1、系统操作,基本安全和日志,7750 业务路由器概况,课程目标,本课程成功完成后,学生将能解释: 7750 CLI、SNMP和用户登录的安全接入特征 管理接入过滤 日志,安全接入应用程序,CLI SSHSNMP,V1, V2c,团体字符串,V3,鉴权 加密,鉴权 TACACS+ RADIUS Local,加密 三倍-DES,鉴权 记帐,授权,安全指令结构,接入请求流程,1,1,无响应,无响应,无响应,RADIUS 服务器,2,5,1,1,无响应,无响应,无响应,TACACS+ 服务器,2,5,接受,无效,无效,本地的,拒绝接入,鉴权顺序radius tacplus 本地的,管理接入过滤,OOB
2、以太网 (CPM)连接,CPM强制的管理接入过滤器,带内连接,面向用户的接入端口,IES VPRN VLL VPLS,发送到 用户隧道,32K 过滤器每端口 线路速率 HW 增强 (IOM) ACL,网络端口,准则: 五元组查找 行为: (计数)丢弃转发,准则:入口 源IP地址协议目的端口 行为: 允许拒绝拒绝主机不可达,CPU受硬件保护, 该硬件设立32K队列并允许 CPU优先级划分和保护,CPM 过滤器 容量,登陆保护 认证 授权 计费 加密,安全授权,根,bof 配置 清除 调试 归档 放映 其他,ldp 日志 mpls ospf 端口 其他,ldp 日志 mpls ospf 端口 其他
3、,本页留空,SNMP 结构,管理器 (NMS),代理,管理的对象,MIB,受管理的设备,SNMP v1 和 v2c 共有字符串.,SNMP 安全特征,SNMP v1 & v2c 标准 ASCII 团体名称 使用事先配置的或用户(v3)视图 SNMP v3 用户名称 认证 (无、MD5或SHA) 加密 (DES) 组成员关系 接入组 认证(如果启用)加密 每组多个视图 每个视图的接入(r,w,n),日志,事件抑制?,登陆到其中之一 : 控制台 会话 Syslog文件内存SNMP-trap组,SNMP v3 安全 rcvr ?,N,加密并 送到鉴权trap接收器,Y,Y,Y,Y,Y,A,A,Y,退
4、出,事件,所有事件&trap 都带有时间戳。 每目的地都有 序列号。,维持在 内存布告 日志中,开始 下一个 检查,A,发给,A,N,N,日志id1 ?,日志id 2 ?,日志id 3 ?,日志id n ?,N,N,N,发送ASCII trap,调试跟踪,变化,安全,主要部分,事件日志,日志事件控制和过滤器,事件应用程序产生事件。应用程序包括: BGP、IP、OSPF、端口、 系统用户、MPLS 及其他。,事件控制,抑制,产生,报警 严重性,日志 ID,控制台 会话 Syslog 文件 内存 SNMP trap组,目的地,配置trap接收器,创建一个trap组,SNMP v3 Notify-community = security-name,其中之一,安全级别,无认证 +无干扰,认证 + 无干扰,干扰,其中之一,每一 trap 接收器,公共字符串 映射到默认视图或用户创建的视图,SNMP v1, v2c Notify-community = community string,或,或,,问题?,本页留空,答案,
