CCNA security笔记

CCNA SECURITY笔记
A）命令级别：
a) . Privilege exec level 1 clear line *
privilege configure all level 5 router
”all”就是把全局配置模式下的router这个命令下面的所有命令给于5级别。

如果不加all，则只有router 后面的命令在5级别可以使用。

意思是把原来exec下面的【包括#和>下面的，不论是原来是什么级别的命令clear line *】移动到1级别去。

将高级别的命令放到级别的时候也要有先后顺序的：
比如：你要把router 这个命令放到level 1下面去，但是你没有把configure terminal放过去，你是看不到router 命令的。

因为路由器觉得router是在全名模式下的命令，你必须要进入全局模式下才可以敲入router.
如下图：R1(config)>router
R1(config)>router os 1
R1(config-router)>network 192.168.1.1 0.0.0.0 a 0
虽然进入到全名模式也是>这个符号，但是也要进入这种全局模式。

才有router命令。

b) .View 命令集:将命令做成一集合，然后授权给某个用户使用。

控制力度更强。

则此用户只能使用此命令集中的命令。

Root view 比15级别更强
Aaa new-mode
Eablesecretwang/enble pass wang配置进入到root view下面的密码
Root view 可以创建删除VIEW,但是15级别不可以。

Enable view (进入root view)
Parser view y uan(创建一个view)
Secret yeslabccies配置y uan这个子view下面的密码
Commands exec include show version
使用本地数据库绑定VIEW
先去掉aaa new-model 只是为了演示，其实一般都是用AAA做VIEW的授权
User yuan password yuan
User yuan view yuan
B ) CISCO路由器的加密级别0,5,6,7
0 是不加密
5 是MD5
6是在做VPN的时候加密的
6: key config-key password-encrypt wang1245
passwor encryption aes
cryptiskmap key 0 yuan add 192.168.1.1
最后变成：cryptoisakmp key 6 ZFSN\VVKfdcf\cBKKBLZWDgVXGD address 192.168.1.1
7是开启了service password-encrytion
C) chatper认证不能够使用enable secret 加密
1.security passwords min-length
2.no service password-recovery 【让你无法找回running-config】
就是让用户在重启的时候无法进入ROMMON下面中破解密码。

3.privilige exec level 1 clear line
在ISR路由器上面有效保护IOS和configure的安全。

secure boot-image [加密保护隐藏IOS]
secure boot-config【加密备份配置】
只有CONSOLE进入才可以no掉。

6.login block-for 10s attempt 10 within 10s(10S内联系登入10次，在10S内谁都不可以登入了)
login on-failure log every 10 (log 和trap的区别，貌似有LOG就不可以有TRAP）
login delay 2
login quiet-mode access-class admin（由于第一句话在10S内谁都不可以登入了，将管理员IP地址例外）ip access-list standard admin
permit 192.1681.1
permit 192.168.1.0 0.0.0.255
8.rommon>boot IOS
router# secure boot-config restore flash:/secure.cfg
router#copy flash:/secure.cfg running-config
9.console口默认是no login 的
10.在做8O21.X和AUTH-PROXY只能使用AAA authentication default group radius , 不能使用命名的策略。

11.tcp 的小服务（service tcp-small)，可以做TCP的PING，对方时间回显，字符回来等，客户端踢掉ctrl+shift+6 ,x.服务器端踢
掉clear tcptcb回话号（show tcpbrife)。

