ccie rs理论逐个击破-鸿鹄论坛security

基于时间的 PorttoApplicationMap IPSource SecureS 概ACL，并且ACL记录下曾经转发过的用户记录，这样，就能从路由器得知哪些用户是发起好的ACL用于接口上。Loglog-inputLog只能记录数据包通过时的源IP和目的log-inputIP和目的IPMAC配ACL中的说明：配置路由器R1，让其允许R2发来的数据包通过，但R3的数据包通配置r1(config)#access-list100permitiphostanylogr1(config)#access-list100denyiphostanylog应用说明：从R2和R3分别R4，查看R1上的Oct114:15:26:%SEC-6-IPACCESSLOGDP:list100permittedicmp->Oct114:16:46:%SEC-6-IPACCESSLOGDP:list100deniedicmp->5说明：R1上弹出的日志可以看出，R2到R4的数据包是被放行了的，而R3查看ACL记录r1#shipaccess-lists10permitiphostanylog(2520denyiphostanylog(5说明：从ACL中也可以看出，R2的流量被放行，R3的流量被了ACLlog-将记录下源MAC。配置r1(config)#access-list130permitipananlog-应用查看R2的源r2#showinterfacesf0/0Internetaddressis/24从R2R4，查看R1上的 (FastEthernet0/00013.1a2f.1200)->(0/0),1packet说明：从R1上弹出的日志可以看出，R2R4概ACL时，有时因为条目太多，ACLACLremark来实现，remark可以在条目的前一行，也可以在后一行，由自己决定，但remark不能和条目同一行。配ACL 写上R2的注 写上R3的注查看结果access-list100denyiphostanyaccess-list100remarkPermit_R3access-list100permitiphost概有时，当客户的网络出现故障时，需要工程师协助或指导客户解决故障，这时就需要工程师net到客户的网络设备上，但是却并不希望工程师去直接更改用户设备的配置，在这种情况下，就可以在用户的设备上为工程师配置一个用户，通过这样的用户登陆设备之后，可以自动执行工程师想要执行的要实现这样的功能，就可以在设备上配置mand的功能，这样，当相应的用户net到设备时，就可以自动执行其想要令。这样的mandVTYVTY接口下，也可以单独为某个用户执行，即配置在用户名之后。但这样令都只能执行配在VTY在R2上配置用户名和配置为所有VTY用户自动执行命令r2(config)#linevty0935 说明：从 r1#netTrying...OpenUsername:OK?MethodYESmanualYESunsetadministrativelydownYESunsetadministrativelydownYESunsetadministrativelydownYESunsetadministrativelydownYESunsetadministrativelydown[Connectiontoclosedbyforeignhost] 配置用户名为单个用户配置自动执行命令说明：这里配置自动执行命令：showiprouter2(config)#usernametest 从R1上net到R2做测r1#netTrying...OpenUsername:testCodes:C-connected,S-static,R-RIP,M-mobile,B-D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2i-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticrouteo-ODR,P-periodicdownloadedstaticrouteGatewayoflastresortisnot [Connectiontoclosedbyforeignhost]说明：可以看到R1从VTY连上R2时，输入相应的用户名和后，便自动概CiscoUserEXECmode，而需要注意的是，在这个模式下，只能执行等级为1令，如果要将等级提enable15115enable模式时手工指定要进入的等级。定，默认用户等级为1级。通过以上方法为相应用户或分配等级之后，他们所能执行令也只是相配UserEXECmode的默认等级r1>showprivilegeCurrentprivilegelevelis11级令PrivilegedEXECmode的默认等级Currentprivilegelevelis15创建一个5级的，为创建一个6级的，为5级的（1）登陆5 r1#showprivilegeCurrentprivilegelevelis5showrun^%Invalidinputdetectedat'^'marker.6级的（1）登陆6 （2）查看当前等级r1#showprivilegeCurrentprivilegelevelis6showrun^%Invalidinputdetectedat'^'marker.5showrun测试5级用户Buildingconfiguration...Currentconfiguration:55bytes!!6showBuildingconfiguration...Currentconfiguration:55bytes!!!