访问控制实验-白红宇

访问控制实验

阅读量：6176 次

发布时间：2019-06-21

本文共 3317 字，大约阅读时间需要 11 分钟。

实验拓扑：

实验要求：

1 如图R1，R2，R3。所示网段如图。R2 为企业边缘路由器，为了内网的安全需要有以下安全策略。

2 R2 能够telnet 到R3 的任意网段，但是R3 不能使用211.16.23.3 telnet 回R2，而使用210地址则可以。

3 拒绝所有通过R2 到R3 的追踪，但是需要保证R1 追踪R3 是能够正常工作，而反之则不行。

4 为了防止欺骗***，需要在边界路由器布置访问策略，按照RFC1918，和RFC2827 的知道思想来做。

5 安全策略不应该影响基本的连通性，网络中使用OSPF 协议。由于公司下午5 点以后不需要业务流通，希望5 点以后网络的流量不能进入到网络内。

实验过程：

R1(config)#int e0/0

R1(config-if)#ip add 212.16.12.1 255.255.255.0

R1(config-if)#no shu

R1(config-if)#exit

R1(config)#router ospf 1

R1(config-router)#router-id 1.1.1.1

R1(config-router)#network 212.16.12.0 0.0.0.255 a 0

R1(config-router)#exit

R2(config)#int e0/0

R2(config-if)#ip add 212.16.12.2 255.255.255.0

R2(config-if)#no shu

R2(config-if)#exit

R2(config)#int e0/1

R2(config-if)#ip add 211.16.23.2 255.255.255.0

R2(config-if)#no shu

R2(config-if)#exit

R2(config)#router ospf 1

R2(config-router)#router-id 2.2.2.2

R2(config-router)#net 212.16.12.0 0.0.0.255 a 0

R2(config-router)#net 211.16.23.0 0.0.0.255 a 0

R3(config)#int e0/1

R3(config-if)#ip add 211.16.23.3 255.255.255.0

R3(config-if)#no shu

R3(config-if)#exit

R3(config)#int loop 0

R3(config-if)#ip add 210.10.10.10 255.255.255.0

R3(config-if)#no shu

R3(config-if)#exit

R3(config)#router ospf 1

R3(config-router)#router-id 3.3.3.3

R3(config-router)#net 211.16.23.0 0.0.0.255 a 0

R3(config-router)#net 210.10.10.0 0.0.0.255 a 0

第二步的过程

R2(config)#ip access-list extended D_TEL

R2(config-ext-nacl)#deny tcp host 211.16.23.3 host 211.16.23.2 eq 23

R2(config-ext-nacl)#deny tcp host 211.16.23.3 host 212.16.12.2 eq telnet

R2(config-ext-nacl)#permit ip any any

R2(config)#int e0/1

R2(config-if)#ip access-group D_TEL in

第三步的过程

拒绝 R2 到R3 的traceroute

R2(config)#ip access-list extended D_TRA

R2(config-ext-nacl)#deny icmp host 211.16.23.3 host 211.16.23.2 unreachable

R2(config-ext-nacl)#deny icmp host 211.16.23.3 host 211.16.23.2 time-exceeded

R2(config-ext-nacl)#deny icmp host 211.16.23.3 host 212.16.12.2 time-exceeded

R2(config-ext-nacl)#deny icmp host 211.16.23.3 host 212.16.12.2 unreachable

R2(config-ext-nacl)#permit ip any any

拒绝 R3 到R1 的traceroute

R2(config)#ip access-list extended D_TRA2

R2(config-ext-nacl)#deny icmp host 212.16.12.1 host 211.16.23.3 time-exceeded

R2(config-ext-nacl)#deny icmp host 212.16.12.1 host 211.16.23.3 unreachable

R2(config-ext-nacl)#permit ip any any

R2(config)#int e0/0

R2(config-if)#ip access-group D_TAR2 in

R2(config)#int e0/1

R2(config-if)#ip access-group D_TRA in

实验效果截图

第四步的过程

NOTE：（RFC1918 规定的私有IP，RFC2827 规定的是内网已经使用的IP）

R2(config)#ip access-list extended D_RFC1918

R2(config-ext-nacl)#remark RFC1918

R2(config-ext-nacl)#deny ip 10.0.0.0 0.255.255.255 any

R2(config-ext-nacl)#deny ip 172.16.0.0 0.15.255.255 any

R2(config-ext-nacl)#deny ip 192.168.0.0 0.0.255.255 any

R2(config-ext-nacl)# permit ip any any

R2(config)#int e0/1

R2(config-if)#ip access-group D_RFC1918 in

R2(config)#ip access-list extended D_RFC2827

R2(config-ext-nacl)#deny ip 212.16.12.0 0.0.0.255 any

R2(config-ext-nacl)#permit ip any any

R2(config)#int e0/1

R2(config-if)#ip access-group RFC2827 in

第五步的过程

R2(config)#time-range DENY

R2(config-time-range)#periodic daily 17:00 to 23:59

R2(config-time-range)#periodic daily 00:00 to 08:00

R2(config)#access-list 101 deny ip any any time-range DENY

R2(config)#int e0/1

R2(config-if)#ip access-group 101 in

实验效果截图：

我们现在来把时间修改到18：00

R2#clock set 18:00:00 oct 12 2013

时间修改后OSPF 邻居自动DOWN。

转载地址：http://yywda.baihongyu.com/

你可能感兴趣的文章

一步步打造漂亮的新闻列表（无刷新分页、内容预览）（2）

查看>>

cron任务计划

查看>>

我也参加了唐骏一手推动的【2015年微创中国运动会】

查看>>

认证模式之SSL模式

查看>>

如何在 Linux 中统计一个进程的线程数

查看>>

NVIDIA新作解读：用GAN生成前所未有的高清图像（附PyTorch复现） | PaperDaily #15

查看>>

CString、CTime和COleDateTime转换

查看>>

在linux虚机中装vmtools

查看>>

WCF技术剖析之十三：序列化过程中的已知类型（Known Type）

查看>>

linux设备驱动程序--类class的实现

DockOne微信分享（一二八）：容器如何监控？

查看>>

谈谈分布式事务（Distributed Transaction）[共5篇]

查看>>

如何确保快递“最后一公里” ，亚马逊打算送到你的汽车后备箱

查看>>

Gartner：财务应用迁移到云速度超出预期

查看>>

阿里云向物流业渗透货运司机受益

查看>>

灾难恢复的人为因素：经理们应该做的10件事情

查看>>