CCNP实验合辑

623977147@qq.co

Amazing

xiexie fengxiang

围墙

学习下。。。。

1123697506

不错！学习啦！

lawtu

求实验，多谢分享
求实验，多谢分享

小咪咪1988

就是啊

1081302221

PN
能为基于公用网络的远程用户提供如同在专用网络上一样的连通性
IPsec VPN在网络层提供保护
MPLS VPN、SSL VPN在传输层提供保护
VPN的两种类型：
LAN-to-LAN（Site-to-Site）和远程访问
LAN-to-LAN有两种：
---内部VPN：基于公共基础设施连接公司总部、远程办公室和分公司
---外部VPN：客户、供应商、合作伙伴以及利益集团通过公共基础设施连接到企业内部网
远程访问VPN：
远程用户安全的连接到企业网络
LAN-to-LAN VPN：
有多种技术可实现通过网络的协议隧道来建立VPN：
协议 描述
本帖隐藏的内容
GRE 通用路由选择封装
IPSec Internet协议安全
L2F 第2层转发（Cisco）
L2TF 第2层隧道协议
MPLS 多协议标签交换
PPTP 点对点隧道协议（Microsoft）
IPSec协议是为了使团体VPN安全的可供选择的协议，它只支持IP单点广播流程。
为实现多协议或IP多点广播隧道，必须使用其它隧道协议。
GRE可以在隧道中传播多点广播数据包。
GRE、L2TF都不支持数据加密和数据包完整性，不支持IP单点广播。
由此，IPSec能和GRE、L2TF联合使用来提供加密。
MPLS VPN是被ISP和大型企业使用的VPN技术。
包括路由器之间标签的发布、封装和IP多点广播等需要考虑的过程和协议。
GRE：通用路由选择封装
隧道在包经过共享WAN时，提供指定的路径并且用新的数据包头封装流量，以确保传送到指定的目标。网络是私有的，因为流量只能从端点进入。隧道不提供机密性，但隧道可以传输加密流量，IPSec可以用来对进入GRE隧道之前的数据进行加密，对离开GRE隧道之后的数据进行解密。
IOS密码系统
IOS密码系统完成3个主要任务：
1）加密
对称加密（或私有密钥加密）---包括数据加密标准：DES、3DES、AES
非对称加密---常用的算法有RSA、Diffie-Hellman、EI Gamal
2）验证
消息验证码（MAC）

散列消息验证码（HMAC）---MD5、SHA

数字签名
3）密钥管理
手动密钥交换
私有密钥交换---依靠两个密钥系统：公共密钥和私有密钥。
公共密钥用于终端用户的交换，私有密钥只有密钥的拥有者知道。
Diffie-Hellman在完成密钥交换时不需要实际私有密钥，是对加密数据建立密钥会话时所使用的算法
公共密钥交换
---每个接收者必须公布他的公共密钥。所发布的密钥后由证书颁发机构（CA）认证。
CA是一个完成发布公共密钥证书一得到所有通信成员的信任的实体

对称加密：
通过加密把明文变为密文
通过解密把密文变为明文
密钥既能加密有能解密
在IOS中三种秒加密算法：DES、3DES、AES
DES：
最广泛的使用标准之一
DES通过加密算法把明文变为密文，远程终端使用解密算法把密文恢复为明文。加密和解密使用相同的密钥。
DES使用64位密钥，其中56位是随机选择的，还有8位是奇偶校验和，每7位分得一位校验和。
3DES：
3DES也是使用64位密钥，它可以使用一个、二个或三个不同的密钥。
AES：
AES是最新的加密算法，它的密钥有128位、192位或256位。
非对称加密：
加密和解密时使用相同或不同的算法，但两种不同的算法必须可以相互补充。
被请求的公共密码和私有密码是不同的，但是两者必须有关系。
私有密钥只有接收者知道
公共密钥被公开，任何人都可以获得
公共密钥的发布不是秘密的操作
常用的算法有RSA、Diffie-Hellman、EI Gamal
RSA：
RSA签名---使用数字证书。提供认可
RSA加密---产生一个临时串叫nonce，它和对等端的公共密钥配合使用。不提供认可
Diffie-Hellman：
在通信双方之间建立共享的私有密钥，甚至在不安全的信道上进行通信

