请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
楼主: vsop5207

【跟我一起读】《CCNP安全Secure 642-637认证考试指南》

[复制链接]
发表于 2018-4-15 22:34:27 | 显示全部楼层
3.回顾一下为什么需要802.1X认证?优势是什么?
802.1X标准实现了基于用户身份的网络服务,为网络安全提供了准入策略,及授权给用户指定的权限。优势是它是一套成熟的协议,得到了所有主流厂商的支持,兼容性强,及支持第三方认证服务器。
4.部署802.1X的时候有哪些需要注意的事项?分享一下你实施项目中遇到过的故障问题,让大家跳过这个坑?
主要是要先把原理搞通透吧,其次是按照CISCO的GUIDE LINE MENU,遇到问题就show,debug看看,同时查查日志,确认是bug就开tac吧。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (2 评价)
发表于 2018-4-15 22:52:49 | 显示全部楼层
以下是今天的一点阅读笔记,
进行 802.1X 排错时,必须仔细检查请求方(such as PC or phone and so on)、认证方(such as router or AP or switch and so on)、认证服务器(RADIUS server),以及三者之间的连接。
验证请求方配置。命令 dot1x test eapol-capable 用于测试用户能否正常响应交换机发送的 EAPOL 请求。如果不响应 EAPOL 请求则应使用 Cisco SSC 管理工具排查存在的问题。
验证 RADIUS 配置。命令 test aaa 用于测试交换机与 Cisco ACS 之间的 RADIUS通信是否正常,管理员还可以通过 Cisco ACS 产生的失败认证尝试(Failed Authentication Attempts)报告查看服务器存在的问题。
通过失败认证尝试报告查看请求方的身份凭证是否存在问题(如密码错误)。如果使用 Windows Active Directory 等外部数据库,需确保外部数据库可以正常工作。
在进行 802.1X 认证之前,管理员可以使用命令 dot1x test eapol-capable 测试请求方、认证方与认证服务器的状态,并查看与交换机端口相连的客户。默认情况下,客户有 10秒时间响应来自交换机的 EAPOL 消息,管理员可以使用全局命令 dot1x test timeout 修改该时间(范围是 1~65535 秒)。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (2 评价)
发表于 2018-4-15 23:07:06 | 显示全部楼层
3.回顾一下为什么需要802.1X认证?优势是什么?
IEEE 802.1X标准是基于用户身份的网络服务,为接入网络的用户提供了准入策略,及授权给用户特定的权限。优势是它是一套成熟的协议,得到了所有主流大厂商的支持,兼容性强,及支持第三方认证服务器。
4.部署802.1X的时候有哪些需要注意的事项?分享一下你实施项目中遇到过的故障问题,让大家跳过这个坑?
善于使用show,debug,test, 主要是要先把原理搞通透了,其次是按照CISCO的GUIDE LINE MENU,遇到问题就多看看以上相关命令的输出,同时查查日志,确认是bug就开tac case吧。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (2 评价)
发表于 2018-4-15 23:21:19 | 显示全部楼层
3.回顾一下为什么需要802.1X认证?优势是什么?
IEEE 802.1X 标准是一种基于端口的访问控制架构,它对连接到局域网端口的设备进行认证与授权,确保只有合法用户才能访问网络资源与服务。优势是它是一套成熟的协议标准,兼容性强,及支持第三方认证服务器。
4.部署802.1X的时候有哪些需要注意的事项?分享一下你实施项目中遇到过的故障问题,让大家跳过这个坑?
验证请求方配置。命令 dot1x test eapol-capable 用于测试用户能否正常响应交换机发送的 EAPOL 请求。如果不响应 EAPOL 请求则应使用 Cisco SSC 管理工具排查存在的问题。
验证 RADIUS 配置。命令 test aaa 用于测试交换机与 Cisco ACS 之间的 RADIUS通信是否正常,管理员还可以通过 Cisco ACS 产生的失败认证尝试(Failed Authentication Attempts)报告查看服务器存在的问题。
通过失败认证尝试报告查看请求方的身份凭证是否存在问题(如密码错误)。如果使用 Windows Active Directory 等外部数据库,需确保外部数据库可以正常工作。
在进行 802.1X 认证之前,管理员可以使用命令 dot1x test eapol-capable 测试请求方、认证方与认证服务器的状态,并查看与交换机端口相连的客户。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (2 评价)
发表于 2018-4-15 23:54:40 | 显示全部楼层
3.回顾一下为什么需要802.1X认证?优势是什么?
  802.1X认证最初主要是为了解决无线局域网安全问题,其优势是容易实现,成本低。
4.部署802.1X的时候有哪些需要注意的事项?分享一下你实施项目中遇到过的故障问题,让大家跳过这个坑?
  需要注意服务器的设置、网络设备的配置这些吧,早些年做过,已经忘记具体有哪些过程了。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (1 评价)
发表于 2018-4-16 15:56:11 | 显示全部楼层
5. 思科的Flexible Netflow 有哪些优势,主要用途是什么?
Flexible NetFlow (FnF)是新一代流技术,实现网络基础设施的优化,降低操作成本,通过提升灵活性及可扩展性来改善容量规划和安全事故检测。Flexible NetFlow 通过提供数据来实现网络和安全监控、网络规划、流量分析(识别网络瓶颈)以及 IP 记帐计费目的。

