CCNP 筆記本

2009 年 02 月 17 日

CCNP-ISCW Module 03 IPSec VPNs(2)

Filed under: CCNP-ISCW Module 03 — nkongkimo @ 03:49:12
IPSec Framework 2大類

 

方式

步驟

細節

 

KEY management tunnel

建立一個安全的KEY的協商管道

IKE

(Internet Key Exchange)

實做的方法

Phase 1:

建立KEY management tunne相關的參數

*建立IKE SA

1.Authenticate the Peers驗證對方設備之間的驗證

 

2.協商雙向的SA(Security Association)

會把peer資訊、雙方相關的安全參數…放在一個Security的DB裡面

建立安全協商環境  利用Diffie-Hellman演算法(非對加密演算法)

目的在建立加密用的Key(HMAC)

*IKE SA為雙向

3.建立IKE SA的方法

建立控制訊號(SA)傳送所需要的參數

(1)Main mode: (標準)

優點 較安全
缺點 需要較多程序

(2)Aggressive mode: (較簡易 option)

優點 較簡單、快速
缺點 無法驗證對方的身分

Phase 1.5:

(option)

用於remote-to-site VPN

1.Xauth : User的驗證,用於remote-to-site VPN去驗證。

可用AAA OTP或本機其他驗證方式

2.Mode config : (option) 用於建立VPN後由server push相關的參數。

Phase 2:

建立Data management tunnel相關的參數

*建立IPSec SA

1.IPSec SA:

建立Data訊號(SA)傳送所需要的參數

*IPSec SA為單向分為Outbound或Inbound

2.Quick mode: (建立IPSec SA的方法)

Agreessive Mode協商方式類似,以達到快速協商。

ISAKMP

(Internet security association and Key managmant  protocol)

安全關聯跟key的管理協定。

 

Key management

1.ISAKMP: ISAKMPIKE來實做。

2.SKEME:  用來做keyreflash,自動更換key

3.Oakley: diffie-Hellman演算法,來安全交換加密用的key的演算法

4.key

交換的方法

Manual(手動交換較不方便)

Secret Key Exchange (diffie-hellman 自動交換)

Public Key Exchange (CA(憑證中心)來交換,類似數位憑證)

SA(Security Association)

單一方向認證,也可以說是Security policy(詳細資訊在此篇最下方)

Data management tunnel

建立一個安全的Data的傳輸管道

AH(Authentication Header)

只對來源ip header & 資料做正確性的驗證&認證,沒有對資料做加密(較少人使用)

Protocol number : 51

Transport mode:

*建立tunnel時不變更原來的ip header 只變更protocol number

*NAT & PAT下無法使用。

*適用於小型區網(host-to-host)

 

Tunnel mode:

*在區域網內用明文方式傳送,到Tunnel時加密傳送

*建立tunnel時插入新的ip header故新的IP可以routing

*驗證包含IP header & Payload

*NAT & PAT下可以使用。

*適用於大型區域網(client-to-site VPNgatway-to-gatwaysite-to-site)

ESP(Encapsulating Security Payload)

對來源 ip header & 資料做完整(正確)性&認證&加密payload(最常用的方式)

Protocol number : 50

Transport mode:

*建立tunnel時不變更原來的ip header 只變更protocol number

*NAT & PAT下無法使用。

*適用於小型區網(host-to-host)

Tunnel mode: (最常用的方式)

*在區域網內用明文方式傳送,到tunnel時加密傳送。

*建立tunnel時插入新的ip header故新的IP可以routing

*加密的部份&驗證的部份都是針對Payload做檢查,不包含IP header。

*NAT & PAT下可以使用。

*適用於大型區域網(client-to-site VPNgatway-to-gatwaysite-to-site)

*建議用ESP+AH就可以把IP hader & Payload做加密及驗證。 

SA (Security Association) 單一方向認證,也可以說是Security policy

步驟

名稱

細節

1.

Authentication method

驗證的方法

2.

Encryption algorithm

加解密的方法

3.

Encryption & authentication key

壓縮和認證的key

Encryption

Symmetric(對稱式):

*加密與解密的key是一樣的

*用於資料傳輸的加密

(1)DES:Key的長度為56bits

(2)3DES:做3次DES,key的長度為168bits

(3)AES:key的長度為128、192、256bits最常用(較安全且效率較好)

Asymmetric(非對稱式):

*加密與解密的key是不一樣的,每一個單位都會產生一個key,會產生公鑰與私鑰。

*用於key的加密

RSA:使用Diffie-Hellman Group 1、2來交換key。

PKI:利用CA的憑證驗證雙方

Authentication

Digital Signature(數位憑證)

MAC(hash的機制)

HMAC (hash的機制)

MD5(已遭破解)

*長度為128bits

SHA-1(較安全)

*長度為160bits

4.

