基于上下文的访问控制—

CBAC配置

环境：三台路由器由串口相连，连接地址如图所示

要求：在R2上进行CBAC访问控制，只允许R1 telnet R3及ping R3,但不允许R3访问R1.

步骤一：接口连通性配置

R1(config)#int s0

R1(config-if)#ip add 10.1.1.1 255.255.255.0

R1(config-if)#clock rate 64000

R1(config-if)#no shutdown

R1(config)#ip route 20.1.1.0 255.255.255.0 10.1.1.2 à启用静态路由使R3可达

由于R2全部是相连接口不需配置路由

R2(config)#int s1

R2(config-if)#ip address 10.1.1.2 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#int s0

R2(config-if)#ip add 20.1.1.1 255.255.255.0

R2(config-if)#clock rate 64000

R2(config-if)#no shutdown

R3(config)#int s1

R3(config-if)#ip add 20.1.1.2 255.255.255.0

R3(config-if)#clock rate 64000

R3(config-if)#no sh

R3(config)#ip route 10.1.1.0 255.255.255.0 20.1.1.1 à启用静态路由使R1可达

步骤二：测试连通性

R1#ping 20.1.1.2 àR3的接口地址

!!!!!

R3#ping 10.1.1.1 àR1的接口地址

!!!!!

步骤三：配置R3为telnet SERVER,并设置特权密码

R3(config)#username cisco password cisco à设置用户名及密码

R3(config)#enable secret cisco à特权密码，否则不允许远程连接

R3(config)#line vty 0 4

R3(config-line)#login local à远程登录使用本地数据库

步骤四：测试telnet配置

R1#telnet 20.1.1.2 àtelnetR3，已经连接上了

Trying 20.1.1.2 ... Open

User Access Verification

Username: cisco à输入设置的用户名及密码

Password:

R3>en

Password:

R3#

步骤五：设置CBAC及访问控制

R2(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 any à允许内网所有流量

R2(config)#access-list 101 permit icmp any 10.1.1.0 0.0.0.255 echo-reply

à允许ping的回流

R2(config)#access-list 101 deny ip any any à拒绝其它所有流量

R2(config)#ip inspect name cbac_telnet tcp à定义CBAC开启TCP和UDP

R2(config)#ip inspect name cbac_telnet udp

R2(config)#int s1

R2(config-if)#ip access-group 100 in à内网加载访问列表，但没加CBAC

R2(config)#int s0

R2(config-if)#ip access-group 101 in à外网加载列表

步骤六：测试没有加载CBAC的效果，并查看R2的访问列表

R1#telnet 20.1.1.2 à没有成功的进行远程连接

Trying 20.1.1.2 ...

% Connection timed out; remote host not responding

R2#show ip access-lists à查看R2的访问列表

Extended IP access list 100

permit ip 10.1.1.0 0.0.0.255 any (30 matches)

Extended IP access list 101

permit icmp any 10.1.1.0 0.0.0.255 echo-reply (5 matches)

deny ip any any à没有加载任何条目

步骤七：将CBAC加载到接口

R2(config)#int s1

R2(config-if)#ip inspect cbac_telnet in à加载CBAC

步骤八：在R1测试telnet连接并在R2上查看访问列表条目

R1#telnet 20.1.1.2

Trying 20.1.1.2 ... Open à连接成功

User Access Verification

Username: cisco

Password:

R3>en

Password:

R3#

R2#show ip access-lists à查看访问列表条目

Extended IP access list 100

permit ip 10.1.1.0 0.0.0.255 any (65 matches)

Extended IP access list 101

permit tcp host 20.1.1.2 eq telnet host 10.1.1.1 eq 11005 (27 matches)

à发现动态的加载条目，CBAC实验成功

permit icmp any 10.1.1.0 0.0.0.255 echo-reply (5 matches)

deny ip any any

本文转自hexianguo 51CTO博客，原文链接：http://blog.51cto.com/xghe110/102337，如需转载请自行联系原作者

基于上下文的访问控制——CBAC的配置相关推荐

Context-Based Access Control (CBAC) 基于上下文的访问控制理论知识
CBAC即基于上下文的访问控制协议,通过检查防火墙的流量来发现管理TCP和UDP的会话状态信息.这些状态信息被用来在防火墙访问列表创建临时通道.通过在流量一个方向上配置ip inspect列表,放行其 ...
（第一组_GNS3）基于上下文的访问控制
E:基于上下文的访问控制拓扑图 IP地址规划设备名端口 IP地址子网掩码网关 R1 S0/1/0 10.29.3.2 24 F0/1 10.29.2.1 24 R2 S0/1/0 10.29 ...
基于上下文的访问控制与基于区域策略的防火墙
基于上下文的访问控制与基于区域策略的防火墙拓扑图地址表 Device Interface IP address R1 F 0/0 192.168.22.1 S 0/0/0 10.1.22.1 R2 ...
ASP.NET Core 基于声明的访问控制到底是什么鬼？
从ASP.NET 4.x到ASP.NET Core,内置身份验证已从基于角色的访问控制(RBAC)转变为基于声明的访问控制(CBAC). 我们常用的HttpContext.User属性ASP.NET ...
CBAC(基于内容的访问控制)
CBAC提供以下功能: *流量过滤 *流量检测 *警报和审计跟踪 ****阻断就是过滤 CBAC基于应用层协议会话信息智能化地过滤TCP和UDP数据包.当CBAC被配置之后,仅当初始化了到相关的需要 ...
RHEL6.3配置Apache服务器（4）基于用户的访问控制
在上篇博文中介绍了基于客户端地址的访问控制,这种方法设置起来相对比较简单,但是不具备太大的实用价值.在实际应用中,我们大都是希望通过对用户进行身份验证从而来进行访问控制,在这篇博文中将主要介绍这种基于 ...
Azure与Scott Guthrie：Azure安全中心和基于角色的访问控制
InfoQ有幸采访了Microsoft执行副总裁Scott Guthrie,请他谈了谈Azure以及他最近的Red Shirt Dev Tours(红杉开发之旅)[译注1].昨天我们谈到了Azure提 ...
基于属性的访问控制（ABAC）
ABAC有时也被称为PBAC(Policy-Based Access Control)或CBAC(Claims-Based Access Control) 鉴权的作用是,决定一个用户是否有权使用 Ku ...
基于属性的访问控制（ABAC）定义与思考 ——企业ABAC的实施问题
本文整理了<Guide to Attribute Based Access Control (ABAC) Definition and Considerations>一文核心思想和观点的第 ...

基于上下文的访问控制——CBAC的配置

基于上下文的访问控制——CBAC的配置相关推荐

最新文章

热门文章