雏鹰部落

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
楼主: Answer

[讨论/求助] CCNP实验合辑

    [复制链接]
发表于 2012-2-17 03:05:25 | 显示全部楼层
发表于 2012-2-17 13:54:18 | 显示全部楼层
xiexie fengxiang

发表于 2012-2-22 10:39:42 | 显示全部楼层
学习下。。。。
发表于 2012-3-3 18:02:16 | 显示全部楼层
不错!学习啦!
发表于 2012-3-7 16:05:57 | 显示全部楼层
求实验,多谢分享
求实验,多谢分享
发表于 2012-3-7 23:12:34 | 显示全部楼层
就是啊
发表于 2012-3-17 09:43:03 | 显示全部楼层
PN
能为基于公用网络的远程用户提供如同在专用网络上一样的连通性
IPsec VPN在网络层提供保护
MPLS VPN、SSL VPN在传输层提供保护
VPN的两种类型:
LAN-to-LAN(Site-to-Site)和远程访问
LAN-to-LAN有两种:
---内部VPN:基于公共基础设施连接公司总部、远程办公室和分公司
---外部VPN:客户、供应商、合作伙伴以及利益集团通过公共基础设施连接到企业内部网
远程访问VPN:
远程用户安全的连接到企业网络
LAN-to-LAN VPN:
有多种技术可实现通过网络的协议隧道来建立VPN:
协议 描述
本帖隐藏的内容
GRE 通用路由选择封装
IPSec Internet协议安全
L2F 第2层转发(Cisco)
L2TF 第2层隧道协议
MPLS 多协议标签交换
PPTP 点对点隧道协议(Microsoft)
IPSec协议是为了使团体VPN安全的可供选择的协议,它只支持IP单点广播流程。
为实现多协议或IP多点广播隧道,必须使用其它隧道协议。
GRE可以在隧道中传播多点广播数据包。
GRE、L2TF都不支持数据加密和数据包完整性,不支持IP单点广播。
由此,IPSec能和GRE、L2TF联合使用来提供加密。
MPLS VPN是被ISP和大型企业使用的VPN技术。
包括路由器之间标签的发布、封装和IP多点广播等需要考虑的过程和协议。
GRE:通用路由选择封装
隧道在包经过共享WAN时,提供指定的路径并且用新的数据包头封装流量,以确保传送到指定的目标。网络是私有的,因为流量只能从端点进入。隧道不提供机密性,但隧道可以传输加密流量,IPSec可以用来对进入GRE隧道之前的数据进行加密,对离开GRE隧道之后的数据进行解密。
IOS密码系统
IOS密码系统完成3个主要任务:
1)加密
对称加密(或私有密钥加密)---包括数据加密标准:DES、3DES、AES
非对称加密---常用的算法有RSA、Diffie-Hellman、EI Gamal
2)验证
消息验证码(MAC)

散列消息验证码(HMAC)---MD5、SHA

数字签名
3)密钥管理
手动密钥交换
私有密钥交换---依靠两个密钥系统:公共密钥和私有密钥。
公共密钥用于终端用户的交换,私有密钥只有密钥的拥有者知道。
Diffie-Hellman在完成密钥交换时不需要实际私有密钥,是对加密数据建立密钥会话时所使用的算法
公共密钥交换
---每个接收者必须公布他的公共密钥。所发布的密钥后由证书颁发机构(CA)认证。
CA是一个完成发布公共密钥证书一得到所有通信成员的信任的实体

对称加密:
通过加密把明文变为密文
通过解密把密文变为明文
密钥既能加密有能解密
在IOS中三种秒加密算法:DES、3DES、AES
DES:
最广泛的使用标准之一
DES通过加密算法把明文变为密文,远程终端使用解密算法把密文恢复为明文。加密和解密使用相同的密钥。
DES使用64位密钥,其中56位是随机选择的,还有8位是奇偶校验和,每7位分得一位校验和。
3DES:
3DES也是使用64位密钥,它可以使用一个、二个或三个不同的密钥。
AES:
AES是最新的加密算法,它的密钥有128位、192位或256位。
非对称加密:
加密和解密时使用相同或不同的算法,但两种不同的算法必须可以相互补充。
被请求的公共密码和私有密码是不同的,但是两者必须有关系。
私有密钥只有接收者知道
公共密钥被公开,任何人都可以获得
公共密钥的发布不是秘密的操作
常用的算法有RSA、Diffie-Hellman、EI Gamal
RSA:
RSA签名---使用数字证书。提供认可
RSA加密---产生一个临时串叫nonce,它和对等端的公共密钥配合使用。不提供认可
Diffie-Hellman:
在通信双方之间建立共享的私有密钥,甚至在不安全的信道上进行通信