Life time of  SA(時效性)

可設定時間(10sec)及傳遞資料量當作單位

5.

Sequence number

可避免replay攻擊

  

廣告

2009 年 02 月 09 日

CCNP-ISCW Module 06 Cisco IOS Threat Defense Features(1)

Filed under: CCNP-ISCW Module 06 — nkongkimo @ 08:03:39

DMZ 的概念

*DMZ:非軍事區

基本型DMZ設計
image
image

image

Firewall

image

Packet Filtering的種類

Packet filtering

*傳統的firewall設計為stateless的架構,ACL去的方向和回來的方向都要自己定義。

*在TCP連線中可以用”established”(接受內對外的連線)指令去設定一達到stateful的功能,但較繁雜。

*在UDP連線中無法達到stateful的功能

image

Stateful packet Filtering

*自動判斷連進來的session
*只有特定的Protocol有Proxy(Http、mail、Ftp)
*安全性較佳
*缺點為支援程度較差
*目前的FW都是stateful的作法

image

Cisoc IOS firewell的功能&資安防護流程

1.Firewall

(第1步)

一般的Firewall

Layer 3 (IP)

Layer 4 (port)

*達到政策上的管制

*可預防DoS的攻擊

*自動建立stateful filtering

2.Authentication Proxy

(第2步)

認證Proxy

 

*提供使用者身份/權限認證的功能

*支援http https telnet ftp ssh …

3.IPS/IDS

(第3步)

入侵防禦/偵測系統

Layer 7

*可做封包檢核的功能

*需要考慮bypass模組

*IPD可對攻擊做出警示、丟棄或阻擋的功能

*在RAM會建立資料庫建立攻擊或病毒特徵碼

4.PAM

(Port to Application Mapping)

    *port對應Application的功能

TCP & UDP 封包檢查

TCP Session檢查的方式
*Session table裡面的資料:

1.Source IP
2.Source Port
3.Destination IP
4.Destination Port
5.Sequence Number

image

UDP Session檢查的方式
*Session table裡面的資料

1.Source IP
2.Source Port
3.Destination IP
4.Destination Port
5.UDP Responses
6.Within a Timeout

image

IOS Firewell設定的方法

1

Audit Trails configuartion(告警的設定)

image

2

把Audit Trails 套用在介面上

image

image

image

image

image

Firewell for SDM 設定步驟

1.Basic Firewell的方式*預設套用在外部的介面

image

1.選擇Basic的方式
image
2.選擇Outside & Inside的介面
image
3.完成設定並顯示設定指令
image
4.查看Inspection設定
image
5.查看由反方向進來的資料流
image

2.Advanced Firewell的設定方式

1.選擇Advanced的方式
image
2.增加DMZ區及選擇Trust及Untrust區域
image
3.新增ACL的Rule
image
image
4.建立policy或使用cisco內建的policy
image
5.針對application阻擋
image
image
6.設定是否需要做告警及稽核的紀錄
image
7.完成並建立名稱
image

3.查看Firewell Logging的紀錄及設定方式

1.設定logging的logging Level及buffer
image
2.查看logging Message
image

CCNP-ISCW Module 06 Cisco IOS Threat Defense Features(2)

Filed under: CCNP-ISCW Module 06 — nkongkimo @ 07:41:25

IDS/IPS 入侵偵測/防禦系統

image

image

IDS/IPS比較

項目 IDS ISP

介接方式

Off-line(被動元件)

In-line(主動元件)

故障處理

不影響資料傳輸

斷線,需搭配bypass模組

告警方式

主動告警

主動告警

防禦方式

需搭配Firewall來阻擋

類似防毒軟体,主動防禦

H.A

較簡單

較困難(通常不作)

介面

會有多個介面介接設備

會有多個介面介接設備

IDS/IPS擺放位置

*建議放在FW的前跟後,大部分放在FW後面
image

IDS/IPS 系統及防護的種類

image

IDS/IPS種類

種類

功能

用途

備註

 

Signature-Based

跟防毒軟體類似會更新病毒碼

病毒攻擊

*會定期更新病毒碼,以達到防護的效果。

 

Signature-Based

圖形

 

Signature-Based

類型

1. Exploit

類似病毒碼,誤判率低。

 

2. Connection

依據特定的協定、服務、port、連線數量。

3. String

依據data的內容、字串

4. DoS

依據DoS attack

Policy-

Based

*政策性管理

*會賦予一個門檻

DDOS 攻擊

Port Scan攻擊PING 攻擊

會對服務種類進行統計,依單位、時間、次數來建立門檻,以達到防護的效果。

 

Policy-

Based

圖形

 

Anomaly-Based

*依協定的規範              

*統計分析上網行為

變更frame欄位攻擊

*違反協定的一律丟掉

*透過人工智慧去判斷上網的行為是否異常              

*設備放的越久功能越佳

 

 

 

種類

功能

用途

備註

 

