CCNP 筆記本

2009 年 02 月 09 日

CCNP-ISCW Module 05 Cisco Device Harding (3)

Filed under: CCNP-ISCW Module 05 — nkongkimo @ 05:28:35

Auto-Secure

Control plan

CPU

控制

Forwarding Plan

 

*啟動CEF

*加入ACL

*啟動Firewall

IOS 12.3(8)T後開始支援

Interactive mode(互動模式) 建議使用此功能

NonInteractive mode(懶人模式) cisco建議值沒有詢問直接寫入設定

Auto secure設定方式

Auto Secure SDM 設定方式

1.選擇使用security Audit的方式orOne-step lockdown的方式。

Secutity Audit

等同Interactive mode *檢查目前設定檔裡面哪些與cisco設定的參數符合與不符何
One-step lockdown 等同Noninteractive mode *全部自動執行沒有互動
2.選擇連接到internet的介面及LAN的介面、並啟動防火牆
3.檢查目前設定檔裡面是否符合cisco預設的安全規則
4.列出目前與cisco不符合的設定,要求是否修改  
5.使用One-step lockdown
6.直接執行不在查詢執行檔

 Router password的相關設定

*不可以使用字典的字

*不可開頭為數字及空白鍵

*建議還需要設定ACL去管理存取的IP

image
image
若使用service password-encryption會把密碼都用cisco的方式加密,但若要取消要注意密碼一變成亂碼,所以建議取消service password-encryption後要變更密碼。

image

image

設定帳號密碼的方式

image

限制進入RUN montior的方式(不建議用)

image

Login 相關防護的設定

image

image

image

設定Banner警告

image

image

image

image

image

image

image  

image

SNMP

Community strings

Read only 只可以詢問  
Read write 可以詢問及修改 *建議關閉
*搭配ACL管制

image
SNMPv3優點:
1.Each User belong to a Group(每一個User會被定義在一個Group)
2.Each Group defnes a access policy(每一個群組被定義哪些policy)
3.Each access policy what SNMP object can accessed、read、wirte
4.定義一個notification(通知)的清單,定義哪些群組會收到特定的資訊(利用trap&infoem)
5.每一個群組會被定義為哪一個mode及Level的等級

MO(Managed Object):被管理的物件

OID(Object ID):被管理物件的ID

MIB(Manages information base):被管理物件的資料庫

SNMP 設定

Step1.設定EngineID
Step2.設定Group
Step3.設定User再哪一個群組
Step4.設定Host
範例:
image

NTP (network time protocol)設定

System calendar 硬體(主機板)的時間
本機時間(用電池的方式)
System clock 軟體(IOS)的時間
重開機會向system calwndar做同步
  *走123/UDP
*很有效率,只要一個封包就完成同步的動作
*NTPv4才在RFC文件中規範
image
image
image
image
image

AAA

Authentication(認證)

Authorization(授權)

Accounting and auditing(計量管理)

RADIUS V.S TACACS+

AAA Protocol TACACS+ RADIUS
Layer 3 Protocol TCP/IP UDP/IP
Encrypation Entire body Password only
Standard Cisco Open/IETF
Port 49/TCP ACS:Cisco專用,1645/UDP 用來認證及授權,1646/UDP用來做計量
1812/UDP 用來認證及授權、1813/UDP用來做計量
 

*認證 授權 計量都是獨立

*可以把TACAS+的傳輸都加密

*認證 授權放在一個封包完成  計量的封包分開傳送

*只有密碼加密

image

image

AAA的設定

image

image

1.一定要設定一個local的方法登入,若沒有會導致第一種方法失效就完全無法登入的狀況
2.當方法一失效會使用方法2,以此列推
 
AAA SDM設定的方法
1.進入AAA設定選項
image
2.啟動AAA
image
3.RADUIS & TACACS+設定方式

image
image
4.建立login list
image
5.建立user DB
image
6.變更VTY認證、授權、計量的login list
image
image
image
 

image

廣告

發表迴響 »

仍無迴響。

RSS feed for comments on this post. TrackBack URI

發表迴響

Please log in using one of these methods to post your comment:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s

在WordPress.com寫網誌.

%d 位部落客按了讚: