CCNA基础知识汇总.docx

1、CCNA基础知识汇总ACL：访问控制列表：配置在路由器接口上的一组策略，根据数据包中的3层或4层信息，用来实现对数据包的访问控制：列表分为标准列表和扩展列表：标准访问控制列表：只根据3层信息去判断，而且只能依据源IP地址去屏蔽。标准列表的定义：R3(config)#ip access-list standard 1 （1-99标准列表的标号）R3(config-std-nacl)#deny 192.168.1.0 0.0.0.255R3(config-std-nacl)#permit 192.168.2.0 0.0.0.255R3(config-std-nacl)#permit any等等，先

2、定义出列表，然后定义策略。deny拒绝，permit允许。标准列表只基于原地址：可以是ip或是一段网络，同样适用反向掩码来匹配。匹配过程：从第一列开始匹配，顺次往下，匹配到任何一条都按照这条的规则执行，而不会继续往下在匹配了。最有有一条是隐士默认拒绝一切的。标准列表的放置位置：一般放置在离目的地最近的地方。将列表应用到接口上：R3(config-if)#ip access-group 1 out 1代表列表的标号：扩展访问列表的定义：可以根据3、4层的信息，遵循的协议以及协议传输端口进行数据屏蔽。扩展列表既考虑源，也考虑目的。R3#show ip access-lists 查看定义的列表。扩展

3、列表的定义：R1(config)#ip access-list extended 100 100是列表的标号（100-199）R1(config-ext-nacl)#deny tcp 192.168.1.0 0.0.0.255 host 192.168.5.2 eq 80阻止tcp传输，源地址为192.168.1.0网络，目的地址为192.168.5.2 的目的端口等于80的数据包通过。同样，默认隐式拒绝一切：禁止的是ip协议。R1(config-ext-nacl)#permit ip any any 允许所有ip协议通过。扩展列表一般定义在离源最近的|地方|icmp：enconfig tli

4、ne con 0logg synno domain-lookupexec-t 0 0 host R策略路由：nat：enconf tno ip domain-lookupline con 0logg synexec-t 0 0 host RACL：访问控制列表 可以认为是路由器上的防火墙。防火墙，通过对穿越的数据包进行检查，允许符合规则的数据包通过，拒绝非法的数据包通过，从而保障内网的安全。1、ACL只对穿越的数据包有效。2、ACL的转发优先级要高于路由表。3、ACL是应用在接口上的。ACL如何检查数据包ACL可以读取数据包的IP包头和TCP/UDP包头，三层和四层的包头。ACL可以对数据的源

5、地址和目的地址，以及源端口和目标端口进行检查。ACL存在默认的规则：拒绝所有，所以在创建列表的时候最后一定要加上允许的规则。ACL按照顺序进行匹配，通常将严格的规则写在前面。标准访问控制列表只检查数据包的源地址编号：199写法1：r1(config)#access-list 1 permit anyr1(config)#access-list 1 deny 1.1.1.1 0.0.0.0 /拒绝所有源为1.1.1.1的通讯r1(config)#access-list 1 deny host 1.1.1.1 /同上（host可以指定主机）如果是网段 r1(config)#access-list

6、1 deny 1.1.1.0 0.0.0.255 /拒绝所有源为1.1.1.1的通讯ACL应用到接口上r1(config-if)#int s0/0 r1(config-if)#ip access-group 1 in /将ACL1应用在s0/0的 in 流入方向。标准的ACL一般应用在离目的地址近的接口上。这个接口往往是出接口写法2：r2(config)#ip access-list standard 1r2(config-std-nacl)#permit anyr2(config-std-nacl)#deny 1.1.1.1 0.0.0.0扩展访问控制列表检查数据包的源地址、目的地址、协议类

7、型、端口号编号：100199写法1： r2(config)#access-list 100 permit ip any any /允许所有IP通讯（any可以代表所有网段）r2(config)#access-list 100 deny icmp host 1.1.1.1 4.4.4.0 0.0.0.255 /拒绝源地址为1.1.1.1的目的地址为4.4.4.0 255.255.255.0 网段的 icmp数据包r2(config)#access-list 100 deny icmp 192.168.1.0 0.0.0.255 4.4.4.0 0.0.0.255拒绝源地址为192.168.1.0

