CCSP 学习笔记
来源:互联网 发布:网络安全工程师好学吗 编辑:程序博客网 时间:2024/06/10 08:33
cisco ccsp 学习笔记
作者:starshift
时间:2008年11月
SNRS(security networks with routers and swiches )
AAA model
AAA: authentication(认证) authorization(授权) accounting(审计)
使用AAA model 不一定需要使用AAA服务器,可以在本地做。但是审计功能必须使用路由器。如果不使用AAA服务器,在本地使用用户名和密码。如需要远程网管,需要在ACS上添加管理员。
但是使用AAA服务器可以使用集中式的访问控制和网管,另外最重要的是提供审计功能。使用AAA服务器可以支持外部用户数据库和密码,例如在windows 上做AAA服务器时,可以使用AD作为用户数据库。同时支持多种clients,如FW,VPN等。
所有的授权都是通过av对来实现的。2002, 本地网管的端口号,是固定的。在本地管理时添加远程管理员。AAA服务器必须要安装在server 版操作系统的英文版上。
4.0 对网络准入提供支持。
AAA model 包括两类协议,一个叫TACACS (Terminal Access Controller Access Control System)认证,同时包括授权协议,本协议是Cisco的私有协议,另一个是Radius, remote authentication dial in user Service。是IETF的公开标准,有相应的RFC定义。不同厂商之间各有不同。
- 通信协议上TACACS使用TCP 49,Radius使用UDP『1645 server 用于做认证和授权,1646 用于做审计 新的:1812 用于做认证和授权 1813用于做审计(这个是IETF的标准,通常厂商都会相互支持) 』。Cisco 的AAA服务器叫做ACS(ACCESS Control Server)。
- TACACS 整个包加密,Radius 使用密码。
包括如下内容:
authorization: 没有授权的时候默认是1级,在>的用户模式。15级的特权模式,授权定义了你能过做什么,访问什么,15级可以看见所有的命令。
一共有三类流量需要做认证:
- administration access:console,telnet,aux access
- telnet的设备首先是终端服务器,使用八爪鱼console线通过一个路由器去管理其它路由器。
- remote user network access:Dialup or VPN access
- through 穿越 NAT 穿越和FW:认证代理
accounting:记录用户登录的时间和使用了哪些命令,审计是审计了最原始的信息。
第一课 部署ACS服务器
ACS服务器的架构包括如下三个部分:Cisco ACS for windows, Cisco ACS for UNIX, Cisco Secure Engine。
Cisco ACS服务器可以使用windows user database, Cisco Secure ACS for windows server database, a token server database, 或者Novell Directory Service(NDS)。ACS可以支持PAP(Password Authentication Protocol),CHAP和MS-CHAP认证模式。
使用PAP协议进行认证可以访问Windows 2000 用户数据库。
使用CHAP协议可以访问Cisco Secure ACS user database。推荐使用Cisco Secure ACS user database。它是一种高性能高可扩展性的ACS服务器。可以同时使用TACACS和radius协议。
AAA的配置的实验
Globe enable AAA
CCNP 不使用AAA进行配置
三种配置方式:
- 没有用户密码
No login
- 本地login
Login local
Use
Username Cisco password Cisco
- telnet
Line vty 0 4
Password Cisco
Login
使用AAA进行配置:
Aaa new model
使用 aaa new model 之后原来的配置都将不在合法。即使vty中没有任何策略,使用telnet 登录的时候将提示username。启用了aaa new model 之后console 口在12.2版本之后不会受到影响 ,之前的版本也会受到影响。
Login authentication
全局命令做login list
Aaa authentication login
Aaa authentication VTY
Aaa authentication VTY none
//使用本地用户名和密码
Aaa authentication VTY local
User cisco password cisco
//使用local case 之后将区分大小写
//使用line 下面的密码做认证, 如果line下面没有设密码,三次错误之后会退出。
Aaa authentication VTY line
aaa authentication login local default local
do sh run | b line
// default 将影响没有做命名的line的认证策略
Aaa authentication login FOR_CON none //解放console 口
先定义认证的名字,然后定于认证的策略,最后定义在vty的line上面。
前三步骤:
Aaa new-model
Aaa authen logi FOR_CON none
Lin con 0
Login authen FOR_CON
//解放console 口
之后配置aaa 服务器,在路由器上制定aaa服务器
Tacacs server host 170.1.1.241 key cisco// 这个地方不要加空格然后回车,称之为自攻
在aaa 服务器上制定路由器为客户端
Network configuration 添加aaa 客户端 其中的key 要对应于在路由器中设置的server的key。用于双向互指。
- CCSP 学习笔记
- CCSP
- CCSP 2017 后记
- 2017CCSP第二题
- 2017第二届ccsp感悟
- 准备思科ccsp中的AFS认证考试
- 2017年福州CCF CCSP参赛体会
- yeslab 现任明教教主 最新ccsp 教学培训课程
- CCNA CCSP培训设置了ASA系统时钟
- CCNA CCSP培训设置ASA的系统时钟
- 四天三赛大奋战总结(2017ccsp福州+icpc西安)
- Pass4Sure Cisco CCSP 642-524 also called Securing Networks with ASA Foundation is a CCSP exam of Cisco company.
- 2016CCF-CCSP竞赛:第1题-虚拟机设计(共3题)
- 学习笔记?
- 学习笔记
- 学习笔记
- 学习笔记
- 学习笔记
- strcmp() 函数
- 求图书管理系统 源代码,和界面
- 解决CentOS中文乱码
- strcoll() 函数
- ACE学习手记-----智能指针(ACE_Intrusive_Auto_Ptr)
- CCSP 学习笔记
- strcpy() 函数
- 微软表示Windows 7将直接在CPU上跑DirectX 10
- Platform Builder学习手册(从零开始)
- greybox高级用法
- 手机电视依靠订阅收费难盈利
- CONST的用法
- 如何让shell检测必须输入一个整数值?
- 象素厘米转换