12.主机算不算是有路由能力的设备。

route print 可以看见主机的路由表，但是不设置网关也可以上网。

对于主机，如果网关的代理ARP关闭了，而且又不配网关，那么主机去往任何的非同以网段的IP地址的时候，将不会发送任何ARP请求。

如果配置了网关那么将向网关请求ARP请求。

配置网关设备关闭代理ARP的时候上不了网。

如果网关设备开启了代理ARP的时候，那么配不配网关都无所谓，但是像家用的一些路由器是关闭了代理ARP功能的。

13.IP选项源站路由，路由器默认是打开的。

可以通过PING测试，可以自己填写下一条来指引数据包的流向。

而且源站路由如果你知道一个做了PAT的站点的外网地址，你可以穿越PAT到达这个站点的内网地址。

在你写了下一条任何路由器上面关闭的ip source-route那么目的地将无法到达。

14.service finger在开启的时候，可以远程telnet 192.168.1.1 finger等于在192.168.1.1上面show user.
15.ICMP Ureachable只是在路由器发给一个地址，而下一条的地址不知道的情况下，发给自己的。

如果是下
下一条不知道
那么自己将收不到这个Ureachable的。

一般可以在边界的接口上面取消这种告警。

16.terminal monitor
17.loggin buffered是将相关的告警信息保存一份到本地的内存中。

可以通过show logging查看出来。

18.sy slog服务器：logging trap 消息登记loggin host 192.168.1.1 logging buffered +日志缓存区大小。

19.snmp的三个组建：
agenet:就是运行了agent的设备。

management:server：安装了SNMP软件的PC。

MIB:关于设备上面的信息数据库。

mangent\server 可以通过162端口get agent上面的信息。

mangentment\server可以通过162set agent上面的相关参数。

angent可以通过161端口在有信息的时候主动发送trap消息给server.
配置:设置get/set的参数：snmp community yuanro/rw (get/set设置读和写时候的关键字信息）
snmp-server host 192.168.1.1 GW(在V2中是关键信息和community一样，但是在V3就是用来加密的PASSWORD）
snmp-server enable traps
20.ssh 配置：ip domain name , crypto key genratersa , line vty 0 4, login local, transport input ssh ssh v2 的密钥长度必须大于768长度，crypto key genratersa modulus 1024
sh21.NTP端口是UDP 123 ，NTP在SYSLOG和PKI中非常重要。

配置：
clocktimezone GMT +8
clock set 16:33:33 3 jun 2012
ntp authentication-key 1 md5 120010161C 7
ntp authenticate
ntp trusted-key 1
ntp master(服务器的配置）
ntp服务器有一个特性就是它必须先自己同步自己，然后给其他设备同步。

所有如果设置了NTP的ACL的话，要放开自己ntp access-group server 127.0.0.1 和其他向它同步的设备的IP 地址。

客户端配置：
clocktimezone GMT +8
ntp server 192.168.1.1 key 1
ntp authentication-key 1 md5 120010161C 7
ntp authenticate
ntp trusted-key 1
22.CAM表，就是交换机端口和本端口学习到的MAC地址的映射。

常见的MAC地址攻击，就是：MAC地址防洪，MAC地址欺骗。

解决方案：1.PORT-SECURITY:遵行的原则是：
默认一个端口就只能有一个MAC地址存在，
一个VLAN下的两个端口不能学习到同一个MAC地址。

23.STP保护：
ROOT GUARD:在端口下面开启，这个端口还是可以连接交换机，接的交换机也可以参与STP的选举，但是你不能选取成为ROOT,如果
你成为ROOT,那么这个接口将成为一种生成树不连续状态和SHUTDOWN差不多。

1.BPDU GUARD：接口下面只能接PC，如果收到BPDU的包端口将立刻SHUTDOWN。

2.BPDU FILETER：
如果是在全局启用，那么只对开启了PORTFAST和AUTO AGE端口生效，并且不发送任何的BUDU给下联的设备。

如果从下联的设备接受了BPUD，那么PORTFAST和BPUD FILTER的特性将失效，端口将重新进入STP运算状态。

如果是在某一个接口下面启用BPUD FITLER和PORTFAST那么这几接口将不发也不收任何的BPUD。

但这可能会出现环路。

所以BPDU FILTER和PORTFAST连用的时候说明你的接口下面一定要接主机，如果接的是交换机那么发送的BPDU在开启了FILTER接口被干掉了可能出现环路哦。

