返回
ccie理论之security

ccie理论之security

ID:11053579

大小:406.00 KB

页数:79页

时间:2018-07-09

ccie理论之security_第1页
ccie理论之security_第2页
ccie理论之security_第3页
ccie理论之security_第4页
ccie理论之security_第5页
资源描述:

《ccie理论之security》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、目录Log和log-input作用remarkAutocommandPrivilegeLevels基于时间的ACLReflexiveACLSecuritytContext-BasedAccessControl(CBAC)PorttoApplicationMapping(PAM)Lock-and-KeySecurity(DynamicACL)TCPInterceptUnicastReversePathForwarding(uRPF)AAAIPSourceTrackerSecureShell(SSH)IntrusionPreventionSystem(IPS)Zone-Base

2、dPolicyFirewallControlPlanePolicing(CoPP)Log和log-input作用概述当路由器为用户转发了数据之后,如果管理员想查看路由器曾经为哪些用户转发过数据,在正常情况下,这是无法查证的。但是,可以通过接口配置ACL,并且强制ACL记录下曾经转发过的用户记录,这样,就能从路由器得知哪些用户是发起过数据的,并且发送了多少数据,但是用户发出的数据内容,是无法记录的。要达到以上目的,那在配置ACL时,使用Log和log-input的功能,并且将配置好的ACL用于接口上。Log和log-input的区别是:Log只能记录数据包通过时的源IP和目的I

3、P,而log-input除了记录源IP和目的IP之外,还会记录源的MAC地址。配置1.配置ACL中的Log说明:配置路由器R1,让其允许R2发来的数据包通过,但拒绝R3的数据包通过,并且记录下它们数据量。(1)配置ACL说明:配置ACL,允许R2,拒绝R3,分别使用log关键字r1(config)#access-list100permitiphost10.1.1.2anylogr1(config)#access-list100denyiphost10.1.1.3anylog(2)应用ACLr1(config)#intf0/0r1(config-if)#ipaccess-gro

4、up100in(3)测试结果说明:从R2和R3分别pingR4,查看R1上的logOct114:15:26:%SEC-6-IPACCESSLOGDP:list100permittedicmp10.1.1.2->14.1.1.4(0/0),5packetsOct114:16:46:%SEC-6-IPACCESSLOGDP:list100deniedicmp10.1.1.3->14.1.1.4(0/0),5packet说明:从R1上弹出的日志可以看出,R2到R4的数据包是被放行了的,而R3到R4的数据包被丢弃了。(4)查看ACL记录r1#shipaccess-listsExten

5、dedIPaccesslist10010permitiphost10.1.1.2anylog(25matches)20denyiphost10.1.1.3anylog(5matches)说明:从ACL中也可以看出,R2的流量被放行,R3的流量被拒绝了。2.配置ACL中log-input说明:配置路由器R1,让其允许所有数据包通过,不仅记录下它们数据量,还将记录下源MAC。(1)配置ACL:说明:配置ACL,允许所有数据包通过,并且使用log-input关键字r1(config)#access-list130permitipananlog-input(2)应用ACLr1(con

6、fig)#intf0/0r1(config-if)#ipaccess-group130in(3)查看R2的源MACr2#showinterfacesf0/0FastEthernet0/0isup,lineprotocolisupHardwareisAmdFE,addressis0013.1a2f.1200(bia0013.1a2f.1200)Internetaddressis10.1.1.2/24(4)从R2pinR4,查看R1上的logOct114:23:21:%SEC-6-IPACCESSLOGDP:list130permittedicmp10.1.1.2(FastEth

7、ernet0/00013.1a2f.1200)->14.1.1.4(0/0),1packet说明:从R1上弹出的日志可以看出,R2到R4的数据包是被放行了的,并且还看到R2的源MAC。remark概述在配置ACL时,有时因为条目太多,ACL结构复杂,事后可能很难辨别出每条ACL的作用分别是什么,在这种情况下,就可以在配置ACL时,给ACL中的条目写上标记,类似于说明文字,这通过remark来实现,remark可以在条目的前一行,也可以在后一行,由自己决定,但remark不能和条目同一行。配置1.配置AC

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。