6. 管理面安全有哪些解决方案可以配置?
密码管理:
service password-encryption        //启用密码加密服务
username cisco secret cisco         //MD5加密用户密码
aaa authentication attempts loging         //限制用户登陆的尝试次数

禁用以下服务:
no ip domain-lookup                    //禁用DNS解析服务
no ip http server                          //禁用HTTP服务
no service config                  //禁用网络下载配置服务
no cdp run                           //禁用CDP服务

使用AAA服务
aaa new-model
aaa authentication login default group tacacs+ enable
tacacs-server host <ip-address-of-tacacs-server>
tacacs-server key <key>

aaa authorization exec default group tacacs none
aaa authorization commands 0 default group tacacs none
aaa authorization commands 1 default group tacacs none
aaa authorization commands 15 default group tacacs none

aaa accounting exec default start-stop group tacacs
aaa accounting commands 0 default start-stop group tacacs
aaa accounting commands 1 default start-stop group tacacs
aaa accounting commands 15 default start-stop group tacacs

SNMP管理
Access-list 99 permit 192.168.100.1            //定义允许访问SNMP服务的地址
Snmp-server community READONLY RO 99     //定义SNMP只读字符串

日志管理
Logging host 192.168.100.1         //定义syslog主机地址
Logging trap 6                            //定义网络日志等级
Logging buffered 6               //定义缓存日志等级
No logging console               //禁用控制台日志功能
No logging monitor               //禁用远程登陆日志功能
Logging source-interface loopback 0    //定义日志源地址
Service timestamps log datetime mesc show-timezone //定义日志时间格式

7.基于签名的IPS有哪些有点与不足? 对比一下
优点:
·基于具体攻击的签名开发周期非常短
·基于漏洞的签名能够防御针对该漏洞的未知攻击,真正做到零日攻击防御。此外,可以让签名库整体规模在不损失检测能力的情况下保持在一个非常小的水平,从而降低引擎工作压力。

不足:
·基于具体攻击的签名能够防御的范围非常狭窄,往往只能防御一种特定的攻击。
·基于漏洞的签名开发需要厂商具备非常资深的漏洞分析能力
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-4-16 20:59:25 | 显示全部楼层
5. 思科的Flexible Netflow 有哪些优势,主要用途是什么?
实现网络基础设施的优化,通过提供数据来实现网络和安全监控、网络规划、流量分析,记帐计费目的。
6. 管理面安全有哪些解决方案可以配置?
密码管理:启用密码加密服务,限制用户登陆的尝试次数。
禁用服务:禁用HTTP服务,禁用DNS解析服务。
7.基于签名的IPS有哪些有点与不足? 对比一下
优点:攻击的签名开发周期短,能做到零日攻击防御,降低引擎工作压力。
不足:防御的范围狭窄,需要厂商具备强大漏洞分析能力。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-4-16 21:39:03 | 显示全部楼层
跟着管理员一起学习读书。。开始了吗?还有机会拿书吗?
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-4-18 08:34:03 | 显示全部楼层
5. 思科的Flexible Netflow 有哪些优势,主要用途是什么?
它在许多方面优于 NetFlow,并增加了一些功能。如扩展性强、聚合度高、容量大的流量信息;带有安全监控功能的流量结构;灵活的关键字段与非关键字段配置;NetFlow v9导出格式;丰富的 IP 与 BGP 结算功能。
灵活 NetFlow 的主要用途:网络监控;应用监控与分析;用户监控与分析;网络规划与分析;安全分析;计费与结算;数据存储与数据挖掘。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-4-18 11:00:19 | 显示全部楼层
5. 思科的Flexible Netflow 有哪些优势,主要用途是什么?
灵活 NetFlow 是新一代的流技术。它优化了网络基础结构, 降低了运营成本, 改进了容量规划和安全事件检测, 提高了灵活性和可伸缩性。识别 IP源、目的地对网络故障排除至关重要。能够使用户更能准确的部署QoS。通过检测拒绝服务 (DoS) 攻击和网络传播蠕虫。
6. 管理面安全有哪些解决方案可以配置?
通过设置基本密码配置权限,定义限制管理性接入的访问控制列表(acl)
密码管理,权限管理及基于角色的访问控制,管理ACL,SNMP,SSH服务,安全日志。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-12-13 19:41 , Processed in 0.092734 second(s), 51 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表