比如：下图：在A,B口都启用了PORTFAST 和BPDUFILTER，那么这个肯定是有环路的。

3.在SPANNING-TREE PORTFAST口的接口收到任何的BUDU那么这个接口的这个一特性将丢失，重新进行STP 的运算，所以开启这个特征的
设备一般和BPDU FILTER接口使用。

24.DHCP保护。

IP DHCP SNOOPING.
ipdhcp snooping 全局启用（总开关）【让交换机有智能的功能识别DHCP包，而不仅仅是基于MAC地址转发帧】
ipdhcp snooping vlan 2 基于VLAN启用DHCP防护
int f0/1 (接DHCP服务器的接口是信任的）不信任的接口是不可以发送任何的OFFER,ACK的。

ipdhcp snooping trust
int f0/2（接客户端的接口是不信任的）而且要限制DHCP的速度。

ipdhcp snooping limit rate 100 端口下面每秒钟只能发送一个100DHCP的包。

25.ARP保护.这个是在有IP DHCP SNOOPING映射表之前的。

iparp inspection vlan 2
int f0/1
iparp inspection trust ,信任上连接口为TRUST。

ARP是IP和MAC的对应。

CAM是端口和MAC的对应。

所以ARP是欺骗的是主机，CAM表欺骗的是交换机。

26.SPAN：monitor session 1 source int[vlan] f0/1 + [方向]
monitor session 1 destination int f0/2
27. VLAN-ACL即可控制VLAN之间的，也可以控制同一个VLAN中的流量。

但是普通的RACL是不可以控制同一个网段内的流量的。

VACL优先于RACL的。

ip access extent y uan
permittcp host 1.1.1.1 host 1.1.1.2 eq 23
permittcp host 1.1.1.2 eq 23 host 1.1.1.1
切记这里是双向的，因为你不管是发包给其他人，还是回包给其他人都是进入VLAN的。

vlan access-map yuan 10
matchip add 10
action forward
exit
vlan filter yuanvlan-list +[你需要将这个ACL运用到哪里VLAN中]
28.二层隔离：当二层隔离后，很多攻击就基本上解决了，比如ARP,DHCP .
二层隔离的解决方案：
switchport protect:敲了命令的端口之间不通，没有敲的和敲的可以通。

而且交换机上面有多块板卡，不同板卡之间不受控制的。

29.PVLAN
30.strom-control
strom-control + 单，组，广播+ 包，接口带宽的百分比。

strom-control action shutdown (设置风暴的行为）
31.抵御SYN的同步攻击：
1.ip tcp intercept:保护TCP的SERVER抵御SYN的泛洪攻击。

默认是intercept mode (active mode ):伪装的目标地址是？貌似抓包看不出来是伪装的。

在一个PC和服务器建立三次握手的时候，我路由器或者防火墙先伪装服务器和PC建立三层握手，
在PC和我建立三层握手成功后，然后我伪装PC和你服务器建立三层握手，然后建立好了后，我
就推出来。

配置：
ip access ex yuan
permit tcp any host 192.168.1.1 （受保护的服务器主机）
iptcp intercept list y uan
watch mode (passive mode ):就是在你PC和服务器建立三层握手的时候，我不管，但是我监控一个时间，你们在指定的时间内没有完成三层握手，比如PC没有给服务器最后的ACK的包，那么我路由器或者防火墙就
会伪装PC发一个TCP中reset置位的包给服务器，来干掉这个回话。

iptcp intercept mode watch
iptcp intercept watch time-out 10 (PC和服务器之间的三次握手必须在10S内完成,否则我假装成PC发送一个RESET干掉回话）
公共命令：
iptcp intercept connection-timeout 1800
iptcp intercept max-incomplete low 800
iptcp intercept max-incomplete high 1000（当超过这个值就进入到aggression默认，这个时候关于tcp intercept 的设置
的时间值都会减半，比如watch-timeout 10会变成5秒，如果是800-900之间，如果是上升为1000，那么是正常，如果是从1000
下降的话，那么也是aggressive模式）
iptcp intercept one-minute low 400
iptcp intercept one-minute high 500
iptcp intercept mode watch
2.抵御SYN同步的RFC：1918。