配置用户名和登陆已配置的用户名和 输入(3)查看默认用户名的等级R1>showprivilegeCurrentprivilegelevelis115创建用户Username:ccc查看该用户等级Currentprivilegelevelis15基于时间的概才可以网页，即HTTP服务，或其它服务，在时间范围之外，就不能，那么这样的需求，就可以通过配置基于时间的ACL来实现。要通过ACL来限制用户在规定的时间范围内特定的服务，首先设备上必须在定义time-range（absolute，即这个时间只生效一次20101115:00；另一种时间叫（periodic配time-说明：配置R1在上面的时间范围内R2到R4的 r1(config)#access-list150denytcphostanyeq23time-range r1(config)#access-list150permitipanyany14:34:33.002GMTThuOct1测试R2向R4发 net会r2#net说明：可以看到，在规定的时间范围内，R2向R4发起nt会话是被的测试除net外的其它流r2#Sending5,100-byteICMPEchosto,timeoutis2说明：可以看到，在规定的时间范围内，除了net测试除R2之外的设 net情r3#net说明：可以看到，除R2之外，其它设备net并不受限制15:01:15.206GMTThuOct1测试R2向R4发起net会r2#net概在某些网络中，为了考虑安全性，不希望的用户主内网发起连接，因回包可以进入内网。这样的需求，如果使用普通的ACL在进来的接口上所向发起的连接中，作好记录，打好标记，等到回包时，能够让其顺利进入ReflexiveACL来实现。ReflexiveACL就是根据以上所述，先向内网发送数据，然后允许内网所以根据这些原理，ReflexiveACLACLACL是用在外网到内网的方向，以的主动连接，另一个ACL是用在内网到的方向，用来检测内网有数据发向时，做上记录，等回包时，就在之前那个ACL中含了所有数据通过。此ACL正因为数据在主动进入内网时被的，所以TCP的数TCP数据传完之后，会马目关闭缺口，但是对于没有会话的UDP，就不能使用上面的方法了，就软件根据timeout来判断数据是否传完，如果在timeout结束后，缺口被关闭。正因为这些从内网发到的数据被记录了，只因此，会话在中途端是不能更换的，一旦更换，就无法匹配记录了。而像FTP这样的会话，在中途要改变端，所以FTP在有ReflexiveACL时，不能很好的工在ReflexiveACL数据进入内网时，是不能先向内网发起连接的，配说明：R4为，R2和R3为内网配置主动内说明：主动内网，但是ICMP可以不受限配置允许ICMP可以不用标记就进入内网，其它的必须被标记才返回r1(config-ext-nacl)#permiticmpanyany 被允许的ICMP是不用标记内网 应用测试R4的ICMP内r4#Sending5,100-byteICMPEchosto,timeoutis2说明：可以看到，ICMP是可以任意测试 net内%Destinationunreachable;gatewayorhostdown说明：可以看到，除ICMPR2ICMPr2#Sending5,100-byteICMPEchosto,timeoutis2说明：可以看到，内网发ICMP到，也正常返回r2#net%Connectiontimedout;remotehostnotresponding说明：可以看到，除ICMP配置内网向发起的net被返 为abc的，所以在此为内网发向的 net标为abc，返回时，就会有缺口，因 net，但不可主动 net内网。配置内网出去时，net被记录为abc,将会被允许返回r1(config-ext-nacl)#permittcpanyany netreflectabctimeout net应用（1）查看R2到的r2#Sending5,100-byteICMPEchosto,timeoutis2说明：ICMP查看内网向发 r2#net说明：可以看出，此时内网发向的net因为被标记为abc，所以在回来时，开查看r1#shipaccess-listsReflexiveIPaccesslistabcpermittcphosteqnethosteq23395(16matches)(timeleft33)ExtendedIPaccesslistcome10permiticmpanyany(86matches)20evaluateabcExtendedIPaccesslist10permittcpanyanyeqnetreflectabc20permitipanyany(20matches)说明：可以看到，有一条为abc的ACL为允许到内网的net，正是由于内网发到的net被标记了，所以也自动产生了允许其返回的ACL，并且后面跟有剩概的，ReflexiveACLCBACACL去匹配，CBAC所写的协议，就是OSI7层应用层的协议，所以很方便用户匹配数据，并且可以写多个协议。CBAC在思科文档中也会说不支持ICMP这个协议，所以请注意你的IOS，在实际中，支持CBAC的，都是支持ICMP的。向时，让CBAC记住这个会话，并且在从进入内网的接口上打开缺口，方在进入的接口上临时创建缺口，让其返回。这个用在进入内网的ACL，必ACLCBAC所记录。