数据的完整性
HMAC：
HMAC保证了数据的完整性。在本地、数据和共享私有密钥经过散列算法（hash）来产生一个散列值。这里的HMAC把传输数据和共享私有密钥结合起来了。散列算法是单向的，也就是说传输信息可以得到一个散列值，但由散列值得不到传输信息。
在使用HMAC传输时，信息和散列通常是附在一起的。
在远端有两个处理过程：
1）接收到的信息和共享私有密钥再经过散列算法重新计算出散列值。
2）接收者把计算所得到的散列值和附在信息中的散列值进行比较，如果匹配则数据完整性得到保证。
有两种常用散列算法：
HMAC-MD5：使用128位的共享私有密钥，可变长信息和共享私有密钥绑定后通过HMAC-MD5产生一个128位的散列值，然后把这个散列值追加到原始信息末尾再转发出去。
HMAC-SHA-1：使用160位的共享私有密钥，可变长信息和共享私有密钥绑定后通过HMAC-SHA-1产生一个160位的散列值，然后把这个散列值追加到原始信息末尾再转发出去。
---------------------------------------------------------------------------------------------------
IPSec
IPSec是一个安全协议和算法的框架，它能使在网络层的数据安全传输，IPSec框架提供：安全会话、密钥管理、数据完整性、验证、机密性。
IPSec有两个协议组成：
AH和ESP都使用对称私有密钥算法
Authentication Header (AH):
通过数据包前加头在保护整个数据包，AH检验IP数据包的完整性。
为IP数据包提供无连接完整性和数据源认证，提供重放保护。
在使用隧道模式时，AH能被独自使用或和IP ESP结合使用，或者以嵌套的方式。
AH的结构：
SPI（安全参数索引）：显示这个数据包所使用的SA
64位的顺序号防止数据包重放
验证数据是数据包的HMAC值
Encapsulating Security Payload (ESP):
封装数据包但对外部的头不提供保护，ESP用来加密负载数据使其达到保密。
提供机密性、数据源验证、无连接完整性、反重放服务，通过防止流量分析来限制流量的机密性（依赖与SA建立和实现时的选择）
加密由DES、3DES完成
可选的验证和数据完整性由HMAC、keyed SHA-1、MD5提供
SA中包含两种不同的密钥类型：
加密会话密钥
HMAC会话密钥
ESP的结构：
SPI（安全参数索引）：显示这个数据包所使用的SA
顺序号字段
初始向量
有效负荷数据
扩展位
认证数据
在传输模式和隧道模式下，ESP和AH都能应用于IP数据包
传输模式：
安全只能提供给传输层以及以上的层
保护数据包载荷但不保护源IP地址
AH头通常为每个数据包增加24字节
ESP头通常每包增加到37字节
隧道模式：
对整个源IP数据包进行保护，整个源IP数据包进行加密
加密数据包被封装在另一个IP数据包中，外层的IP地址用来路由通过Internet的数据包，新的AH头和可选的隧道头被加到数据包
隧道IP和AH头为每个数据包增加44字节
隧道头和ESP头为每个数据包增加到57字节
如果在隧道模式下同时使用AH和ESP，需为每个数据包增加到101字节
安全关联（SA）
SA代表两对等体或两主机之间的契约，描述对等体将怎样使用IPSec安全服务来保护网络流量，SA定义了在IPSec中所使用的安全策略
SA一般包含单向的说明书，在一个通路上每个封装协议（AH和ESP）都有各自的SA
VPN设备把所有的活动SA存入本地数据库（SADB）
一个SA包含以下的安全参数：
验证/加密算法
为验证协商交换密钥或HMAC
SA使用网络流量说明书
IPSec AH或ESP封装协议和隧道或传输模式
SPI是一个32位的数字，用来表示每个建立的SA，在SADB里惟一对应一个特定的SA。SPI被写到IPSec报头，用来接收系统中定位适当的SA。
IKE
IKE是一个混合协议
IKE提供IPSec对等体验证、协商IPSec密钥和协商IPSec安全关联
实现IKE的技术组件：
DES
3DES 168位加密
密码块连接（CBC）
Diffie-Hellman
MD5，一个HMAC变量
SHA，一个HMAC变量
RSA签名和RSA加密的临时值
IPSec的5个步骤：

1）感兴趣数据流初始话IPSec过程
2）在IKE第一阶段，IKE验证IPSec对等体协商IKE SA，为在IKE第二阶段协商IPSec SA建立一个安全通信信道
3）在IKE第二阶段协商IPSec SA参数且和对等体建立匹配的IPSec SA，这些安全参数用来保护对等体之间所交换的数据和信息
4）在数据传输阶段，基于IPSec参数和保存在SADB中的密钥来进行IPSec对等体之间的数据传输
5）在IPSec终止阶段，通过删除或超时来终止IPSec SA

配置IKE：
crypto isakmp enable---启用或禁止IKE
crypto isakmp policy---建立IKE策略
crypto isakmp key---配置预共享密钥
show crypto isakmp policy
配置IPSec：
crypto ipsec transform-set---配置交换集
crypto ipsec security-association lifetime---配置IPSec安全关联存活期
access-list---配置加密ACL
crypto map---配置加密映射
interface和crypto map---把机密映射应用到源/目接口
实验：

首先配置静态路由全网全通
R1：ip route 0.0.0.0 0.0.0.0 12.1.1.2
R2：ip route 0.0.0.0 0.0.0.0 12.1.1.1
配置IKE协商：
R1(config)#crypto isakmp enable
R1(config)#crypto isakmp policy 1
R1(config-isakmp)#hash md5
R1(config-isakmp)#authentication pre-share
R1(config)#crypto isakmp key benet address 12.1.1.2
配置IKE相关参数：
R1(config)#crypto ipsec transform-set benet-set ah-md5-hmac esp-des
R1(config)#access-list 110 permit ip 13.1.1.0 0.0.0.255 24.1.1.0 0.0.0.255
配置端口的应用：
R1(config)#crypto map benetmap 1 ipsec-isakmp
R1(config-crypto-map)#set peer 12.1.1.2
R1(config-crypto-map)#set transform-set benet-set
R1(config-crypto-map)#match address 110
R1(config)#interface Serial0/0
R1(config-if)#crypto map benetmap
R2原理同R1


配置IKE协商：
R2(config)#crypto isakmp enable
R2(config)#crypto isakmp policy 1
R2(config-isakmp)#hash md5
R2(config-isakmp)#authentication pre-share
R2(config)#crypto isakmp key benet address 13.1.1.3
配置IKE相关参数：
R2(config)#crypto ipsec transform-set benet-set ah-md5-hmac esp-des
R2(config)#access-list 110 permit ip 24.1.1.0 0.0.0.255 35.1.1.0 0.0.0.255
配置端口的应用：
R2(config)#crypto map benetmap 1 ipsec-isakmp
R2(config-crypto-map)#set peer 13.1.1.3
R2(config-crypto-map)#set transform-set benet-set
R2(config-crypto-map)#match address 110
R2(config)#interface Serial0/0
R2(config-if)#crypto map benetmap
R2原理同R3

狐狼象鹰

正在看np的，正好可以！

Loneliness。

jjlklkldfsdf

suannaizhu