在外网接口阻止10.0.0.0/8,172.16.0.0/12,192.168.0.0/16私有地址的进入。

RFC:3330,这些地址包括了没有分配出去的地址和私有地址。

是1918的扩展。

RFC:2827,这个是针对ISP来说的，因为ISP在网络的边界会给使用者分配地址，所以2827就说
以前路由器是不检测源地址的，现在为了抵御SYN的同步攻击，现在你应该写一个ACL
来阻止源地址不是你分配的地址进入此接口上面比如：10.0.0.0/8。

并且在其他接口阻止已分配给其他接口的地址10.0.0.0/8的地址进入。

RFC3704:是扩展版的2827.
32.防地址欺骗。

Unicast RPF 单播源路径查找。

检测进入接口的包的源IP地址。

配置:ipcef必须启动。

int f0/1
ip verify unicast source reachable-via +模式
any 是宽松模式：就是进入路由器的数据包的源IP 地址，只要在路由器上面
有一条明细路由就收这个数据包。

不是默认路由，是明细。

如果加上allow-default，那么默认
路由也算上去。

rx是严格模式：进入的源IP地址必须要从进入的接口学习到。

allow-self-ping 101 加一个列表，如果这个列表的地址判断是被丢的，
但是在101列表中是permit的，那么就是不丢弃转发，其他的该丢还是丢的。

33.防御地址欺骗:追踪源地址。

1.方法一：老办法，使用ACL的log-input的特性
查找伪装的IP地址是从哪里来的.
配置：ip access-list extenet test
Permit ip any host 192.168.1.1 (要保护的服务器)
在路由器连接服务器的除接口上面应用ACL
然后可以看到告警：
*Apr 5 17:00:55.030: %SEC-6-IPACCESSLOGDP: list test permitted icmp 1.1.1.1 (FastEthernet0/0 ca00.0464.0008) -> 192.168.2.2 (0/0), 1 packet
这个信息可以发现发包的的路由器的接口的MAC地址，从而可以知道是从那个设备发出的，因为你查路由表是查不出来的，路由表中根本就没有关于1.1.1.1的路由。

2.新办法-ip source tracker。

配置ip source -track +192.168.1.1【被攻击的服务器的IP地址】
Ip source-track sy slog-interval 2 【产生Sy slog的周期，单位分钟】
flow，对某一个接口的流量进行审计。

同一个flow有7元素：相同源目IP,源目端口，相同的TOS，相同的三层协议，相同的入接口。

R2#show i p cache flow
IP packet size distribution (653 total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416 448 480
.000 .150 .003 .846 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
【表示包大小在32-64字节的包占总素653的15%】
512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
IP Flow Switching Cache, 4456704 bytes
2 active, 65534 inactive, 7 a dded
412 a ger polls, 0 flow a lloc failures
Active flows timeout in 30 minutes
Inactive flows timeout in 15 s econds
IP Sub Flow Cache, 336520 bytes
0 active, 16384 inactive, 0 a dded, 0 added to flow
0 alloc f ailures, 0 force free
1 chunk, 1 chunk a dded
last clearing of statistics never
Protocol T otal Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
TCP-T elnet 3 0.0 13 43 0.0 2.3 1.8
ICMP 2 0.0 85 100 0.0 175.0 15.6
T otal: 5 0.0 42 89 0.0 71.4 7.3
SrcIfSrcIPaddressDstIfDstIPaddress PrSrcPDstP Pkts
Fa0/1 192.168.2.2 Fa0/0 1.1.1.1 06 0017 951210
Fa0/0 1.1.1.1 Fa0/1* 192.168.2.2 06 9512 0017 14
关于16进展和十进制转换的算法事例：将十进制转成二进制，然后每四个二进制bit算半字节也就是为一个16进制数。