Honeypot-Based

分析攻擊的行為

 

建立一個可攻擊的設備,提供入侵進而取得入侵的相關資訊(IP 手法…)

 

Honeypot-Based

圖形

 

攻擊方法與網路7層的比對

image

SDF(Signatures Data File)

病毒定義檔,放在RAM裡面,可以到cisco網站下載

image

CCNP-ISCW Module 05 Cisco Device Harding (1)

Filed under: CCNP-ISCW Module 05 — nkongkimo @ 06:38:05

Reconnaissance Attack(資訊收集攻擊)

項目 運作方式 備註
1.Ping Sweeps       (IP secan)   *無法完全消除
2.Port scans
1.SYN scan:
正常的連線方式,有回應表示port active
2.FIN scan:
FIN為連線終止的訊號,當FIN沒回應表示port active
3.UDP scan:
利用ICMP port Unreachable查詢
*查詢IOS設備的類型、版本
*無法完全消除
*用Telnet就可以做了
3.Packet sniffer
(監聽封包)
*安裝sniffer軟體或把網卡設定混亂模式,收集流經的封包並解析封包內容
*需要在同一個collision domain
軟體:Sniffer Ethereal
設備:IPS/IDS
*無法完全消除
4.Internet information queries   *上網查詢漏洞

Access attacks(入侵系統竊取資料)

項目 備註
1.Password attack
(密碼攻擊)
*利用字典、暴力攻擊法,取得密碼
*密碼長度越長強度越佳
*密碼複雜度越高強不越佳
*密碼需要編碼加密
2.Trust exploitation

3.Port redirection
4.Man-in-the-middle attack

(Clean pipe)


*解決方法利用VPN Tunnel加密

DoS & DDoS(阻斷攻擊)

項目 運作狀況 備註
1DoS&DDoS

*耗盡頻寬、系統連線的攻擊,造成服務中斷。
*無法完全消除
*搭配IP偽造的功能
*比雙方資源

IP Spoofing

*ACL:在進入的端口設定deny自己的網段
* RFC 3704(包含RFC 2827):以ISP的角度要做到阻擋10.0.0.0/8、172.16.0.0/12、192.168.0.0/16、224.X.X.X(mutlticast的虛擬IP)、127.0.0.0,可以阻擋大部份IP偽造。
 

IDS/IPS 入侵偵測/入侵防禦系統

入侵偵測系統(IDS)

目的:有效偵測來自內外部網路對單位主機的入侵攻擊行為

分類:入侵偵測系統一般分為主機型(Host)網路型(Network)兩種

1.網路型IDS:會針對網路上的連線狀態及傳輸封包的內容進行監控

2.主機型IDS:可直接與主機伺服器上的作業系統與應用程式做密切的整合,因此可偵測出許多網路型IDS所察覺不出的攻擊模式(如網頁置換、作業系統的kernel竄改)

病毒的種類

項目 行為 防護
1.Worm(蠕蟲) 1.The enabling vulnerability
(掃描系統弱點)
2.Propagation mechanism
(自我修復及擴散能力)
3.Payload
(提升權限)
*運作在一個有弱點的系統
1.Control控制:去區分蠕蟲
2.Inoculate預防:更新Path檔,修補弱點
3.Quarantine隔離:刪除或修補
4.Treat:探討並文件化
2.Virus(病毒)    
3.Trojan Horse(木馬)    

Management protocol

明文 加密 備註
HTTP HTTPS  
SNMPv1、v2 SNMPv3  
TELNET SSH IOS需要支援
FTP    

CCNP-ISCW Module 05 Cisco Device Harding (2)

Filed under: CCNP-ISCW Module 05 — nkongkimo @ 06:33:44

IOS Unused 的服務

Service Description Default Disable 備註
Router Interface If cable accidentally or maliciously connected Disabled (config-if)#shutdown 不必要的介面建議要關掉
BOOTP server Service is rarely needed in modern networks
*與DHCP功能相似,封包與DHCP相同
Enabled (config-if)#no ip bootp server *bootp須手動指定mac與IP的關係
*可以使用此功能來網路開機
*到server走68/UDP
*到client走67/UDP
CDP Unless needed inside the network,disable globally or per interface Enabled (config)# no cdp run
整個關閉

(config-if)# no cdp enable  介面關閉

Cisco預設開啟,若不需要可關閉
Config auto loading Permits router to automatically load a config file from a network server. Remain disabled when not needed Disabled

(config)# no service config

開機時找尋設備的設定檔並載入

FTP server Allows router to act as an FTP server. Remain disabled when not needed Disabled (config)# no ftp-server enable *router也是一台server,但功能較陽春,只支援匿名登入。
TFTP server Allows router to act as an TFTP server. Remain disabled when not needed Disabled (config)# no tftp-server file-sys:image-name *router也是一台server,但功能較陽春

