2012年思科认证(CCNA)考试知识复习指导18
VPN
远程访问VPN分两类:起源于NAS(公司之间)、起源于主机(easy VPN:员工到公司)
二层隧道协议:
PPTP:能建立隧道并能对数据进行加密。加密算法为微软独有,只有微软的操作系统才可识别
L2TP:能建立隧道但不能对数据进行加密,只支持IP。
三层隧道协议:
IPsec:框架协议,能建立隧道并能对数据进行加密。但隧道中只允许IP单播流传递。
GRE:通用路由封装协议,只能建立隧道,不能对数据加密。允许所有流量在隧道中传递。
GRE和IPsec结合使用,可用GRE来建立隧道,用IPsec对数据进行安全性保护。
IPsec三大功能:
Confidentiality 加密(对称式/非对称式)
Data integrity 数据完整性
Authentication 验证
ACL:访问控制列表
标准访问列表:1-99(延伸:1300-1999)
扩展访问列表:100-199(延伸:2000-2699)
标准访问列表只支持源IP;扩展访问列表支持源IP、目的IP、协议及端口号。
端口号功能:在第四层上标识上层服务。
源端口号是随机的,用于标识一次会话;目的端口号也称为众所周知的端口号,1-1023。
SSH:TCP 22
CISCO访问列表最后缺省为deny any。
标准访问控制列表一般配置在离目的较近的端口的出方向上,扩展访问控制列表一般配置在离源较近的端口的入方向上。
FTP 21端口用于控制连接,20用于数据传输。配置访问列表禁止FTP时只需封掉21端口即可。
按奇偶数匹配,例:
Access-list 1 permit 10.1.1.0 0.0.0.254 表示允许以10.1.1开头最后一位是偶数的IP
Access-list 2 permit 10.1.1.1 0.0.0.254 表示允许以10.1.1开头最后一位是奇数的IP