CBAC同样有配说明：R4为，R2和R3为内网配置所有的数据包从进入内在R1上配置ACL防止所有数据包进来：应用使用ICMP net测 内r4#Sending5,100-byteICMPEchosto,timeoutis2seconds:Successrateis0percent(0/5)r4#net%Destinationunreachable;gatewayorhostdown说明：从结果中看出，向内网发起的ICMP 使用ICMP net测试内r2#Sending5,100-byteICMPEchosto,timeoutis2Successrateis0percent(0/5)r2#net%Connectiontimedout;remotehostnotresponding说明：从结果中看出，内网向发起的ICMP 配置CBACr1(config)#ipinspectnameccietcpaudit-trailontimeout60r1(config)#intf0/1r1(config-if)#ipinspectccie说明：测试IOS没有单独的net协议，只能选整个TCP协议CBAC效果测试向内网发起r4#Sending5,100-byteICMPEchosto,timeoutis2seconds:Successrateis0percent说明：向内网发起的ICMP是不能进入的测试向内网发起r4#net%Destinationunreachable;gatewayorhostdown说明：向内网发起的net是不能进入的测试内网向发起r2#Sending5,100-byteICMPEchosto,timeoutis2Successrateis0percent(0/5)测试内网向发 r2#netr1#shipinspectsessionsEstablishedSessions说明：内网到的net被CBAC成功记查看ACL中CBAC打开的缺口r1#shipaccess-listsExtendedIPaccesslist100permittcphosteqnethosteq20029(13matches)10denyipanyany(48matches)看日志Oct118:52:22:%FW-6-SESS_AUDIT_TRAIL:tcpsessioninitiator(:62155)30bytes--responder(:23)sent32bytes说明：CBAC概常用的协议HTTP对应TCP端80，常用的协议net对应TCP端23，TCP80HTTP来处理，看到TCP23，就会当成net来处理。TCP80的数据通过时，就会记录下会话，并且为其打开缺口，而检测TCP端已经被改变，如已经改成1000，那么这个时候你发起的HTTP会话就是TCP1000TCP1000CBAC中，是不会为其记录并打开这个功能就是靠PAM来实现的。需要PAM来完成这个工作。要让设备知道相应协议是用哪些端，可以配置协议和对应的端，如果配说明：在R3上配置NAT， net到00的结果被转到netR3说明：配置让net到00，目标端口为1000的，结果被转 net定义NAT方向r3(config)#intf0/0r3(config)#intf0/1（2）配置映射r3(config)#ipnatinsidesourcestatictcp2300说明： net到测试net结（1）测试从 net00，目标端口为r2#net00Trying00,1000...说明：从结果中看出，当 net配置ACL所有数据进入r1(config)#access-list100denyipanyanyr1(config-if)#ipaccess-group100in配置CBAC允 net返r1(config)#ipinspectnameccienettimeout100r1(config)#intf0/1r1(config-if)#ipinspectccieCBAC结果r2#net00%Connectiontimedout;remotehostnotresponding说明：从结果中看出，CBAC并不会为端为1000的数据创建返回缺口，因为已配置的CBAC只记录net，也就是标准TCP23端口，而现在是TCP1000端口，所为TCP端1000，所以并没有被记录，因此配置PAM，改变设备的默认net端口，应改为1000，从而让CBAC根据此端口映射表作记录。（1）配 net端为r1(config)#ipport-mapnetporttcpCBACPAM非常规端口再次测试 net00，目标端口为1000时，CBAC是否打开缺r2#net00Trying00,1000...说明：可以看出，CBAC已经认为net为TCP端1000，并成功为其打开缺口r1#shipinspectsessionsEstablishedSessions说明：看到CBAC中成功理解net为端1000（1）定义端8001到8004都给HTTPr1(config)#ipport-maphttpport8001r1(config)#ipport-maphttpport8002r1(config)#ipport-maphttpport8003r1(config)#ipport-maphttpport8004r1(config)#access-list10permitr1(config)#ipport-maphttpport8000list10r1(config)#access-list20permitr1(config)#ipport-mapftpport8000list20概 ACL恢复最初的DynamicACL什么时候恢复最初的配置，可以定义会话超时，即会话DynamicACL给用户提供的认证方法有多种，最常用的可以使用AAA，本地用户 net配置了DynamicACL的路由器， net到路由器时，输入了正确的用户名和之后，认证就算通过。