0X0A62每一个十六进制的数是半个字节，比如A就是1010.
101001100010
2048（这十个数合并后第一个1就是2的10次方）+512+64+32+2=2658
0X0016
00000000 00010110
00 22则端口是22
OX0017
0000000000010111
16+4+2+1=23 则源端口是23
0X9512
1001010100010010
32768+4096+1024+256+16+2=38162
35.NBAR,是用来匹配4-7层的流量的。

36. 关于ACL中的EST ABLISH的意义。

EST ABLISH：就是匹配上A CK,RST的FLAG。

RST是在网络异常的时候终止回话的。

ACK的话就是每个T CP回话除了第一个握手的第一次没有ACK外，其他的都会有ACK位。

那么打上了EST ABLISH的话，只要包中有ACK位或者异常终止的RST位的包都被放过了。

那么内部发送出去的TCP的SYN，在外部接口的入方向可以使用带有EST ABLISH的ACL，可以阻止外部主动发起的T CP 的连接，但是允许内部主动发起的T CP连接。

其实理解EST ABLISH可以这样认为：EST ABLISH就是建立的意思，就是已经建立的回话，那么肯定不是第一个包，而建立的回话肯定是有ACK的FLAG位的。

则有ACK的FLAG位的包都放过。

一般配置：ip access ex es tablish
Permit tcp any any establish
Deny ip any any log(做一个日志记录，查看那些包被丢弃了)
ACL的特性：
1.给ACL重新排序，因为我们有时候会在已经写好的ACL中插入一些ACL，那么序号和序号中的间隔就乱了，这个
时候我们可以使用ip access-list resequence名字10 10（从10开始，间隔是10）重新排序。

2.清楚ACL匹配了的条目。

3.在ACL中使用LOG/LOG-INPUT特性。

Log就是只记录源，目IP 和源目端口：
*Mar 1 00:41:35.283: %SEC-6-IPACCESSLOGP: list neibu permitted tcp192.168.2.2(35935) -> 192.168.1.1(23), 1 packet Log-input记录源，目IP 和源目端口和入接口以及入接口的时候的源MAC地址。

Mar 1 00:44:05.823: %SEC-6-IP ACCESSLOGP: list neibu permitted tcp192.168.2.2(11457) (FastEthernet0/1 c002.04a8.0001) -> 192.168.1.1(23), 1 packet
4.时间访问控制列表。

5.REMARK，为A CL打上一个注释，说明此条A CL是干什么用的。

可以通过SHOW RUN看到。

37. ACL中的Object-group,简化ACL的写法，可以基于network ,service,protocol，icmp-type写。

比如
object-group network yuan
network-object host 1.1.1.1
network-object host 2.2.2.2
network-object host 3.3.3.3（可以基于主机，网络，一个地址段的范围归类的）
object-group network des
network-object host 4.4.4.4
network-object host 5.5.5.5
network-object host 6.6.6.6
access-listyuan e xtended permit tcp object-group yuan object-group des
object-group s ervice s er
service-objecttcpeq ftp
service-objecttcpeq www
service-objecttcpeqsmtp
service-objecttcpeq telnet
service-objecttcpeqssh
service-objecttcpeq https
38. 代理防火墙的二个TCP和ip intercept的二个TCP有什么异同?代理防火墙的二个TCP是同时存在的。

39.状态包过滤防火墙:1.过滤
2.监控信息
3.审计流量。

CISCO的两种状态包过滤防火墙：
1.CBAK:(CBA K也有一些抵御DOS攻击的特性)
如果是只是监控ipinsepect name CBAC t cp ,那么双信道的协议，如FT P是通不了的。

