CBAC配置实验

 

做了个CBAC实验：

如下图：

 

步骤一：接口连通性配置

R1(config)#int s0

R1(config-if)#ip add 10.1.1.1 255.255.255.0

R1(config-if)#clock rate 64000

R1(config-if)#no shutdown

R1(config)#ip route 20.1.1.0 255.255.255.0 10.1.1.2  à启用静态路由使R3可达

 

由于R2全部是相连接口不需配置路由

R2(config)#int s1

R2(config-if)#ip address 10.1.1.2 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#int s0

R2(config-if)#ip add 20.1.1.1 255.255.255.0

R2(config-if)#clock rate 64000

R2(config-if)#no shutdown

 

R3(config)#int s1

R3(config-if)#ip add 20.1.1.2 255.255.255.0

R3(config-if)#clock rate 64000

R3(config-if)#no sh

R3(config)#ip route 10.1.1.0 255.255.255.0 20.1.1.1  à启用静态路由使R1可达

 

步骤二：测试连通性

R1#ping 20.1.1.2  àR3的接口地址

!!!!!

 

 

 

R3#ping 10.1.1.1  àR1的接口地址

!!!!!

 

步骤三：配置R3为telnet SERVER,并设置特权密码

R3(config)#username cisco password cisco  à设置用户名及密码

R3(config)#enable secret cisco   à特权密码，否则不允许远程连接

R3(config)#line vty 0 4

R3(config-line)#login local   à远程登录使用本地数据库

                                      

步骤四：测试telnet配置

R1#telnet 20.1.1.2   telnetR3,已经连接上了

Trying 20.1.1.2 ... Open

 

 

User Access Verification

 

Username: cisco  à输入设置的用户名及密码

Password:

R3>en

Password:

R3#

 

步骤五：设置CBAC及访问控制

R2(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 any à允许内网所有流量

R2(config)#access-list 101 permit icmp any 10.1.1.0 0.0.0.255 echo-reply

à允许ping的回流

R2(config)#access-list 101 deny ip any any  à拒绝其它所有流量

R2(config)#ip inspect name cbac_telnet tcp  à定义CBAC开启TCP和UDP，允许ip不代表允许TCP和UDP

R2(config)#ip inspect name cbac_telnet udp

R2(config)#int s1

R2(config-if)#ip access-group 100 in à内网加载访问列表，但没加CBAC

R2(config)#int s0

R2(config-if)#ip access-group 101 in  à外网加载列表

 

步骤六：测试没有加载CBAC的效果，并查看R2的访问列表

R1#telnet 20.1.1.2  à没有成功的进行远程连接

Trying 20.1.1.2 ...

% Connection timed out; remote host not responding

 

R2#show ip access-lists  à查看R2的访问列表

Extended IP access list 100

    permit ip 10.1.1.0 0.0.0.255 any (30 matches)

Extended IP access list 101

    

 

permit icmp any 10.1.1.0 0.0.0.255 echo-reply (5 matches)

deny ip any any  à没有加载任何条目

 

步骤七：将CBAC加载到接口

R2(config)#int s1

R2(config-if)#ip inspect cbac_telnet in  à加载CBAC

 

步骤八：在R1测试telnet连接并在R2上查看访问列表条目

R1#telnet 20.1.1.2

Trying 20.1.1.2 ... Open  à连接成功

 

 

User Access Verification

 

Username: cisco

Password:

R3>en

Password:

R3#

 

R2#show ip access-lists à查看访问列表条目

Extended IP access list 100

    permit ip 10.1.1.0 0.0.0.255 any (65 matches)

Extended IP access list 101

permit tcp host 20.1.1.2 eq telnet host 10.1.1.1 eq 11005 (27 matches)

               à发现动态的加载条目，CBAC实验成功

    permit icmp any 10.1.1.0 0.0.0.255 echo-reply (5 matches)

    deny ip any any

 

步骤九：显示当前配置

R1#show run

hostname R1

!

interface Serial0

 ip address 10.1.1.1 255.255.255.0

 clockrate 64000

!

ip route 20.1.1.0 255.255.255.0 10.1.1.2

!

end

 

R2#show run

hostname R2

!

ip inspect name cbac_telnet tcp

ip inspect name cbac_telnet udp

!

interface Serial0

 ip address 20.1.1.1 255.255.255.0

 ip access-group 101 in

!

interface Serial1

 ip address 10.1.1.2 255.255.255.0

 ip access-group 100 in

 ip inspect cbac_telnet in

!

access-list 100 permit ip 10.1.1.0 0.0.0.255 any

access-list 101 permit icmp any 10.1.1.0 0.0.0.255 echo-reply

access-list 101 deny   ip any any

!

end

 

R3#show run

hostname R3

!

enable secret 5 $1$61vK$zLV502ahdm0EMkg/rhcHW1

!

username cisco password 0 cisco

!

interface Serial1

 ip address 20.1.1.2 255.255.255.0

 clockrate 64000

!

ip route 10.1.1.0 255.255.255.0 20.1.1.1

!

line vty 0 4

 login local

!

end

 

本文转自http://dnsdhcp.blog.51cto.com/1280638/287044