Cisco IOS网络安全【2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载】

Cisco IOS网络安全PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 安全性概述1

1．1 本书内容简介1

1．1．1 身份认证、授权和统计2

1．1．2 安全服务器协议2

1．1．3 数据流过滤3

1．1．4 网络数据加密3

1．1．5 其他安全特性3

1．2 创建有效的安全策略4

1．2．1 安全策略的性质4

1．2．2 安全策略的两个级别5

1．2．3 开发有效的安全策略的技巧5

1．3 认识安全危险和Cisco IOS解决方案7

1．3．1 防止对网络设备的未经授权的访问8

1．3．3 防止网络数据窃听9

1．3．2 防止对网络的未经授权的访问9

1．3．4 防止欺骗性路由更新10

1．4 使用Cisco IOS软件创建防火墙10

1．4．1 防火墙概述10

1．4．2 创建防火墙11

1．4．3 配置防火墙的其他指导原则11

第一部分 身份认证、授权和统计(AAA)15

第2章 AAA概述15

2．1 AAA安全服务15

2．1．1 使用AAA的益处16

2．1．2 AAA基本原理16

2．1．3 方法列表17

2．2 从何处开始18

2．2．1 AAA配置过程概述18

2．2．2 启用AAA18

2．2．3 停用AAA18

2．3 下一步工作19

第3章 配置认证21

3．1 AAA身份认证方法列表21

3．1．1 方法列表举例22

3．1．2 配置AAA身份认证的通用步骤23

3．2 AAA身份认证方法23

3．2．1 使用AAA配置登录身份认证23

3．2．2 使用AAA配置PPP身份认证26

3．2．3 使用AAA配置ARA身份认证28

3．2．4 使用AAA配置NASI身份认证30

3．2．5 启用特权级口令保护32

3．2．6 启用身份认证覆盖(override)32

3．2．7 启用双重身份认证33

3．3 非AAA身份认证方法35

3．3．1 配置线路口令保护35

3．3．3 启用CHAP或PAP身份认证36

3．3．2 建立用户名身份认证36

3．3．4 配置TACACS和扩展TACACS口令保护40

3．4 身份认证示例40

3．4．1 RADIUS身份认证示例41

3．4．2 TACACS+身份认证示例42

3．4．3 TACACS和扩展TACACS身份认证示例43

3．4．4 Kerberos身份认证示例43

3．4．5 双重身份认证配置示例43

第4章 身份认证命令51

4．1 aaa authentication arap51

4．2 aaa authentication enable default53

4．3 aaa authentication local-override54

4．4 aaa authentication login55

4．5 aaa authentication nasi57

4．6 aaa authentication password-prompt58

4．7 aaa authentication ppp59

4．8 aaa authentication username-prompt60

4．9 aaa new-model61

4．10 access-profile62

4．11 arap authentication65

4．12 login authentication66

4．13 login tacacs67

4．14 nasi authentication67

4．15 ppp authetication68

4．16 ppp chap hostname70

4．17 ppp chap password71

4．18 ppp chap refuse72

4．19 ppp chap wait73

4．20 ppp pap sent-username74

4．21 ppp use-tacacs75

5．1 AAA授权类型77

第5章 配置授权77

5．2 AAA授权方法78

5．3 AAA授权前的准备工作78

5．4 AAA授权配置任务列表78

5．5 配置授权79

5．6 关闭全局配置命令授权80

5．7 授权属性-值对(Attribute-Value Pair)80

5．8 授权配置示例80

5．8．1 TACACS+授权示例81

5．8．2 RADIUS授权示例81

5．8．3 Kerberos实例映射示例82

第6章 授权命令83

6．1 aaa authorization83

6．2 aaa authorization config-commands85

6．3 aaa new-model86

7．1 AAA统计类型89

第7章 配置统计89

7．1．1 网络统计90

7．1．2 连接统计93

7．1．3 EXEC统计95

7．1．4 系统统计97

7．1．5 命令统计98

7．2 AAA统的准备工作98

7．3 AAA统计配置任务列表98

7．4 启用AAA统计99

7．4．1 禁止为用户名字符串为空的用户会话生成统计记录99

7．4．2 生成临时统计记录99

7．5 监视统计100

7．6 统计属性-值对100

7．7 统计配置示例100

8．1 aaa accounting103

第8章 统计命令103

8．2 aaa accounting suppress null-username105