而要注意 mand来实现。当使用AAA认证时，用户名要有 用户名添加，并且还可以加在VTY接口下。空闲时间必须小于绝对时间，如果两个时间都不配，DynamicACL打开的缺口icCLetet权，某些据也可让其默通过，如路由协的数据认证通过之后，就可以相应的服务，在认证通过之后，具体可以哪些，需要配置ACLyacL，ISicLC。配说明： Dynamic（1）配置默认不需要认证就可以通过的数据， r1(config)#access-list100permittcpananeq配置认证之后才能通过的数据，如ICMP，绝对时间为2分钟r1(config)#access-list100dynamicccietimeout2permiticmpany应用测试测试内网R2 netR4r2#netTrying...说明：从结果中看出，net不受限制测试测试内网 r2#Sending5,100-byteICMPEchosto,timeoutis2seconds:Successrateis0percent说明：内网在没有认证之前，ICMP配置所有人的用户名具有功r1(config)#linevty0181 mandaccess-enable内网R2做认证r2#netTrying...Open[Connectiontoclosedbyforeignhost]说明： 测试内网到的ICMP通信功r2#Sending5,100-byteICMPEchosto,timeoutis2说明：认证通过之后，ICMPACLr1#shipaccess-listsExtendedIPaccesslist10010permittcpanyanyeqnet(105matches)20Dynamiccciepermiticmpanyanypermiticmpanyany(5host功能 mandaccess-enable mandaccess-enablehost在配置功能时，如果没有加host，那么内网一台主机通过认证之后，所有主机都能，加了host，就变成谁通过了认证，谁才能。TCP概TCPUDP可靠，是因为TCP是有会话的，是面向连接的，任何TCP器R2建立TCP会话，这三次握手的过程是：第一次握手：R1向R2100第二次握手：R2向R1回一个数据包，先回答R1100+1,101，第三次握手：R1根据R2序列号，作出回答，200+1，结果为201。R1R2R2回应之当一台网络上的正常服务器向用户提供服务时，如果用户对其进行上述的TCP，将导致该服务器停止工作，所以就试图寻找法来避免服务器这样的TCP。很显然，要避免这样的，可以让服务器尽早的清除半开连接，从TCP保护，有两种工作模式。第一种是客户向watch模式。第二种是当客户向服务器发起握手配置配置需要监视的说明：ACLACLTCPTCPIntercept配置半开连接最长等待时间（默认30秒配置连接超时说明：既然三次握手成功完成，TCP会话也建立，而路由器也会默认该会话24r1(config)#iptcp pletelow 定义每分钟的未完成数，有高低两个，是阀值，默认是900和r1(config)#iptcpinterceptone-minutelow800r1(config)#iptcpinterceptone-minutehigh1000概uRPF被称为单播的反向路径转发，功能是让路由器具备防IP或IP的uRPF所认为的IP，是指某个IP的数据包的并不应该从某个接口进来，却从某IP地址，同时与路由表中的路由条目作对比，经过判断后，如果到达这个源IP的出uRPF的接口，则数据包被转发，否则被丢弃。比如路由器从接F0/0收到一IP的数那么IP地址和路由表作对F0/0（F0/1），那么该数据包被丢弃。CEFuRPF。uRPFin方向上开启，在做检查时，所IP的最优路径都认为是可行的，EIGRP非等价出口也算正常，并且即使是默全由ACL来决定，ACL允许，就放行，ACL，就丢弃。这里的ACL和常用ACL一样配置，可以带log和log-input参数。配说明：R3到任何网段的数据包都发向（即R4）R2到R3loopback0()(R3)确认网络路径说明：先测试网络的路径（1）查看R3的路由表r3#shipCodes:C-connected,S-static,R-RIP,M-mobile,B-D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltypeE1-OSPFexternaltype1,E2-OSPFexternaltypei-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticrouteo-ODR,P-periodicdownloadedstaticrouteGatewayoflastresortistonetwork /32issubnetted,1subnets isdirectlyconnected,Loopback0/24issubnetted,1subnets isdirectlyconnected,FastEthernet0/1S*/0[1/0]via(2)从R3到R1的路径r3#tracerouteTypeescapesequencetoabort.Tracingtherouteto0msec4msec012msec12msec12312msec*8msec说明：从结果中看出，R3到R1，是先发往R4，然后R4从R2s0/0发过来，最后到R1的。