8、网段，目标地址为4.4.4.0网段的icmp数据包写法2：r2(config)#ip access-list extended 100r2(config-ext-nacl)#deny tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 80r2(config-ext-nacl)#deny tcp 192.168.1.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 80/拒绝基于TCP连接的80端口的源地址为1.1.1.0和192.168.1.0，目的地址为4.4.4.0的所有数据包。如果列表如下r2#show ip access-lists

9、Extended IP access list 100 20 deny icmp host 1.1.1.1 4.4.4.0 0.0.0.255 (11 matches) 30 deny icmp 192.168.1.0 0.0.0.255 4.4.4.0 0.0.0.255 (11 matches) 40 permit ip any any (106 matches) 50 deny tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.255 eq www 60 deny tcp 192.168.1.0 0.0.0.255 4.4.4.0 0.0.0.255 eq www要

10、去掉其中的规则r2(config)#ip access-list extended 100r2(config-ext-nacl)#no 50r2(config-ext-nacl)#no 60 /去掉50和60两条规则插入规则，编号为10（只能在扩展的ACL中应用）r2(config)#ip access-list extended 100r2(config-ext-nacl)#10 deny tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.255 eq wwwr1#show ip access-lists /查看列表信息r2#show access-lists 总结标准

11、的ACL，语法结构写法1：r1(config)#access-list 1 deny 1.1.1.1 0.0.0.0 ACL的编号 动作 IP地址或网段 通配符掩码（反掩码）写法2：r2(config)#ip access-list standard 1 /增加编号为1的ACL并进入ACL编辑模式，进行输入r2(config-std-nacl)#permit anyr2(config-std-nacl)#deny 1.1.1.1 0.0.0.0 动作 IP地址或网段 通配符掩码扩展的访问控制列表，语法结构r2(config)#access-list 100 deny icmp host 1.1

12、.1.1 4.4.4.0 0.0.0.255 ACL的编号 动作 协议 源地址或网段（反掩码） 目标地址或网段写法2：r2(config)#ip access-list extended 100 /增加编号为100的ACL并进入ACL编辑模式，进行输入r2(config-ext-nacl)#deny tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.255 eq 80 动作 协议 源地址或网段 目标地址或网段 端口等于 端口号r2(config-ext-nacl)# 10 deny tcp 1.1.1.0 0.0.0.255 4.4.4.0 0.0.0.255 eq ww

13、w 规则编号 动作 协议 端口号或服务注意： 对于一个接口的一个方向只能应用1个ACL在ACL中，你输入列表条目的顺序就是IOS测试的顺序。（扩展的可以指定编号进行插入） 记住：把最严格的条目写在最上面，并且注意好判断语句之间的逻辑顺序，防止出错。ACL的最后一行语句默认是拒绝所有，此条目并不显示，所以要非常注意。你要根据实际情况，添加相应的允许(permit)语句。cisco访问vpn配置步骤：1、配置第一阶段协商策略,IKE策略VPN(config)#crypto isakmp policy 1 -设置ipsec密钥交换IKE的isakmp策略VPN(config-isakmp)#encr

14、yption 3des -设置加密算法VPN(config-isakmp)#hash md5 -md5计算hashVPN(config-isakmp)#authentication pre-share -认证采用与共享密钥VPN(config-isakmp)#group 2 -设置dh算法的组，和dh算法相关2、配置IKE客户端配置组参数,其中clientgroup是自己定义的任意命名VPN(config)#crypto isakmp client configuration group clientgroup-设置组名，客户拨入的用户名VPN(config-isakmp-group)#key

