cbac式_CBAC ftp测试

1.测试拓扑：R2(20.1.1.2/24)--------------(20.1.1.1/24)R1 (10.1.1.1/25)-------(10.1.1.18)FTPServer情况一：                              outside             inside情况二：                               inside               outside参考：http://wenku.baidu.com/view/0b0c0f0490c69ec3d5bb75b6.html2.测试目的：A.理解FTP的主动模式，被动模式B.理解CBAC技术对FTP应用的处理C.理解CBAC的基本配置方法----CBAC在老的版本IOS才有，已经被ZBF所取代，本次测试2691平台上进行，没有配置NAT。----CBAC相对ZBF来说配置起来要简单些，只需要在接口上配置，而不是像ZBF那样在不同zone之间配置3.基本配置：R1：interface FastEthernet0/0ip address 20.1.1.1 255.255.255.0no shutdown!interface FastEthernet0/1ip address 10.1.1.1 255.255.255.0no shutdownR2：interface FastEthernet0/0ip address 20.1.1.2 255.255.255.0no shutdownip route 0.0.0.0 0.0.0.0 20.1.1.1ip ftp username xllip ftp password 1234qwerFTP Server：IP:10.1.1.18/24GW：10.1.1.14.FTP服务器在内网：A.在R1的外口配置访问策略，只允许访问FTP服务器的tcp 21连接进入access-list 101 permit tcp any host 10.1.1.18 eq ftpinterface FastEthernet0/0ip access-group 101 inB.FTP访问测试：①这时FTP访问主动模式和被动模式都不行，因为ACL只放行了TCP 21端口，其他数据通讯端口没放行②在路由器内网口开启TCP审查，目的是让内网主动发起的访问，能正常返回，不是接口ACL控制ip inspect name tcpinspect tcpint f0/1ip inspect tcpinspect in③这时FTP主动模式是正常的：因为FTP客户端只主动访问FTP Server的tcp 21端口，数据通道是FTP Server主动发起的，不受ACL控制。但是，FTP被动模式因为FTP客户端还需主动访问FTP服务器的数据通道端口，而ACL没有放行，所以失败。④这时在R1外口对进入的流量进行FTP审查ip inspect name ftpinspect ftpinterface f0/0ip inspect ftpinspect in---开启ftp审查后，被动FTP也能正常工作⑤如果这时FTP的端口修改为2121,这时因为默认FTP审查的是21端口，被动模式的FTP还是不能正常工作此时需要在R1上面通过如下命令告诉路由器TCP 2121端口也是FTP的控制端口ip port-map ftp port tcp 2121通过如下命令可以看到自定义的FTP端口R1#show ip port-map | in 21Default mapping:  gtpv1                tcp port 2123                       system definedDefault mapping:  gtpv1                udp port 2123                       system definedDefault mapping:  sql-net              tcp port 1521,150                   system definedDefault mapping:  ipx                  udp port 213                        system definedDefault mapping:  ftp                  tcp port 21                         system definedDefault mapping:  ftp                  tcp port 2121                       user define5.FTP服务器在外网网：A.在R1的外口配置访问策略，禁止任何IP数据包进行access-list 102 deny ip any anyint f0/1ip access-group 102 inB.在R1的内网口开启TCP审查ip inspect name insideinspect tcpint f0/0ip inspect insideinspect inC.此时被动FTP所有的访问都是有内网发起，因为有TCP审查，能正常进行，但是主动FTP不能正常工作，需要内网流量的FTP应用审查ip inspect name insideinspect ftp

D.如果FTP服务不是通常的21端口，同样需要修改ip port-map.

本文转自 碧云天 51CTO博客，原文链接：http://blog.51cto.com/333234/1059944，如需转载请自行联系原作者