CCNA基础知识汇总.docx
《CCNA基础知识汇总.docx》由会员分享,可在线阅读,更多相关《CCNA基础知识汇总.docx(42页珍藏版)》请在冰豆网上搜索。
CCNA基础知识汇总
ACL:
访问控制列表:
配置在路由器接口上的一组策略,根据数据包中的3层或4层信息,用来实现对数据包的访问控制:
列表分为标准列表和扩展列表:
标准访问控制列表:
只根据3层信息去判断,而且只能依据源IP地址去屏蔽。
标准列表的定义:
R3(config)#ipaccess-liststandard1(1-99标准列表的标号)
R3(config-std-nacl)#deny192.168.1.00.0.0.255
R3(config-std-nacl)#permit192.168.2.00.0.0.255
R3(config-std-nacl)#permitany
等等,先定义出列表,然后定义策略。
deny拒绝,permit允许。
标准列表只基于原地址:
可以是ip或是一段网络,同样适用反向掩码来匹配。
匹配过程:
从第一列开始匹配,顺次往下,匹配到任何一条都按照这条的规则执行,而不会继续往下在匹配了。
最有有一条是隐士默认拒绝一切的。
标准列表的放置位置:
一般放置在离目的地最近的地方。
将列表应用到接口上:
R3(config-if)#ipaccess-group1out1代表列表的标号:
扩展访问列表的定义:
可以根据3、4层的信息,遵循的协议以及协议传输端口进行数据屏蔽。
扩展列表既考虑源,也考虑目的。
R3#showipaccess-lists查看定义的列表。
扩展列表的定义:
R1(config)#ipaccess-listextended100100是列表的标号(100-199)
R1(config-ext-nacl)#denytcp192.168.1.00.0.0.255host192.168.5.2eq80
阻止tcp传输,源地址为192.168.1.0网络,目的地址为192.168.5.2的目的端口等于80的数据包通过。
同样,默认隐式拒绝一切:
禁止的是ip协议。
R1(config-ext-nacl)#permitipanyany允许所有ip协议通过。
扩展列表一般定义在离源最近的|地方|
icmp:
en
configt
linecon0
loggsyn
nodomain-lookup
exec-t00
hostR
策略路由:
nat:
en
conft
noipdomain-lookup
linecon0
loggsyn
exec-t00
hostR
ACL:
访问控制列表可以认为是路由器上的防火墙。
防火墙,通过对穿越的数据包进行检查,允许符合规则的数据包通过,拒绝非法的数据包通过,从而保障内网的安全。
1、ACL只对穿越的数据包有效。
2、ACL的转发优先级要高于路由表。
3、ACL是应用在接口上的。
ACL如何检查数据包
ACL可以读取数据包的IP包头和TCP/UDP包头,三层和四层的包头。
ACL可以对数据的源地址和目的地址,以及源端口和目标端口进行检查。
ACL存在默认的规则:
拒绝所有,所以在创建列表的时候最后一定要加上允许的规则。
ACL按照顺序进行匹配,通常将严格的规则写在前面。
标准访问控制列表
只检查数据包的源地址
编号:
1~99
写法1:
r1(config)#access-list1permitany
r1(config)#access-list1deny1.1.1.10.0.0.0//拒绝所有源为1.1.1.1的通讯
r1(config)#access-list1denyhost1.1.1.1//同上(host可以指定主机)
如果是网段
r1(config)#access-list1deny1.1.1.00.0.0.255//拒绝所有源为1.1.1.1的通讯
ACL应用到接口上
r1(config-if)#ints0/0
r1(config-if)#ipaccess-group1in//将ACL1应用在s0/0的in流入方向。
标准的ACL一般应用在离目的地址近的接口上。
这个接口往往是出接口
写法2:
r2(config)#ipaccess-liststandard1
r2(config-std-nacl)#permitany
r2(config-std-nacl)#deny1.1.1.10.0.0.0
扩展访问控制列表
检查数据包的源地址、目的地址、协议类型、端口号
编号:
100~199
写法1:
r2(config)#access-list100permitipanyany//允许所有IP通讯(any可以代表所有网段)
r2(config)#access-list100denyicmphost1.1.1.14.4.4.00.0.0.255//拒绝源地址为1.1.1.1的目的地址为4.4.4.0255.255.255.0网段的icmp数据包
r2(config)#access-list100denyicmp192.168.1.00.0.0.2554.4.4.00.0.0.255
拒绝源地址为192.168.1.0网段,目标地址为4.4.4.0网段的icmp数据包
写法2:
r2(config)#ipaccess-listextended100
r2(config-ext-nacl)#denytcp1.1.1.00.0.0.2554.4.4.00.0.0.255eq80
