么只对开启了PORTFAST和AUTOAGE端口生效,并且不发送任何的BUDU给下联的设备。如果从下联的设备接受了BPUD,那么PORTFAST和BPUDFILTER的特性将失效,端口将重新进入STP运算状态。如果是在某一个接口下面启用BPUDFITLER和PORTFAST那么这几接口将不发也不收任何的BPUD。但这可能会出现环路。所以BPDUFILTER和PORTFAST连用的时候说明你的接口下面一定要接主机,如果接的是交换机那么发送的BPDU在开启了FILTER接口被干掉了可能出现环路哦。比如:下图:在A,B口都启用了PORTFAST和BPDUFILTER,那么这个肯定是有环路的。3.在SPANNING-TREEPORTFAST口的接口收到任何的BUDU那么这个接口的这个一特性将丢失,重新进行STP的运算,所以开启这个特征的设备一般和BPDUFILTER接口使用。24.DHCP保护。IPDHCPSNOOPING.ipdhcpsnooping全局启用(总开关)【让交换机有智能的功能识别DHCP包,而不仅仅是基于MAC地址转发帧】ipdhcpsnoopingvlan2基于VLAN启用DHCP防护intf0/1(接DHCP服务器的接口是信任的)不信任的接口是不可以发送任何的OFFER,ACK的。ipdhcpsnoopingtrustintf0/2(接客户端的接口是不信任的)而且要限制DHCP的速度。ipdhcpsnoopinglimitrate100端口下面每秒钟只能发送一个100DHCP的包。25.ARP保护.这个是在有IPDHCPSNOOPING映射表之前的。iparpinspectionvlan2intf0/1iparpinspectiontrust,信任上连接口为TRUST。ARP是IP和MAC的对应。CAM是端口和MAC的对应。所以ARP是欺骗的是主机,CAM表欺骗的是交换机。26.SPAN:monitorsession1sourceint[vlan]f0/1+[方向]monitorsession1destinationintf0/227.VLAN-ACL即可控制VLAN之间的,也可以控制同一个VLAN中的流量。但是普通的RACL是不可以控制同一个网段内的流量的。VACL优先于RACL的。ipaccessextentyuanpermittcphost1.1.1.1host1.1.1.2eq23permittcphost1.1.1.2eq23host1.1.1.1切记这里是双向的,因为你不管是发包给其他人,还是回包给其他人都是进入VLAN的。vlanaccess-mapyuan10matchipadd10actionforwardexitvlanfilteryuanvlan-list+[你需要将这个ACL运用到哪里VLAN中]28.二层隔离:当二层隔离后,很多攻击就基本上解决了,比如ARP,DH

1 / 16
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功