NTP service

Correct time important for logging. Disable if not needed or restrict to only devices that require NTP  

(config)# no ntp server ip-address

*NTP對時的協定,建議要有一台Router當作校時的主機。
*不建議全關掉
PAD
(Packet Assem Disassem)
Allows access to X.25 PAD commands. Rarely needed in modern networks. Disable Enabled

(config)# no service pad

*目前已無X.25的服務,可直接關閉
TCP and UDP minor services Small servers (daemons) used for diagnostics. Rarely used. Disabled Enabled (before 11.3)
Disabled (11.3 and later)
(config)# no service tcp-small server
(config)# no service udp-small server
*檢查網路設備的介面是否正常
*不實用故可關閉。
Maint. Oper. Protocol (MOP) DEC maintenance protocol, rarely used. Disable Enabled
(most Ethernet interfaces)
(config-if)# no mop enabled *在Ethernet之前的網路
*目前已無此服務,可直接關閉

 

SNMP If not used, disable. If needed, restrict access using ACL and use SNMPv3

Enabled

(config)# no snmp-server enabled *要有限制的開放,不可全部開放
*建議ACL限制存取的範圍
HTTP Config and Monitoring ADM uses HTTP (HTTPS). If not used, disable. If needed, restrict access with ACLs and use HTTPS

Device dependent

(config)# no ip http sever
(config)# no ip http secure-server

*要有限制的開放,不可全部開放
*建議ACL限制存取的範圍

DNS Cisco routers use 255.255.255.255 as default add to reach DNS server. If not use disable or explicitly set DNS server Enabled (config)# no ip domain-lookup
(config)# ip domain-name
*建議關閉
ICMP Redirects Disable if not needed Enabled

(config)# no ip icmp redirect

*不要讓route自己去決定client端連上來的路徑
*建議關閉

IP Source Routing

Rarely used, disable

Enabled

(config)# no source-route

*是封包中的option欄位,可以讓client變更自己的路由,造成無法管理
*建議關閉

Finger Service

Finger protocol (port 79) retrieves list of users from a network device (show users). Should be disabled when not needed

Enabled

(config)# no service finger

*與who的指令一樣
*建議關閉
ICMP unreach

Should be disabled.

Enabled

(config-if)# no ip unreachables *避免被port scan
*建議關閉
ICMP mask reply Disable on interfaces to untrusted networks Disabled (config)# no ip maskreply *Router會回應自己遮罩是多少
*建議關閉

IP directed broadcast

Unicast until it reaches router for that segment, than it becomes a broadcast. Should be disabled Enabled (before 12.0)
Disabled (12.0 and later)
(config)# no ip directed-broadcast *ping broadcast的位址在broadcast的電腦全部都會回應
*建議關閉

IP ID service

RFC 1413 reports the identity of the TCP connection initiator

Enabled

(config)# no ip identd

*建議關閉

TCP keepalives

Helps clean up TCP connections when a host has stopped processing TCP packets. Should be enabled to help prevent DoS attacks

Disabled

(config)# service tcp-keepalives-in

(config)# service tcp-keepalives-out

*TCP預設連線為30分鐘若都沒有動作會自動中斷連線

*建議啟動

Gratuitous ARP

Unless needed, disable

Enabled

(config)# no ip arp ratutous

*Gratuitous ARP會送出一個來源及目的地IP都是自己的封包,去告知區網內PC目前IP已經更換其他PC,使區網PC去更新ARP table。
*主要功能去偵測是否IP衝突
*在區域網中容易遭到攻
*建議關閉

Proxy ARP

Only used if router is acting as a layer 2 bridge. Should be disabled

Enabled

(config-if)# no ip arp proxy

*在區域網中容易遭到攻擊
*主要功能為代回主機IP資訊
*建議關閉

CCNP-ISCW Module 05 Cisco Device Harding (3)

Filed under: CCNP-ISCW Module 05 — nkongkimo @ 05:28:35

Auto-Secure

Control plan

CPU

控制

Forwarding Plan

 

*啟動CEF

*加入ACL

*啟動Firewall

IOS 12.3(8)T後開始支援

Interactive mode(互動模式) 建議使用此功能

NonInteractive mode(懶人模式) cisco建議值沒有詢問直接寫入設定

Auto secure設定方式

Auto Secure SDM 設定方式

1.選擇使用security Audit的方式orOne-step lockdown的方式。

Secutity Audit

等同Interactive mode *檢查目前設定檔裡面哪些與cisco設定的參數符合與不符何
One-step lockdown 等同Noninteractive mode *全部自動執行沒有互動
2.選擇連接到internet的介面及LAN的介面、並啟動防火牆
3.檢查目前設定檔裡面是否符合cisco預設的安全規則
4.列出目前與cisco不符合的設定,要求是否修改  
5.使用One-step lockdown
6.直接執行不在查詢執行檔

