基于上下文的访问控制——CBAC的配置
2008-09-26 23:15
337 查看
CBAC配置[/b]
环境:三台路由器由串口相连,连接地址如图所示[/b]
要求:在R2上进行CBAC访问控制,只允许R1 telnet R3及ping R3,但不允许R3访问R1.[/b]
步骤一:接口连通性配置[/b][/b]
R1(config)#int s0[/b]
R1(config-if)#ip add 10.1.1.1 255.255.255.0[/b]
R1(config-if)#clock rate 64000[/b]
R1(config-if)#no shutdown[/b]
R1(config)#ip route 20.1.1.0 255.255.255.0 10.1.1.2 [/b]à[/b]启用静态路由使[/b]R3[/b]可达[/b][/b]
由于[/b]R2[/b]全部是相连接口不需配置路由[/b][/b]
R2(config)#int s1[/b]
R2(config-if)#ip address 10.1.1.2 255.255.255.0[/b]
R2(config-if)#no shutdown[/b]
R2(config-if)#int s0[/b]
R2(config-if)#ip add 20.1.1.1 255.255.255.0[/b]
R2(config-if)#clock rate 64000[/b]
R2(config-if)#no shutdown[/b]
R3(config)#int s1[/b]
R3(config-if)#ip add 20.1.1.2 255.255.255.0[/b]
R3(config-if)#clock rate 64000[/b]
R3(config-if)#no sh[/b]
R3(config)#ip route 10.1.1.0 255.255.255.0 20.1.1.1 [/b]à[/b]启用静态路由使[/b]R1[/b]可达[/b]
步骤二:测试连通性[/b][/b]
R1#ping 20.1.1.2 [/b]à[/b]R3[/b]的接口地址[/b][/b]
!!!!![/b]
[/b]
[/b]
[/b]
R3#ping 10.1.1.1 [/b]à[/b]R1[/b]的接口地址[/b][/b]
!!!!![/b]
步骤三:配置[/b]R3[/b]为[/b]telnet SERVER,[/b]并设置特权密码[/b][/b]
R3(config)#username cisco password cisco [/b]à[/b]设置用户名及密码[/b][/b]
R3(config)#enable secret cisco [/b]à[/b]特权密码,否则不允许远程连接[/b][/b]
R3(config)#line vty 0 4[/b]
R3(config-line)#login local [/b]à[/b]远程登录使用本地数据库[/b][/b]
[/b]
步骤四:测试[/b]telnet[/b]配置[/b][/b]
R1#telnet 20.1.1.2 [/b]à[/b]telnetR3[/b],已经连接上了[/b][/b]
Trying 20.1.1.2 ... Open[/b]
[/b]
[/b]
User Access Verification[/b]
[/b]
Username: cisco [/b]à[/b]输入设置的用户名及密码[/b][/b]
Password:[/b]
R3>en[/b]
Password:[/b]
R3#[/b]
[/b]
步骤五:设置[/b]CBAC[/b]及访问控制[/b][/b]
R2(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 any [/b]à[/b]允许内网所有流量[/b][/b]
R2(config)#access-list 101 permit icmp any 10.1.1.0 0.0.0.255 echo-reply [/b]
à[/b]允许[/b]ping[/b]的回流[/b][/b]
R2(config)#access-list 101 deny ip any any [/b]à[/b]拒绝其它所有流量[/b][/b]
R2(config)#ip inspect name cbac_telnet tcp [/b]à[/b]定义[/b]CBAC[/b]开启[/b]TCP[/b]和[/b]UDP[/b][/b]
R2(config)#ip inspect name cbac_telnet udp[/b]
R2(config)#int s1[/b]
R2(config-if)#ip access-group 100 in [/b]à[/b]内网加载访问列表,但没加[/b]CBAC[/b]
R2(config)#int s0[/b]
R2(config-if)#ip access-group 101 in [/b]à[/b]外网加载列表[/b][/b]
步骤六:测试没有加载[/b]CBAC[/b]的效果,并查看[/b]R2[/b]的访问列表[/b][/b]
R1#telnet 20.1.1.2 [/b]à[/b]没有成功的进行远程连接[/b][/b]
Trying 20.1.1.2 ...[/b]
% Connection timed out; remote host not responding[/b]
[/b]
R2#show ip access-lists [/b]à[/b]查看[/b]R2[/b]的访问列表[/b][/b]
Extended IP access list 100[/b]
permit ip 10.1.1.0 0.0.0.255 any (30 matches)[/b]