Codes:C-connected,S-static,R-RIP,M-mobile,B-D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2i-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticrouteo-ODR,P-periodicdownloadedstaticrouteGatewayoflastresortisnot/24issubnetted,1subnets [1/0]via/32issubnetted,1subnets [1/0]via isdirectlyconnected,FastEthernet0/1/24issubnetted,1subnets /24issubnetted,1subnets 说明：从路由表中可以看出，R2R3loopback0)(从R2到loopback0()的路径r2#tracerouteTypeescapesequencetoabort.Tracingtherouteto0msec*0msec再看R3以loopback0()为源到R1的连通性Typeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:Packetsentwithasourceaddressof再看R3以loopback0()为源到R1的路径Typeescapesequencetoabort.Tracingtherouteto0msec4msec012msec12msec112msec*8msec说明：在任何情况下到达R1R2（1）R2S0/0上开启测试开启uRPF后的通信情况（1）R3的loopback0()为源，向R1发送数据r3#sourceloopbackSending5,100-byteICMPEchosto,timeoutis2seconds:PacketsentwithasourceaddressofSuccessrateis0percent(0/5)说明：可以看到，在R2S0/0uRPFR2uRPF情况r2#shipinterfaceIPverifysourcereachable-viaRX,allowdefault5verificationdrops说明：5uRPF被丢弃，正是因为R2R3loopback0()F0/1R3loopback0()为源的数据包必须也从F0/1S0/0uRPF检查失败，所以默认丢弃，如果不想丢弃，必须配置ACL允许。R3F0/0R1r3#Sending5,100-byteICMPEchosto,timeoutis2Successrateis0percent(0/5)R2uRPF情况r2#shipinterfaceIPverifysourcereachable-viaRX,allowdefault10verificationdrops说明：R2ACLR3loopback0(3.3.33)为源的数据包即使uRPF检查失败也r2(config)#access-list100permitiphostanyr2(config)#ints0/0测试以R3loopback0(3.3.33)Typeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:Packetsentwithasourceaddressof再看以R3F0/0为源，向R1r3#Sending5,100-byteICMPEchosto,timeoutis2Successrateis0percent(0/5)概我们通常配置的console下的，进入PrivilegedEXEC模式的enable，VTY线路下的，以及其它二层接口的认证等等。这些配置在哪里，那里就更重要的是，这些只能本地，却不可以通过服务器的认证方式来接口使用服务器的认证方式，那就需要AAA中的认证来实现。AAA中的认证可以给设备提供的认证方式，AAA认证就相当于一个装有认入这个容器中，包含服务器的认证方式。AAAlistlist加个认证方式，如果某个认证方式是可用的，但用户提供了错误的用户名或，这AAA中的认证方式除了调用设备本地的认证方式之外，还可以调用服务器时，IOS可能并不认为是认证不响应，所以很难使用下一个认证方式，只有当前一个是服务器时，服务器不响应，才会使用下一个，这是IOS的不足之处。listIOS是不会让用户登陆的，除非最后有none指示放弃认证。是给dot1x认证的，就要指定为dot1x。所有支持login认证的方法有：groupradiusgrouptacacs+ AAA的list可以调用多个认证方式，同样也可以调用服务器，比如radius、tacacs+，不仅如此，还可以允许服务器有多个备份组，以便一台服务器坏了，AAA服务器组，在里面添加多台服务器的IP地址即可，并且配置了AAA的Cisco设备和服务器配置：开启r2#netTrying...Open说明：AAAVTYlocal本地用户数据VTYAAA认证创建list，并指定认证方法顺序为locao和在VTY使用AAA认证r1(config)#linevty0创建认证（1）创建enable（1）测试使用的认证方法r2#netTrying...Open采用服务器认说明：将服务器认证做为第一个，当服务器不响应时，直接跳到下一个认AAAlisttacacs+enabler1(config)#aaaauthenticationloginlist2grouptacacsenabler1(config)#linevty0935r2#netTrying...Open说明：在没有配置服务器时，AAA认证认证无响应，所以切换到第二个认证方式enable认证。