配置基于上下文的访问控制

Addressing Table

地址表

 

Device	Interface	IP Address	Subnet Mask	Default Gateway
R1	Fa0/1	192.134.1.1	255.255.255.0	N/A
	S0/0/0	10.1.1.1	255.255.255.252	N/A
R2	S0/0/0	10.1.1.2	255.255.255.252	N/A
	S0/0/1	10.2.2.2	255.255.255.252	N/A
R3	Fa0/1	192.134.3.1	255.255.255.0	N/A
	S0/0/1	10.2.2.1	255.255.255.252	N/A
PC-A	NIC	192.134.1.3	255.255.255.0	192.134.1.1
PC-C	NIC	192.134.3.3	255.255.255.0	192.134.3.1

 

验证网络的联通性

PC-CpingPC-A

 

 

·在PC-C开一个网页浏览器登入PC-A来展示网页。关掉PC-C的浏览器。

 

 

1.在R3配置一个命名IP ACl阻隔所有外网产生的流量

R3(config)# ip access-list extended OUT-IN

R3(config-ext-nacl)# deny ip any any

R3(config-ext-nacl)# exit

R3(config)# interface s0/0/1

 

R3(config-if)# ip access-group OUT-IN in

在PC-C命令提示符ping PC-A服务器。ICMP回送响应会被ACL阻隔。

 

 

2.创建一个CBAC检测规则

R3(config)# ip inspect name IN-OUT-IN icmp

R3(config)# ip inspect name IN-OUT-INtelnet

 R3(config)# ip inspect name IN-OUT-INhttp

R3(config)# ip inspect audit-trail

R3(config)# service timestamps debug datetime msec

R3(config)# logging host 192.168.1.3

R3(config)# interface s0/0/1

R3(config-if)# ip inspect IN-OUT-IN out

验证审计跟踪信息正被syslog服务器记录

在PC-C 成功ping、telnet访问PC-A来检测连通性。

 

 

 

在PC-A,ping,Telnet PC-C来检测连通性，这两步都被阻隔掉

回顾在服务器PC-A的syslog信息，在配置窗口点击syslog option。

 

 

 

转载于:https://www.cnblogs.com/www66267729/p/10902687.html