CCNP之IOS安全特性

实验要求：
1、根据要求搭建好拓扑环境，R1作为NTP服务器（172.16.1.2），AAA、FTP、DHCP、日志服务器并在一起，IP地址为172.16.3.10，配置EIGRP协议实现互联；
2、在R2和R3上启用NTP认证，与NTP服务器同步时间，密码sovand；
3、在核心交换机R2配置使得当出现核心崩溃时，能把当前配置上传到FTP服务器上，FTP用户名和密码分别是admin和cisco，传到服务器上的文件名是core；
4、在核心交换机上开启日志功能，对errors及更为重要的信息产生日志条目，并且给日志打上时间戳，采用当前设备的时间，并上传到日志服务器，类型为local6；
5、AAA服务器上设置15级管理员帐号，网关上启用AAA，配置登陆认证服务器，对登陆进行授权；
6、网关上及AAA服务器上配置认证代理，内网通过HTTP访问ISP时必须先经过AAA服务器的认证；
7、监测内网发往外网的ICMP、telnet、http流量。
实验拓扑：

实验步骤：
1、网关开启NAT
R3:
R3(config)#ip route 0.0.0.0 0.0.0.0 Serial1/0
R3(config)#access-list 1 permit 172.16.0.0 0.0.255.255
R3(config)#ip nat inside source list 1 interface Serial1/0 overload
R3(config)#int F0/0
R3(config)#ip nat inside
R3(config)#int s1/0
R3(config)#ip nat outside
2、内网启用EIGRP协议
R1:
R1(config)#router eigrp 1
R1(config-router)#no auto-summary
R1(config-router)#net 172.16.1.0 0.0.0.255
R2:
R2(config)#router eigrp 1
R2(config-router)#no auto-summary
R2(config-router)#net 172.16.1.0 0.0.0.255
R2(config-router)#net 172.16.2.0 0.0.0.255
R2(config-router)#net 172.16.3.0 0.0.0.255
R3:
R3(config)#router eigrp 1
R3(config-router)#no auto-summary
R3(config-router)#net 172.16.2.0 0.0.0.255
R3(config-router)#net 0.0.0.0
查看路由表:
R3#show ip rou 
     2.0.0.0/24 is subnetted, 1 subnets
D       2.2.2.0 [90/156160] via 172.16.2.1, 00:26:07, FastEthernet0/0
     100.0.0.0/24 is subnetted, 1 subnets
C       100.1.1.0 is directly connected, Serial1/0
     172.16.0.0/24 is subnetted, 3 subnets
D       172.16.1.0 [90/30720] via 172.16.2.1, 00:26:07, FastEthernet0/0
C       172.16.2.0 is directly connected, FastEthernet0/0
D       172.16.3.0 [90/30720] via 172.16.2.1, 00:26:07, FastEthernet0/0
S*   0.0.0.0/0 is directly connected, Serial1/0
确保服务器能和网内所有设备通信。

3、配置NTP服务器及其认证
R1：
R1#clock set 21:22:34 sun mar 20 2011
R1(config)#clock timezone gmt 8
R1(config)#ntp authenticate
R1(config)#ntp authentication-key 1 md5 sovand
R1(config)#ntp trusted-key 1
R1(config)#ntp master 3
R2：
R2(config)#clock timezone gmt 8
R2(config)#ntp authenticate
R2(config)#ntp authentication-key 1 md5 sovand
R2(config)#ntp trusted-key 1
R2(config)#ntp server 172.16.1.2 key 1
R3：
R3(config)#clock timezone gmt 8
R3(config)#ntp authenticate
R3(config)#ntp authentication-key 1 md5 sovand
R3(config)#ntp trusted-key 1
R3(config)#ntp server 172.16.1.2 key 1
查看时间同步情况：
R3#show ntp st
Clock is synchronized, stratum 4, reference is 172.16.1.2
nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**18
reference time is D1307D33.70B4B0D6 (21:18:43.440 gmt Sun Mar 20 2011)
clock offset is -26.2634 msec, root delay is 203.90 msec
root dispersion is 84.43 msec, peer dispersion is 58.12 msec
R3#show clock
21:25:08.519 gmt Sun Mar 20 2011

