Ch4 CISCO IOS细节问题
RAM
NVRAM:存储配置文件 show startup-config
Flash:存储IOS文件 show flash (dit slot0:)
ROM:存储了一份缩减的路由器IOS镜像,还存储有引导程序(在cisco文档中称为rxboot镜像文件)和设备开机诊断程序。[ROM模式]。新型号cisco硬件模型现在都将新的启动程序存储在boot flash中,而不是rom中。
配置寄存器:16位数字,默认为0x2102.
倒数第6位: 0:从NVRAM加载配置信息(缺省); 1:忽略NVRAM的配置信息
倒数第1-3位:0000 从ROM中加载IOS, 0010从Flash中加载IOS(缺省)
0x2102:从Flash从读取IOS,从nvram中读取配置文件
0x2142:。。。。。。。。。,忽略nvram中的配置文件
0x2100:利用ROM中启动路由器
接口:
LAN/WAN接口:使用interface ( show interface )
管理口(console,vty,aux)使用 line (show line )
alias EXEC ospf show ip route ospf
loggin console debug //terminal console
no ip route-cache (禁用快速交换)
logging sync
No login: 不需密码就可以进入(而不是不准login)
login但是没有设置password是不能进入的
IP ACL:
1-99/100-199/1300-1399/2000-2699
如果在接口下面使用ACL的时候,没有写明in/out关键字,那么默认是out (P139)
Chapter 5
AAA: tacacs+ radius kerberos
Router上启用AAA: aaa new-model
PIX上启用AAA: aaa-server
RADIUS: UDP/1812 UDP/1645 Accouting UDP/1813 udp/1646 支持PAP/CHAP
仅对密码进行加密。()
ACCEPT
REJECT
CHALLENGE / CHANGE PASSWD
ERROR
vsa:Vendor Speicific Attribute 26/9
TACACS+: TCP/49;支持PAP/CHAP
ACCEPT
REJECT
CONTINUE
ERROR (默认5秒)
只要方法列表不同,而且将不同的方法列表应用到不同的接口,就可以同时配置RADIUS和TACSCS+
KERBEROS: TCP/UDP 88 543 749 4444 2105 754
MIT, DES ,
Kerberos中的域需要大写,而且和DNS需要有交互;时间必须精确;
DSS: MD5(Message)->Private Key-->Append to Message
IPSec:
IPSec SA是单向的(对于每一协议,每一端点一个SA)。IKE SA为双向。
ESP:对有效载荷进行加密,对ESP进行验证(包括ESP头和有效载荷),断口号50
AH:端口号51,不加密。对整个IP包进行验证(除TTL,TOS,报文头CRC,标志片断外)
IKE:为IPSec的密钥交换机制
IKE:
IKE阶段1:主模式6或者主动模式3(拨号中通常使用主动模式)
* 协商IKE的策略:IP地址,DH编号,分组算法。通过UDP 500实现
* 交换验证DH消息:实现加密密钥,从这以后所有的交换都进行加密
* 保护IKE对等体的身份识别--对身份识别进行加密
IKE阶段2:协商用于保护用户数据的SA和密钥
这个阶段的消息出现的比较频繁,通常是几分钟一次,想比之下,阶段1的消息有可能1天才1次。
阶段2的消息交换协商以一种称为Oakley的快速模式进行。有两种可能:
** 不进行密钥交换--没有启用PFS
** 进行密钥交换--启用了PFS,需要再运用一次DH算法以产生共享密钥
IOS路由器上IPSec的配置:
第一步:全局启用ISAKMP(默认开启)
crypto isakmp enable
第二步:定义Isakmp策略,也就是isakmp协商过程中的一些参数信息
crypto isamkmp policy PRIORITY 进入IKE策略配置模式,可以配置的:
加密:des/3des,默认为des-cbc
散列:sha-1/md5 默认为sha
验证:rsa-sig/pre-share/rsa-enc,默认为RSA-SIG
RSA-SIG:rsa签名作为验证方式(需要CA,通过CA获得他方的公钥)
RSA-ENC:加密RSA作为验证方式(不需要CA,不要手工将他方的公钥倒入)
pre-share:预共享密钥
DH分组:1、2 (1为768位,2为1024)
存活时间:默认为86400(一天),如果两端时间不一致,那么选择最短的
第三步:设置isakmp标志(可基于IP地址或者主机名)
crypto isakmp identify {ip address|hostname}
第四部:制定转换参数集(安全协议和算法的集合,使用在IPSEC SA的协商过程中)
全局模式下: crypto ipsec transformation-set
transformation-set-name transform1 [ trans2 [trans3]]]
输入这个命令后,就形如加密转换配置模式
router(cfg-crypto-tran)#mode [tunnel|transport]
第五步:将加密映射关系进行定义(加密映射关系将IPSEC 策略和SA映射在一起)
crypto map name seq method [ dyamic dynamic-map-name ]
第六部:适用到接口
CEP:证书登记协议,用于路由器和CA联系,采用PKCS(公钥加密标准),以HTTP作为传输机制
附:
RSA-SIG/RSA-ENC比较的:
In this scenario, a shared secret key is not created. Each router generates its own RSA key. Then each router needs to configure the peer's RSA public key. This is a manual process and has obvious scaling limitations. In other words, a router needs to have a public RSA key for each peer with which it wishes to have a security association.
This example uses RSA signatures, which require the use of a CA server. Each peer obtains certificates from the CA server (this is usually a workstation that is configured to issue certificates). When both peers have valid CA certificates, they automatically exchange RSA public keys with each other as part of ISAKMP negotiation. All that is required in this scenario is for each peer to have registered with a CA and obtained a certificate. A peer no longer needs to keep public RSA keys of all the peers in a network.
阅读(516) | 评论(0) | 转发(0) |