 Router password的相關設定

*不可以使用字典的字

*不可開頭為數字及空白鍵

*建議還需要設定ACL去管理存取的IP

image
image
若使用service password-encryption會把密碼都用cisco的方式加密,但若要取消要注意密碼一變成亂碼,所以建議取消service password-encryption後要變更密碼。

image

image

設定帳號密碼的方式

image

限制進入RUN montior的方式(不建議用)

image

Login 相關防護的設定

image

image

image

設定Banner警告

image

image

image

image

image

image

image  

image

SNMP

Community strings

Read only 只可以詢問  
Read write 可以詢問及修改 *建議關閉
*搭配ACL管制

image
SNMPv3優點:
1.Each User belong to a Group(每一個User會被定義在一個Group)
2.Each Group defnes a access policy(每一個群組被定義哪些policy)
3.Each access policy what SNMP object can accessed、read、wirte
4.定義一個notification(通知)的清單,定義哪些群組會收到特定的資訊(利用trap&infoem)
5.每一個群組會被定義為哪一個mode及Level的等級

MO(Managed Object):被管理的物件

OID(Object ID):被管理物件的ID

MIB(Manages information base):被管理物件的資料庫

SNMP 設定

Step1.設定EngineID
Step2.設定Group
Step3.設定User再哪一個群組
Step4.設定Host
範例:
image

NTP (network time protocol)設定

System calendar 硬體(主機板)的時間
本機時間(用電池的方式)
System clock 軟體(IOS)的時間
重開機會向system calwndar做同步
  *走123/UDP
*很有效率,只要一個封包就完成同步的動作
*NTPv4才在RFC文件中規範
image
image
image
image
image

AAA

Authentication(認證)

Authorization(授權)

Accounting and auditing(計量管理)

RADIUS V.S TACACS+

AAA Protocol TACACS+ RADIUS
Layer 3 Protocol TCP/IP UDP/IP
Encrypation Entire body Password only
Standard Cisco Open/IETF
Port 49/TCP ACS:Cisco專用,1645/UDP 用來認證及授權,1646/UDP用來做計量
1812/UDP 用來認證及授權、1813/UDP用來做計量
 

*認證 授權 計量都是獨立

*可以把TACAS+的傳輸都加密

*認證 授權放在一個封包完成  計量的封包分開傳送

*只有密碼加密

image

image

AAA的設定

image

image

1.一定要設定一個local的方法登入,若沒有會導致第一種方法失效就完全無法登入的狀況
2.當方法一失效會使用方法2,以此列推
 
AAA SDM設定的方法
1.進入AAA設定選項
image
2.啟動AAA
image
3.RADUIS & TACACS+設定方式

image
image
4.建立login list
image
5.建立user DB
image
6.變更VTY認證、授權、計量的login list
image
image
image
 

image

CCNP-ISCW Module 04 Frame Mode MPLS Implementation (1)

Filed under: CCNP-ISCW Module 04 — nkongkimo @ 05:09:45

image

MPLS Network裡面只看Labele

*註:Labe從16開始(0-15不可以使用)

LSR

(Lable Switching Router)

PE

Ingree

Edge LSR

把沒有貼label的封包加label

 

Egree

把有貼label的封包移除label,並查詢路由表把資訊送到目的地

 

P  router

label的值告訴Edge LSR加快Routing的速度,不需要再解析一次封包。

*只會收到有label的封包

*會做Lable的修改

 MPLS運用於:

1.IP unicast Routing(傳統的傳送方式+label)
2Muilticast Routing
3.MPLS VPN
4.MPLS TE(Traffic Engineering)
5.AToM(Any Transport over MPLS)

Routing的演進

演進 解釋 速度 備註
第一代 Preocess Switching
Routing table-driven Switchig

*全部的封包都要解封裝到第三層才往目的地送

*較沒效率

第二代 Fast Switchig(Route Cache)
Cache-Deriven Switching

*第一個封包會完整的檢查,後續的data才會用cache的資訊傳送

*會因為routing table更新導致封包停止傳送。
第三代 CEF(Prebuilt FIB table)
Topology-Deriven Switching
*CEF Protocol 會建立FIB來加速封包的傳送速度
*不受routing table更新影響傳送
*MPLS一定要啟動CEF
*大幅改善效率

FEC(Frowarding Equivalence class)對等式協定:

*一群相同等級的封包,給予相同等級的對待

*MPLS不同應用的FEC的對待及依據不同

*FEC在unicast的環境中以destination network為分類依據
*FEC在Multicast的環境中以Group or Class為分類依據
*FEC在MPLS中會看Labeldestination位址的Label號碼給予相同的優先權
*FEC在MPLS VPN的環境中以VPN為分類依據

