欢迎来到天天文库
浏览记录
ID:52701322
大小:70.50 KB
页数:6页
时间:2020-03-29
《信息安全-网络安全协议.doc》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、信息安全——网络安全协议班级:9班姓名:周杰学号:53080907一.实验设计:1.理解Lock-and-Key的主要用途及配置方法;2.理解Reflexiveaccesslist的主要用途;Reflexiveaccesslist的配置步骤;3.掌握CBAC的主要用途和配置方法;4.比较三种访问控制的优缺点,所用场合的差异,以便根据不同的环境灵活选择不同的配置策略;二.实验过程:1.实验拓扑:2.实验内容:(一).Lock-and-Key配置实验1.配置Lock-and-Key的常用命令:Lock-and-Key常用的命令有以下几个:access
2、-list,ipaccess-group,logintacacs,username,password&loginlocal,showipinterface,showaccess-lists。我们简单介绍一下:access-listaccess-list-numberdynamicdynamic-name[timeoutminutes]{deny
3、permit}protocolsource-addresssource-wildcarddestination-addressdestination-wildcard:该命令使用关键字“dynamic”,
4、它创建一个动态访问控制列表。“timeoutminutes”参数指定了动态访问控制列表的绝对超时值,它代表该动态访问控制列表中每个条目的最大时间限制(以分为单位),时间到后,就算连接仍在传输数据,我们也需要重新认证。ipaccess-groupaccess-list-number{in
5、out}:把一个ACL表应用于路由器的具体的端口。“in”是入方向,“out”是出方向。usernameusernamepasswordpassword:“username”参数配置一个用户名,以标识用户的身份,它可以保证对用户的验证更为有效。“password”
6、参数配置一个认证密码。“loginlocal”一个注册命令,它将所有线路配置为根据本地用户名/口令数据库对用户进行认证。autocommandaccess-enable[host][timeoutminutes]:该命令用于自动创建一个临时性访问控制列表条目,关键字“host”使该临时性条目不包括我们所在子网的其他地址,“timeoutminutes”参数指定连接的闲置时间,如果连接闲置超过该时间,我们不得不重新进行认证。howipinterface:这个命令不是ACL的特有命令,但是它可以看到一个端口上的ACL的配置信息。showaccess-
7、lists:这个命令用于查看某个ACL表里的访问控制规则。2.实验原理:A.ACL规则路由器是根据ACL里面的规则对数据包进行检验的,如果发现一个数据包不符合表里定义的所有规则,路由器就会把数据包丢弃。所以在写ACL规则时,如果前面几条规则是deny某种类型的数据包通过的话,那么一定要在最后加上一条perimtany,让其它不满足条件的数据包通过。B.Lock-and-Key使用的是IP的扩展ACL,所以你在配置Lock-and-Key之前必须对ACL访问控制的原理有一个深入的理解。C.在开始这个实验之前,建议删除各路由器的初始配置后再重新启动路
8、由器,这样可以防止由残留配置所造成的问题。D.在配置中带关键字“dynamic”的语句是同一个扩展ACL100的一部分。记住,对于一种协议,一个接口和一个方向只能有一个访问控制列表。3.实验步骤1.按上面实验拓扑图连接好设备,并配置好各设备的ip地址;2.使用RIP协议作为该网络的路由协议,实现网络的动态路由配置。完成配置后使用showiproute,showinterface,showrunning-configuration查看路由配置的正确性或者使用ping命令验证网络之间是否完全互连。3.Router-A上配置动态访问控制列表:(1)建立
9、一个访问控制列表号为100的访问控制列表:Router-A#configtRouter-A(config)#access-list100permittcpanyhost172.32.3.1eqtelnetRouter-A(config)#access-list100dynamicCISCOtimeout5permitipanyany(2)将建立的访问控制列表100应用在Router-A的f0端口上,一切从该端口进入的数据流都需要通过ACL的验证:Router-A(config)#intf0Router-A(config-if)#ipaccess-
10、group100inRouter-A(config-if)#exit(3)定义将使用Lock-and-Key的虚拟终端:单台主机:Rou
此文档下载收益归作者所有