基于上下文的访问控制
1、Cisco PT 拓扑和地址表
2、cisco PT(静态路由)
R1配置
Router#conf terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#
Router(config)#
Router(config)#int f0/1
Router(config-if)#ip add
Router(config-if)#ip address 192.47.1.1 255.255.255.0
Router(config-if)#no sh
Router(config-if)#no shutdown
Router(config-if)#ex
Router(config-if)#exit
Router(config)#int s0/0/0
Router(config-if)#ip add
Router(config-if)#ip address 10.47.1.1 255.255.255.252
Router(config-if)#no sh
Router(config-if)#no shutdown
Router(config-if)#ex
Router(config-if)#exit
Router(config)#ip route 10.47.2.0 255.255.255.252 10.47.1.2
Router(config)#ip route 192.47.3.0 255.255.255.0 10.47.1.2
Router(config)#ex
Router(config)#exit
Router#
R2配置
Router#conf
Router#configure
Configuring from terminal, memory, or network [terminal]?
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#int s0/0/0
Router(config-if)#ip ad
Router(config-if)#ip address 10.47.1.2 255.255.255.252
Router(config-if)#no sh
Router(config-if)#no shutdown
Router(config-if)#ex
Router(config)#int s0/0/1
Router(config-if)#ip ad
Router(config-if)#ip address 10.47.2.2 255.255.255.252
Router(config-if)#no sh
Router(config-if)#no shutdown
Router(config-if)#ex
Router(config-if)#exit
Router(config)#ip route 192.47.1.0 255.255.255.0 10.47.1.1
Router(config)#ip route 192.47.3.0 255.255.255.0 10.47.2.1
Router(config)#ex
R3配置
Router#conf t
Router#conf terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#
Router(config)#int s0/0/1
Router(config-if)#ip ad
Router(config-if)#ip address 10.47.2.1 255.255.255.252
Router(config-if)#no sh
Router(config-if)#no shutdown
Router(config-if)#ex
Router(config)#int f0/1
Router(config-if)#ip add
Router(config-if)#ip address 192.47.3.1 255.255.255.0
Router(config-if)#no sh
Router(config-if)#no shutdown
Router(config-if)#ex
Router(config)#ip route 10.47.1.0 255.255.255.252 10.47.2.2
Router(config)#ip route 192.47.1.0 255.255.255.0 10.47.2.2
Router(config)#ex
Router#
Ping通情况截图
R3pingPC-A
R2pingPC-A和PC-C
PC-ApingPC-C
PC-CpingPC-A
自此,cisco PT上的网络全部做通
二、基于上下文的访问控制
在R3配置一个命名IP ACl阻隔所有外网产生的流量。用ip access-list extended指令创造一个已命名的IP ACL。
R3的配置如下:
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip acc
Router(config)#ip access-list ex
Router(config)#ip access-list extended OUT-IN
Router(config-ext-nacl)#deny ip any any
Router(config-ext-nacl)#ex
Router(config)#int s0/0/1
Router(config-if)#ip acc
Router(config-if)#ip access-group OUT-IN in
Router(config-if)#ex
Router#
在PC-C命令提示符ping PC-A服务器。ICMP回送响应会被ACL阻隔
结果发现ICMP回送响应被ACL阻隔,创建一个CBAC检测规则
Router#ip ins
Router#conf t
Router#conf terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip ins
Router(config)#ip inspect na
Router(config)#ip inspect name IN-OUT-IN icmp
Router(config)#ip ins
Router(config)#ip inspect name IN-OUT-IN telnet
Router(config)#ip ins
Router(config)#ip inspect name IN-OUT-IN http
Router(config)#ip ins
Router(config)#ip inspect au
Router(config)#ip inspect audit-trail
Router(config)#ser
Router(config)#service time
Router(config)#service timestamps deb
Router(config)#service timestamps debug da
Router(config)#service timestamps debug datetime ms
Router(config)#service timestamps debug datetime msec
Router(config)#log
Router(config)#logg
Router(config)#logging host 192.47.1.3
Router(config)#ip ins
Router(config)#int s0/0/1
Router(config-if)#ip ins
Router(config-if)#ip inspect IN-OUT-IN out
Router(config-if)#ex
Router(config)#
在PC-C 成功ping、telnet访问PC-A来检测连通性(telnet被阻隔掉)
在PC-A,ping,Telnet PC-C来检测连通性,这两步都被阻隔掉
show ip inspect sessions
show ip inspect interfaces
show ip inspect config
From PC-C, open a web browser on PC-C; enter the PC-A (server) IP address: 192.47.1.3.