r2(config-ext-nacl)#denytcp192.168.1.00.0.0.2554.4.4.00.0.0.255eq80
//拒绝基于TCP连接的80端口的源地址为1.1.1.0和192.168.1.0,目的地址为4.4.4.0的所有数据包。
如果列表如下
r2#showipaccess-lists
ExtendedIPaccesslist100
20denyicmphost1.1.1.14.4.4.00.0.0.255(11matches)
30denyicmp192.168.1.00.0.0.2554.4.4.00.0.0.255(11matches)
40permitipanyany(106matches)
50denytcp1.1.1.00.0.0.2554.4.4.00.0.0.255eqwww
60denytcp192.168.1.00.0.0.2554.4.4.00.0.0.255eqwww
要去掉其中的规则
r2(config)#ipaccess-listextended100
r2(config-ext-nacl)#no50
r2(config-ext-nacl)#no60//去掉50和60两条规则
插入规则,编号为10(只能在扩展的ACL中应用)
r2(config)#ipaccess-listextended100
r2(config-ext-nacl)#10denytcp1.1.1.00.0.0.2554.4.4.00.0.0.255eqwww
r1#showipaccess-lists//查看列表信息
r2#showaccess-lists
总结
标准的ACL,语法结构
写法1:
r1(config)#access-list1deny1.1.1.10.0.0.0
ACL的编号动作IP地址或网段通配符掩码(反掩码)
写法2:
r2(config)#ipaccess-liststandard1//增加编号为1的ACL并进入ACL编辑模式,进行输入
r2(config-std-nacl)#permitany
r2(config-std-nacl)#deny1.1.1.10.0.0.0
动作IP地址或网段通配符掩码
扩展的访问控制列表,语法结构
r2(config)#access-list100denyicmphost1.1.1.14.4.4.00.0.0.255
ACL的编号动作协议源地址或网段(反掩码)目标地址或网段
写法2:
r2(config)#ipaccess-listextended100//增加编号为100的ACL并进入ACL编辑模式,进行输入
r2(config-ext-nacl)#denytcp1.1.1.00.0.0.2554.4.4.00.0.0.255eq80
动作协议源地址或网段目标地址或网段端口等于端口号
r2(config-ext-nacl)#10denytcp1.1.1.00.0.0.2554.4.4.00.0.0.255eqwww
规则编号动作协议端口号或服务
注意:
对于一个接口的一个方向只能应用1个ACL
在ACL中,你输入列表条目的顺序就是IOS测试的顺序。
(扩展的可以指定编号进行插入)
记住:
把最严格的条目写在最上面,并且注意好判断语句之间的逻辑顺序,防止出错。
ACL的最后一行语句默认是拒绝所有,此条目并不显示,所以要非常注意。
你要根据实际情况,添加相应的
允许(permit)语句。
cisco访问vpn配置步骤:
1、配置第一阶段协商策略,IKE策略
VPN(config)#cryptoisakmppolicy1--设置ipsec密钥交换IKE的isakmp策略
VPN(config-isakmp)#encryption3des--设置加密算法
VPN(config-isakmp)#hashmd5--md5计算hash
VPN(config-isakmp)#authenticationpre-share--认证采用与共享密钥
VPN(config-isakmp)#group2--设置dh算法的组,和dh算法相关
2、配置IKE客户端配置组参数,其中clientgroup是自己定义的任意命名
VPN(config)#cryptoisakmpclientconfigurationgroupclientgroup--设置组名,客户拨入的用户名
VPN(config-isakmp-group)#key123456--设置用户的拨入密码
VPN(config-isakmp-group)#poolippool--地址由地址池分配
3、配置IPSEC转换集,供下面的动态影射模板调用
VPN(config)#cryptoipsectransform-setipsectransesp-3desesp-md5-hmac
名称为ipsectrans
4、配置动态影射模板,并调用IPSEC转换集
VPN(config)#cryptodynamic-mapdynamicmap1定义动态映射模板,名称为dynamicmap。
VPN(config-crypto-map)#settransform-setipsectrans设置转换集,并调用上面定义的集ipsectrans
5、配置真实的加密影射,并关联IKE的授权列表,响应客户段地址请求
VPN(config)#cryptomapactmapisakmpauthorizationlistclientgroup--定义atcmap,匹配前面定义的客户端的组名clientgroup
