地址表

目标

• 验证整个网络的连通性。

• 配置R1以支持与R3之间的站点到站点IPsec VPN。

背景/场景

网络拓扑图显示了三个路由器。您的任务是配置R1和R3，以便在各自局域网（LAN）之间的流量流动时支持站点到站点的IPsec VPN。IPsec VPN隧道从R1经由R2到达R3。R2充当通过设备，并不了解VPN的存在。IPsec提供了一种在不受保护的网络（如互联网）上安全传输敏感信息的方法。IPsec在网络层运行，负责保护并验证参与IPsec设备（对等体）之间的IP数据包，例如Cisco路由器。

ISAKMP阶段1策略参数

注意：加粗参数为默认值。只有非加粗参数需要明确配置。

IPsec阶段2策略参数

路由器已预先配置以下内容：

· 控制台线路密码： ciscoconpa55

· vty线路密码： ciscovtypa55

· 启用密码： ciscoenpa55

· SSH用户名和密码： SSHadmin / ciscosshpa55

· OSPF进程号 101

第一部分：在R1上配置IPsec参数

步骤1：测试连通性。

从PC-A向PC-C发送ping请求。

步骤2：启用安全技术包。

a. 在R1上执行 show version 命令查看安全技术包许可证信息。

b. 如果未启用安全技术包，请使用以下命令启用该包。

R1(config)# license boot module c1900 technology-package securityk9

c. 接受最终用户许可协议。

d. 保存运行配置并重新加载路由器以启用安全许可证。

e. 使用 show version 命令验证是否已启用安全技术包。

步骤3：在R1上识别感兴趣流量。

配置 ACL 110 ，将来自R1 LAN到R3 LAN的流量标识为“感兴趣”流量。当R1和R3之间的LAN之间存在流量时，这种感兴趣的流量会触发实施IPsec VPN。除了这些流量外，所有其他源自LAN的流量都不会被加密。由于存在隐式拒绝所有规则，因此无需配置deny ip any any语句。

R1(config)# access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

步骤4：在R1上配置IKE阶段1 ISAKMP策略。

在R1上配置crypto ISAKMP策略 10 属性以及共享的crypto密钥 vpnpa55 。请参考ISAKMP阶段1表中特定的参数进行配置。默认值不需要配置，因此只需要配置加密方法、密钥交换方法和DH方法。

注：当前Packet Tracer支持的最大DH组是组5。在生产网络中，您至少应配置DH 14。

R1(config)# crypto isakmp policy 10 R1(config-isakmp)# encryption aes 256 R1(config-isakmp)# authentication pre-share R1(config-isakmp)# group 5 R1(config-isakmp)# exit R1(config)# crypto isakmp key vpnpa55 address 10.2.2.2

步骤5：在R1上配置IKE阶段2 IPsec策略。

a. 创建名为VPN-SET的转换集，使用 esp-aes 和 esp-sha-hmac 。

R1(config)# crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac

b. 创建名为VPN-MAP的crypto映射，将所有阶段2参数绑定在一起。使用序列号10，并将其标识为ipsec-isakmp映射。

R1(config)# crypto map VPN-MAP 10 ipsec-isakmp R1(config-crypto-map)# description VPN connection to R3 R1(config-crypto-map)# set peer 10.2.2.2 R1(config-crypto-map)# set transform-set VPN-SET R1(config-crypto-map)# match address 110 R1(config-crypto-map)# exit

步骤6：配置接口上的crypto映射。

将VPN-MAP crypto映射绑定到 Serial 0/0/0 出站接口。

R1(config)# interface s0/0/0 R1(config-if)# crypto map VPN-MAP

第二部分：在R3上配置IPsec参数

步骤1：启用安全技术包。

a. 在R3上执行 show version 命令以验证是否已启用安全技术包许可证信息。

b. 如果尚未启用安全技术包，则启用该包并重新加载R3。

步骤2：配置路由器R3以支持与R1的站点到站点VPN。

在R3上配置相应的参数。配置 ACL 110 ，将来自R3 LAN到R1 LAN的流量标识为“感兴趣”流量。

R3(config)# access-list 110 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

