第1章 安全性概述 1
1.1 本书内容简介 1
1.1.1 身份认证、授权和统计 2
1.1.2 安全服务器协议 2
1.1.3 数据流过滤 3
1.1.4 网络数据加密 3
1.1.5 其他安全特性 3
1.2 创建有效的安全策略 4
1.2.1 安全策略的性质 4
1.2.2 安全策略的两个级别 5
1.2.3 开发有效的安全策略的技巧 5
1.3 认识安全危险和Cisco IOS解决方案 7
1.3.1 防止对网络设备的未经授权的访问 8
1.3.3 防止网络数据窃听 9
1.3.2 防止对网络的未经授权的访问 9
1.3.4 防止欺骗性路由更新 10
1.4 使用Cisco IOS软件创建防火墙 10
1.4.1 防火墙概述 10
1.4.2 创建防火墙 11
1.4.3 配置防火墙的其他指导原则 11
第一部分 身份认证、授权和统计(AAA) 15
第2章 AAA概述 15
2.1 AAA安全服务 15
2.1.1 使用AAA的益处 16
2.1.2 AAA基本原理 16
2.1.3 方法列表 17
2.2 从何处开始 18
2.2.1 AAA配置过程概述 18
2.2.2 启用AAA 18
2.2.3 停用AAA 18
2.3 下一步工作 19
第3章 配置认证 21
3.1 AAA身份认证方法列表 21
3.1.1 方法列表举例 22
3.1.2 配置AAA身份认证的通用步骤 23
3.2 AAA身份认证方法 23
3.2.1 使用AAA配置登录身份认证 23
3.2.2 使用AAA配置PPP身份认证 26
3.2.3 使用AAA配置ARA身份认证 28
3.2.4 使用AAA配置NASI身份认证 30
3.2.5 启用特权级口令保护 32
3.2.6 启用身份认证覆盖(override) 32
3.2.7 启用双重身份认证 33
3.3 非AAA身份认证方法 35
3.3.1 配置线路口令保护 35
3.3.3 启用CHAP或PAP身份认证 36
3.3.2 建立用户名身份认证 36
3.3.4 配置TACACS和扩展TACACS口令保护 40
3.4 身份认证示例 40
3.4.1 RADIUS身份认证示例 41
3.4.2 TACACS+身份认证示例 42
3.4.3 TACACS和扩展TACACS身份认证示例 43
3.4.4 Kerberos身份认证示例 43
3.4.5 双重身份认证配置示例 43
第4章 身份认证命令 51
4.1 aaa authentication arap 51
4.2 aaa authentication enable default 53
4.3 aaa authentication local-override 54
4.4 aaa authentication login 55
4.5 aaa authentication nasi 57
4.6 aaa authentication password-prompt 58
4.7 aaa authentication ppp 59
4.8 aaa authentication username-prompt 60
4.9 aaa new-model 61
4.10 access-profile 62
4.11 arap authentication 65
4.12 login authentication 66
4.13 login tacacs 67
4.14 nasi authentication 67
4.15 ppp authetication 68
4.16 ppp chap hostname 70
4.17 ppp chap password 71
4.18 ppp chap refuse 72
4.19 ppp chap wait 73
4.20 ppp pap sent-username 74
4.21 ppp use-tacacs 75
5.1 AAA授权类型 77
第5章 配置授权 77
5.2 AAA授权方法 78
5.3 AAA授权前的准备工作 78
5.4 AAA授权配置任务列表 78
5.5 配置授权 79
5.6 关闭全局配置命令授权 80
5.7 授权属性-值对(Attribute-Value Pair) 80
5.8 授权配置示例 80
5.8.1 TACACS+授权示例 81
5.8.2 RADIUS授权示例 81
5.8.3 Kerberos实例映射示例 82
第6章 授权命令 83
6.1 aaa authorization 83
6.2 aaa authorization config-commands 85
6.3 aaa new-model 86
7.1 AAA统计类型 89
第7章 配置统计 89
7.1.1 网络统计 90
7.1.2 连接统计 93
7.1.3 EXEC统计 95
7.1.4 系统统计 97
7.1.5 命令统计 98
7.2 AAA统的准备工作 98
7.3 AAA统计配置任务列表 98
7.4 启用AAA统计 99
7.4.1 禁止为用户名字符串为空的用户会话生成统计记录 99
7.4.2 生成临时统计记录 99
7.5 监视统计 100
7.6 统计属性-值对 100
7.7 统计配置示例 100
8.1 aaa accounting 103
第8章 统计命令 103
8.2 aaa accounting suppress null-username 105
8.3 aaa accounting update 105
8.4 show accounting 106
第二部分 安全服务器协议 111
第9章 配置RADIUS 111
9.1 RADIUS概述 111
9.2 RADIUS操作 112
9.4 为RADIUS服务器通信配置路由器 113
9.3 RADIUS配置任务列表 113
9.5 为厂商专用的RADIUS服务器通信配置路由器 114
9.6 配置路由器以便向RADIUS服务器查询静态路由和IP地址 115
9.7 指定RADIUS身份验证 115
9.8 指定RADIUS授权 115
9.9 指定RADIUS统计 115
9.12.1 RADIUS身份验证和授权示例 116
9.12 RADIUS配置示例 116
9.11 厂商专用的RADIUS属性 116
9.10 RADIUS属性 116
9.12.2 RADIUS AAA示例 117
9.12.3 厂商专用的RADIUS配置示例 118
第10章 RADIUS命令 119
10.1 ip radius source-interface 119
10.2 radius-server configure-nas 120
10.3 radius-server dead-time 121
10.4 radius-server host 122
10.5 radius-server host non-standard 123
10.6 radius-server key 124
10.7 radius-server retransmit 125
10.8 radius-server timeout 125
第11章 配置TACACS+ 127
11.1 TACACS+概述 127
11.2 TACACS+操作 128
11.3 TACACS+配置任务列表 129
11.4 指定TACACS+服务器主机 130
11.5 设置TACACS+身份验证密匙 131
11.6 指定TACACS+身份验证 131
11.7 指定TACACS+授权 131
11.8 指定TACACS+统计 131
11.9 TACACS+AV对 132
11.10 TACACS+配置示例 132
11.10.1 TACACS+身份验证示例 132
11.10.2 TACACS+授权示例 134
11.10.3 TACACS+统计示例 134
11.10.4 TACACS+后台程序配置示例 135
第12章 配置TACACS和扩展TACACS 137
12.1 TACACS协议描述 137
12.3 设置用户级TACACS口令保护 139
12.2 TACACS和扩展TACACS配置任务列表 139
12.4 关闭用户级口令核查 140
12.5 设置可选的口令验证 140
12.6 设置特权级TACACS口令保护 140
12.7 关闭特权级口令核查 141
12.8 设置用户操作通知 141
12.9 设置用户操作身份验证 142
12.10 建立TACACS服务器主机 142
12.11 限制尝试登录的次数 142
12.12 指定登录输入时间 143
12.13 启用扩展TACACS模式 143
12.14 为PPP身份验证启用扩展TACACS 143
12.15 为ARA身份验证启用标准TACACS 144
12.16 为ARA身份验证启用扩展TACACS 144
12.18 TACACS配置示例 145
12.17 启用TACACS,以使用特定的IP地址 145
第13章 TACACS、扩展TACACS和TACACS+命令 149
13.1 TACACS命令比较 149
13.2 arap use-tacacs 150
13.3 enable last-resort 152
13.4 enable use-tacacs 152
13.5 ip tacacs source-interface 153
13.6 tacacs-server attempts 154
13.7 tacacs-server authenticate 155
13.8 tacacs-server directed-request 156
13.9 tacacs-server extended 156
13.10 tacacs-server host 157
13.11 tacacs-server key 158
13.12 tacacs-server last-resort 159
13.13 tacacs-server login-timeout 160
13.15 tacacs-server optional-passwords 161
13.14 tacacs-server notify 161
13.16 tacacs-server retransmit 162
13.17 tacacs-server timeout 163
第14章 配置Kerberos 165
14.1 Kerberos概述 165
14.2 Kerberos客户支持操作 166
14.2.1 向边界路由器证明身份 167
14.2.2 从KDC取得TGT 167
14.2.3 向网络服务证明身份 168
14.3 Kerberos配置任务列表 168
14.4 使用Kerberos命令配置KDC 169
14.4.1 将用户加入到KDC数据库中 169
14.4.2 在KDC中创建SRVTAB 170
14.4.3 提取SRVTAB 170
14.5 配置路由器,使之使用Kerberos协议 170
14.5.1 定义Kerberos域 171
14.5.2 复制SRVTAB文件 172
14.5.3 指定Kerberos身份验证 172
14.5.4 启用证书转发功能 172
14.5.5 用Telnet登录到路由器 173
14.5.6 建立加密的Kerberized Telnet会话 173
