CBAC配置
环境:三台路由器由串口相连,连接地址如图所示
要求:在R2上进行CBAC访问控制,只允许R1 telnet R3及ping R3,但不允许R3访问R1.
步骤一:接口连通性配置
R1(config)#int s0
R1(config-if)#ip add
10.1.1
.1 255.255.255.0
R1(config-if)#clock rate 64000
R1(config-if)#no shutdown
R1(config)#ip route
20.1.1
.0 255.255.255.0 10.1.1.2 à启用静态路由使R3可达
由于R2全部是相连接口不需配置路由
R2(config)#int s1
R2(config-if)#ip address
10.1.1
.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#int s0
R2(config-if)#ip add
20.1.1
.1 255.255.255.0
R2(config-if)#clock rate 64000
R2(config-if)#no shutdown
R3(config)#int s1
R3(config-if)#ip add
20.1.1
.2 255.255.255.0
R3(config-if)#clock rate 64000
R3(config-if)#no sh
R3(config)#ip route
10.1.1
.0 255.255.255.0 20.1.1.1 à启用静态路由使R1可达
步骤二:测试连通性
R1#ping
20.1.1
.2 àR3的接口地址
!!!!!
R3#ping
10.1.1
.1 àR1的接口地址
!!!!!
步骤三:配置R3为telnet SERVER,并设置特权密码
R3(config)#username cisco password cisco à设置用户名及密码
R3(config)#enable secret cisco à特权密码,否则不允许远程连接
R3(config)#line vty 0 4
R3(config-line)#login local à远程登录使用本地数据库
步骤四:测试telnet配置
R1#telnet
20.1.1
.2 àtelnetR3,已经连接上了
Trying
20.1.1
.2 ... Open
User Access Verification
Username: cisco à输入设置的用户名及密码
Password:
R3>en
Password:
R3#
步骤五:设置CBAC及访问控制
R2(config)#access-list 100 permit i
p 10.1.1
.0 0.0.0.255 any à允许内网所有流量
R2(config)#access-list 101 permit icmp any
10.1.1
.0 0.0.0.255 echo-reply
à允许ping的回流
R2(config)#access-list 101 deny ip any any à拒绝其它所有流量
R2(config)#ip inspect name cbac_telnet tcp à定义CBAC开启TCP和UDP
R2(config)#ip inspect name cbac_telnet udp
R2(config)#int s1
R2(config-if)#ip access-group 100 in à内网加载访问列表,但没加CBAC
R2(config)#int s0
R2(config-if)#ip access-group 101 in à外网加载列表
步骤六:测试没有加载CBAC的效果,并查看R2的访问列表
R1#telnet
20.1.1
.2 à没有成功的进行远程连接
Trying
20.1.1
.2 ...
% Connection timed out; remote host not responding
R2#show ip access-lists à查看R2的访问列表
Extended IP access list 100
permit i
p 10.1.1
.0 0.0.0.255 any (30 matches)
Extended IP access list 101
permit icmp any
10.1.1
.0 0.0.0.255 echo-reply (5 matches)
deny ip any any à没有加载任何条目
步骤七:将CBAC加载到接口
R2(config)#int s1
R2(config-if)#ip inspect cbac_telnet in à加载CBAC
步骤八:在R1测试telnet连接并在R2上查看访问列表条目
R1#telnet
20.1.1
.2
Trying
20.1.1
.2 ... Open à连接成功
User Access Verification
Username: cisco
Password:
R3>en
Password:
R3#
R2#show ip access-lists à查看访问列表条目
Extended IP access list 100
permit i
p 10.1.1
.0 0.0.0.255 any (65 matches)
Extended IP access list 101
permit tcp host
20.1.1
.2 eq telnet host 10.1.1.1 eq 11005 (27 matches)
à发现动态的加载条目,CBAC实验成功
permit icmp any
10.1.1
.0 0.0.0.255 echo-reply (5 matches)
deny ip any any
本文转自hexianguo 51CTO博客,原文链接:
http://blog.51cto.com/xghe110/102337
,如需转载请自行联系原作者