所
以对于多信道的要ip inspect name CBA C ftp.
No ip inspect可以干掉所有的inspect的命令。

Ip inspect max-incomplete high 1000 超过1000就进入aggressive模式，和iptcp intercept一样
ip inspect max-incomplete low 800 低于800就离开aggressive默认。

在【800-100】之间如果是下降就是aggressive
默认，是上升就不是aggressive模式。

ipinsepect one-minute high 1000
ip inspect one-minute low 800
ip inspect udp idle-time 10
ip inspect dns-timeout 30
ip inspect tcp idle-timeout 360
Ip inspect tcpfinwait-time 1 发现交互了FIN后，在1s内干掉回话
Ipinsepecttcpsynwait-time 15 三次握手必须在15S内完成
CBAK默认的告警是开的,可以关闭：ip i nspect alter-off 怎么制造攻击的告警？
审计是关闭的，可以打开：ip inspect a udit-trail告警如下：
*Mar 1 00:11:31.087: %FW-6-SESS_AUDIT_TRAIL_ST ART: Start icmp session: initiator (192.168.1.1:8) -- responder (192.168.2.2:0)
2.ZONE ：12.4（6）T开始有的新feature.
1.zone是一系列接口的集合。

2.如果不属于任何ZONE的普通接口不受控制。

3.一个接口是ZONE的，另个一个不属于ZONE,则无法通信。

4.两个接口分属于不同的ZONE,可以通过策略让他们通，但默认不通。

5.两个接口在相同的ZONE内部，不收控制。

Juniper可以做到内部ZONE受控制。

行为： 1.inspect 监控，并维护状态化信息
2.Drop
3.Pass不维护状态化信息。

只是让你过，回来还得手动放开。

4.Police
5.Service-policy 深度运用层控制DPI），可能买防火墙的最大目的也是深度的控制了。

配置步骤。

1.创建ZONE。

2.将接口放入ZONE。

3.配置匹配流量使用class-map type inspect
4.(选配)如果要做深层过滤，需配置parameter-map type inspect 参数MAP
5.配置行为，当有了这些流量后做具体的行为操作。

使用policy-map type i nspect 配置
然后在policy-map下面调用匹配的流量，和参数MAP
6.在ZONE间使用service-poliy调用policy-map
IOS的SPL做ZONE BASE是使用inspect监控ZONE间流量。

ASA的MPF是通过借用QOS的配置来做深度的流量监控。

区别一：深度监控的流量和深度的PO LICY-MAP动作是一样的。

只是调用不同。

一个使用s ervice-policy调用，一个是在做普通动作的时候使用strict调用深度动作。

IOS中的一些参数使用参数MAP匹配。

ASA中的一些TCP参数使用tcp-map匹配。

区别二：
VPN
39.VPN.VPN的三个组成部分：ESP,A H的封装方式。

IKE的协商协议。

IKE建立和维护着ISKMAP(IKE)的SA和IPSEC的SA [实际上IKE是包括三个协议的，其中一个是ISKMAP,但是从配置命令来说一般都只用到了ISKMAP。

所以把第一阶段的协商也叫做ISKMAP或者IKE。

]
两种封装方式：隧道tunnel和transparent模式。

切记如果是transparent模式，通讯点和加密点的地址是相同的，而且这个地址是全局可路由的。

比如PC-------------SERVER（内网的PC到内网的服务器之间）
IKE的阶段：第一阶段：
1.主模式6个包的交互。

2.主动模式=侵略模式aggressvie mode 3个包的交互。

对于CISCO而言，域共享密钥认证的远程拨号VPN是主动模式或者是侵略模式。

主模式的六个包：1.2个包是协商认证方式：因为从第六个包到9个包的交互都是即加密又认证的。

这里协商的认证和加密方式就是加密和认证从6-9个包的认证和加密的。

3.4个包是DH算法，协商密钥，因为你加密要密钥，HMAC认证要密钥，以及加密真实数
据的密钥，密钥就是3.4个包协商而来的。

这个阶段将要协商产生三个随机的密钥。

5.6个包就是加密的情况下认证5-9个包的认证和加密方式的确认。

第二阶段：
快速模式：3个包的交互。

7-9个包是确定在第二阶段对什么感兴趣流（ID-S,ID-D）【感谢流的源和目的】，也就是真实数据的采用什么样的认证方式和加密方式进行一个确认，是否双方达成了一致对于真实的数
据包的保护方式。

