CCIE安全学习笔记

＃aaanew-model打开aaa服务＃aaaauthenticationlogin4sectacacs+local告诉路由器先用tacacs+校验用户，如果tacacs服务器报告出错（比如tacacs服务器没有打开）就用路由器本地用户校验登录。如果tacacs服务器拒绝用户登录，则不会用路由器本地用户校验登录。＃aaaauthorizationexecdefaulttacacs+local该命令告诉路由器使用tacacs服务器检验用户权限，如果tacacs服务器报错则用路由器本地设置检验用户权限。＃aaaauthorizationcommands44sectacacs+该命令在此处无效，因为没有让vty04用list4sec来校验权限。如果此处把命令改为：aaaauthorizationcommands4defaultgrouptacacs+则路由器会用tacacs服务器来校验每一个权限高于4的命令。如果把命令改为：aaaauthorizationcommands4defaultgrouptacacs+local虽然路由器还是会用tacacs服务器来校验每一个权限高于4的命令，但是一旦tacacs出错，我们还是可以通过路由器的本地用户及权限来登录并修正错误。如果把命令改为：aaaauthorizationcommands4defaultgrouptacacs+localnone则用户在tacacs服务器停止工作和没有本地用户名一样可以登录路由器。＃usernamefumtekprivilege7password0password该命令设置用户fumtek的密码＃usernameadminprivilege15password0passpass该命令设置管理员的密码＃tacacs-serverhost10.10.10.10指定tacacs服务器的地址＃tacacs-serverkeykey4sec指定NAS和tacacs服务器之间密码交换是的密匙。linevty04loginauthentication4secexec-timeout00[page]RouterAcryptoisakmppolicy100cryptoisakmpkeyseckeyaddress216.12.12.2!!cryptoipsectransform-set4secesp-desesp-sha-hmac!cryptomap4sec100ipsec-isakmpsetpeer216.12.12.2settransform-set4secsetpfsgroup1matchaddress100!interfaceSerial0/0ipaddress216.12.12.1255.255.255.252cryptomap4sec!access-list100permitip10.10.10.00.0.0.25520.20.20.00.0.0.255!-----------------------------------------------------------------------RouterBcryptoisakmppolicy100cryptoisakmpkeyseckeyaddress216.12.12.1!!cryptoipsectransform-set4secesp-desesp-sha-hmac!cryptomap4sec100ipsec-isakmpsetpeer216.12.12.1settransform-set4secsetpfsgroup1matchaddress100!interfaceSerial0/0ipaddress216.12.12.2255.255.255.252cryptomap4sec!access-list100permitip20.20.20.00.0.0.25510.10.10.00.0.0.255!分析：由于此处没有设置ISAKMP的选项，所以会用默认值。ISAKMP的默认值是：加密法则：DES56bitHash法则：SHS鉴别方法：RSASDiffe-Hellman组：＃1（768bit）生命期限：86400秒ISAKMP的各种设定值有：加密法则：DES（56bit）和3DES（168bit）Hash法则：md5和sha鉴别方法：pre-share,rsa-encr,rsa-sigDiffie-Hellman组：Diffie-Hellmangroup1(768bit)和Diffie-Hellmangroup1(1024bit)生命期限：60～86400秒