MPLS Router架構

image

Control Plan 管理控制的訊號的地方 會有2種表:
(1)RIB(路由表),利用路由協定交換資訊
(2)LIB(標籤表),利用LDP交換相鄰Lable的資訊
Data Plan 管理資料傳輸的路徑的地方 會有2種表:
(1)FIB,利用CEF把RIB轉換成FIB
(2)LFIB,由LIB轉換而來的

Lable的指派過程:

1.先要有routing的資訊才會指派標籤,故首先需要有Routing Protocol,建立Routing table。
2.有了Routing table後,MPLS Router會根據Routing Table的目的地位址(FEC)分別給Lable。
*Labellocal有效性於其他router無關,利用LDP告知鄰居router即可。
*Lable會放在Contorl Plane的LIB裡面

*LIB為Lable的總表。
3.LIB會轉換成LFIB(Data Plane)即可藉由Lable轉送封包。

image

項目 狀況
1.沒有Lable的封包 *查FIB,若有相關的資訊就利用路由表上的路徑傳送出去。
EX:普通非MPLS路由器的運作狀況。
*查FIB,若有需要貼上LFIB就會貼上Lable再傳送出去。
EX:MPLS Ingree PE的運作情形
2.有Lable的封包 *查LFIB,轉換Lable再傳送出去。
EX:MPLS P Router運作的狀況。
*查LFIB,若需要移除Lable的時候會移除Lable再傳送出去。
EX:MPLS Engree PE運作的狀況。


插入label的方式

  模式 環境 備註
Lable Frame Mode
(2.5層)
支援大部份路由協定 layer2和layer3中插入32bitsLable
Lable Cell Mode 只用於ATM ATMcell是固定的故無法插入,所以使用VPI/VCI來當作Lable

image

Bottom-of-stack

S

正常情況下只有1個Lable,但在特殊情況下有多個Lable。
EX: MPLS VPN(2個Lable)、MPLS TE(3個以上Lable)
當S=0 表示後面還有Lable
當S=1 表示最後一個了,後面沒有Lable了

image

PID(Protocol ID): 表示layer 3是甚麼協定

PID代碼 說明
0X0800 沒有Lable的 IP Unicast routing
0x8847 有貼Lable的 IP Unicast routing
0x8848 有貼Lable的 IP Multicast routing

MPLS的設定步驟

1.Building UP IP Routing table
2.Allocating Labels
3.LIB and FLIB Step
4.Label Distribution Advertisement

Label 運作的方式

1.Non-MPLS => FIB table

Destination Network: 10.10.10.0/24
Next-Hop: 192.168.1.1

2.MPLS=> LIB table

Destination Network: 10.10.10.1/24
Label Number: 25
Significant: Loacl (分為local 及 Remote 送來的label)

3.LFIB table=>

Label Number: 25
Next-Hop Address : 192.168.1.1 or Label
Action : Untagged or Sweep Label

CCNP-ISCW Module 04 Frame Mode MPLS Implementation (2)

Filed under: CCNP-ISCW Module 04 — nkongkimo @ 04:53:00

L2 Switching 、L3 SwitchingMPLS 比較

  L2  Switching L3  Switching MPLS
優點 *不用解封裝到第3層直接建立VC傳送
*傳送速度快
*可以Any-to-Any *結合L2&L3 Switching的優點
*可以Any-to-Any
缺點 *無法Any-to-Any *需要解封裝到第3層
*傳送速度較慢
設定較複雜
備註 *只有標籤表 只有路由表 路由表+標籤表

image

image

image

PHP (MPLS POP Poping)

Cisco專屬協定。Cisco設備預設開啟
在Edge LSR的前一顆Router移除Lable
Router IOS中以POP / Imp-Null顯示
傳統是PE來做POP,但MPLS PHP由PE的前一顆Router來做POP。

image

image

image

範例:

image

MPLS VPN

image

image

image

VPN 特性 優點 缺點 Routing最佳化
Overlay

服務提供商只做link的服務 服務提供商只提供VC的服務

*異地備援很方便
*可以即時切換
*可以用相同的IP
*沒有IP不好查詢
*不能同時演練
*最佳化成本較高
要用Full mesh
Peer-to-Peer

服務提供商要參與客戶的routing(靜態)

*可同時演練(因IP不同) *不行用相同IP
*異地備援需變更IP即時性較差(需要DNS更新)
*需要配合CE端的規劃
 

MPLS VPN學習Lable的方法

RD
(Route Distinguishers)
路由分辨的代號 RD(64bits)+IPv4(32bits)=VPNv4(96bits) *用戶端不知道RD會在PE移除
*可以解決MPLS VPN IP位址重複的問題,無法支援語音互通

RT(Route Target)

是一個參數

Export:識別自己為哪一個VPN成員
Import:關聯每一個路由表
*動態產生,自己會互相交換資訊

image

image

CCNP-ISCW Module 03 IPSec VPN(1)

