热门标签 | HotTags
当前位置:  开发笔记 > IOS > 正文

Context-BasedAccessControl(CBAC)基于上下文的访问控制实

【实验说明】配置路由器出站流量检查,动态打开ACL条目IOS:c7200-adventerprisek9-mz.124-24.T3.bin【实验拓扑】650)this.altsrccdn.verydemo.comupload2013_05_2713695895224540.jpg

【 实验 说明】 配置路由器出站流量检查,动态打开ACL条目 IOS:c7200-adventerprisek9-mz.124-24.T3.bin 【 实验 拓扑】 650) this.width=650;" border="0" alt="" src="http://cdn.verydemo.com/upload/2013_05_27/13695895224540.jpg" /> 【 实验 配置向

实验说明】

配置路由器出站流量检查,动态打开ACL条目


IOS:c7200-adventerprisek9-mz.124-24.T3.bin


实验拓扑】

实验配置向导】

  • 将上面网络配置为 IP service 实验中的“Standard NAT with Overloading(PAT)”
  • 创建检查规则命名为 INSPECT,允许TCP协议
  • 创建检查规则命名为 INSPECT ,允许FTP流量通过路由器
  • 配置规则允许ICMP 并检查路由器自身产生的TCP与ICMP流量
  • 创建 INBOUND 访问控制列表,允许OSPF,并阻止其他流量
  • 在路由器的串口的入方向应用访问控制列表 INBOUND
  • 应用检查规则到路由器串口的出方向


实验配置】

--------------------------------实验PAT配置---------------------------------------------------------

R1:

interface FastEthernet0/0

ip address 10.0.0.1 255.255.255.0

no sh

ip route 0.0.0.0 0.0.0.0 10.0.0.4


R6:

interface FastEthernet0/0

ip address 10.0.0.6 255.255.255.0

no sh

ip route 0.0.0.0 0.0.0.0 10.0.0.4



R4:

interface Loopback0

ip address 150.1.4.4 255.255.255.0

ip ospf network point-to-point

no sh

!

interface FastEthernet0/0

ip address 10.0.0.4 255.255.255.0

ip nat inside

no sh

!

interface serial1/0

en fram

no sh

!

interface Serial1/0.1 point-to-point

ip address 155.1.0.4 255.255.255.0

frame-relay interface-dlci 405

ip nat outside

no sh

!

interface Serial1/1

ip address 155.1.45.4 255.255.255.0

clock rate 2000000

ip nat outside

no sh

!

router ospf 1

router-id 150.1.4.4

network 150.1.4.4 0.0.0.0 area 0

network 155.1.0.4 0.0.0.0 area 0

network 155.1.45.4 0.0.0.0 area 0

!

router bgp 1

bgp router-id 150.1.4.4

neighbor 150.1.5.5 remote-as 2

neighbor 150.1.5.5 ebgp-multihop 255

neighbor 150.1.5.5 update-source Loopback0

!

ip access-list standard INSIDE_NETWORK

permit 10.0.0.0 0.0.0.255

!

ip nat inside source list INSIDE_NETWORK interface Loop0 overload


R5:

interface Loopback0

ip address 150.1.5.5 255.255.255.0

ip ospf network point-to-point

no sh

!

interface Serial1/0

encapsulation frame-relay

no sh

!

interface Serial1/0.1 point-to-point

ip address 155.1.0.5 255.255.255.0

frame-relay interface-dlci 504

no sh

!

interface Serial1/1

ip address 155.1.45.5 255.255.255.0

clock rate 2000000

no sh

!

router ospf 1

router-id 150.1.5.5

network 150.1.5.5 0.0.0.0 area 0

network 155.1.0.5 0.0.0.0 area 0

network 155.1.45.5 0.0.0.0 area 0

!

router bgp 2

bgp router-id 150.1.5.5

neighbor 150.1.4.4 remote-as 1

neighbor 150.1.4.4 ebgp-multihop 255

neighbor 150.1.4.4 update-source Loopback0

neighbor 150.1.4.4 default-originate


------------------------------------------------CBAC 配置----------------------------------------------------------

实验配置】

R4:

ip inspect name INSPECT ftp

ip inspect name INSPECT icmp router-traffic

ip inspect name INSPECT tcp router-traffic

!

ip access-list ext INBOUND

permit ospf any any

deny ip any any log

!

interface Serial 0/1

ip access-group INBOUND in

ip inspect INSPECT out

!

interface Serial 0/0.1

ip access-group INBOUND in

ip inspect INSPECT out


实验验证】

R4#show ip inspect config

Session audit trail is disabled

Session alert is enabled

one-minute (sampling period) thresholds are [400:500] connections

max-incomplete sessions thresholds are [400:500]

max-incomplete tcp connections per host is 50. Block-time 0 minute.

tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec

tcp idle-time is 3600 sec -- udp idle-time is 30 sec

dns-timeout is 5 sec

Inspection Rule Configuration

Inspection name INSPECT

http alert is on audit-trail is off timeout 3600

ftp alert is on audit-trail is off timeout 3600

icmp alert is on audit-trail is off timeout 10

telnet alert is on audit-trail is off timeout 3600

router alert is on audit-trail is off timeout 30

R6#telnet 150.1.5.5

Trying 150.1.5.5 ... Open

R5>

R4#show ip inspect sessions

Established Sessions

Session 650FF88C (10.0.0.6:54327)=>(150.1.5.5:23) tcp SIS_OPEN

Session 650FFB04 (150.1.4.4:40087)=>(150.1.5.5:179) tcp SIS_OPEN

R4#ping 150.1.5.5

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 150.1.5.5, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 44/44/48 ms

R4#telnet 150.1.5.5

Trying 150.1.5.5 ... Open

推荐阅读
  • 本文详细探讨了电脑重装操作系统后无法访问网络邻居的原因及解决方案,包括检查网络配置、权限设置等多个方面。 ... [详细]
  • 本文详细介绍了如何设置局域网,并确保网络中的所有计算机能够相互访问和共享安装的软件。包括物理连接检查、TCP/IP设置、网络协议配置等多个方面。 ... [详细]
  • 2023年最新:PHP本地端口配置详解
    本文详细介绍了PHP在不同环境下的本地端口配置方法及常见问题解决方案,帮助开发者更好地理解和配置PHP端口。 ... [详细]
  • 本文介绍了EasyRTSPClient这一高效、稳定的RTSP客户端工具库,并详细阐述了其在与大华球机对接过程中遇到的预览问题及解决方法。 ... [详细]
  • 前言ReactNative是目前最流行的跨平台框架,并且是Facebook团队开源的项目。架构及实现技术上都有很高的研究价值,本系列就来分析一下Reac ... [详细]
  • 本文深入探讨了计算机网络中的传输层概念,包括UDP和TCP的主要特性、头部格式、连接建立与终止过程、可靠传输机制、滑动窗口技术、流量控制策略以及拥塞控制方法等。通过详细解析,帮助读者全面理解传输层的工作原理。 ... [详细]
  • 本文详细探讨了虚拟化的基本概念,包括服务器虚拟化、网络虚拟化及其在云计算环境中的应用。特别强调了SDN技术在网络虚拟化和云计算中的关键作用,以及网络虚拟化技术如何提升资源利用效率和管理灵活性。 ... [详细]
  • 本文深入探讨了网络编程中的基本概念,如指针、引用和可重入函数,并详细介绍了OSI七层模型和TCP/IP四层模型的功能与协议。同时,文章还对比了HTTP与HTTPS的区别,分析了HTTP请求报文的结构,讨论了TCP与UDP的主要差异,以及滑动窗口协议的工作原理。 ... [详细]
  • 本文详细记录了作者从7月份的提前批到9、10月份正式批的秋招经历,包括各公司的面试流程、技术问题及HR面的常见问题。通过这次秋招,作者深刻体会到了技术积累和面试准备的重要性。 ... [详细]
  • Iptool 抓包工具使用指南:网络通信协议分析技巧
    本文旨在介绍如何利用 Iptool 抓包工具有效分析 Internet 通信协议,提供了一系列实用的操作技巧。对于希望深入了解网络通信细节的技术人员而言,这些信息将大有裨益。 ... [详细]
  • ipvsadm命令简介:ipvsadm是LVS在应用层的管理命令,我们可以通过这个命令去管理LVS的配置。在fedora14、Linux6.0之后系统中 ... [详细]
  • 深入解析TCP的三次握手、四次挥手及路由器的三层转发机制
    本文详细探讨了OSI七层模型中的传输层,重点分析了TCP协议的连接建立(三次握手)和断开(四次挥手)过程,以及路由器如何在三层网络中实现数据包的高效转发。 ... [详细]
  • NetCat,因其强大的多功能性和灵活性,被网络安全领域的专业人士誉为‘瑞士军刀’。本文将详细介绍NetCat的功能、应用场景及其在不同平台上的使用方法。 ... [详细]
  • QLab Pro如何对工作区进行设置
    QLabMac是一款Mac平台的音频编辑处理工具,用户可对WAV、MP3、MP2、MPEG、OGG、AVI、g721、g723、g726、vox、ram、pcm、wm ... [详细]
  • Python安全实践:Web安全与SQL注入防御
    本文旨在介绍Web安全的基础知识,特别是如何使用Python和相关工具来识别和防止SQL注入攻击。通过实际案例分析,帮助读者理解SQL注入的危害,并掌握有效的防御策略。 ... [详细]
author-avatar
创办m觉e内能h行宫
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有