收藏
下载资源

ccnp之ios安全特性

上传人:第*** 文档编号:35827575 上传时间:2018-03-21 格式:DOC 页数:9 大小:383KB
返回 下载 相关 举报
ccnp之ios安全特性_第1页
第1页 / 共9页
ccnp之ios安全特性_第2页
第2页 / 共9页
ccnp之ios安全特性_第3页
第3页 / 共9页
ccnp之ios安全特性_第4页
第4页 / 共9页
ccnp之ios安全特性_第5页
第5页 / 共9页
点击查看更多>>
资源描述

《ccnp之ios安全特性》由会员分享,可在线阅读,更多相关《ccnp之ios安全特性(9页珍藏版)》请在金锄头文库上搜索。

1、CCNP 之 IOS 安全特性实验要求:1、根据要求搭建好拓扑环境,R1作为 NTP 服务器(172.16.1.2) ,AAA、FTP、DHCP、日 志服务器并在一起,IP 地址为172.16.3.10,配置 EIGRP 协议实现互联; 2、在 R2和 R3上启用 NTP 认证,与 NTP 服务器同步时间,密码 sovand; 3、在核心交换机 R2配置使得当出现核心崩溃时,能把当前配置上传到 FTP 服务器上, FTP 用户名和密码分别是 admin 和 cisco,传到服务器上的文件名是 core; 4、在核心交换机上开启日志功能,对 errors 及更为重要的信息产生日志条目,并且给日志

2、 打上时间戳,采用当前设备的时间,并上传到日志服务器,类型为 local6; 5、AAA 服务器上设置15级管理员帐号,网关上启用 AAA,配置登陆认证服务器,对登陆 进行授权; 6、网关上及 AAA 服务器上配置认证代理,内网通过 HTTP 访问 ISP 时必须先经过 AAA 服务器的认证; 7、监测内网发往外网的 ICMP、telnet、http 流量。实验拓扑:实验步骤: 1、网关开启、网关开启 NATR3: R3(config)#ip route 0.0.0.0 0.0.0.0 Serial1/0 R3(config)#access-list 1 permit 172.16.0.0 0

3、.0.255.255R3(config)#ip nat inside source list 1 interface Serial1/0 overload R3(config)#int F0/0 R3(config)#ip nat inside R3(config)#int s1/0 R3(config)#ip nat outside 2、内网启用、内网启用 EIGRP 协议协议 R1: R1(config)#router eigrp 1 R1(config-router)#no auto-summary R1(config-router)#net 172.16.1.0 0.0.0.255 R

4、2: R2(config)#router eigrp 1 R2(config-router)#no auto-summary R2(config-router)#net 172.16.1.0 0.0.0.255 R2(config-router)#net 172.16.2.0 0.0.0.255 R2(config-router)#net 172.16.3.0 0.0.0.255 R3: R3(config)#router eigrp 1 R3(config-router)#no auto-summary R3(config-router)#net 172.16.2.0 0.0.0.255 R

5、3(config-router)#net 0.0.0.0 查看路由表: R3#show ip rou 2.0.0.0/24 is subnetted, 1 subnets D 2.2.2.0 90/156160 via 172.16.2.1, 00:26:07, FastEthernet0/0 100.0.0.0/24 is subnetted, 1 subnets C 100.1.1.0 is directly connected, Serial1/0 172.16.0.0/24 is subnetted, 3 subnets D 172.16.1.0 90/30720 via 172.16

6、.2.1, 00:26:07, FastEthernet0/0 C 172.16.2.0 is directly connected, FastEthernet0/0 D 172.16.3.0 90/30720 via 172.16.2.1, 00:26:07, FastEthernet0/0 S* 0.0.0.0/0 is directly connected, Serial1/0 确保服务器能和网内所有设备通信。3、配置、配置 NTP 服务器及其认证服务器及其认证 R1: R1#clock set 21:22:34 sun mar 20 2011 R1(config)#clock time

7、zone gmt 8 R1(config)#ntp authenticate R1(config)#ntp authentication-key 1 md5 sovand R1(config)#ntp trusted-key 1 R1(config)#ntp master 3 R2: R2(config)#clock timezone gmt 8R2(config)#ntp authenticate R2(config)#ntp authentication-key 1 md5 sovand R2(config)#ntp trusted-key 1 R2(config)#ntp server