15、 123456 -设置用户的拨入密码VPN(config-isakmp-group)#pool ippool -地址由地址池分配3、配置IPSEC转换集,供下面的动态影射模板调用VPN(config)#crypto ipsec transform-set ipsectrans esp-3des esp-md5-hmac 名称为ipsectrans4、配置动态影射模板,并调用IPSEC转换集VPN(config)#crypto dynamic-map dynamicmap 1 定义动态映射模板，名称为dynamicmap。VPN(config-crypto-map)#set transform-

16、set ipsectrans 设置转换集，并调用上面定义的集ipsectrans5、配置真实的加密影射,并关联IKE的授权列表,响应客户段地址请求 VPN(config)#crypto map actmap isakmp authorization list clientgroup -定义atcmap ，匹配前面定义的客户端的组名clientgroupVPN(config)#crypto map actmap client configuration address respond -定义actmap，响应客户端的地址请求。6、调用动态影射模板VPN(config)#crypto map ac

17、tmap 1 ipsec-isakmp dynamic dynamicmap7、VPN(config)#int f0/0 VPN(config-if)#crypto map actmap8、定义本地地址池 VPN(config)#ip local pool ippool 192.168.1.1 192.168.1.2549、设置路由VPN(config)#ip route 0.0.0.0 0.0.0.0 f0/0客户端借助软件连接访问即可。1、配置IKERouter(config)#crypto isakmp enable Router(config)#crypto isakmp policy

18、 1Router(config-isakmp)#authentication pre-share Router(config-isakmp)#encryption des Router(config-isakmp)#group 1Router(config-isakmp)#hash md5 Router(config-isakmp)#lifetime 86400Router(config)#crypto isakmp identity address 定义联系对端的方式，使用地址Router(config)#crypto isakmp key 0 cisco address 201.0.0.1

19、 设置共享的密钥和对端ip2、配置IPsecRouter(config)#crypto ipsec transform-set bjset esp-des esp-md5-hmac 定义转换集bjsetRouter(config)#crypto ipsec security-association lifetime seconds 2700 定义ipsecsa生存时间Router(config)#access-list 100 permit 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255. /定义感兴趣的数据流Router(config)#crypto

20、map bjmap 1 ipsec-isakmp 定义crypto map ，名称为bjmapRouter(config-crypto-map)#set peer 201.0.0.1Router(config-crypto-map)#set transform-set bjset 匹配转换集Router(config-crypto-map)#match address 100 匹配列表1003、应用接口Router(config)#int s0/0Router(config-if)#crypto map bjmap什么是IPSecIPSec作用于网络层，用来保护数据和认证IP数据包1、开放的标

21、准架构：独立于算法，2、提供数据的机密性(confidentiality)、完整性(integrity)、源认证(origin authentication)、反回放保护(anti-replay protection)机密性：加密密钥(key)：对称和非对称对称特征：抵挡加密算法的攻击：算法的时代性 可变长的密钥长度和可预测性 雪崩效应：如果数据被改变将产生很大的变化密钥交换(DH Key Exchange) :可以在公众网络交换密钥非对称：公钥和私钥RSA加密加密算法：DES、3DES、AES、RSA两者比较：对称：加密速度快（线速），适合大数据块加密 密钥管理问题 需很少的硬件协助非对称：

22、往往要硬件支持完整性：Hash算法：单向功能固定长度的摘要（指纹）雪崩效应HMAC 算法：不可抵挡中间人攻击SHA-1：160bitMD5：128bit源认证(Peer auth)：Pre-shared keys：Hash(key+ID)=Hash1(key+ID)RSA signatures:Private keyHash(key+ID)RSA、DSA数据认证、数据完整性、交易的不可否定性RSA encrypted nonces(随机数):尾随IPSec 安全协议AH(authentication header):51认证：对源认证完整性：对整个数据做完整性包括IP头不提供数据的加密、提供反

23、回放保护（加数据报的序列号）hash(IP header+data+key)结果插入IP包字段AH(24 byte)ESP(Encapsulating Security Payload):50加密认证完整性：仅对Payload部分做完整性反回放保护传输模式(transport mode):不修改IP header隧道模式(Tunnel mode)：修改IP headerIPSec 结构协议：ESP、AH、ESP+AH加密：DES、3DES、AES认证：MD5、SHADH：DH1(768bit)、DH2(1024bit)IPSec SA(Security Associations):搜集必要的信

