基于上下文的访问控制

 

1、Cisco PT 拓扑和地址表

2、cisco PT(静态路由)

R1配置

Router#conf terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#

Router(config)#

Router(config)#int f0/1

Router(config-if)#ip add

Router(config-if)#ip address 192.47.1.1 255.255.255.0

Router(config-if)#no sh

Router(config-if)#no shutdown

Router(config-if)#ex

Router(config-if)#exit

Router(config)#int s0/0/0

Router(config-if)#ip add

Router(config-if)#ip address 10.47.1.1 255.255.255.252

Router(config-if)#no sh

Router(config-if)#no shutdown

Router(config-if)#ex

Router(config-if)#exit

Router(config)#ip route 10.47.2.0 255.255.255.252 10.47.1.2

Router(config)#ip route 192.47.3.0 255.255.255.0 10.47.1.2

Router(config)#ex

Router(config)#exit

Router#

R2配置

Router#conf

Router#configure

Configuring from terminal, memory, or network [terminal]?

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#int s0/0/0

Router(config-if)#ip ad

Router(config-if)#ip address 10.47.1.2 255.255.255.252

Router(config-if)#no sh

Router(config-if)#no shutdown

Router(config-if)#ex

Router(config)#int s0/0/1

Router(config-if)#ip ad

Router(config-if)#ip address 10.47.2.2 255.255.255.252

Router(config-if)#no sh

Router(config-if)#no shutdown

Router(config-if)#ex

Router(config-if)#exit

Router(config)#ip route 192.47.1.0 255.255.255.0 10.47.1.1

Router(config)#ip route 192.47.3.0 255.255.255.0 10.47.2.1

Router(config)#ex

R3配置

Router#conf t

Router#conf terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#

Router(config)#int s0/0/1

Router(config-if)#ip ad

Router(config-if)#ip address 10.47.2.1 255.255.255.252

Router(config-if)#no sh

Router(config-if)#no shutdown

Router(config-if)#ex

Router(config)#int f0/1

Router(config-if)#ip add

Router(config-if)#ip address 192.47.3.1 255.255.255.0

Router(config-if)#no sh

Router(config-if)#no shutdown

Router(config-if)#ex

Router(config)#ip route 10.47.1.0 255.255.255.252 10.47.2.2

Router(config)#ip route 192.47.1.0 255.255.255.0 10.47.2.2

Router(config)#ex

Router#

Ping通情况截图

 

R3pingPC-A

R2pingPC-APC-C

PC-ApingPC-C

PC-CpingPC-A

自此,cisco PT上的网络全部做通

二、基于上下文的访问控制

R3配置一个命名IP ACl阻隔所有外网产生的流量。ip access-list extended指令创造一个已命名的IP ACL。

R3的配置如下:

Router>en

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#ip acc

Router(config)#ip access-list ex

Router(config)#ip access-list extended OUT-IN

Router(config-ext-nacl)#deny ip any any

Router(config-ext-nacl)#ex

Router(config)#int s0/0/1

Router(config-if)#ip acc

Router(config-if)#ip access-group OUT-IN in

Router(config-if)#ex

 

Router#

PC-C命令提示符ping PC-A服务器。ICMP回送响应会被ACL阻隔

结果发现ICMP回送响应被ACL阻隔,创建一个CBAC检测规则

Router#ip ins

Router#conf t

Router#conf terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#ip ins

Router(config)#ip inspect na

Router(config)#ip inspect name IN-OUT-IN icmp

Router(config)#ip ins

Router(config)#ip inspect name IN-OUT-IN telnet

Router(config)#ip ins

Router(config)#ip inspect name IN-OUT-IN http

Router(config)#ip ins

Router(config)#ip inspect au

Router(config)#ip inspect audit-trail

Router(config)#ser

Router(config)#service time

Router(config)#service timestamps deb

Router(config)#service timestamps debug da

Router(config)#service timestamps debug datetime ms

Router(config)#service timestamps debug datetime msec

Router(config)#log

Router(config)#logg

Router(config)#logging host 192.47.1.3

Router(config)#ip ins

Router(config)#int s0/0/1

Router(config-if)#ip ins

Router(config-if)#ip inspect IN-OUT-IN out

Router(config-if)#ex

Router(config)#

PC-C 成功pingtelnet访问PC-A来检测连通性(telnet被阻隔掉

PC-A,ping,Telnet PC-C来检测连通性,这两步都被阻隔掉

show ip inspect sessions

show ip inspect interfaces

show ip inspect config

 

From PC-C, open a web browser on PC-C; enter the PC-A (server) IP address: 192.47.1.3.

 

posted @ 2019-05-28 23:18  Hudeskr  阅读(378)  评论(1编辑  收藏  举报