8．3 aaa accounting update105

8．4 show accounting106

第二部分 安全服务器协议111

第9章 配置RADIUS111

9．1 RADIUS概述111

9．2 RADIUS操作112

9．4 为RADIUS服务器通信配置路由器113

9．3 RADIUS配置任务列表113

9．5 为厂商专用的RADIUS服务器通信配置路由器114

9．6 配置路由器以便向RADIUS服务器查询静态路由和IP地址115

9．7 指定RADIUS身份验证115

9．8 指定RADIUS授权115

9．9 指定RADIUS统计115

9．12．1 RADIUS身份验证和授权示例116

9．12 RADIUS配置示例116

9．11 厂商专用的RADIUS属性116

9．10 RADIUS属性116

9．12．2 RADIUS AAA示例117

9．12．3 厂商专用的RADIUS配置示例118

第10章 RADIUS命令119

10．1 ip radius source-interface119

10．2 radius-server configure-nas120

10．3 radius-server dead-time121

10．4 radius-server host122

10．5 radius-server host non-standard123

10．6 radius-server key124

10．7 radius-server retransmit125

10．8 radius-server timeout125

第11章 配置TACACS+127

11．1 TACACS+概述127

11．2 TACACS+操作128

11．3 TACACS+配置任务列表129

11．4 指定TACACS+服务器主机130

11．5 设置TACACS+身份验证密匙131

11．6 指定TACACS+身份验证131

11．7 指定TACACS+授权131

11．8 指定TACACS+统计131

11．9 TACACS+AV对132

11．10 TACACS+配置示例132

11．10．1 TACACS+身份验证示例132

11．10．2 TACACS+授权示例134

11．10．3 TACACS+统计示例134

11．10．4 TACACS+后台程序配置示例135

第12章 配置TACACS和扩展TACACS137

12．1 TACACS协议描述137

12．3 设置用户级TACACS口令保护139

12．2 TACACS和扩展TACACS配置任务列表139

12．4 关闭用户级口令核查140

12．5 设置可选的口令验证140

12．6 设置特权级TACACS口令保护140

12．7 关闭特权级口令核查141

12．8 设置用户操作通知141

12．9 设置用户操作身份验证142

12．10 建立TACACS服务器主机142

12．11 限制尝试登录的次数142

12．12 指定登录输入时间143

12．13 启用扩展TACACS模式143

12．14 为PPP身份验证启用扩展TACACS143

12．15 为ARA身份验证启用标准TACACS144

12．16 为ARA身份验证启用扩展TACACS144

12．18 TACACS配置示例145

12．17 启用TACACS，以使用特定的IP地址145

第13章 TACACS、扩展TACACS和TACACS+命令149

13．1 TACACS命令比较149

13．2 arap use-tacacs150

13．3 enable last-resort152

13．4 enable use-tacacs152

13．5 ip tacacs source-interface153

13．6 tacacs-server attempts154

13．7 tacacs-server authenticate155

13．8 tacacs-server directed-request156

13．9 tacacs-server extended156

13．10 tacacs-server host157

13．11 tacacs-server key158

13．12 tacacs-server last-resort159

13．13 tacacs-server login-timeout160

13．15 tacacs-server optional-passwords161

13．14 tacacs-server notify161

13．16 tacacs-server retransmit162

13．17 tacacs-server timeout163

第14章 配置Kerberos165

14．1 Kerberos概述165

14．2 Kerberos客户支持操作166

14．2．1 向边界路由器证明身份167

14．2．2 从KDC取得TGT167

14．2．3 向网络服务证明身份168

14．3 Kerberos配置任务列表168

14．4 使用Kerberos命令配置KDC169

14．4．1 将用户加入到KDC数据库中169

14．4．2 在KDC中创建SRVTAB170

14．4．3 提取SRVTAB170

14．5 配置路由器，使之使用Kerberos协议170

14．5．1 定义Kerberos域171

14．5．2 复制SRVTAB文件172

14．5．3 指定Kerberos身份验证172

14．5．4 启用证书转发功能172