Extended IP access list 101[/b]
[/b]
[/b]
permit icmp any 10.1.1.0 0.0.0.255 echo-reply (5 matches)[/b]
deny ip any any [/b]à[/b]没有加载任何条目[/b][/b]
[/b]
步骤七:将[/b]CBAC[/b]加载到接口[/b][/b]
R2(config)#int s1[/b]
R2(config-if)#ip inspect cbac_telnet in [/b]à[/b]加载[/b]CBAC[/b]
[/b]
步骤八:在[/b]R1[/b]测试[/b]telnet[/b]连接并在[/b]R2[/b]上查看访问列表条目[/b][/b]
R1#telnet 20.1.1.2[/b]
Trying 20.1.1.2 ... Open [/b]à[/b]连接成功[/b][/b]
[/b]
[/b]
User Access Verification[/b]
[/b]
Username: cisco[/b]
Password:[/b]
R3>en[/b]
Password:[/b]
R3#[/b]
[/b]
R2#show ip access-lists [/b]à[/b]查看访问列表条目[/b][/b]
Extended IP access list 100[/b]
permit ip 10.1.1.0 0.0.0.255 any (65 matches)[/b]
Extended IP access list 101[/b]
permit tcp host 20.1.1.2 eq telnet host 10.1.1.1 eq 11005 (27 matches)[/b]
[/b]à[/b]发现动态的加载条目,[/b]CBAC[/b]实验成功[/b][/b]
permit icmp any 10.1.1.0 0.0.0.255 echo-reply (5 matches)[/b]
deny ip any any[/b]
环境:三台路由器由串口相连,连接地址如图所示[/b]
要求:在R2上进行CBAC访问控制,只允许R1 telnet R3及ping R3,但不允许R3访问R1.[/b]
步骤一:接口连通性配置[/b][/b]
R1(config)#int s0[/b]
R1(config-if)#ip add 10.1.1.1 255.255.255.0[/b]
R1(config-if)#clock rate 64000[/b]
R1(config-if)#no shutdown[/b]
R1(config)#ip route 20.1.1.0 255.255.255.0 10.1.1.2 [/b]à[/b]启用静态路由使[/b]R3[/b]可达[/b][/b]
由于[/b]R2[/b]全部是相连接口不需配置路由[/b][/b]
R2(config)#int s1[/b]
R2(config-if)#ip address 10.1.1.2 255.255.255.0[/b]
R2(config-if)#no shutdown[/b]
R2(config-if)#int s0[/b]
R2(config-if)#ip add 20.1.1.1 255.255.255.0[/b]
R2(config-if)#clock rate 64000[/b]
R2(config-if)#no shutdown[/b]
R3(config)#int s1[/b]
R3(config-if)#ip add 20.1.1.2 255.255.255.0[/b]
R3(config-if)#clock rate 64000[/b]
R3(config-if)#no sh[/b]
R3(config)#ip route 10.1.1.0 255.255.255.0 20.1.1.1 [/b]à[/b]启用静态路由使[/b]R1[/b]可达[/b]
步骤二:测试连通性[/b][/b]
R1#ping 20.1.1.2 [/b]à[/b]R3[/b]的接口地址[/b][/b]
!!!!![/b]
[/b]
[/b]
[/b]
R3#ping 10.1.1.1 [/b]à[/b]R1[/b]的接口地址[/b][/b]
!!!!![/b]
步骤三:配置[/b]R3[/b]为[/b]telnet SERVER,[/b]并设置特权密码[/b][/b]
R3(config)#username cisco password cisco [/b]à[/b]设置用户名及密码[/b][/b]
R3(config)#enable secret cisco [/b]à[/b]特权密码,否则不允许远程连接[/b][/b]
R3(config)#line vty 0 4[/b]
R3(config-line)#login local [/b]à[/b]远程登录使用本地数据库[/b][/b]
[/b]
步骤四:测试[/b]telnet[/b]配置[/b][/b]
R1#telnet 20.1.1.2 [/b]à[/b]telnetR3[/b],已经连接上了[/b][/b]
Trying 20.1.1.2 ... Open[/b]
[/b]
[/b]
User Access Verification[/b]
[/b]
Username: cisco [/b]à[/b]输入设置的用户名及密码[/b][/b]
Password:[/b]
R3>en[/b]
Password:[/b]
R3#[/b]
[/b]
步骤五:设置[/b]CBAC[/b]及访问控制[/b][/b]
R2(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 any [/b]à[/b]允许内网所有流量[/b][/b]
