基于上下文的通路控制——CBAC的配置

<b></b>

<b>CBAC配置</b>

<b>環境：三台路由器由序列槽相連，連接配接位址如圖所示</b>

<b>要求：在R2上進行CBAC通路控制，隻允許R1 telnet R3及ping R3,但不允許R3通路R1.</b>

<b>步驟一：接口連通性配置</b>

<b>R1(config)#int s0</b>

<b>R1(config-if)#ip add 10.1.1.1 255.255.255.0</b>

<b>R1(config-if)#clock rate 64000</b>

<b>R1(config-if)#no shutdown</b>

<b>R1(config)#ip route 20.1.1.0 255.255.255.0 10.1.1.2  </b><b>à</b><b>啟用靜态路由使</b><b>R3</b><b>可達</b>

<b>由于</b><b>R2</b><b>全部是相連接配接口不需配置路由</b>

<b>R2(config)#int s1</b>

<b>R2(config-if)#ip address 10.1.1.2 255.255.255.0</b>

<b>R2(config-if)#no shutdown</b>

<b>R2(config-if)#int s0</b>

<b>R2(config-if)#ip add 20.1.1.1 255.255.255.0</b>

<b>R2(config-if)#clock rate 64000</b>

<b>R3(config)#int s1</b>

<b>R3(config-if)#ip add 20.1.1.2 255.255.255.0</b>

<b>R3(config-if)#clock rate 64000</b>

<b>R3(config-if)#no sh</b>

<b>R3(config)#ip route 10.1.1.0 255.255.255.0 20.1.1.1  </b><b>à</b><b>啟用靜态路由使</b><b>R1</b><b>可達</b>

<b>步驟二：測試連通性</b>

<b>R1#ping 20.1.1.2  </b><b>à</b><b>R3</b><b>的接口位址</b>

<b>!!!!!</b>

<b> </b>

<b>R3#ping 10.1.1.1  </b><b>à</b><b>R1</b><b>的接口位址</b>

<b>步驟三：配置</b><b>R3</b><b>為</b><b>telnet SERVER,</b><b>并設定特權密碼</b>

<b>R3(config)#username cisco password cisco  </b><b>à</b><b>設定使用者名及密碼</b>

<b>R3(config)#enable secret cisco   </b><b>à</b><b>特權密碼，否則不允許遠端連接配接</b>

<b>R3(config)#line vty 0 4</b>

<b>R3(config-line)#login local   </b><b>à</b><b>遠端登入使用本地資料庫</b>

<b>                                      </b>

<b>步驟四：測試</b><b>telnet</b><b>配置</b>

<b>R1#telnet 20.1.1.2  </b><b>à</b><b>telnetR3</b><b>，已經連接配接上了</b>

<b>Trying 20.1.1.2 ... Open</b>

<b>User Access Verification</b>

<b>Username: cisco  </b><b>à</b><b>輸入設定的使用者名及密碼</b>

<b>Password:</b>

<b>R3&gt;en</b>

<b>R3#</b>

<b>步驟五：設定</b><b>CBAC</b><b>及通路控制</b>

<b>R2(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 any  </b><b>à</b><b>允許内網所有流量</b>

<b>R2(config)#access-list 101 permit icmp any 10.1.1.0 0.0.0.255 echo-reply</b>

<b>à</b><b>允許</b><b>ping</b><b>的回流</b>

<b>R2(config)#access-list 101 deny ip any any  </b><b>à</b><b>拒絕其它所有流量</b>

<b>R2(config)#ip inspect name cbac_telnet tcp  </b><b>à</b><b>定義</b><b>CBAC</b><b>開啟</b><b>TCP</b><b>和</b><b>UDP</b>

<b>R2(config)#ip inspect name cbac_telnet udp</b>

<b>R2(config-if)#ip access-group 100 in </b><b>à</b><b>内網加載通路清單，但沒加</b><b>CBAC</b>

<b>R2(config)#int s0</b>

<b>R2(config-if)#ip access-group 101 in  </b><b>à</b><b>外網加載清單</b>

<b>步驟六：測試沒有加載</b><b>CBAC</b><b>的效果，并檢視</b><b>R2</b><b>的通路清單</b>

<b>R1#telnet 20.1.1.2  </b><b>à</b><b>沒有成功的進行遠端連接配接</b>

<b>Trying 20.1.1.2 ...</b>

<b>% Connection timed out; remote host not responding</b>

<b>R2#show ip access-lists  </b><b>à</b><b>檢視</b><b>R2</b><b>的通路清單</b>

<b>Extended IP access list 100</b>

<b>    permit ip 10.1.1.0 0.0.0.255 any (30 matches)</b>

<b>Extended IP access list 101</b>

<b>    </b>

<b>permit icmp any 10.1.1.0 0.0.0.255 echo-reply (5 matches)</b>

<b>deny ip any any  </b><b>à</b><b>沒有加載任何條目</b>

<b>步驟七：将</b><b>CBAC</b><b>加載到接口</b>

<b>R2(config-if)#ip inspect cbac_telnet in  </b><b>à</b><b>加載</b><b>CBAC</b>

<b>步驟八：在</b><b>R1</b><b>測試</b><b>telnet</b><b>連接配接并在</b><b>R2</b><b>上檢視通路清單條目</b>

<b>R1#telnet 20.1.1.2</b>

<b>Trying 20.1.1.2 ... Open  </b><b>à</b><b>連接配接成功</b>

<b>Username: cisco</b>

<b>R2#show ip access-lists </b><b>à</b><b>檢視通路清單條目</b>

<b>    permit ip 10.1.1.0 0.0.0.255 any (65 matches)</b>

<b>permit tcp host 20.1.1.2 eq telnet host 10.1.1.1 eq 11005 (27 matches)</b>

<b>               </b><b>à</b><b>發現動态的加載條目，</b><b>CBAC</b><b>實驗成功</b>

<b>    permit icmp any 10.1.1.0 0.0.0.255 echo-reply (5 matches)</b>

<b>    deny ip any any</b>

<b>    本文轉自hexianguo 51CTO部落格，原文連結：</b><b>http://blog.51cto.com/xghe110/102337</b><b>，如需轉載請自行聯系原作者</b>