Filed under: CCNP-ISCW Module 03 — nkongkimo @ 04:40:37
Tunnel Protocol

Application lyaer

SSH PGP 支援的廣度大小
L4 TLS (SSL) 需應用層支援 需應用層支援
L3 IPSec ( IP Security ) 建構在TCP/IP網路上
支援TCP/UDP/ICMP
預設的行為是Unicast
L2 L2TP (正式的標準)
Layer 2 Tunneling Protocol

PPTP
(Point-to-Point Tunneling Protocol)

End-to-End
沒有彈性/無法建立多點
L3 的協定都支援
 
VPN 運用的概念

把私有網路建構在一個公眾的網路上,而不使用私人的網路,因為專屬 的線路較貴,使用公眾的網路較便宜,故需要搭配tunnel IPsec的機制來達到傳輸的安全。

 IPSec 希望做的項目

1.IPSsc為CPE base Tunnel的技術
2.可以做到Site-to-Site  Client-to-Site

IPSec的種類


IPSec support functions

Peer authencation

認證方式

Pre-shared key

共用的key(較不安全)

IPSec 會在兩端建立tunnel 故需要先驗證對方

Digital certuficate

數位憑證(較安全)

Data confidentiality

資料私密性的方法

DES(56bit)

*64 bit data block

*資料私密性一定要對資料做加密,以防竊聽

*長度越長越難破解

*與國防政策有關

*利用key來預防

3DES(168bit)

3DES

AES(256bit)

*128 bit data block

*key 128192256bit

RSA

(512bit以上)

*diffie-Hellman演算法取一個大質數以達到加密的效果

*D.H分為 Group1&2

*加密和解密用的key不一樣,分為public(公開給任何人)&privity(需自己保密) Key

*Key的管理用非對

PKI

數位憑證

Data integrity

資料完整性的方法

(資料正確性)

One way hash

雜湊函數(不安全)

*檢查資料的正確性

*需互相用相同的KEY來驗證

HMAC

*MAC=Message

Authentication Code

MD5

128bit為一個單位(不安全)

雜湊函數+MAC

(較安全)

SHA-1

160bit為一個單位(較安全)

Data replay protection

資料重傳

 

*預防資料被複製並重傳

*利用續號來預防

CCNP-ISCW Module 03 IPSec VPNs(3)

Filed under: CCNP-ISCW Module 03 — nkongkimo @ 04:12:25

IPSec VPN tunnel的程序

IPsec NAT Transversal (NAT-T) 步驟

NAT-T detection 再Phase 1 用NAT discovery封包偵測傳輸中是否有NAT的設備
NAT-T decision 再Phase 2 把IPSec封包,封裝在UDP Header裡面。

PKI (Public Key Infrastruture) Environment

名稱 備註
CA
(Certificate Authority)
憑證管理中心,最重要的信任點。
功能:Key的產生。
RA
(Registration and Certification Insurance)
幫助CA註冊的單位
Certificate Revocation 憑證廢止單位
功能未註銷憑證
Trusted Time Service 校時系統
功能為驗證CA Key的時效性
Key Recovery Key回覆機制
Support for Nonrepudiation 不可否認性

憑證的處理過程

設備若要使用憑證 會把憑證存放再NVRAM裡面或E-toke裡面(usb smart card)

IPSec建立流程:

Setup 2.利用Main Mode的方式協商IKE SA

看哪一個限制先到達就會中斷

設定IPSec的步驟

Configure IKE 步驟
Step1:Enable or Disable IKE
*啟動IKE

Step2:Create IKE policies
*建立IKE policy
*優先權低的會先協商(由低到高)
*建議越安全的值,優先權設定越小
*Lifetime 86400表示一天
*雙邊要設定相同的參數

Step3:Configure ISAKMP identity
*設定協商的對象
*大部分使用ip address
*雙邊都要設定
Step 4:Configure Preshared Keys
*設定協商的key
*雙邊都需要設定相同的key
*需要設定協商對方的IP
Step 5:Verify IKE Configuare

Configure IPSec 步驟
Step 1:Configure Transform Sets
Step 2:Configure global IPSec Lifelines
*設定lifetime

image
Step 3:Create crypto ACLs
*定義可以使用IPSec的網段
*設定的方向要正確
Step 4:Configure IPSec Crypto maps
*用crypto把IPSec的設定巨集起來
*可建立多點peer協商IPSsec
*pfs為一個安全的機制:定期更新加密的key,只要建立IPSec SA後會把IKE SA刪掉,若lifetime到時,需要重新協商IKE SA以達到最安全的目的。
*match指令表示:只要滿足ACL 110 就做下列項目。
image
Step 5:Applying Crypto Maps to Interfaces
*套用到介面上
*關鍵點在於peer的的介面,若是peer在Ethernet介面就套在Ethernet介面