4、配置DHCP服务器
DHCP服务器建立在windows 2003操作系统上，管理员可以通过DHCP服务器直接获取地址。
DHCP服务器：
 
客户端：
 
5、配置日志服务器
在windows 2003中安装kiwi syslog service manager，然后在R3上进行配置：
R3(config)#logging on
R3(config)#logging buffered errors
R3(config)#logging facility local6
R3(config)#logging 172.16.3.10
查看日志信息：
 
6、核心崩溃时的FTP配置上传
FTP服务器建立在windows 2003上，ftp帐号为admin，密码为cisco，保存文件名为core。
R3(config)#exception prototal ftp
R3(config)#exception dump 172.16.3.10
R3(config)#exception core-file core
R3(config)#ip ftp username admin
R3(config)#ip ftp password cisco
7、网关的AAA认证和授权
认证部分：
R3(config)#aaa new-model   //启用AAA服务
R3(config)#tacacs-server host 172.16.3.10 key cisco   //配置tacacs+服务器地址和密码
R3(config)#username hjw2011 privilege 15 password qwaszx    //本地用户名和密码
R3(config)#aaa authentication login ccnp group tacacs+ local   //建立名为ccnp的认证方法，首先采用tacacs+服务器验证，如果无法连接服务器则采取本地验证
R3(config)#line vty 0 4
R3(config-line)#login authentication ccnp   //在VTY线路上调用
***********************************************************************
以下图形界面设置部分都是在AAA服务器上配置的，AAA服务器可以在安装了Cisco ACS4.2软件的虚拟机win2003操作系统来代替。
添加用户：
 
创建密码：
 
授权部分：
R3(config)#aaa authorization exec  default group tacacs+ //配置EXEC会话授权，默认所有登陆方式
R3(config)#aaa authorization commands 1 default group tacacs+  //对等级1的命令进行授权
R3(config)#aaa authorization commands 15 default group tacacs+   //对等级15的命令进行授权
开启shell和授权等级：
 

附加权限（不允许show run）:
 
查看AAA客户端与服务器情况：

 
验证tacacs+服务器上是否有用户和密码：
R3(config)#test aaa group tacacs+ hjw2011 qwaszx new-code
8、配置穿越的AAA认证代理
R3(config)#aaa authorization auth-proxy default group tacacs+   //开启穿越认证代理
R3(config)#aaa authentication login default group tacacs+
R3(config)#ip auth-proxy inactivity-timer 3   //修改非活动计时器
R3(config)#ip auth-proxy name cisco http list 1   //规定哪些主机使用认证代理上网
R3(config)#access-list 101 permit eigrp any any
R3(config)#access-list 101 permit tcp any eq tacacs host 172.16.2.2  //定义进站访问控制列表，只允许到路由器的AAA 流量
R3(config)#access-list 101 permit tcp any host 172.16.2.2 eq telnet
R3(config)#interface FastEthernet0/0
R3(config-if)#ip auth-proxy cisco   //接口下调用认证代理
R3(config-if)#ip access-group 101 in
修改认证标识：
R3(config)#ip admission auth-proxy-banner http ^C
#############HuJiwen's Website##############
  Welcome!You will be interested in here!
^C 
用户列表：

添加auth-proxy组件：
 
添加用户授权语句，只允许访问http的tcp流量：
 
验证结果，在浏览器上输入http://125.1.1.1（需断开物理网卡）：
 
输入AAA服务器里创建的用户名和密码，如认证成功会有如下提示：
 
9、监测内网发往外网的ICMP、telnet、http流量
R3(config)#ip inspect name sovand telnet timeout 30   //定义telnet 30秒超时
R3(config)#ip inspect name sovand icmp audit-trail on   //对icmp进行审计跟踪
R3(config)#ip inspect name sovand http audit-trail on   //对http进行审计跟踪
使用网内PC的浏览器访问外网验证结果，网关显示以下信息，说明访问外网的http流量被监测到：
R3#
*Mar  1 02:14:45: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator (172.16.3.23:52533) -- responder (100.1.1.1:80)
R3#
*Mar  1 02:14:50: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator (172.16.3.23:52535) -- responder (125.1.1.1:80)