基于上下文的访问控制――CBAC的配置

CBAC配置

环境：三台路由器由串口相连，连接地址如图所示

要求：在R2上进行CBAC访问控制，只允许R1 telnet R3及ping R3,但不允许R3访问R1.

 

 

步骤一：接口连通性配置

R1(config)#int s0

R1(config-if)#ip add 10.1.1 .1 255.255.255.0

R1(config-if)#clock rate 64000

R1(config-if)#no shutdown

R1(config)#ip route 20.1.1 .0 255.255.255.0 10.1.1.2  à 启用静态路由使 R3 可达

 

由于 R2 全部是相连接口不需配置路由

R2(config)#int s1

R2(config-if)#ip address 10.1.1 .2 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#int s0

R2(config-if)#ip add 20.1.1 .1 255.255.255.0

R2(config-if)#clock rate 64000

R2(config-if)#no shutdown

 

R3(config)#int s1

R3(config-if)#ip add 20.1.1 .2 255.255.255.0

R3(config-if)#clock rate 64000

R3(config-if)#no sh

R3(config)#ip route 10.1.1 .0 255.255.255.0 20.1.1.1  à 启用静态路由使 R1 可达

 

步骤二：测试连通性

R1#ping 20.1.1 .2  à R3 的接口地址

!!!!!

 

 

 

R3#ping 10.1.1 .1  à R1 的接口地址

!!!!!

 

步骤三：配置 R3 为 telnet SERVER, 并设置特权密码

R3(config)#username cisco password cisco  à 设置用户名及密码

R3(config)#enable secret cisco   à 特权密码，否则不允许远程连接

R3(config)#line vty 0 4

R3(config-line)#login local   à 远程登录使用本地数据库

                                      

步骤四：测试 telnet 配置

R1#telnet 20.1.1 .2  à telnetR3 ，已经连接上了

Trying 20.1.1 .2 ... Open

 

 

User Access Verification

 

Username: cisco  à 输入设置的用户名及密码

Password:

R3>en

Password:

R3#

 

步骤五：设置 CBAC 及访问控制

R2(config)#access-list 100 permit i p 10.1.1 .0 0.0.0.255 any  à 允许内网所有流量

R2(config)#access-list 101 permit icmp any 10.1.1 .0 0.0.0.255 echo-reply

à 允许 ping 的回流

R2(config)#access-list 101 deny ip any any  à 拒绝其它所有流量

R2(config)#ip inspect name cbac_telnet tcp  à 定义 CBAC 开启 TCP 和 UDP

R2(config)#ip inspect name cbac_telnet udp

R2(config)#int s1

R2(config-if)#ip access-group 100 in à 内网加载访问列表，但没加 CBAC

R2(config)#int s0

R2(config-if)#ip access-group 101 in  à 外网加载列表

 

步骤六：测试没有加载 CBAC 的效果，并查看 R2 的访问列表

R1#telnet 20.1.1 .2  à 没有成功的进行远程连接

Trying 20.1.1 .2 ...

% Connection timed out; remote host not responding

 

R2#show ip access-lists  à 查看 R2 的访问列表

Extended IP access list 100

    permit i p 10.1.1 .0 0.0.0.255 any (30 matches)

Extended IP access list 101

    

 

permit icmp any 10.1.1 .0 0.0.0.255 echo-reply (5 matches)

deny ip any any  à 没有加载任何条目

 

步骤七：将 CBAC 加载到接口

R2(config)#int s1

R2(config-if)#ip inspect cbac_telnet in  à 加载 CBAC

 

步骤八：在 R1 测试 telnet 连接并在 R2 上查看访问列表条目

R1#telnet 20.1.1 .2

Trying 20.1.1 .2 ... Open  à 连接成功

 

 

User Access Verification

 

Username: cisco

Password:

R3>en

Password:

R3#

 

R2#show ip access-lists à 查看访问列表条目

Extended IP access list 100

    permit i p 10.1.1 .0 0.0.0.255 any (65 matches)

Extended IP access list 101

permit tcp host 20.1.1 .2 eq telnet host 10.1.1.1 eq 11005 (27 matches)

               à 发现动态的加载条目， CBAC 实验成功

    permit icmp any 10.1.1 .0 0.0.0.255 echo-reply (5 matches)

    deny ip any any