實驗拓撲:
實驗要求:
1 如圖r1,r2,r3。所示網段如圖。r2 為企業邊緣路由器,為了內網的安全需要有以下安全策略。
2 r2 能夠telnet 到r3 的任意網段,但是r3 不能使用211.16.23.3 telnet 回r2,而使用210位址則可以。
3 拒絕所有通過r2 到r3 的追蹤,但是需要保證r1 追蹤r3 是能夠正常工作,而反之則不行。
4 為了防止欺騙***,需要在邊界路由器布置訪問策略,按照rfc1918,和rfc2827 的知道思想來做。
5 安全策略不應該影響基本的連通性,網路中使用ospf 協議。由於公司下午5 點以後不需要業務流通,希望5 點以後網路的流量不能進入到網路內。
實驗過程:
r1(config)#int e0/0
r1(config-if)#ip add 212.16.12.1 255.255.255.0
r1(config-if)#no shu
r1(config-if)#exit
r1(config)#router ospf 1
r1(config-router)#router-id 1.1.1.1
r1(config-router)#network 212.16.12.0 0.0.0.255 a 0
r1(config-router)#exit
r2(config)#int e0/0
r2(config-if)#ip add 212.16.12.2 255.255.255.0
r2(config-if)#no shu
r2(config-if)#exit
r2(config)#int e0/1
r2(config-if)#ip add 211.16.23.2 255.255.255.0
r2(config-if)#no shu
r2(config-if)#exit
r2(config)#router ospf 1
r2(config-router)#router-id 2.2.2.2
r2(config-router)#net 212.16.12.0 0.0.0.255 a 0
r2(config-router)#net 211.16.23.0 0.0.0.255 a 0
r3(config)#int e0/1
r3(config-if)#ip add 211.16.23.3 255.255.255.0
r3(config-if)#no shu
r3(config-if)#exit
r3(config)#int loop 0
r3(config-if)#ip add 210.10.10.10 255.255.255.0
r3(config-if)#no shu
r3(config-if)#exit
r3(config)#router ospf 1
r3(config-router)#router-id 3.3.3.3
r3(config-router)#net 211.16.23.0 0.0.0.255 a 0
r3(config-router)#net 210.10.10.0 0.0.0.255 a 0
第二步的過程
r2(config)#ip access-list extended d_tel
r2(config-ext-nacl)#deny tcp host 211.16.23.3 host 211.16.23.2 eq 23
r2(config-ext-nacl)#deny tcp host 211.16.23.3 host 212.16.12.2 eq telnet
r2(config-ext-nacl)#permit ip any any
r2(config)#int e0/1
r2(config-if)#ip access-group d_tel in
第三步的過程
拒絕 r2 到r3 的traceroute
r2(config)#ip access-list extended d_tra
r2(config-ext-nacl)#deny icmp host 211.16.23.3 host 211.16.23.2 unreachable
r2(config-ext-nacl)#deny icmp host 211.16.23.3 host 211.16.23.2 time-exceeded
r2(config-ext-nacl)#deny icmp host 211.16.23.3 host 212.16.12.2 time-exceeded
r2(config-ext-nacl)#deny icmp host 211.16.23.3 host 212.16.12.2 unreachable
r2(config-ext-nacl)#permit ip any any
拒絕 r3 到r1 的traceroute
r2(config)#ip access-list extended d_tra2
r2(config-ext-nacl)#deny icmp host 212.16.12.1 host 211.16.23.3 time-exceeded
r2(config-ext-nacl)#deny icmp host 212.16.12.1 host 211.16.23.3 unreachable
r2(config-ext-nacl)#permit ip any any
r2(config)#int e0/0
r2(config-if)#ip access-group d_tar2 in
r2(config)#int e0/1
r2(config-if)#ip access-group d_tra in
實驗效果截圖
第四步的過程
note:(rfc1918 規定的私有ip,rfc2827 規定的是內網已經使用的ip)
r2(config)#ip access-list extended d_rfc1918
r2(config-ext-nacl)#remark rfc1918
r2(config-ext-nacl)#deny ip 10.0.0.0 0.255.255.255 any
r2(config-ext-nacl)#deny ip 172.16.0.0 0.15.255.255 any
r2(config-ext-nacl)#deny ip 192.168.0.0 0.0.255.255 any
r2(config-ext-nacl)# permit ip any any
r2(config)#int e0/1
r2(config-if)#ip access-group d_rfc1918 in
r2(config)#ip access-list extended d_rfc2827
r2(config-ext-nacl)#deny ip 212.16.12.0 0.0.0.255 any
r2(config-ext-nacl)#permit ip any any
r2(config)#int e0/1
r2(config-if)#ip access-group rfc2827 in
第五步的過程
r2(config)#time-range deny
r2(config-time-range)#periodic daily 17:00 to 23:59
r2(config-time-range)#periodic daily 00:00 to 08:00
r2(config)#access-list 101 deny ip any any time-range deny
r2(config)#int e0/1
r2(config-if)#ip access-group 101 in
實驗效果截圖:
我們現在來把時間修改到18:00
r2#clock set 18:00:00 oct 12 2013
時間修改後ospf 鄰居自動down。
檔案訪問控制實驗
訪問控制是在共享環境下限制使用者對資源訪問的一種安全機制,一般作為對使用者身份鑑別之後的保護系統安全的第二道屏障,一般分為自主訪問控制和強制訪問控制。自主訪問控制是指資源擁有者擁有對資源訪問的控制權 強制訪問控制是指根據使用者和資源的安全級別來限制訪問。自主訪問控制一般採用訪問控制矩陣來表示使用者和...
訪問控制列表ACL簡單實驗
不允許10.1.1.3訪問10.1.3.0網路 r1 inte ce ethernet0 0 0ip address 10.1 12.1 24ar1 inte ce gigabitethernet0 0 0ip address 10.1 12.2 24inte ce gigabitethernet0...
ACL 訪問控制列表綜合實驗
實驗步驟 實驗完成 1.合理配置ip位址,使得全網互通 2.設定vlan,使得pc1在vlan 10,client 1在vlan 20 3.設定單臂路由,使得pc1,client 1能夠訪問外網 4.設定acl規則,實現如下要求 a.pc1可以ping通pc3,但是不能ping通server 1 b...