CCNA Security第五天.2

时间：2024-08-13 23:31:02浏览次数：6

标签：set cisco 0.0 cry 202.100 CCNA Security 第五天 ipsec

ipsec组成部分

esp（负载安全封装）协议

认证头（ah)协议

internet密钥交换(ike)协议

ipsec 两种工作模式

transport mode

tunnel mode

l2l实例分析

remote access实例分析

pc to pc实例分析

ike介绍

ike负载建立和维护ike sas和ipsec sas.

功能主要体现在如下几个方面：

对双方进行认证

交换公共密钥，产生密钥资源，管理密钥。

协商协议参数(封装，加密，验证...)

ike的三个模式

只有一种情况用主动模式，用与共享密钥认证的远程拨号vpn。其他都是主模式。

第一阶段，相互认证。

第二阶段，快速模式，3个包

主模式的6个包

6个包有3次交换，

1-2一次交换：交换策略，如何认证。如何加密。5-6个包，和快速模式的3个包。

3-4一次交换：通过dh交换，产生随机的密钥

5-6一次交换：相互认证。

ipsec配置步骤介绍

setp1:isakmp policy

step2:transform set

step3:interesting traffic

step4:crypto map

step1.（配置isakmp policy)

cypto isakmp polcy 10

encr 3des (默认：des)

hash md5(默认：sha)

authen pre-share（默认:rsa-sig)

group 2(默认：1）

crypto isakmp key 0 l2lkey address 202.100.1.2

配置ipsec策略（转换集）

cry ipsec transform-set trans esp-des esp-md5-hmac(加一个密钥一起做hash)

配置感兴趣流

ip access-list extended vpn

permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

配置crypto map(第二阶段策略关联）

crypto map cry-map 10（可以提供多个时候用id区别） ipsec-isakmp(密钥谁提供的）

match address vpn

set transform-set trans

set peer 202.100.1.2

int f0/1

crypto map cry-map

传统ipsec vpn的几大问题

1.不支持直接加密组播（最本质问题）

2.不支持动态路由协议

3.不提供routable interface for terminating ipsec tunnels(qos/fw...)

解决方案

1.gre over ipsec

2.svti(static virtual tunnel interface)

gre介绍

gre 协议号47

通用路由封装，封装广泛网络层的包，都能封装到一个ip的隧道，会产生一个点到点的链路。

gre主要的问题时:没有任何安全功能。

gre示意图

site1:

ip route 0.0.0.0 0.0.0.0 202.100.1.10

inter tunnel 0

ip add 13.1.1.1 255.255.255.0

tunnel souce 202.100.1.1

tunnel destination 202.100.2.2

router ospf 1

net 1.1.1.0 0.0.0.255 area 0

net 123.1.1.0 0.0.0.255 area 0

cry isa pol 10

au pre

cry isak key 0 cisco address 202.100.2.2

ip access-list ex vpn

permit gre host 202.100.1.1 host 202.100.2.2

cry ipsec transform-set cisco esp-des esp-md5-hmac

mode transport

cry map cisco 10 ipsec-isa

match address vpn

set transform-set cisco

set peer 202.100.2.2

int f0/0

cry map cisco

site2:

ip route 0.0.0.0 0.0.0.0 202.100.2.10

inter tunnel 0

ip add 123.1.1.2 255.255.25.50

tunnel souce 202.100.2.2

tunnel destination 202.100.1.1

router ospf 1

net 123.1.1.0 0.0.0.255 area 0

net 2.2.2.0 0.0.0.255 area 0

cry isa pol 10

au pre

cry isa 0 cisco address 202.100.1.1

cry ipsec transform-set cisco esp-des esp-md5-hmac

mode transport

crypto ipsec profile ipsecprof

set transform-set cisco

int tunn 0

tnnel protection ipsec profile ipsecprof

标签：set,cisco,0.0,cry,202.100,CCNA,Security,第五天,ipsec
From： https://www.cnblogs.com/smoke520/p/18357905