步骤3：在R3上配置IKE阶段1 ISAKMP属性。

在R3上配置crypto ISAKMP策略 10 属性以及共享的crypto密钥 vpnpa55 。

R3(config)# crypto isakmp policy 10 R3(config-isakmp)# encryption aes 256 R3(config-isakmp)# authentication pre-share R3(config-isakmp)# group 5 R3(config-isakmp)# exit R3(config)# crypto isakmp key vpnpa55 address 10.1.1.2

步骤4：在R3上配置IKE阶段2 IPsec策略。

a. 创建名为VPN-SET的转换集，使用 esp-aes 和 esp-sha-hmac 。

R3(config)# crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac

b. 创建名为VPN-MAP的crypto映射，将所有阶段2参数绑定在一起。使用序列号 10 ，并将其标识为ipsec-isakmp映射。

R3(config)# crypto map VPN-MAP 10 ipsec-isakmp R3(config-crypto-map)# description VPN connection to R1 R3(config-crypto-map)# set peer 10.1.1.2 R3(config-crypto-map)# set transform-set VPN-SET R3(config-crypto-map)# match address 110 R3(config-crypto-map)# exit

步骤5：配置接口上的crypto映射。

将VPN-MAP crypto映射绑定到 Serial 0/0/1 出站接口（注意：此操作不会被评估）。

R3(config)# interface s0/0/1 R3(config-if)# crypto map VPN-MAP

第三部分：验证IPsec VPN

步骤1：在出现感兴趣流量之前验证隧道。

在R1上执行 show crypto ipsec sa 命令。注意封装、加密、解封装和解密的包数量均设置为 0 。

步骤2：创建感兴趣流量。

从PC-A向PC-C发送ping请求。

步骤3：在产生感兴趣流量后验证隧道。

在R1上重新执行 show crypto ipsec sa 命令。注意包的数量大于0，这表明IPsec VPN隧道正在工作。

步骤4：创建非感兴趣流量。

从PC-A向PC-B发送ping请求。注：从路由器R1向PC-C或R3向PC-A发送ping请求不属于感兴趣流量。

步骤5：再次验证隧道。

在R1上重新执行 show crypto ipsec sa 命令。注意包的数量没有改变，这证实了非感兴趣流量并未被加密。

步骤6：检查结果。

您的完成百分比应为100%。点击“CheckResults”查看反馈信息以及已完成的必要组件验证。

实验脚本：

R1:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19

crypto isakmp policy 10
 encr aes 256
 authentication pre-share
 group 5
 
crypto isakmp key vpnpa55 address 10.2.2.2

crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac

access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

crypto map VPN-MAP 10 ipsec-isakmp 
 description VPN connection to R3
 set peer 10.2.2.2
 set transform-set VPN-SET 
 match address 110

interface Serial0/0/0
 crypto map VPN-MAP

R3:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19

crypto isakmp policy 10
 encr aes 256
 authentication pre-share
 group 5

crypto isakmp key vpnpa55 address 10.1.1.2

crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac

access-list 110 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

crypto map VPN-MAP 10 ipsec-isakmp 
 description VPN connection to R1
 set peer 10.1.1.2
 set transform-set VPN-SET 
 match address 110

interface Serial0/0/1
 crypto map VPN-MAP

地址表

目标：

• 配置OSPF MD5身份验证。

• 配置NTP服务。

• 设置路由器将消息记录到syslog服务器。

• 配置R3路由器以支持SSH连接。

背景/场景：

在本练习中，您将配置OSPF MD5身份验证以实现安全的路由更新。

NTP服务器是本次活动中主NTP服务器。您需要在NTP服务器和路由器上配置身份验证，并设置路由器允许软件时钟通过NTP与时间服务器同步。同时，您还需要配置路由器定期使用从NTP获取的时间更新硬件时钟。

Syslog服务器在此活动提供消息记录功能。您需要配置路由器识别接收日志消息的远程主机（即Syslog服务器）。

您需要在路由器上配置时间戳服务以便于记录日志。在使用Syslog监控网络时，在Syslog消息中显示正确的日期和时间至关重要。

此外，您还将配置R3路由器，使其能够通过SSH而非Telnet进行安全管理。服务器已经预先配置好了相应的NTP和Syslog服务，NTP无需身份验证。路由器已预设了以下密码：