VPN(config)#cryptomapactmapclientconfigurationaddressrespond--定义actmap,响应客户端的地址请求。
6、调用动态影射模板
VPN(config)#cryptomapactmap1ipsec-isakmpdynamicdynamicmap
7、VPN(config)#intf0/0
VPN(config-if)#cryptomapactmap
8、定义本地地址池
VPN(config)#iplocalpoolippool192.168.1.1192.168.1.254
9、设置路由
VPN(config)#iproute0.0.0.00.0.0.0f0/0
客户端借助软件连接访问即可。
1、配置IKE
Router(config)#cryptoisakmpenable
Router(config)#cryptoisakmppolicy1
Router(config-isakmp)#authenticationpre-share
Router(config-isakmp)#encryptiondes
Router(config-isakmp)#group1
Router(config-isakmp)#hashmd5
Router(config-isakmp)#lifetime86400
Router(config)#cryptoisakmpidentityaddress定义联系对端的方式,使用地址
Router(config)#cryptoisakmpkey0ciscoaddress201.0.0.1设置共享的密钥和对端ip
2、配置IPsec
Router(config)#cryptoipsectransform-setbjsetesp-desesp-md5-hmac定义转换集bjset
Router(config)#cryptoipsecsecurity-associationlifetimeseconds2700定义ipsecsa生存时间
Router(config)#access-list100permit192.168.1.00.0.0.255192.168.2.00.0.0.255./定义感兴趣的数据流
Router(config)#cryptomapbjmap1ipsec-isakmp定义cryptomap,名称为bjmap
Router(config-crypto-map)#setpeer201.0.0.1
Router(config-crypto-map)#settransform-setbjset匹配转换集
Router(config-crypto-map)#matchaddress100匹配列表100
3、应用接口
Router(config)#ints0/0
Router(config-if)#cryptomapbjmap
什么是IPSec
IPSec作用于网络层,用来保护数据和认证IP数据包
1、开放的标准架构:
独立于算法,
2、提供数据的机密性(confidentiality)、完整性(integrity)、源认证(originauthentication)、反回放保护(anti-replayprotection)
机密性:
加密密钥(key):
对称和非对称
对称特征:
抵挡加密算法的攻击:
算法的时代性
可变长的密钥长度和可预测性
雪崩效应:
如果数据被改变将产生很大的变化
密钥交换(DHKeyExchange):
可以在公众网络交换密钥
非对称:
公钥和私钥
RSA加密
加密算法:
DES、3DES、AES、RSA
两者比较:
对称:
加密速度快(线速),适合大数据块加密
密钥管理问题
需很少的硬件协助
非对称:
往往要硬件支持
完整性:
Hash算法:
单向功能
固定长度的摘要(指纹)
雪崩效应
HMAC算法:
不可抵挡中间人攻击
SHA-1:
160bit
MD5:
128bit
源认证(Peerauth):
Pre-sharedkeys:
Hash(key+ID)=Hash1(key+ID)
RSAsignatures:
Privatekey[Hash(key+ID)]
RSA、DSA
数据认证、数据完整性、交易的不可否定性
RSAencryptednonces(随机数):
尾随
IPSec安全协议
AH(authenticationheader):
51
认证:
对源认证
完整性:
对整个数据做完整性包括IP头
不提供数据的加密、提供反回放保护(加数据报的序列号)
hash(IPheader+data+key)结果插入IP包字段AH(24byte)
ESP(EncapsulatingSecurityPayload):
50
加密
认证
完整性:
仅对Payload部分做完整性
反回放保护
传输模式(transportmode):
不修改IPheader
隧道模式(Tunnelmode):
修改IPheader
IPSec结构
协议:
ESP、AH、ESP+AH
加密:
DES、3DES、AES
认证:
MD5、SHA
DH:
DH1(768bit)、DH2(1024bit)
IPSecSA(SecurityAssociations):
搜集必要的信息告诉对方以什么样的机制发送和接受数据包,包括使用ESP还是AH、MD5、和对端IP地址等。