测试认tacacs+enableenable密r1(config)#aaaauthenticationloginlist3grouptacacs+enablenoner1(config)#linevty0935测试认证r2#netTrying...Open配置服务器组r1(config)#aaagroupservertacacsgggr1(config-sg-tacacs+)#server定义服务器说明：AAAlist中，当第一项为服务器时，检测不可用，才会往后退，如果服务器后localnone时，随便输入什么认证都无项，直接让用配置第一项为服务器，第二项为local，且紧跟r1(config)#linevty0r2#netTrying...OpenUsername:abcIPSource概击源，创建必要的描述DOS易用的信息，可以多个IP。并且这些信息全部可以输出到服务器，如GRP和RSP，也只有高端系列75，12000才支持。配配置的主机，可以配置多个主机SecureS概在对设备进行连接的方法中，最常用的是net，而所有通过net会话能原文意思，为了安全性，有一种在net会话之上的连接方法，将数据进行加密后传输，这就是SecureS(SSH)。SSH共有两个版本，ver1ver2，Cisco设备在没有指定版本的情况下，默认ver1SSHIPSec(DESor3DES)IOS，从12.1(1)T或之后都是可以的。除此之外，必须为设备配置主机名和，否则会报RSAkey，配置之后，SSH就自动打开了，否则不能开启。删除RSA使用命令cryptokeyzeroizersa，如果被删除，则表示SSH被禁用。CiscoSSH，SSHserverclient两种，serverSSHclient在配置server功能后自动开启，并且自身是不需要任何命令打开的，也没有clientSSH120秒，即使SSH2RSA768配配置双方主机名和注：server和client之间的是可以不一样的R1的主机名和router(config)#hostnamer1r1(config)#ip-nameR2的主机名和router(config)#hostnamer2r2(config)#ip-name配置双方的RSA配置R1RSAkeyThenameforthekeyswillbe:Choosethesizeofthekeymodulusintherangeof360to2048foryourGeneralPurposeKeys.Choosingakeymodulusgreaterthan512maytakeafewminutes.Howmanybitsinthemodulus[512]:%Generating1024bitRSAkeys配置R2RSAkeyThenameforthekeyswillbe:Choosethesizeofthekeymodulusintherangeof360to2048foryourGeneralPurposeKeys.Choosingakeymodulusgreaterthan512maytakeafewminutes.Howmanybitsinthemodulus[512]:%Generating1024bitRSAkeys,keyswillbenon-*Mar105:24:34.940:%SSH-5-ENABLED:SSH1.99hasbeenenabled创建用户名和，client通过此用户名和登VTY下开启认证，并指定SSH可以登陆r1(config)#linevty0测试SSH登陆r2#sshlccie说明：SSH版本：r1#shipSSHEnabled-versionAuthenticationtimeout:120secs;Authenticationretries:3r2#shipSSHEnabled-versionAuthenticationtimeout:120secs;Authenticationretries:3SSH启用版本SSH查看版本：r2#shipSSHEnabled-versionAuthenticationtimeout:120secs;Authenticationretries:3说明：当使用net登陆时，可以指定源IP地址，在使用SSH时，需要在配置中修改源IP地址。9SSH版本R1(config)#noipssh概而厂商写的特征码文件，被称为signatures（签名文件。设备上可用的SDF有两种：1默认的，也就是系统内置的签名（100条2厂商的，也就是使用路由器或SDM的签名文需要注意的是，如果要从厂商的SDF，强烈建议使用SDM，如果从路由器，会有意想不到的问题。并且从路由器的CLI模式不能调整IPS的动作的，所以配置IPS，建议使用SDM。attack-drop.sdf83条)128MB128MB.sdf300)128MB256MB.sdf(500)，适用于内存256MB或SDF只能用于12.4(9)Tx或更早IOSIOS也支持。IPSACL要定义哪些流量需要检测，哪些不需要检测。命名和数字ACL都支持，但是12.3(8)T，只支持标准数字ACL。IOSSDF之后，要告诉设备从哪些接口检测进来还是出去的流量，SDF，当在系统中出现错误时，默认使用内置SDF，但可以在厂商SDF失败时使用内置SDF。