基於上下文的訪問控制
拓撲圖瀏覽器
地址表服務器
| Devicespa |
Interfacedebug |
IP addressblog |
| R1接口 |
F 0/0ip |
192.168.12.1ci |
| S 0/0/0路由 |
10.1.12.1it |
|
| R2 |
S 0/0/0 |
10.1.12.2 |
| S 0/0/1 |
10.2.12.2 |
|
| R3 |
F 0/0 |
172.16.12.3 |
| S 0/0/0 |
10.2.112.3 |
|
| PC-A |
NIC |
192.168.12.4 |
| Default Gateway |
192.168.12.1 |
|
| PC-C |
NIC |
172.16.12.4 |
| Default Gateway |
172.16.12.3 |
預配置:
在配置防火牆以前驗證設備間連通性,即先配置靜態路由
R1(config)#ip route 10.2.12.0 255.255.255.0 10.1.12.2
R1(config)#ip route 172.16.12.0 255.255.255.0 10.1.12.2
R2(config)#ip route 192.168.12.0 255.255.255.0 10.1.12.1
R2(config)#ip route 172.16.12.0 255.255.255.0 10.2.12.3
R3(config)#ip route 10.1.12.0 255.255.255.0 10.2.12.2
R3(config)#ip route 192.168.12.0 255.255.255.0 10.2.12.2
在R3啓用密碼
R3(config)#enable password abc123
啓用console口密碼
R3(config)#line console 0
R3(config-line)#password abd123
啓用vty行接入密碼
R3(config)#line vty 0 4
R3(config-line)#password abe123
把S1、S2全部交換機接口都在Vlan1(S2同理)
S1(config)#int f 0/1
S1(config-if)# switchport access vlan 1
S1(config-if)# switchport trunk allowed vlan 1
S1(config)#int f 0/2
S1(config-if)# switchport access vlan 1
S1(config-if)# switchport trunk allowed vlan 1
預配置完成
驗證
在PC-C的命令提示符中ping PC-A服務器
在PC-C命令提示符中telnet路由R2的s0/0/1接口:地址時10.2.12.2.退出telnet階段
在PC-C開一個網頁瀏覽器登入PC-A來展現網頁。關掉PC-C的瀏覽器。
在PC-A的命令提示符ping PC-C
在R3配置一個命名IP ACl阻隔全部外網產生的流量
用ip access-list extended指令創造一個已命名的IP ACL
R3(config)#ip access-list extended out-in
R3(config-ext-nacl)# deny ip any any
R3(config-ext-nacl)# exit
在s0/0/0應用ACl
R3(config)#int s 0/0/0
R3(config-if)# ip access-group out-in in
確保進入s0/0/1接口的流量被阻隔
在PC-C命令提示符ping PC-A服務器。ICMP回送響應會被ACL阻隔
建立一個CBAC檢測規則
第一步 建立一個檢測規則來檢測ICMP,Telnet,和HTTP流量。
R3(config)# ip inspect name IN-OUT-IN icmp
R3(config)# ip inspect name IN-OUT-IN telnet
R3(config)# ip inspect name IN-OUT-IN http
第二步 開啓時間戳記記錄和CBAC審計跟蹤信息。
R3(config)# ip inspect audit-trail
R3(config)# service timestamps debug datetime msec
R3(config)# logging host 192.168.12.3
第三步 對在s0/0/0的出口流量用檢測規則。
R3(config-if)# ip inspect IN-OUT-IN out
第四步 驗證審計跟蹤信息正被syslog服務器記錄
在PC-C 成功ping、telnet訪問PC-A來檢測連通性。須要注意Telnet不了。
在PC-A,ping,Telnet PC-C來檢測連通性,這兩步都被阻隔掉
- 1. 配置基於上下文的訪問控制
- 2. Context-Based Access Control (CBAC) 基於上下文的訪問控制 實驗
- 3. CCNA實驗三十七 CBAC(基於上下文的訪問控制)
- 4. shiro基於權限的控制訪問
- 5. RBAC--基於角色的訪問控制
- 6. 基於角色的訪問控制(RBAC)
- 7. Nginx基於IP的訪問控制
- 8. shiro基於角色的訪問控制
- 9. ABAC基於屬性的訪問控制
- 10. 基於CI的RBAC訪問控制
- 更多相關文章...
- • Swift 訪問控制 - Swift 教程
- • PHP 文件上傳 - PHP教程
- • ☆基於Java Instrument的Agent實現
- • 漫談MySQL的鎖機制
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 跳槽面試的幾個實用小技巧,不妨看看!
- 2. Mac實用技巧 |如何使用Mac系統中自帶的預覽工具將圖片變成黑白色?
- 3. Mac實用技巧 |如何使用Mac系統中自帶的預覽工具將圖片變成黑白色?
- 4. 如何使用Mac系統中自帶的預覽工具將圖片變成黑白色?
- 5. Mac OS非兼容Windows軟件運行解決方案——「以VMware & Microsoft Access爲例「
- 6. 封裝 pyinstaller -F -i b.ico excel.py
- 7. 數據庫作業三ER圖待完善
- 8. nvm安裝使用低版本node.js(非命令安裝)
- 9. 如何快速轉換圖片格式
- 10. 將表格內容分條轉換爲若干文檔