实验指导书-基于思科模拟器的基于上下文ACL的配置

5.3配置基于上下文的ACL【实验目的】学习基于上下文ACL的配置方法，基于实验理解其工作原理。【知识点】基于上下文ACL的作用，基于上下文ACL的工作原理【实验场景】三台路由器串口相连，连接地址如图所示。在R2上做CBAC访问控制，只允许R1TelnetR3及pingR3，但不允许R3访问R1。【实验原理】ACL只能检测到网络层和传输层的数据信息，而对于封装在IP包中的恶意信息它是无能为力的。CBAC指定了哪些协议及接口、接口方向(流入和流出)需要被检查，同指定了检查的起始。CBAC只对指定的协议进行检查。根据题目要求，对于R1去往R3的流量不做限制，但是限制R3去往R1的流量。做ACL运训R1去往R3的流量，但同时也要禁止除R3对R1回包之外流量，才能实现上述目的。又因为要允许R1TelnetR3,此前做的ACL策略只是允许了ip的流量，所以使用CBAC对过来的TCP（即Telnet）做检查并允许，才能到达最终目的。【实验设备】Cisco

Packet

Tracer软件中：三台2811的路由器【实验拓扑】【实验思路】配置路由器接口IP地址配置静态路由，使得三台路由器可以互访在router2上配置Telnet，使得router1可以远程访问router2验证以上配置是否作用配置ACL并加载到接口上，验证是否可实现目的要求配置CBAC并加载到接口上，验证是否可实现目的要求【实验步骤】接口连通性配置对Router1配置：Router(config)#hostnameR1R1(config)#ints0/3/0R1(config-if)#ipadd10.1.1.1255.255.255.0R1(config-if)#noshutdownR1(config)#iproute20.1.1.0255.255.255.010.1.1.2

//启用静态路由使R3可达

对Router2配置：由于R2全部是相连接口不需配置路由Router(config)#hostnameR2R2(config)#ints0/3/0R2(config-if)#ipaddress10.1.1.2255.255.255.0R2(config-if)#noshutdownR2(config-if)#ints0/3/1R2(config-if)#ipadd20.1.1.1255.255.255.0R2(config-if)#noshutdown对Router3配置：Router(config)#hostnameR3

R3(config)#ints0/3/1R3(config-if)#ipadd20.1.1.2255.255.255.0R3(config-if)#noshutdownR3(config)#iproute10.1.1.0255.255.255.020.1.1.1

//启用静态路由使R1可达

测试连通性R1#ping20.1.1.2

//R3的接口地址!!!!!

R3#ping10.1.1.1

//R1的接口地址!!!!!

配置R3为telnetSERVER,并设置特权密码R3(config)#usernameciscopasswordcisco

//设置用户名及密码R3(config)#enablesecretcisco

//特权密码，否则不允许远程连接R3(config)#linevty04R3(config-line)#loginlocal

//远程登录使用本地数据库

测试telnet配置R1#telnet20.1.1.2

telnetR3,已经连接上了Trying20.1.1.2...OpenUserAccessVerificationUsername:cisco

//输入设置的用户名及密码Password:R3>enPassword:R3#设置CBAC及访问控制R2(config)#access-list100permitip10.1.1.00.0.0.255any

//允许内网所有流量R2(config)#access-list101permiticmpany10.1.1.00.0.0.255echo-reply//允许ping的回流R2(config)#access-list101denyipanyany

//拒绝其它所有流量R2(config)#ipinspectnamecbac_telnettcp

//定义CBAC开启TCP和UDP，允许ip不代表允许TCP和UDPR2(config)#ipinspectnamecbac_telnetudpR2(config)#ints0/3/0R2(config-if)#ipaccess-group100in

//内网加载访问列表，但没加CBACR2(config)#ints0/3/1R2(config-if)#ipaccess-group101in

//外网加载列表测试没有加载CBAC的效果，并查看R2的访问列表R1#telnet20.1.1.2

//没有成功的进行远程连接Trying20.1.1.2...%Connectiontimedout;remotehostnotresponding

R2#showipaccess-lists

//查看R2的访问列表ExtendedIPaccesslist100

permitip10.1.1.00.0.0.255any(30matches)ExtendedIPaccesslist101

permiticmpany10.1.1.00.0.0.255echo-reply(5matches)denyipanyany

//没有加载任何条目

将CBAC加载到接口R2(config)#ints0/3/0R2(config-if)#ipinspectcbac_telnetin

//加载CBAC

在R1测试telnet连接并在R2上查看访问列表条目R1#telnet20.1.1.2Trying20.1.1.2...Open

//连接成功

UserAccessVerification

Username:ciscoPassword:R3>enPassword:R3#

R2#showipaccess-lists

//查看访问列表条目ExtendedIPaccesslist100

permitip10.1.1.00.0.0.255any(65matches)ExtendedIPaccesslist101permittcphost20.1.1.2eqtelnethost