配安装内置（1）导入内置创建策略名r1(config)#ipipsname在接口上开启r1(config)#intf0/0IPS结果（1）查看IPS情况r1#shipipsBuiltinsignaturesareenabledandLastsuccessfulSDFloadtime:01:43:33UTCMar12002IPSfailclosedisdisabledIPSdeny-actionips-interfaceisfalseFastpathipsisenabledQuickrunmodeisEventnotificationthroughsyslogisenabledEventnotificationthroughSDEEisdisabledTotalActiveSignatures:135TotalInactiveSignatures:0Signature50000:0disableIPSnameippInterfaceConfigurationInterfaceFastEthernet0/0InboundIPSruleisippOutgoingIPSruleisnotset将内置和厂商SDF结合使用加载厂商保存为新的加载新的在接口配置IPS的方法和之前一样开启SDEE功R1(config)#ipipsnotify配置条目数：最多不加载内置说明：SDF的情况下，默认失败后直接使用内置的，但可以在失败时也不使用内置SDF（1）关闭使用内置R1(config)#noipipslocationin关闭丢包功能说明：在IPSSDFR1(config)#ipipsfail概Firewall，也就是说这种是基于zone的，是基于区域的。既然是基于区域的，那么配置的策略都是在数据从一个区域发到另外一个区域时才生效，在同一个区域内的数据是不会应用任何策略的。而要配置这些策略，方法像使用MQC来配置QOS一样配置策略，但是两个的配置方法并不完全一致，因为Zone是应用策略的最小单位，一个zone中可以包含一个接口，也可以包含SecurityZoneszoneSecurityZones是指应用了策略的zone，而且SecurityZones应该是要包含接口的。SecurityZonesSecurityZones的成员时，所有任何zone的任何接口通信。R2和R3zone1R4属于区域zone2R5不属于任何区域R2和R3Zone1R2R3zone2R4zone，必须明确配Zone1到Zone2的数据全部被放行。可以看出，Zone1是源区域，Zone2称为Zone-Pairs。因此可以看出，一个Zone-Pairs，就表示了从一个区域到另一个区域的策略，而配置一个区域到另一个区域的策略，就必须配置一个Zone-Pairs，并加selfzone即作源又作目的。selfzonesystem-definedzone，即系zonezone-pairselfzone时，被应用的策略只的策略应用于Zone-Pairs，因为一个Zone-Pairs就表示了一个区域到另一个区域的策在为zone之间配置策略，使用的方法类似MQC配置QOS，但格式会有略MapClassMapPolicyMap应用Zone-Pairs。下面分Zone-BasedPolicyFirewallClassMapPolicyMapClassMapsPolicyMapsClassMapsPolicyMapsMQCClassMapPolicyMapClassMaps和顶级PolicyMapsinspectclassmapsinspectpolicymapsClassMapsPolicyMapszone-pairzone-pairpass,service-policy,andurlfilterClassMapsOSI第三层数据MQC的MapsinspectpolicyMapszone-pair的，如果。7ClassMapsPolicy7classmaps7PolicyMaps7PolicyMaps7Mapsparentpolicy7PolicyMapschildpolicy。7ClassMapsPolicyMapsHTTP协议，ClassMapsclass-maptypeinspecthttp，PolicyMapspolicy-maptypeinspecthttp。7PolicyMapsPolicyMaps来处policymapandclassmapInspectparametermapURLFilterparametermapInspectparametermap是可选的，如果两级都有，级的有效。URLFilterparametermapURL34policyMAP中Protocol-specificparametermap只有7policymap需要。配说明：在没有配置的情况下，测试通信情r2#Sending5,100-byteICMPEchosto,timeoutis2r2#Sending5,100-byteICMPEchosto,timeoutis2r2#Sending5,100-byteICMPEchosto,timeoutis2说明：可以看到，默认没有配置的情况下，ICMP畅通无阻测试R2到R4 net情况r2#net说明：可以看到，默认没有配置的情况下，net畅通无阻security创建zone1创建zone2将接口划入将连R2R3的接口划入将连R4的接口划入r1#shzonesecurityzoneselfzonezone1Member测试通信测试zone1同区域的通信情况r2#Sending5,100-byteICMPEchosto,timeoutis2测试不通区域的通信情况r2#Sending5,100-byteICMPEchosto,timeoutis2Successrateis0percent(0/5)r2#Sending5,100-byteICMPEch