14.5.7 启用强制性Kerberos身份验证 174
14.5.8 启用Kerberos实例映射 174
14.6 监视并维护Kerberos 175
14.7 Kerberos配置示例 175
14.7.1 定义Kerberos域示例 175
14.7.2 复制SRVTAB文件示例 175
14.7.3 Kerberos配置示例 175
14.7.4 指定加密Telnet会话示例 189
第15章 Kerberos命令 191
15.1 clear kerberos creds 191
15.2 connect 192
15.4 kerberos credentials forward 195
15.3 kerberos clients mandatory 195
15.5 kerberos instance map 196
15.6 kerberos local-realm 197
15.7 kerberos preauth 198
15.8 kerberos realm 199
15.9 kerberos server 200
15.10 kerberos srvtab entry 200
15.11 kerberos srvtab remote 202
15.12 key config-key 202
15.13 show kerberos creds 203
15.14 telnet 204
16.1 本章内容 211
16.2 关于访问控制列表 211
第16章 访问控制列表:概述和指南 211
第三部分 数据流过滤 211
16.2.1 访问列表的功能 212
16.2.2 为什么要配置访问列表 212
16.2.3 何时配置访问列表 212
16.2.4 基本访问控制列表与高级访问控制列表 213
16.3 访问列表配置概述 213
16.3.1 创建访问列表 213
16.3.2 给每个访问列表指定一个唯一的名称或编号 214
16.3.3 定义转发包或阻断分组的准则 215
16.3.4 在TFTP服务器上创建和编辑访问列表语句 215
16.3.5 将访问列表用于接口 216
16.4 查找访问列表的完整配置和命令信息 216
第17章 配置锁定和密钥安全性(动态访问列表) 217
17.1 本章内容 217
17.2 关于锁定和密钥 217
17.2.3 锁定和密钥的工作原理 218
17.2.1 锁定和密钥优点 218
17.2.2 何时使用锁定和密钥 218
17.3 Cisco IOS Release11.1与早期版本的兼容性 219
17.4 电子欺骗对锁定和密钥的威胁 219
17.5 锁定和密钥对路由器性能的影响 220
17.6 配置锁定和密钥前的准备工作 220
17.7 配置锁定和密钥 220
17.7.1 锁定和密钥配置的注意事项 221
17.8 验证锁定和密钥配置 222
17.9 锁定和密钥的维护 223
17.9.1 显示动态访问列表条目 223
17.9.2 手工删除动态访问列表条目 223
17.10 锁定和密钥配置示例 224
17.10.1 使用本地身份验证的锁定和密钥示例 224
17.10.2 使用TACACS+身份验证的锁定和密钥示例 224
18.1 access-enable 227
第18章 锁定和密钥命令 227
18.2 access-template 228
18.3 clear access-template 229
18.4 show ip accounting 230
第19章 配置IP会话过滤(反射访问列表) 233
19.1 本章的内容 233
19.2 关于反射访问列表 233
19.2.1 反射访问列表的优点 234
19.2.2 什么是反射访问列表 234
19.2.3 反射访问列表如何实现会话过滤 234
19.2.4 在何处配置反射访问列表 235
19.2.5 反射访问列表的工作原理 235
19.2.6 使用反射访问列表的限制 236
19.3 配置反射访问列表前的准备工作 236
19.3.1 选择内部接口还是外部接口 236
19.4.2 内部接口配置任务列表 237
19.4 配置反射访问列表 237
19.4.1 外部接口配置任务列表 237
19.4.3 定义反射访问列表 238
19.4.4 嵌套反射访问列表 239
19.4.5 设置全局超时值(可选) 239
19.5 反射访问列表配置示例 240
19.5.1 外部接口配置示例 240
19.5.2 内部接口配置示例 242
第20章 反射访问列表命令 243
20.1 evaluate 243
20.2 ip reflexive-list timeout 244
20.3 permit(reflexive) 245
第21章 配置TCP截取(防止拒绝服务攻击) 249
21.1 本章内容 249
21.2 关于TCP截取 249
21.4 启用TCP截取 250
21.3 TCP截取配置任务列表 250
21.5 设置TCP截取模式 251
21.6 设置TCP截取删除模式 251
21.7 更改TCP截取定时器 251
21.8 更改TCP截取主动阈值 252
21.9 监视和维护TCP截取 253
21.10 TCP截取配置范例 253
第22章 TCP截取命令 255
22.1 ip tcp intercept connection-timeout 255
22.2 ip tcp intercept drop-mode 256
22.3 ip tcp intercept finrst-timeout 257
22.4 ip tcp intercept list 257