8、172.16.1.2 key 1 R3: R3(config)#clock timezone gmt 8 R3(config)#ntp authenticate R3(config)#ntp authentication-key 1 md5 sovand R3(config)#ntp trusted-key 1 R3(config)#ntp server 172.16.1.2 key 1 查看时间同步情况: R3#show ntp stClock is synchronized, stratum 4, reference is 172.16.1.2 nominal freq is 250.00

9、00 Hz, actual freq is 250.0000 Hz, precision is 2*18 reference time is D1307D33.70B4B0D6 (21:18:43.440 gmt Sun Mar 20 2011) clock offset is -26.2634 msec, root delay is 203.90 msec root dispersion is 84.43 msec, peer dispersion is 58.12 msec R3#show clock21:25:08.519 gmt Sun Mar 20 2011 4、配置、配置 DHCP

10、 服务器服务器 DHCP 服务器建立在 windows 2003操作系统上,管理员可以通过 DHCP 服务器直接获取地 址。 DHCP 服务器:客户端:5、配置日志服务器、配置日志服务器 在 windows 2003中安装 kiwi syslog service manager,然后在 R3上进行配置: R3(config)#logging on R3(config)#logging buffered errors R3(config)#logging facility local6 R3(config)#logging 172.16.3.10 查看日志信息:6、核心崩溃时的、核心崩溃时的 F

11、TP 配置上传配置上传 FTP 服务器建立在 windows 2003上,ftp 帐号为 admin,密码为 cisco,保存文件名为 core。 R3(config)#exception prototal ftp R3(config)#exception dump 172.16.3.10 R3(config)#exception core-file core R3(config)#ip ftp username admin R3(config)#ip ftp password cisco 7、网关的、网关的 AAA 认证和授权认证和授权认证部分: R3(config)#aaa new-mod

12、el /启用 AAA 服务 R3(config)#tacacs-server host 172.16.3.10 key cisco /配置 tacacs+服务器地址和密码 R3(config)#username hjw2011 privilege 15 password qwaszx /本地用户名和密码 R3(config)#aaa authentication login ccnp group tacacs+ local /建立名为 ccnp 的认证方法, 首先采用 tacacs+服务器验证,如果无法连接服务器则采取本地验证 R3(config)#line vty 0 4 R3(config

13、-line)#login authentication ccnp /在 VTY 线路上调用 * 以下图形界面设置部分都是在 AAA 服务器上配置的,AAA 服务器可以在安装了 Cisco ACS4.2软件的虚拟机 win2003操作系统来代替。 添加用户:创建密码:授权部分: R3(config)#aaa authorization exec default group tacacs+ /配置 EXEC 会话授权,默认所有登 陆方式 R3(config)#aaa authorization commands 1 default group tacacs+ /对等级1的命令进行授权 R3(con

14、fig)#aaa authorization commands 15 default group tacacs+ /对等级15的命令进行授权开启 shell 和授权等级:附加权限(不允许 show run):查看 AAA 客户端与服务器情况:验证 tacacs+服务器上是否有用户和密码: R3(config)#test aaa group tacacs+ hjw2011 qwaszx new-code 8、配置穿越的、配置穿越的 AAA 认证代理认证代理 R3(config)#aaa authorization auth-proxy default group tacacs+ /开启穿越认证代

15、理 R3(config)#aaa authentication login default group tacacs+ R3(config)#ip auth-proxy inactivity-timer 3 /修改非活动计时器 R3(config)#ip auth-proxy name cisco http list 1 /规定哪些主机使用认证代理上网 R3(config)#access-list 101 permit eigrp any any R3(config)#access-list 101 permit tcp any eq tacacs host 172.16.2.2 /定义进站访

16、问控制列表, 只允许到路由器的 AAA 流量 R3(config)#access-list 101 permit tcp any host 172.16.2.2 eq telnet R3(config)#interface FastEthernet0/0 R3(config-if)#ip auth-proxy cisco /接口下调用认证代理 R3(config-if)#ip access-group 101 in 修改认证标识: R3(config)#ip admission auth-proxy-banner http C #HuJiwens Website#Welcome!You will be interested in here

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号