24、息告诉对方以什么样的机制发送和接受数据包，包括使用ESP还是AH、MD5、和对端IP地址等。创建SA的两种方式：手动指定所有SA参数动态协商(IKE)：自动完成整个密钥交换过程1、认证对端2、产生和刷新密钥3、协商SA4、“对称”策略5、提供PFS功能:lifetime时间到时重新生成Key，与上一个Key没有推导性（关联性）IKE方式IPSec1、定义感兴趣的流量触发IPSec连接，2、协商IKE SA建立安全通道、交换密钥(DH exchange)、验证对端ID(IP地址或FQDN)3、协商IPSec SA：IPSec变换集(transform sets)4、传输IPSec数据 5、终止：

25、lifetime timeout 或 counter exceeded配置IKERouter(config)#(no)crypto isakmp enable /启用IKERouter(config)#crypto isakmp policy （优先级） /创建IKE策略Router(config-isakmp)#authentication pre-sharedRouter(config-isakmp)#encription desRouter(config-isakmp)#group 1/2Router(config-isakmp)#hash MD5Router(config-isakmp

26、)#lifetime 86400Router(config)#crypto isakmp id add /定义联系对端的方式，可省略Router(config)#crypto isakmp key key add add /定义预共享密钥Router#sh crypto isakmp policy配置IPSecRouter(config)#crypto ipsec transform-set name transforms /定义变换集，协商Router(config)#crypto ipsec security-association lifetime kelobyte XXX /定义协商l

27、ifetimeRouter(config)#access-list 100 permit ip . /定义感兴趣的数据流Router(config)#crypto map map-name seq-num ipsec-isakmp /定义crypto mapRouter(config-crypto-map)#match address 100Router(config-crypto-map)#set peer addRouter(config-crypto-map)#set pfs group 1Router(config-crypto-map)#set transform-set XXXRo

28、uter(config-crypto-map)#set security-association lifetime 86400启用IPSsecRouter(config)#int e0/1 /出站接口Router(config-if)#crypto map map-name测试和校验IPSecsh crypto map sh crypto isakmp policysh crypto ipsec sash crypto ipsec transform-setsh crypto engine connections activedebug cryto ipsecdebug cryto isakm

29、penconf tno ip domain-lookupline con 0logg synexec-t 0 0host RNAT 网络地址转换为什么要用NAT？1、IPv4即将耗尽，NAT可以解决地址不够用的问题。2、NAT可以使局域网（私网）计算机连入Internet。3、保障局域网机器的安全。在公网中没有去往私网的路由。pc1访问去的时候修改的源地址pc1上的数据包源地址 192.168.1.3 目的地址 192.1.1.2经过路由器nat之后源地址 219.1.1.1 目的地址 192.1.1.2回来的时候修改是目的地址的数据包源地址 192.1.1.2 目的地址 219.1.1.1经

30、过nat之后源地址 192.1.1.2 目的地址 192.168.1.3nat实验1、为路由器配置缺省路由huayu_nat(config)#ip route 0.0.0.0 0.0.0.0 219.1.1.2nat的分类huayu_nat#show ip nat translations /查看nat的映射信息huayu_nat#clear ip nat translation * /清空映射缓存定义访问外部数据的入口（私网接口）huayu_nat(config)#int f1/0huayu_nat(config-if)#ip nat inside定义访问外部数据的出口（公网接口）huayu_nat(config)#int s0/0huayu_nat(config-if)#ip nat outside1、静态nat（一对一）huayu_nat(config)#ip nat inside source static 192.168.1.2 219.1.1.1huayu_nat(config)#ip nat inside source static 192.168.1.3 219.1.1.31个公网地址只能对应单个内网机器，多台机器上网需要多个公网IP，所以静态nat不被经常使用2、动态nat（多对多）几（2）个公网IP