创建SA的两种方式:
手动指定所有SA参数
动态协商(IKE):
自动完成整个密钥交换过程
1、认证对端
2、产生和刷新密钥
3、协商SA
4、“对称”策略
5、提供PFS功能:
lifetime时间到时重新生成Key,与上一个Key没有推导性(关联性)
IKE方式IPSec
1、定义感兴趣的流量触发IPSec连接,
2、协商IKESA建立安全通道、交换密钥(DHexchange)、验证对端ID(IP地址或FQDN)
3、协商IPSecSA:
IPSec变换集(transformsets)
4、传输IPSec数据
5、终止:
lifetimetimeout或counterexceeded
配置IKE
Router(config)#(no)cryptoisakmpenable/启用IKE
Router(config)#cryptoisakmppolicy(优先级)/创建IKE策略
Router(config-isakmp)#authenticationpre-shared
Router(config-isakmp)#encriptiondes
Router(config-isakmp)#group1/2
Router(config-isakmp)#hashMD5
Router(config-isakmp)#lifetime86400
Router(config)#cryptoisakmpid[add]/定义联系对端的方式,可省略
Router(config)#cryptoisakmpkey[key]add[add]/定义预共享密钥
Router#shcryptoisakmppolicy
配置IPSec
Router(config)#cryptoipsectransform-set[name][transforms]/定义变换集,协商
Router(config)#cryptoipsecsecurity-associationlifetimekelobyteXXX/定义协商lifetime
Router(config)#access-list100permitip.../定义感兴趣的数据流
Router(config)#cryptomap[map-name][seq-num]ipsec-isakmp/定义cryptomap
Router(config-crypto-map)#matchaddress100
Router(config-crypto-map)#setpeer[add]
Router(config-crypto-map)#setpfsgroup1
Router(config-crypto-map)#settransform-setXXX
Router(config-crypto-map)#setsecurity-associationlifetime86400
启用IPSsec
Router(config)#inte0/1/出站接口
Router(config-if)#cryptomap[map-name]
测试和校验IPSec
shcryptomap
shcryptoisakmppolicy
shcryptoipsecsa
shcryptoipsectransform-set
shcryptoengineconnectionsactive
debugcrytoipsec
debugcrytoisakmp
en
conft
noipdomain-lookup
linecon0
loggsyn
exec-t00
hostR
NAT网络地址转换
为什么要用NAT?
1、IPv4即将耗尽,NAT可以解决地址不够用的问题。
2、NAT可以使局域网(私网)计算机连入Internet。
3、保障局域网机器的安全。
在公网中没有去往私网的路由。
pc1访问
去的时候修改的源地址
pc1上的数据包
源地址192.168.1.3目的地址192.1.1.2
经过路由器nat之后
源地址219.1.1.1目的地址192.1.1.2
回来的时候修改是目的地址
的数据包
源地址192.1.1.2目的地址219.1.1.1
经过nat之后
源地址192.1.1.2目的地址192.168.1.3
nat实验
1、为路由器配置缺省路由
huayu_nat(config)#iproute0.0.0.00.0.0.0219.1.1.2
nat的分类
huayu_nat#showipnattranslations//查看nat的映射信息
huayu_nat#clearipnattranslation*//清空映射缓存
定义访问外部数据的入口(私网接口)
huayu_nat(config)#intf1/0
huayu_nat(config-if)#ipnatinside
定义访问外部数据的出口(公网接口)
huayu_nat(config)#ints0/0
huayu_nat(config-if)#ipnatoutside
1、静态nat(一对一)
huayu_nat(config)#ipnatinsidesourcestatic192.168.1.2219.1.1.1
huayu_nat(config)#ipnatinsidesourcestatic192.168.1.3219.1.1.3
1个公网地址只能对应单个内网机器,多台机器上网需要多个公网IP,所以静态nat不被经常使用
2、动态nat(多对多)
几
(2)个公网IP