R2(config)#access-list 101 permit icmp any 10.1.1.0 0.0.0.255 echo-reply [/b]
à[/b]允许[/b]ping[/b]的回流[/b][/b]
R2(config)#access-list 101 deny ip any any [/b]à[/b]拒绝其它所有流量[/b][/b]
R2(config)#ip inspect name cbac_telnet tcp [/b]à[/b]定义[/b]CBAC[/b]开启[/b]TCP[/b]和[/b]UDP[/b][/b]
R2(config)#ip inspect name cbac_telnet udp[/b]
R2(config)#int s1[/b]
R2(config-if)#ip access-group 100 in [/b]à[/b]内网加载访问列表,但没加[/b]CBAC[/b]
R2(config)#int s0[/b]
R2(config-if)#ip access-group 101 in [/b]à[/b]外网加载列表[/b][/b]
步骤六:测试没有加载[/b]CBAC[/b]的效果,并查看[/b]R2[/b]的访问列表[/b][/b]
R1#telnet 20.1.1.2 [/b]à[/b]没有成功的进行远程连接[/b][/b]
Trying 20.1.1.2 ...[/b]
% Connection timed out; remote host not responding[/b]
[/b]
R2#show ip access-lists [/b]à[/b]查看[/b]R2[/b]的访问列表[/b][/b]
Extended IP access list 100[/b]
permit ip 10.1.1.0 0.0.0.255 any (30 matches)[/b]
Extended IP access list 101[/b]
[/b]
[/b]
permit icmp any 10.1.1.0 0.0.0.255 echo-reply (5 matches)[/b]
deny ip any any [/b]à[/b]没有加载任何条目[/b][/b]
[/b]
步骤七:将[/b]CBAC[/b]加载到接口[/b][/b]
R2(config)#int s1[/b]
R2(config-if)#ip inspect cbac_telnet in [/b]à[/b]加载[/b]CBAC[/b]
[/b]
步骤八:在[/b]R1[/b]测试[/b]telnet[/b]连接并在[/b]R2[/b]上查看访问列表条目[/b][/b]
R1#telnet 20.1.1.2[/b]
Trying 20.1.1.2 ... Open [/b]à[/b]连接成功[/b][/b]
[/b]
[/b]
User Access Verification[/b]
[/b]
Username: cisco[/b]
Password:[/b]
R3>en[/b]
Password:[/b]
R3#[/b]
[/b]
R2#show ip access-lists [/b]à[/b]查看访问列表条目[/b][/b]
Extended IP access list 100[/b]
permit ip 10.1.1.0 0.0.0.255 any (65 matches)[/b]
Extended IP access list 101[/b]
permit tcp host 20.1.1.2 eq telnet host 10.1.1.1 eq 11005 (27 matches)[/b]
[/b]à[/b]发现动态的加载条目,[/b]CBAC[/b]实验成功[/b][/b]
permit icmp any 10.1.1.0 0.0.0.255 echo-reply (5 matches)[/b]
deny ip any any[/b]
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 基于上下文的访问控制——CBAC的配置
- 基于上下文的访问控制——CBAC的配置
- 基于上下文访问控制(CBAC)介绍与分析
- 基于上下文的访问控制(CBAC)
- 演示:基于上下文的访问控制(IOS防火墙的配置) 推荐
- 基于上下文的访问控制(CBAC)
- CCNA实验三十七 CBAC(基于上下文的访问控制)
- Context-Based Access Control (CBAC) 基于上下文的访问控制 理论知识
- Context-Based Access Control (CBAC) 基于上下文的访问控制 实验
- CBAC(基于内容的访问控制)
- RHEL6.3配置Apache服务器(4) 基于用户的访问控制
- 思科基于上下文访问控制的网络安全技术
- Cisco路由器配置ACL详解之基于时间的访问控制列表
- httpd配置(一)-- 基于用户的访问控制的配置
- 基于basic认证机制配置httpd服务器拥有用户访问控制功能
- RHEL6.3配置Apache服务器(3) 虚拟目录及基于客户端地址的访问控制
- SNMP 原理及配置简述 net-snmp-utils net-snmp 第2版基于SNMP 群体名(community name) 第3版引入了安全性更高的访问控制方法 SNMP协议操作只有4种 Apache的php_snmp 模块
- httpd虚拟主机配置及基于用户的访问控制
- Cisco路由器配置ACL详解之基于名称的访问控制列表
- httpd虚拟主机、站点访问控制、基于用户的访问控制、持久链接等应用配置实例