22.5 ip tcp intercept max-incomplete high 258
22.6 ip tcp intercept max-incomplete low 259
22.7 ip tcp intercept mode 260
22.8 ip tcp intercept one-minute high 261
22.9 ip tcp intercept one-minute low 262
22.10 ip tcp intercept watch-timeout 263
22.11 show tcp intercept connections 264
22.12 show tcp intercept statistics 265
第四部分 网络数据加密 269
第23章 配置网络数据加密 269
23.1 为什么要加密 269
23.2 Cisco的加密实现 270
23.2.1 什么被加密了 270
23.2.2 分组在网络的什么地方被加密和解密 270
23.2.5 Cisco加密实现了哪些标准 271
23.2.6 Cisco加密如何工作 271
23.2.4 加密路由器如何识别其他对等加密路由器 271
23.2.3 加密分组何时被交换 271
23.3 配置加密前的准备工作 274
23.3.1 确定对等路由器 274
23.3.2 考虑网络拓扑结构 275
23.3.3 确定每个对等路由器中的加密引擎 275
23.3.4 理解实现要点和局限性 276
23.4 配置加密 277
23.4.1 生成DSS公钥/私钥 277
23.4.2 交换DSS公钥 278
23.4.3 启用DES加密算法 279
23.4.4 定义加密映射表,并将它们指定给接口 281
23.4.5 备份配置 283
23.5 GRE隧道加密配置 283
23.5.1 只对GRE隧道通信进行加密 283
23.5.2 对GRE隧道通信和其他通信都进行加密 283
23.6.1 重置ESA 284
23.6 VIP2中ESA加密配置 284
23.6.2 执行其他的加密配置 285
23.7 对Cisco7200系列路由器上的ESA进行加密配置 286
23.7.1 必须完成的任务 286
23.7.2 可选任务 286
23.7.3 重置ESA 286
23.7.4 执行其他加密配置 287
23.7.5 启用ESA 288
23.7.6 选择加密引擎 288
23.7.7 删除DSS密钥 289
23.8 定制加密(配置选项) 290
23.8.1 定义加密会话的持续时间 290
23.8.2 通过预先生成DH编号缩短会话的建立时间 290
23.8.3 修改加密访问列表的限制 291
23.10 加密测试和故障排除 292
23.9 关闭加密 292
23.10.1 测试加密配置 293
23.10.2 诊断连接故障 293
23.10.3 使用调试命令 295
23.11 加密配置示例 295
23.11.1 生成DSS公钥/私钥示例 296
23.11.2 交换DSS密钥示例 296
23.11.3 启用DES加密算法示例 298
23.11.4 建立加密访问列表、定义加密映射表并将它用于接口的示例 299
23.11.5 修改加密访问列表限制示例 303
23.11.6 GRE隧道加密配置示例 304
23.11.7 ESA特有加密配置任务示例 306
23.11.8 删除DSS密钥示例 308
23.11.9 测试加密连接示例 311
第24章 网络数据加密命令 313
24.1 access-list(encryption) 313
24.2 clear crypto connection 320
24.3 crypto algorithm 40-bit-des 321
24.4 crypto algorithm des 323
24.5 crypto clear-latch 324
24.6 crypto esa 325
24.7 crypto gen-signature-keys 326
24.8 crypto key-exchange 328
24.9 crypto key-exchange passive 330
24.10 crypto key-timeout 331
24.11 crypto map(global configuration) 332
24.12 crypto map(interface configuration) 334
24.13 crypto pregen-dh-pairs 335
24.14 crypto public-key 336
24.15 crypto sdu connections 337
24.16 crypto sdu entities 339
24.17 crypto zeroize 341
24.18 deny 342
24.19 ip access-list extended(encryption) 346
24.20 match address 347
24.21 permit 348
24.22 set algorithm 40-bit-des 353
24.23 set algorithm des 354
24.24 set peer 355
24.25 show crypto algorithms 355
24.26 show crypto card 356
24.27 show crypto connections 357
24.28 show crypto engine brief 358
24.29 show crypto engine configuration 359
