CCNA Security 第二天

最新推荐文章于 2021-07-31 01:31:48 发布

weixin_33800593

最新推荐文章于 2021-07-31 01:31:48 发布

阅读量159

点赞数

原文链接：http://blog.51cto.com/skybird/604052

版权

2.1 掌握ACS4.1安装
安装前准备
4.0：操作系统为服务器版（Windows NT/Linux OS），最好为英文版，一定要安装JAVA软件。
5.0: 操作系统为Linux OS,硬件要求：CPU，双核硬盘500G，内存4GB。

向Cisco购买方式
1.光盘（带有安装文件）
2.安装完毕的服务器

5.0:
1.光盘(VM ESX)
2.安装完毕的服务器
注：可以说ACSv4到ACSv5又是一个变格，就像PIX 6.0到7.0变格。个人感觉ACSv5更人性化。
安装文件大家可以从网上下载，或者向我所取。

2.2 配置ACS用户名与密码认证
aaa new-model
注：默认Router/Switch上是AAA是禁用的。
aaa authentication login noau line none
注：配置一个线下认证策略，名字为noau。线下有密码需要认证，无密码不认证。
建议：当我们在工程中配置AAA时，存在危险性的，一定要注意几点
1.记得做线下保护，保证Console、Aux口不受影响。
2.不要随时保存你的配置，一切测试完毕方可保存。
3.最好本地通过Console来配置，如远程通过Telnet/SSH配置时，建议挂2-3个会话（线下exec-timeout 0 0 ）。
line con 0
login authentication noau
line aux 0
login authentication noau

tacacs-server host 202.100.1.241 key cisco
radius-server host 202.100.1.241 key cisco上

aaa group server tacacs+ 3AT
server-private 202.100.1.241 key cisco
aaa group server radius 3AR
server-private 202.100.1.241 key cisco

注：定义AAA服务器有两组命令，上为老命令，下为新命令。
ACS上创建NAS Client部分略，当我们创建完毕后，记得测试，保证到AAA的连通性

AAA#test aaa group tacacs+ test cisco new-code
Sending password
User successfully authenticated

AAA#test aaa group tacacs+ test cisco legacy
Attempting authentication test to server-group tacacs+ using tacacs+
User was successfully authenticated.
注：测试时，new-code与legacy两个命令集哪个都可以，没有太大的区别。

aaa authentication login vty group tacacs+ local
line vty 0 4
login authentication vty
注：定义AAA认证策略时，我们可以做个本地备份，也就是local关键字。也就是说当AAA服务器宕机了，
本地创建用户会生效。我个人不建议做本地备份，因为多多少少会影响咱们设备的性能。强烈建议做服务器备份。

AAA Policy分为name与default的，name刚才配置我们已经看到了，需要调用，后者不需要,自动运用
到支持这种策略的接口。
如果一台设备上同时配置name与default的，name是优先于default的。什么时候default策略呢？
当我们配置802.1技术，×××技术，或者是H.323技术时，就会用到default策略.

2.3 配置与安装SDM
username http privilege 15 password http
username https privilege 15 password https
ip http server
ip http secure-server
ip http authentication local

安装文件大家可以从网上下载，或者向我所取，SDM安装部分省略。

2.4 配置Auto Secure
AAA#auto secure
AAA#sh fl
System CompactFlash directory:
File Length Name/status
1 2804 pre_autosec.cfg
[2868 bytes used, 134214856 available, 134217724 total]
131072K bytes of ATA System CompactFlash (Read/Write）
注：当我们配置完成后，在flash:下会生成一个pre_autosec.cfg 配置文件，我们可以通过这个配置文件，
恢复原始配置，有两组命令
AAA#configure replace flash:pre_autosec.cfg
This will apply all necessary additions and deletions
to replace the current running configuration with the
contents of the specified configuration file, which is
assumed to be a complete configuration, not a partial
configuration. Enter Y if you are sure you want to proceed. ? [no]: yes
Overwriting with a file sized 50% or less than running config's. Proceed? [no]: yes
注意：有些配置是不可以恢复的，必须还要手工的NO掉。

AAA#copy flash:pre_autosec.cfg running-config

auto secure两大功能
1.禁用适当的IP服务，防止网络***。
2.打开IP服务与特性，协助抵御***。

2.5 配置Syslog
logging on
注：默认Router/Switch启用。
logging trap notifications
logging 202.100.1.241

logging能够更好的帮助我们排错，更好的分析事件关联。在工程当时也是相当重要的一部分。
logging 级别0-7，级别越高，产生的事件越不重要，越低越重要。
logging分类：1.Console(logging console) 2.VTY Line (terminal monitor )
3.Buffer(logging buffered ) 4.SNMP Server 5.Syslog Server

2.6 配置SNMPv1/v2/v3
snmp-server location GZ
snmp-server contact ZL
snmp-server enable trap
注：在项目中不建议直接trap，比如我们想查看设备CPU利用率，直接后面跟CPU就可以。
snmp-server host 202.100.1.100
snmp-server community GZ ro
snmp-server community GZ rw

snmp-server engineID local 8888888888 （可选配置）
snmp-server engineID remote 202.100.1.100 1234567890（可选配置）
snmp-server group G1 v3 priv read test write test
snmp-server view test mib-2 included
snmp-server user user1 G1 v3 auth md5 cisco123 pri des cisco
snmp-server host 202.100.1.200 version 3 priv user1

项目中比较常见的SNMP软件：CACTI、Ciscoworks2000、MTRG、PRTG等。

2.7 配置SSHV2
host SSH-Server
ip domain name cisco.com
crypto key generate rsa
注：建议产生的key选择1024，如果512，则SSHv2不能登陆。
username ssh password cisco
line vty 0 4
login local
transport input ssh

测试
AAA#ssh -l ssh 202.100.1.2
Password:
SSH-Server>
SSH-Server#sh ssh
Connection Version Mode Encryption Hmac         State                 Username
98         1.99     IN   aes128-cbc hmac-sha1    Session started       ssh
SSH-Server#who
    Line       User       Host(s)              Idle       Location
* 0 con 0                idle                 00:00:00
98 vty 0     ssh        idle                 00:00:28 202.100.1.1

SSH-Server#clear line 98
[confirm]
[OK]
建议在项目上做对设备网管时，配置SSH，不要配置telnet，因为telnet流量是明文的。

2.8 配置NTPv3
clock timezone GMT +8
NTP-Server#clock set 19:58:58 july 5 2011
ntp authentication-key 1 md5 cisco123
ntp authenticate
ntp trusted-key 1
ntp master 2

clock timezone GMT +8
ntp authentication-key 1 md5 cisco123
ntp authenticate
ntp trusted-key 1
ntp server 202.100.1.1 key 1

NTP同步时间，是无法同步时区的，所建议配置时配置时区。

测试：NTP.Client#sh ntp status
Clock is synchronized, stratum 3, reference is 202.100.1.1
nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**18
reference time is D0338279.FB58B659 (23:57:45.981 GMT Thu Sep 9 2010)
clock offset is -5.4901 msec, root delay is 19.68 msec
root dispersion is 15880.54 msec, peer dispersion is 15875.02 msec

转载于:https://blog.51cto.com/skybird/604052