查看設定的方法:
1.show run
2.show crypto isakmp policy
*查看Phase1的設定
3.show crypto ipsec transform-set
*查看transform的設定
4.show crypto isakmp sa
*查看IKE SA(Phase 1)
5.show crypto ipsec sa
*查看IPSec SA(Phase 2)
*IPSec會有outbound及inbound的SA
6.show crypto map
7.debug crypto

IPSec VPN範例:

Phase 1 設定方式

image

Phase 2 設定方式

image

套用到介面

image

GRE(Generic Routing Encapsulation) V.S IPSec

名稱   支援協定      
IPSec L3 Tunnel IP/IPX/Apple…
多種協定
Multicast
12.4(4)T後
沒有Flowcontrol 不安全
GRE L3 只有IP Unicast 有Flowcontrol 安全

安裝SDM的方法

步驟 備註
1.建立user name(LV 15) Router(config)#username 名稱 privilege 15 secret 密碼
2.啟動http(https) server Router(config)#ip http server
Router(config)#ip http authencation local(用本地端帳號認證)
3.設定line vty Router(config)#line vty 0 4
Router(config-line)#password 密碼
Router(config-line)#login local
4.選擇安裝在router or PC 安裝SDM軟體&JRE程式

建議事項:

Quick setup設定步驟:

*較簡單的設定方式

*細部的設定無法使用

Step 1:設定Site-to-site VPN
Step 2:選擇Quick setup模式

Step 3:設定細部參數
(1)設定VPN的介面

(2)設定Peer的IP位址

(3)認證的方式:分為數位憑證&Pre-shared Key

(4)建立Interesting Traffic & ACL

Step 4:設定完成

Step by Step設定步驟:

Step 1:設定Site-to-site VPN

Step 2:選擇Step by Step模式
Step 3:設定細部參數
(1)設定VPN的介面

(2)設定Peer的IP

(3)認證的方式:pre-shared key or 數位憑證
Step 4.IKE Policy

(1)新增IKE Policy
Step 5.Transform Set

(1)新增Transform Set
Step 6.設定受保護的資料流
Step 7:設定完成

GRE封包格式

*支援多種protocol,利用protocol type的欄位

*GRE沒有安全的機制

*只支援IP及unicast

設定的方法

*Split tunneling表示要到特定的位址才走tunnel,其他的走一般介面。

*若關閉Split tunneling會全部走tunnel介面。

*宣告路由時要把tunnel的介面宣告出去。

IKE Keeplive *CISCO 專屬協定
*會週期送出資訊詢問對方是否還活著,約10秒一次,較快偵測對方的狀況
*較耗資源
IPSec DPD *由IKE Keeplive演變來的機制
*DPD是一個標準,各家都可以使用
*分為週期性更新及On-demand的方式
*On-demand:當有資料要傳送的時候但出現問題,才會去偵測連線的狀況
*較不即時偵測連線的狀況
*預設值為on-demand的模式
*IOS 12.2(8)之後才會支援

  種類 運用
Stateless failover
斷線時需要重新建立session
PPP/HSRP/IGP…
*會造成瞬斷的狀況
一般企業(較不講究連線穩定的狀況下)
Statefull failover
斷線時不需要中斷session
*IOS/設備規格/設定要相同
*需要互相交換IPSec的訊息
*需要一個設備接在brondcast上
*目前支援box-to-box
*完全的standby
遊戲公司(非常要求連線的穩定)

RRI-reverse-route-injection(動態產生靜態路由)

State crypto map 知道peerIP add(site-to-site ) RRI會自動在建立連線的peer加入一條靜態路由,但RRIstate效果不大

dynamic cryptomap 不知道peerIP add(remote to-site) RRI會自動在建立連線的peer加入一條靜態路由,但RRIdynamic效果較佳

EASY VPN 設定步驟

1.選擇Easy VPN
2.啟動AAA server
*啟動AAA server 只有SDM建立的user才可登入,故建議要修改AAA登入的方法,建議加入本機使用者帳號,必免AAA server 故障無法登入的狀況
3.建立使用者list
4.設定使用者參數
5.選擇要到套用的介面
6.設定IKE的參數
7.設定transform set
8.設定Group Policy建立好之後的擺放位置
9.
(1)選擇user認證的方法,及建立local使用者


(2)使用AAA server建立使用者

 

Local Group Policy的設定

*當group policy建立在本機時,才可以使用。

1.建立local group policy
2.設定 群組名稱/ pre-shared Key/ 是否建立一個新group policy的IP範圍或沿用舊的
3.設定DNS/WINS server
 
4.設定split Tunneling,設定那些路由要走tunnel出去

5. 增加group policy及安全等級的防護
(1)設定備援VPN server
(2)檢查有無防毒軟體
(3)定期更新key exchange(需要有憑證才可使用)

6.設定user authencication login的次數或指定群組

Older Posts »

在WordPress.com寫網誌.