24.30 show crypto engine connections active 361
24.31 show crypto engine connections dropped-packets 362
24.33 show crypto map 363
24.32 show crypto key-timeout 363
24.34 show crypto map interface 366
24.35 show crypto map tag 367
24.36 show crypto mypubkey 369
24.37 show crypto pregen-dh-pairs 369
24.38 show crypto pubkey 370
24.39 show crypto pubkey name 371
24.40 show crypto pubkey serial 372
24.41 test crypto initiate-session 373
第五部分 其他安全特性 377
第25章 配置口令和权限 377
25.1 保护对特权EXEC命令的访问 377
25.1.1 设置或修改静态有效口令 377
25.1.2 使用有效口令和有效密钥保护口令 378
25.1.3 设置或修改线路口令 378
25.2 加密口令 379
25.1.4 为特权EXEC模式设置TACACS口令保护 379
25.3 配置多重权限级别 380
25.3.1 设置命令的权限级别 380
25.3.2 修改线路的默认权限级别 380
25.3.3 显示当前的权限级别 380
25.3.4 登录到某个权限级别 381
25.4 恢复丢失的有效口令 381
25.4.1 恢复口令的步骤 382
25.4.2 第一种口令恢复方法 382
25.4.3 第二种口令恢复方法 383
25.5 恢复丢失的线路口令 385
25.6 配置标识支持 386
25.7 口令和权限配置示例 386
25.7.1 多重权限级别示例 386
25.7.2 用户名示例 387
26.1 enable 389
第26章 口令和权限命令 389
26.2 enable password 390
26.3 enable secret 391
26.4 ip identd 393
26.5 password 394
26.6 privilege level(global) 395
26.7 privilege level(line) 396
26.8 service password-encryption 397
26.9 show privilege 398
26.10 username 399
第27章 邻接路由器身份认证——概述和指南 403
27.1 本章内容 403
27.2 邻接身份认证的优点 403
27.4 何时配置邻接身份认证 404
27.5 邻接身份认证的工作原理 404
27.3 使用邻接身份认证的协议 404
27.5.2 明文身份认证 405
27.5.2 MD5身份认证 405
27.6 密钥管理(密钥链) 405
第28章 配置IP安全选项邻 407
28.1 本章的内容 407
28.2 配置基本IP安全选项 407
28.2.2 指定如何处理IP安全选项 408
28.2.1 启用IPSO并设置安全机密级别 408
28.3 配置扩展IP安全选项 409
28.3.1 配置全局默认设置 409
28.3.2 将ESO附加到接口 410
28.3.3 将AESO附加到接口 410
28.4 配置DNSIX审计跟踪功能 410
28.4.1 启用DNSIX审计跟踪功能 410
28.5.1 示例1 411
28.5 IPSO配置示例 411
28.4.3 指定传输参数 411
28.4.2 指定接收审计跟踪消息的主机 411
28.5.2 示例2 412
第29章 IP安全选项命令 413
29.1 dnsix-dmdp rebies 413
29.2 dnsix-nat authorized-redirection 414
29.3 dnsix-nat primary 414
29.4 dnsix-nat secondary 415
29.5 dnsix-nat source 416
29.6 dnsix-nat transmit-count 416
29.7 ip security add 417
29.8 ip security aeso 418
29.9 ip security dedicated 419
29.10 ip security eso-info 420
29.11 ip secadty eso-max 421
29.12 ip security eso-min 422
29.13 ip security extended-allowed 423
29.14 ip security first 424
29.15 ip security ignore-authorities 425
29.16 ip security implicit-labelling 426
29.17 ip secufity multilevel 427
29.18 ip security reserved-allowed 428
29.19 ip security strip 429
29.20 Show dnsix 430
附录A RADIUS属性 433
A.1 支持的RADIUS属性 433
A.2 RADIUS统计属性 435
A.3 RADIUS厂商专用特性 436
附录B TACACS+属性-值对 439
B.1 TACACS+属性-值对 439
B.2 TACACS+统计AV对 442