这里确认的认证和加密是对真实数据进行认证和加密的。

VPN 协商阶段排错
发送方第一，二个包的排错：
1.对于1.2包协商第一阶段的认证算法和加密算法，第1.2个包双方将进行对比，各自会把你这几个值以及
这几个值【加密算法，认证算法，lif etime等】做一个HASH发相互发送给对方，如果其中一个值不对，
那么HASH肯定是不相同的，发送方只会比对HASH，如果不同那么发送方将会说Notify has no hash.
Rejected.
而接收方会发现HASH不同后为了让接受者知道是什么错误将会进一步去查看这几个值中是那一个不同，
然后显示出来告诉接收方。

如：Encryption algorithm offered does not ma tch policy!（加密算法不对）
Hash algorithm offered does not match policy!(HASH算法不对)
并是以这个顺序从上比倒下的，如果HASH和加密算法都不同接收方就直接包加密算法不对应，而不报HASH算法不对应的错误。

而发送方只会说HASH不一致，但是发送方说的HASH不一致是这几个值
做的HASH不一直，而不是具体只的协商的HASH算法不一致。

Lifetime不相同无所谓。

应该是依照密钥时间段。

如果是认证方式不正确，比如配置的一个是pre-share或者一个是证书，那么发送方将不会发送任何数据，因为你配置了PRE-SHARE但是没有KEY，或者你配置是证书认证却没有证书的时候。

如果你发送方配置了auth-pre但是有密钥，会发包的，发送方也会报Notify has no hash. Rejected.
而接收方会进一步去看这几个值到底是哪一个不同，然后报错误点：
Authentication method offered does not ma tch policy!
所以总结，第一阶段的一二包是协商第一阶段用来加密，认证,HASH的，如果不同，发送方都会说Notify has no hash. Rejected.因为它把这几个值做了一个HASH。

而接收方会具体去看是哪个值不同，依照上图的顺序，如果有多个不同，只会报按上到下的顺序报最上面的那个值不同。

比如加密和HASH不同，加密在上面，只会说加密不同。

2.如果配置的域共享密钥或者证书不同（但有），这个时候第1.2和
3.4个包都是可以交互的。

因为交互1.2.3.4
个包不需要检验域共享密钥或者证书。

到了5.6个包将会使用3.4个包协商出来的加密密钥和1.2个包协商出来的认证算法，加密算法，HASH
方式来加密5-9个包，但是这个时候要在一次确认的密钥，认证算法，加密算法，HASH方式【将这几个
值加上域共享密钥做一次完整的HMAC】以及是否和正确人建立第一阶段（使用域共享密钥和证书防止
中间人攻击，以防止和假冒者建立IPSEC VPN）。

这里做HMAC的密钥是协商出来的
:这里分两个HMAC：
一．一个是在做5.6个包交换的时候做认证的时候，防
止中间人攻击的时候的HMAC。

是手动敲的，也就
是authentication-pre-share.
二．还有一个是对数据包的HMAC的时候，是DH在3，4个包协商出来的对数据包做HMAC的，作用是源
认证，和完整性认证。

3.如果是crypto isakmp key yuan address 192.168.1.2【地址误指，这个不是互指向对方的话，那么将无法出
现说认证方式不正确。

那么发送方将不发生任何包，因为你写的PEER是192.168.1.1这个，而现在和这
个PEER之间没有密钥或者证书，则不发包】
crypto map yuan 10 ipsec-isakmp
set peer 192.168.1.1
set transform-set wang
match address 101
4.如果是第二阶段的策略crypto ipsec transform-set wang e sp-3des esp-md5-hmac不同，那么1.2.3.4.
5.6个包
可以交互，7-9个包是协商第二阶段对真实数据包的加密，所以第二阶段协商失败。

