CCIE安全学习笔记.docVIP

＃aaa new-model? 打开aaa服务?＃aaa authentication login 4sec tacacs+ local 告诉路由器先用tacacs+校验用户，如果tacacs服务器报告出错（比如tacacs服务器没有打开）就用路由器本地用户校验登录。如果tacacs服务器拒绝用户登录，则不会用路由器本地用户校验登录。 ＃aaa authorizatioexec default tacacs+ local 该命令告诉路由器使用tacacs服务器检验用户权限，如果tacacs服务器报错则用路由器本地设置检验用户权限。＃aaa authorization commands 4 4sec tacacs+该命令在此处无效，因为没有让vty 0 4用list 4sec来校验权限。如果此处把命令改为：aaa authorization commands 4 default group tacacs+ 则路由器会用tacacs服务器来校验每一个权限高于4的命令。如果把命令改为：aaa authorization commands 4 default group tacacs+ local虽然路由器还是会用tacacs服务器来校验每一个权限高于4的命令，但是一旦tacacs出错，我们还是可以通过路由器的本地用户及权限来登录并修正错误。如果把命令改为：aaa authorization commands 4 default group tacacs+ local none则用户在tacacs服务器停止工作和没有本地用户名一样可以登录路由器。 ＃username fumtek privilege 7 password 0 password该命令设置用户fumtek的密码 ＃username admin privilege 15 password 0 passpass该命令设置管理员的密码 ＃tacacs-server host 10.10.10.10指定tacacs服务器的地址 ＃tacacs-server key key4sec指定NAS和tacacs服务器之间密码交换是的密匙。 line vty 0 4login authentication 4secexec-timeout 0 0[page] RouterAcrypto isakmp policy 100crypto isakmp key seckey address 216.12.12.2!!crypto ipsec transform-set 4sec esp-des esp-sha-hmac !crypto map 4sec 100 ipsec-isakmp?? ?set peer 216.12.12.2?set transform-set 4sec ?set pfs group1?match address 100!interface Serial0/0?ip address 216.12.12.1 255.255.255.252?crypto map 4sec!access-list 100 permit ip 10.10.10.0 0.0.0.255 20.20.20.0 0.0.0.255! RouterBcrypto isakmp policy 100crypto isakmp key seckey address 216.12.12.1!!crypto ipsec transform-set 4sec esp-des esp-sha-hmac !crypto map 4sec 100 ipsec-isakmp?? ?set peer 216.12.12.1?set transform-set 4sec ?set pfs group1?match address 100!interface Serial0/0?ip address 216.12.12.2 255.255.255.252?crypto map 4sec!access-list 100 permit ip 20.20.20.0 0.0.0.255 10.10.10.0 0.0.0.255 ! 分析：由于此处没有设置ISAKMP的选项，所以会用默认值。ISAKMP的默认值是：加密法则：DES 56bitHash法则：SHS鉴别方法：RSASDiffe-Hellman组：＃1 （768bit）生命期限：86400秒 ISAKMP的各种设定值有：加密法则：DES（56bit）和3DES（168bit）Hash法则：md5 和 sha鉴别方法：pre-share, rsa-en