步骤一:接口连通性配置
R1(config)#int s0
R1(config-if)#ip add 10.1.1.1 255.255.255.0
R1(config-if)#clock rate 64000
R1(config-if)#no shutdown
R1(config)#ip route 20.1.1.0 255.255.255.0 10.1.1.2à启用静态路由使R3可达
由于R2全部是相连接口不需配置路由
R2(config)#int s1
R2(config-if)#ip address 10.1.1.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#int s0
R2(config-if)#ip add 20.1.1.1 255.255.255.0
R2(config-if)#clock rate 64000
R2(config-if)#no shutdown
R3(config)#int s1
R3(config-if)#ip add 20.1.1.2 255.255.255.0
R3(config-if)#clock rate 64000
R3(config-if)#no sh
R3(config)#ip route 10.1.1.0 255.255.255.0 20.1.1.1à启用静态路由使R1可达
步骤二:测试连通性
R1#ping 20.1.1.2àR3的接口地址
!!!!!
R3#ping 10.1.1.1àR1的接口地址
!!!!!
步骤三:配置R3为telnet SERVER,并设置特权密码
R3(config)#username cisco password ciscoà设置用户名及密码
R3(config)#enable secret ciscoà特权密码,否则不允许远程连接
R3(config)#line vty 0 4
R3(config-line)#login localà远程登录使用本地数据库
步骤四:测试telnet配置
R1#telnet 20.1.1.2àtelnetR3,已经连接上了
Trying 20.1.1.2 ... Open
User Access Verification
Username: ciscoà输入设置的用户名及密码
Password:
R3>en
Password:
R3#
步骤五:设置CBAC及访问控制
R2(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 anyà允许内网所有流量
R2(config)#access-list 101 permit icmp any 10.1.1.0 0.0.0.255 echo-reply
à允许ping的回流
R2(config)#access-list 101 deny ip any anyà拒绝其它所有流量
R2(config)#ip inspect name cbac_telnet tcpà定义CBAC开启TCP和UDP
R2(config)#ip inspect name cbac_telnet udp
R2(config)#int s1
R2(config-if)#ip access-group 100 inà内网加载访问列表,但没加CBAC
R2(config)#int s0
R2(config-if)#ip access-group 101 inà外网加载列表
步骤六:测试没有加载CBAC的效果,并查看R2的访问列表
R1#telnet 20.1.1.2à没有成功的进行远程连接
Trying 20.1.1.2 ...
% Connection timed out; remote host not responding
R2#show ip access-listsà查看R2的访问列表
Extended IP access list 100
permit ip 10.1.1.0 0.0.0.255 any (30 matches)
Extended IP access list 101
permit icmp any 10.1.1.0 0.0.0.255 echo-reply (5 matches)
deny ip any anyà没有加载任何条目
步骤七:将CBAC加载到接口
R2(config)#int s1
R2(config-if)#ip inspect cbac_telnet inà加载CBAC
步骤八:在R1测试telnet连接并在R2上查看访问列表条目
R1#telnet 20.1.1.2
Trying 20.1.1.2 ...Openà连接成功
User Access Verification
Username:cisco
Password:
R3>en
Password:
R3#
R2#show ip access-listsà查看访问列表条目
Extended IP access list 100
permit ip 10.1.1.0 0.0.0.255 any (65 matches)
Extended IP access list 101
permit tcp host 20.1.1.2 eq telnet host 10.1.1.1 eq 11005 (27 matches)
à发现动态的加载条目,CBAC实验成功
permit icmp any 10.1.1.0 0.0.0.255 echo-reply (5 matches)
deny ip any any
步骤九:显示当前配置
R1#show run
hostname R1
!
interface Serial0
ip address 10.1.1.1 255.255.255.0
clockrate 64000
!
ip route 20.1.1.0 255.255.255.0 10.1.1.2
!
end
R2#show run
hostname R2
!
ip inspect name cbac_telnet tcp
ip inspect name cbac_telnet udp
!
interface Serial0
ip address 20.1.1.1 255.255.255.0
ip access-group 101 in
!
interface Serial1
ip address 10.1.1.2 255.255.255.0
ip access-group 100 in
ip inspect cbac_telnet in
!
access-list 100 permit ip 10.1.1.0 0.0.0.255 any
access-list 101 permit icmp any 10.1.1.0 0.0.0.255 echo-reply
access-list 101 denyip any any
!
end
R3#show run
hostname R3
!
enable secret 5 $1$61vK$zLV502ahdm0EMkg/rhcHW1
!
username cisco password 0 cisco
!
interface Serial1
ip address 20.1.1.2 255.255.255.0
clockrate 64000
!
ip route 10.1.1.0 255.255.255.0 20.1.1.1
!
line vty 0 4
login local
!
end
163
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
