基于上下文的访问控制——CBAC的配置

CBAC配置<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

环境：三台路由器由串口相连，连接地址如图所示

要求：在R2上进行CBAC访问控制，只允许R1 telnet R3及ping R3,但不允许R3访问R1.

 

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

 

步骤一：接口连通性配置

R1(config)#int s0

R1(config-if)#ip add <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />10.1.1.1 255.255.255.0

R1(config-if)#clock rate 64000

R1(config-if)#no shutdown

R1(config)#ip route 20.1.1.0 255.255.255.0 10.1.1.2  à启用静态路由使R3可达

 

由于R2全部是相连接口不需配置路由

R2(config)#int s1

R2(config-if)#ip address 10.1.1.2 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#int s0

R2(config-if)#ip add 20.1.1.1 255.255.255.0

R2(config-if)#clock rate 64000

R2(config-if)#no shutdown

 

R3(config)#int s1

R3(config-if)#ip add 20.1.1.2 255.255.255.0

R3(config-if)#clock rate 64000

R3(config-if)#no sh

R3(config)#ip route 10.1.1.0 255.255.255.0 20.1.1.1  à启用静态路由使R1可达

 

步骤二：测试连通性

R1#ping 20.1.1.2  àR3的接口地址

!!!!!

 

 

 

R3#ping 10.1.1.1  àR1的接口地址

!!!!!

 

步骤三：配置R3为telnet SERVER,并设置特权密码

R3(config)#username cisco password cisco  à设置用户名及密码

R3(config)#enable secret cisco   à特权密码，否则不允许远程连接

R3(config)#line vty 0 4

R3(config-line)#login local   à远程登录使用本地数据库

                                      

步骤四：测试telnet配置

R1#telnet 20.1.1.2  àtelnetR3，已经连接上了

Trying 20.1.1.2 ... Open

 

 

User Access Verification

 

Username: cisco  à输入设置的用户名及密码

Password:

R3>en

Password:

R3#

 

步骤五：设置CBAC及访问控制

R2(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 any  à允许内网所有流量

R2(config)#access-list 101 permit icmp any 10.1.1.0 0.0.0.255 echo-reply

à允许ping的回流

R2(config)#access-list 101 deny ip any any  à拒绝其它所有流量

R2(config)#ip inspect name cbac_telnet tcp  à定义CBAC开启TCP和UDP

R2(config)#ip inspect name cbac_telnet udp

R2(config)#int s1

R2(config-if)#ip access-group 100 in à内网加载访问列表，但没加CBAC

R2(config)#int s0

R2(config-if)#ip access-group 101 in  à外网加载列表

 

步骤六：测试没有加载CBAC的效果，并查看R2的访问列表

R1#telnet 20.1.1.2  à没有成功的进行远程连接

Trying 20.1.1.2 ...

% Connection timed out; remote host not responding

 

R2#show ip access-lists  à查看R2的访问列表

Extended IP access list 100

    permit ip 10.1.1.0 0.0.0.255 any (30 matches)

Extended IP access list 101

    

 

permit icmp any 10.1.1.0 0.0.0.255 echo-reply (5 matches)

deny ip any any  à没有加载任何条目

 

步骤七：将CBAC加载到接口

R2(config)#int s1

R2(config-if)#ip inspect cbac_telnet in  à加载CBAC

 

步骤八：在R1测试telnet连接并在R2上查看访问列表条目

R1#telnet 20.1.1.2

Trying 20.1.1.2 ... Open  à连接成功

 

 

User Access Verification

 

Username: cisco

Password:

R3>en

Password:

R3#

 

R2#show ip access-lists à查看访问列表条目

Extended IP access list 100

    permit ip 10.1.1.0 0.0.0.255 any (65 matches)

Extended IP access list 101

permit tcp host 20.1.1.2 eq telnet host 10.1.1.1 eq 11005 (27 matches)

               à发现动态的加载条目，CBAC实验成功

    permit icmp any 10.1.1.0 0.0.0.255 echo-reply (5 matches)

    deny ip any any

转载于:https://blog.51cto.com/xghe110/102337