CCNA Security第一天.1
为什么我们需要安全？网络结构攻击技术资产价值1.巨大的财务损失2.病毒是最大的威胁，其次是源自于内部的攻击3.接近10%的企业遭受了dns攻击，4.27%的企业曾遭受targetedattack5.68%的企业拥有自己的信息安全策略cia安全模型1.confidentiality私密性防止物理和逻辑访问我们......
CCNA Security第三天.1
ssh其实就是加密的telnet。clissh配置步骤tep1:配置主机名hostnamesshrouterstep2:配置域名ipdomiannameyeslab.comstep3:产生rsa密钥对(建议1024位长度)cryptokeygeneratersamodulus1024step4:创建本地用户名和密码(级别可选)usernameadminprivilege15pa......
CCNA Security第二天.2
sdm配置sdm1.创建本地用户名和密码（级别15）usernameadminprivilege15passwordyeslabccies2.启用http或者https服务器iphttpsecure-server/iphttpserver3.配置http的本地认证iphttpauthenticationlocal4.配置vty线路的本地用户认证或sshlinevty015loginloc......
CCNA Security第四天.1
ios安全经典特性1.iptcpintercept抵御syn同步的dos攻击。protecttcpserversfromsyn-floodingattacks两种工作模式：1.interceptmode(activemode)default伪装服务器给客户端发送ack+syn2.watchmode(passivemode)可以设置在多长时间内完成3次握手，如果过了路由器就......
CCNA Security第三天.2
其他交换机安全特性1.span（交换机端口分析）monitorsession1sourceinterfacegi0/2(把某个接口流量引导某个接口)monitorsession1detinationinterfacegi0/3(抓包的接口）2.vacl1.能够对vlan内核vlan间的流量进行控制2.能够对ip和none-ip的流量进行控制3.vacl先于racl进......
CCNA Security第四天.2
防火墙的三种类型packetfiltering(包过滤）proxyserver(代理服务器）statefulpacketfiltering（状态监控包过滤）packetfiltering介绍一个老的防火墙技术，也就是我们使用的访问控制列表acl.cisco访问控制列表分类1.standard（标准）2.extended(扩展）控制源|目的|协议|端口|tos|时......
CCNA Security第四天.3
配置zone-basedpolicy防火墙步骤1.确定游泳相同安全功能的接口，并且把他们放入相同的securityzones内2.决定在znne间双向需要穿越流量3.配置zones4.配置zonepairs,如果某一个方向没有任何流量需要放行就不用配置了5.定义classmaps匹配zones间流量6.配置policymaps关联cl......
14.第五天(第二部分)：Installing and Maintaining the IDSM-2
idsm-2performance:500mbpssize:1ru/slotprocessor:dual1.1.3ghzoperatingsystem:linux即支持在线模式也支持离线模式port1:不能配置只是发送tcpresetport2:commandports7and8:sensing口,已经做好trunkvlanmap既能对二层又能对三层流量控制ipaccess-listexi......
SpringSecurity+前端项目+redis完成认证授权的代码
1.前端准备工作--都在全局main.js页面中设置的1.1.创建Vue工程后，并导入elementui和axios，添加连接后端项目的路径，把axios挂载到Vue1.2.前置路由守卫（所有路由跳转前核实一下身份）//前置路由守卫--所有的路由跳转都先经过这里//to:即将要访问的路径from:从哪里来......
4.5.Switch Security
switchsecurity（交换安全）maclayerattacks(mac地址攻击）mac地址泛红变换mac让交换机不停学习，占满mac地址表，其他pc发送报文就进行泛红。portsecurity(端口安全）1未授权mac地址2mac地址个数限制（默认1个）3采取措施switch(config-if)#switchportport-security[maximumvalue]......

CCNA Security第五天.2

相关文章

赞助商

阅读排行