14．5．5 用Telnet登录到路由器173

14．5．6 建立加密的Kerberized Telnet会话173

14．5．7 启用强制性Kerberos身份验证174

14．5．8 启用Kerberos实例映射174

14．6 监视并维护Kerberos175

14．7 Kerberos配置示例175

14．7．1 定义Kerberos域示例175

14．7．2 复制SRVTAB文件示例175

14．7．3 Kerberos配置示例175

14．7．4 指定加密Telnet会话示例189

第15章 Kerberos命令191

15．1 clear kerberos creds191

15．2 connect192

15．4 kerberos credentials forward195

15．3 kerberos clients mandatory195

15．5 kerberos instance map196

15．6 kerberos local-realm197

15．7 kerberos preauth198

15．8 kerberos realm199

15．9 kerberos server200

15．10 kerberos srvtab entry200

15．11 kerberos srvtab remote202

15．12 key config-key202

15．13 show kerberos creds203

15．14 telnet204

16．1 本章内容211

16．2 关于访问控制列表211

第16章 访问控制列表：概述和指南211

第三部分 数据流过滤211

16．2．1 访问列表的功能212

16．2．2 为什么要配置访问列表212

16．2．3 何时配置访问列表212

16．2．4 基本访问控制列表与高级访问控制列表213

16．3 访问列表配置概述213

16．3．1 创建访问列表213

16．3．2 给每个访问列表指定一个唯一的名称或编号214

16．3．3 定义转发包或阻断分组的准则215

16．3．4 在TFTP服务器上创建和编辑访问列表语句215

16．3．5 将访问列表用于接口216

16．4 查找访问列表的完整配置和命令信息216

第17章 配置锁定和密钥安全性(动态访问列表)217

17．1 本章内容217

17．2 关于锁定和密钥217

17．2．3 锁定和密钥的工作原理218

17．2．1 锁定和密钥优点218

17．2．2 何时使用锁定和密钥218

17．3 Cisco IOS Release11．1与早期版本的兼容性219

17．4 电子欺骗对锁定和密钥的威胁219

17．5 锁定和密钥对路由器性能的影响220

17．6 配置锁定和密钥前的准备工作220

17．7 配置锁定和密钥220

17．7．1 锁定和密钥配置的注意事项221

17．8 验证锁定和密钥配置222

17．9 锁定和密钥的维护223

17．9．1 显示动态访问列表条目223

17．9．2 手工删除动态访问列表条目223

17．10 锁定和密钥配置示例224

17．10．1 使用本地身份验证的锁定和密钥示例224

17．10．2 使用TACACS+身份验证的锁定和密钥示例224

18．1 access-enable227

第18章 锁定和密钥命令227

18．2 access-template228

18．3 clear access-template229

18．4 show ip accounting230

第19章 配置IP会话过滤(反射访问列表)233

19．1 本章的内容233

19．2 关于反射访问列表233

19．2．1 反射访问列表的优点234

19．2．2 什么是反射访问列表234

19．2．3 反射访问列表如何实现会话过滤234

19．2．4 在何处配置反射访问列表235

19．2．5 反射访问列表的工作原理235

19．2．6 使用反射访问列表的限制236

19．3 配置反射访问列表前的准备工作236

19．3．1 选择内部接口还是外部接口236

19．4．2 内部接口配置任务列表237

19．4 配置反射访问列表237

19．4．1 外部接口配置任务列表237

19．4．3 定义反射访问列表238

19．4．4 嵌套反射访问列表239

19．4．5 设置全局超时值(可选)239

19．5 反射访问列表配置示例240

19．5．1 外部接口配置示例240

19．5．2 内部接口配置示例242

第20章 反射访问列表命令243

20．1 evaluate243

20．2 ip reflexive-list timeout244

20．3 permit(reflexive)245

第21章 配置TCP截取(防止拒绝服务攻击)249

21．1 本章内容249

21．2 关于TCP截取249

21．4 启用TCP截取250

21．3 TCP截取配置任务列表250

21．5 设置TCP截取模式251

21．6 设置TCP截取删除模式251

21．7 更改TCP截取定时器251

21．8 更改TCP截取主动阈值252

21．9 监视和维护TCP截取253

21．10 TCP截取配置范例253

第22章 TCP截取命令255

22．1 ip tcp intercept connection-timeout255

22．2 ip tcp intercept drop-mode256

22．3 ip tcp intercept finrst-timeout257

22．4 ip tcp intercept list257

22．5 ip tcp intercept max-incomplete high258

22．6 ip tcp intercept max-incomplete low259

22．7 ip tcp intercept mode260

22．8 ip tcp intercept one-minute high261

22．9 ip tcp intercept one-minute low262

22．10 ip tcp intercept watch-timeout263

22．11 show tcp intercept connections264

22．12 show tcp intercept statistics265

第四部分 网络数据加密269

第23章 配置网络数据加密269

23．1 为什么要加密269

23．2 Cisco的加密实现270

23．2．1 什么被加密了270

23．2．2 分组在网络的什么地方被加密和解密270

23．2．5 Cisco加密实现了哪些标准271

23．2．6 Cisco加密如何工作271

23．2．4 加密路由器如何识别其他对等加密路由器271

23．2．3 加密分组何时被交换271

23．3 配置加密前的准备工作274

23．3．1 确定对等路由器274

23．3．2 考虑网络拓扑结构275

23．3．3 确定每个对等路由器中的加密引擎275

23．3．4 理解实现要点和局限性276

23．4 配置加密277

23．4．1 生成DSS公钥/私钥277

23．4．2 交换DSS公钥278

23．4．3 启用DES加密算法279

23．4．4 定义加密映射表，并将它们指定给接口281

23．4．5 备份配置283

23．5 GRE隧道加密配置283

23．5．1 只对GRE隧道通信进行加密283

23．5．2 对GRE隧道通信和其他通信都进行加密283

23．6．1 重置ESA284

23．6 VIP2中ESA加密配置284

23．6．2 执行其他的加密配置285

23．7 对Cisco7200系列路由器上的ESA进行加密配置286

23．7．1 必须完成的任务286

23．7．2 可选任务286

23．7．3 重置ESA286

23．7．4 执行其他加密配置287

23．7．5 启用ESA288

23．7．6 选择加密引擎288

23．7．7 删除DSS密钥289

23．8 定制加密(配置选项)290

23．8．1 定义加密会话的持续时间290

23．8．2 通过预先生成DH编号缩短会话的建立时间290

23．8．3 修改加密访问列表的限制291

23．10 加密测试和故障排除292

23．9 关闭加密292

23．10．1 测试加密配置293

23．10．2 诊断连接故障293

23．10．3 使用调试命令295

23．11 加密配置示例295

23．11．1 生成DSS公钥/私钥示例296

23．11．2 交换DSS密钥示例296

23．11．3 启用DES加密算法示例298

23．11．4 建立加密访问列表、定义加密映射表并将它用于接口的示例299

23．11．5 修改加密访问列表限制示例303

23．11．6 GRE隧道加密配置示例304

23．11．7 ESA特有加密配置任务示例306

23．11．8 删除DSS密钥示例308

23．11．9 测试加密连接示例311

第24章 网络数据加密命令313

24．1 access-list(encryption)313

24．2 clear crypto connection320

24．3 crypto algorithm 40-bit-des321

24．4 crypto algorithm des323

24．5 crypto clear-latch324

24．6 crypto esa325

24．7 crypto gen-signature-keys326

24．8 crypto key-exchange328

24．9 crypto key-exchange passive330

24．10 crypto key-timeout331

24．11 crypto map(global configuration)332

24．12 crypto map(interface configuration)334

24．13 crypto pregen-dh-pairs335

24．14 crypto public-key336

24．15 crypto sdu connections337

24．16 crypto sdu entities339

24．17 crypto zeroize341

24．18 deny342

24．19 ip access-list extended(encryption)346

24．20 match address347

24．21 permit348

24．22 set algorithm 40-bit-des353

24．23 set algorithm des354

24．24 set peer355

24．25 show crypto algorithms355

24．26 show crypto card356

24．27 show crypto connections357

24．28 show crypto engine brief358

24．29 show crypto engine configuration359

24．30 show crypto engine connections active361

24．31 show crypto engine connections dropped-packets362

24．33 show crypto map363

24．32 show crypto key-timeout363

24．34 show crypto map interface366

24．35 show crypto map tag367

24．36 show crypto mypubkey369

24．37 show crypto pregen-dh-pairs369

24．38 show crypto pubkey370

24．39 show crypto pubkey name371

24．40 show crypto pubkey serial372

24．41 test crypto initiate-session373

第五部分 其他安全特性377

第25章 配置口令和权限377

25．1 保护对特权EXEC命令的访问377

25．1．1 设置或修改静态有效口令377

25．1．2 使用有效口令和有效密钥保护口令378

25．1．3 设置或修改线路口令378

25．2 加密口令379

25．1．4 为特权EXEC模式设置TACACS口令保护379

25．3 配置多重权限级别380

25．3．1 设置命令的权限级别380

25．3．2 修改线路的默认权限级别380

25．3．3 显示当前的权限级别380

25．3．4 登录到某个权限级别381

25．4 恢复丢失的有效口令381

25．4．1 恢复口令的步骤382

25．4．2 第一种口令恢复方法382

25．4．3 第二种口令恢复方法383

25．5 恢复丢失的线路口令385

25．6 配置标识支持386

25．7 口令和权限配置示例386

25．7．1 多重权限级别示例386

25．7．2 用户名示例387

26．1 enable389

第26章 口令和权限命令389

26．2 enable password390

26．3 enable secret391

26．4 ip identd393

26．5 password394

26．6 privilege level(global)395

26．7 privilege level(line)396

26．8 service password-encryption397

26．9 show privilege398

26．10 username399

第27章 邻接路由器身份认证——概述和指南403

27．1 本章内容403

27．2 邻接身份认证的优点403

27．4 何时配置邻接身份认证404

27．5 邻接身份认证的工作原理404

27．3 使用邻接身份认证的协议404

27．5．2 明文身份认证405

27．5．2 MD5身份认证405

27．6 密钥管理(密钥链)405

第28章 配置IP安全选项邻407

28．1 本章的内容407

28．2 配置基本IP安全选项407

28．2．2 指定如何处理IP安全选项408

28．2．1 启用IPSO并设置安全机密级别408

28．3 配置扩展IP安全选项409

28．3．1 配置全局默认设置409

28．3．2 将ESO附加到接口410

28．3．3 将AESO附加到接口410

28．4 配置DNSIX审计跟踪功能410

28．4．1 启用DNSIX审计跟踪功能410

28．5．1 示例1411

28．5 IPSO配置示例411

28．4．3 指定传输参数411

28．4．2 指定接收审计跟踪消息的主机411

28．5．2 示例2412

第29章 IP安全选项命令413

29．1 dnsix-dmdp rebies413

29．2 dnsix-nat authorized-redirection414

29．3 dnsix-nat primary414

29．4 dnsix-nat secondary415

29．5 dnsix-nat source416

29．6 dnsix-nat transmit-count416

29．7 ip security add417

29．8 ip security aeso418

29．9 ip security dedicated419

29．10 ip security eso-info420

29．11 ip secadty eso-max421

29．12 ip security eso-min422

29．13 ip security extended-allowed423

29．14 ip security first424

29．15 ip security ignore-authorities425

29．16 ip security implicit-labelling426

29．17 ip secufity multilevel427

29．18 ip security reserved-allowed428

29．19 ip security strip429

29．20 Show dnsix430

附录A RADIUS属性433

A．1 支持的RADIUS属性433

A．2 RADIUS统计属性435

A．3 RADIUS厂商专用特性436

附录B TACACS+属性-值对439

B．1 TACACS+属性-值对439

B．2 TACACS+统计AV对442