可以在接收方明显看
到phase 2 SA policy not acceptable! (local 192.168.2.2 remote 192.168.1.1)。

5.如果是set peer 192.168.2.3 写错了，将不会发送任何包的。

因为你是192.168.2.3建立关系，但是却没有
关于192.168.2.3的域共享密钥和证书。

所以不发送任何的包。

crypto map yuan 10 ipsec-isakmp
set peer 192.168.2.3
set transf orm-set wang
match address 101所以3.5这俩个问题一样的。

6.感兴趣流不一致：基于感兴趣流来协商第二阶段策略。

感兴趣流不正确也会报phase 2 SA policy not a cceptable!
Show crypto session 在EZVPN中可以看到拨入的用户。

感兴趣流的发起方是接收方的感兴趣流的子集也可以通的。

Proxy identities 是表示感兴趣
Santity ......malformed 是说健全的机制检测不完整。

表示域共享密钥key不正确。

不匹配。

ASA和ROUTE建立IPSE VPN，因为ASA对和自己接口通信的流量不限制，但是对解密后的穿越的流量也不管的。

但是如果sysopt connection permit-vpn去掉的话就不通了。

配置：crypto isakmp policy 10
authentication pre-share
lif etime 1000
crypto isakmp key yuan address 192.168.2.3
crypto isakmp key yuan address 192.168.2.2
!
!
crypto ipsec transform-set wang esp-3des e sp-md5-hmac
!
crypto map yuan 10 ipsec-isakmp
isakmp【这里ISAKM P就是你的密钥是谁提供的，这里是说是又IKE的协议ISAKM P通过DH算法提供的】
10【一个MA P ID 就是一个VPN，因为接口只能调用一个MAP，但是可以建立多个VPN】
set peer 192.168.2.2
set transf orm-set wang
match address 101
传统IPSEC的几个问题：
1.不支持组播的加密。

2.不支持动态路由协议通告。

因为你的加密点是互联网的地址，你不可能在OSPF中来通过互联网的IP地址吧。

3.不提供虚拟接口来做QOS,FW等特性。

解决方案：
1.gre over ipsec 1
2.4T之前的IOS.
2.SVTI 12.4T后的IOS支持。

GRE 通用路由封装。

广泛的封装各种网络层的包，封装在IP包中，建立一个点到点的虚拟链路。

不加密的，不认证，没有安全功能。

关于做GRE的时候如果宣告了互联网的地址到动态路由协议中将产生“递归路由”的事例。

其实如果不使用默认路由到地方站点是不会产生的，因为静态路由的A D高于动态路由的AD，但是如果是使用静态路由的话，那么是不现实的，可能要到达对方的多个站点。

产生递归路由的原因：假设你互联网的地址宣告到了OSPF中，那么你些的默认路由的下一条是互联网的下一条接口，那么数据进入到TUNNE L后，使用TUNNEL的源，目封装，然后又查找路由表，然后发现去往对端站点是是从TUNNEL 口出去【动态路由AD高于默认路由】，有被TUNNEL的源目封装，就这样没完没了，导致组播HE LLO发送包超时。

则TUNNEL 也断开了，则导致OSPF连接DOWN，然后没有了OSPF存在。

然后由于又有默认路由存在，这个时候TUNNE L又起来，然后有发送HE LLO建立邻居，学习路由，然后再学习到互联网接口的路由又因为递归路由而断开连接。

反复。

提示报错：%TUN-5-RECURDOWN: T unnel1 temporarily disabled due to recursive routing
第二种GRP OVER IPSEC 的配置方式
ROUTE: no cry ipsec nat-tran udp-en ASA: no crypto ipsec nat-tr。