数据的完整性
HMAC:
HMAC保证了数据的完整性。在本地、数据和共享私有密钥经过散列算法(hash)来产生一个散列值。这里的HMAC把传输数据和共享私有密钥结合起来了。散列算法是单向的,也就是说传输信息可以得到一个散列值,但由散列值得不到传输信息。
在使用HMAC传输时,信息和散列通常是附在一起的。
在远端有两个处理过程:
1)接收到的信息和共享私有密钥再经过散列算法重新计算出散列值。
2)接收者把计算所得到的散列值和附在信息中的散列值进行比较,如果匹配则数据完整性得到保证。
有两种常用散列算法:
HMAC-MD5:使用128位的共享私有密钥,可变长信息和共享私有密钥绑定后通过HMAC-MD5产生一个128位的散列值,然后把这个散列值追加到原始信息末尾再转发出去。
HMAC-SHA-1:使用160位的共享私有密钥,可变长信息和共享私有密钥绑定后通过HMAC-SHA-1产生一个160位的散列值,然后把这个散列值追加到原始信息末尾再转发出去。
---------------------------------------------------------------------------------------------------
IPSec
IPSec是一个安全协议和算法的框架,它能使在网络层的数据安全传输,IPSec框架提供:安全会话、密钥管理、数据完整性、验证、机密性。
IPSec有两个协议组成:
AH和ESP都使用对称私有密钥算法
Authentication Header (AH):
通过数据包前加头在保护整个数据包,AH检验IP数据包的完整性。
为IP数据包提供无连接完整性和数据源认证,提供重放保护。
在使用隧道模式时,AH能被独自使用或和IP ESP结合使用,或者以嵌套的方式。
AH的结构:
SPI(安全参数索引):显示这个数据包所使用的SA
64位的顺序号防止数据包重放
验证数据是数据包的HMAC值
Encapsulating Security Payload (ESP):
封装数据包但对外部的头不提供保护,ESP用来加密负载数据使其达到保密。
提供机密性、数据源验证、无连接完整性、反重放服务,通过防止流量分析来限制流量的机密性(依赖与SA建立和实现时的选择)
加密由DES、3DES完成
可选的验证和数据完整性由HMAC、keyed SHA-1、MD5提供
SA中包含两种不同的密钥类型:
加密会话密钥
HMAC会话密钥
ESP的结构:
SPI(安全参数索引):显示这个数据包所使用的SA
顺序号字段
初始向量
有效负荷数据
扩展位
认证数据
在传输模式和隧道模式下,ESP和AH都能应用于IP数据包
传输模式:
安全只能提供给传输层以及以上的层
保护数据包载荷但不保护源IP地址
AH头通常为每个数据包增加24字节
ESP头通常每包增加到37字节
隧道模式:
对整个源IP数据包进行保护,整个源IP数据包进行加密
加密数据包被封装在另一个IP数据包中,外层的IP地址用来路由通过Internet的数据包,新的AH头和可选的隧道头被加到数据包
隧道IP和AH头为每个数据包增加44字节
隧道头和ESP头为每个数据包增加到57字节
如果在隧道模式下同时使用AH和ESP,需为每个数据包增加到101字节
安全关联(SA)
SA代表两对等体或两主机之间的契约,描述对等体将怎样使用IPSec安全服务来保护网络流量,SA定义了在IPSec中所使用的安全策略
SA一般包含单向的说明书,在一个通路上每个封装协议(AH和ESP)都有各自的SA
VPN设备把所有的活动SA存入本地数据库(SADB)
一个SA包含以下的安全参数:
验证/加密算法
为验证协商交换密钥或HMAC
SA使用网络流量说明书
IPSec AH或ESP封装协议和隧道或传输模式
SPI是一个32位的数字,用来表示每个建立的SA,在SADB里惟一对应一个特定的SA。SPI被写到IPSec报头,用来接收系统中定位适当的SA。
IKE
IKE是一个混合协议
IKE提供IPSec对等体验证、协商IPSec密钥和协商IPSec安全关联
实现IKE的技术组件:
DES
3DES 168位加密
密码块连接(CBC)
Diffie-Hellman
MD5,一个HMAC变量
SHA,一个HMAC变量
RSA签名和RSA加密的临时值
IPSec的5个步骤:

1)感兴趣数据流初始话IPSec过程
2)在IKE第一阶段,IKE验证IPSec对等体协商IKE SA,为在IKE第二阶段协商IPSec SA建立一个安全通信信道
3)在IKE第二阶段协商IPSec SA参数且和对等体建立匹配的IPSec SA,这些安全参数用来保护对等体之间所交换的数据和信息
4)在数据传输阶段,基于IPSec参数和保存在SADB中的密钥来进行IPSec对等体之间的数据传输
5)在IPSec终止阶段,通过删除或超时来终止IPSec SA

配置IKE:
crypto isakmp enable---启用或禁止IKE
crypto isakmp policy---建立IKE策略
crypto isakmp key---配置预共享密钥
show crypto isakmp policy
配置IPSec:
crypto ipsec transform-set---配置交换集
crypto ipsec security-association lifetime---配置IPSec安全关联存活期
access-list---配置加密ACL
crypto map---配置加密映射
interface和crypto map---把机密映射应用到源/目接口
实验:

首先配置静态路由全网全通
R1:ip route 0.0.0.0 0.0.0.0 12.1.1.2
R2:ip route 0.0.0.0 0.0.0.0 12.1.1.1
配置IKE协商:
R1(config)#crypto isakmp enable
R1(config)#crypto isakmp policy 1
R1(config-isakmp)#hash md5
R1(config-isakmp)#authentication pre-share
R1(config)#crypto isakmp key benet address 12.1.1.2
配置IKE相关参数:
R1(config)#crypto ipsec transform-set benet-set ah-md5-hmac esp-des
R1(config)#access-list 110 permit ip 13.1.1.0 0.0.0.255 24.1.1.0 0.0.0.255
配置端口的应用:
R1(config)#crypto map benetmap 1 ipsec-isakmp
R1(config-crypto-map)#set peer 12.1.1.2
R1(config-crypto-map)#set transform-set benet-set
R1(config-crypto-map)#match address 110
R1(config)#interface Serial0/0
R1(config-if)#crypto map benetmap
R2原理同R1


配置IKE协商:
R2(config)#crypto isakmp enable
R2(config)#crypto isakmp policy 1
R2(config-isakmp)#hash md5
R2(config-isakmp)#authentication pre-share
R2(config)#crypto isakmp key benet address 13.1.1.3
配置IKE相关参数:
R2(config)#crypto ipsec transform-set benet-set ah-md5-hmac esp-des
R2(config)#access-list 110 permit ip 24.1.1.0 0.0.0.255 35.1.1.0 0.0.0.255
配置端口的应用:
R2(config)#crypto map benetmap 1 ipsec-isakmp
R2(config-crypto-map)#set peer 13.1.1.3
R2(config-crypto-map)#set transform-set benet-set
R2(config-crypto-map)#match address 110
R2(config)#interface Serial0/0
R2(config-if)#crypto map benetmap
R2原理同R3

发表于 2012-3-18 01:04:31 | 显示全部楼层
正在看np的,正好可以!
发表于 2012-3-18 13:54:08 | 显示全部楼层
jjlklkldfsdf
发表于 2012-3-19 14:58:51 | 显示全部楼层
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|熊猫同学技术论坛|小黑屋| 网络工程师论坛 ( 沪ICP备09076391 )

GMT+8, 2024-11-23 02:00 , Processed in 0.076371 second(s), 14 queries , Gzip On.

快速回复 返回顶部 返回列表