1
2

启用密码：ciscoenpa55
vty线路密码：ciscovtypa55

注意：请注意，在开发本活动所使用的Packet Tracer版本（v6.2）中，MD5是最强支持的加密方式。虽然MD5存在已知的安全漏洞，但在实际操作中应根据组织的安全需求选择合适的加密方法。在本活动中，安全要求指定使用MD5加密。

第一部分：配置OSPF MD5身份验证

步骤1：测试连通性。所有设备应能成功ping通所有其他IP地址。

步骤2：为区域0内的所有路由器配置OSPF MD5身份验证。

针对区域0中的所有路由器设置OSPF MD5身份验证：

1
2

R1(config)# router ospf 1
R1(config-router)# area 0 authentication message-digest

1
2

R2(config)#router ospf 1
R2(config-router)#area 0 authentication message-digest

1
2

R3(config)#router ospf 1
R3(config-router)#area 0 authentication message-digest

步骤3：为区域0内的所有路由器配置MD5密钥。

在R1、R2和R3的串行接口上配置MD5密钥，对密钥1使用密码 MD5pa55 。

1
2

R1(config)# interface s0/0/0
R1(config-if)# ip ospf message-digest-key 1 md5 MD5pa55

1
2
3
4

R2(config)#interface Serial0/0/0
R2(config-if)#ip ospf message-digest-key 1 md5 MD5pa55
R2(config)#interface Serial0/0/1
R2(config-if)#ip ospf message-digest-key 1 md5 MD5pa55

1
2

R3(config)#interface Serial0/0/1
R3(config-if)#ip ospf message-digest-key 1 md5 MD5pa55

步骤4：验证配置。

a. 使用命令 show ip ospf interface 验证MD5身份验证配置是否正确生效。

b. 验证端到端的连通性，确保网络连接无误。

第二部分：配置NTP

步骤1：在PC-A上启用NTP身份验证。

a. 在PC-A上，点击服务标签下的“NTP”以确认NTP服务已启用。

b. 为配置NTP身份验证，请点击“认证”下的“启用”。使用密钥1和密码NTPpa55进行身份验证。

步骤2：将R1、R2和R3配置为NTP客户端。

1
2
3

R1(config)#ntp server 192.168.1.5 key 1
R2(config)#ntp server 192.168.1.5 key 1
R3(config)#ntp server 192.168.1.5 key 1

通过执行命令 show ntp status 来验证客户端配置是否正确。

步骤3：配置路由器定期更新硬件时钟。

设置R1、R2和R3路由器定期从NTP同步的时间更新硬件时钟。

1
2
3

R1(config)#ntp update-calendar
R2(config)#ntp update-calendar
R3(config)#ntp update-calendar

退出全局配置模式，并使用命令 show clock 来验证硬件时钟是否已成功更新。

步骤4：在路由器上配置NTP身份验证。

在R1、R2和R3上使用密钥 1 和密码 NTPpa55 配置NTP身份验证。

1
2
3

R1(config)# ntp authenticate
R1(config)# ntp trusted-key 1
R1(config)# ntp authentication-key 1 md5 NTPpa55

1
2
3

R2(config)# ntp authenticate
R2(config)# ntp trusted-key 1
R2(config)# ntp authentication-key 1 md5 NTPpa55

1
2
3

R3(config)# ntp authenticate
R3(config)# ntp trusted-key 1
R3(config)# ntp authentication-key 1 md5 NTPpa55

步骤5：配置路由器对日志消息添加时间戳。

在路由器上配置日志记录的时间戳服务。

1
2
3

R1(config)#service timestamps log datetime msec
R2(config)#service timestamps log datetime msec
R3(config)#service timestamps log datetime msec

第三部分：配置路由器将消息记录到Syslog服务器

步骤1：配置路由器以识别接收日志消息的远程主机（即Syslog服务器）。

路由器控制台将会显示一条消息，表明已经开始记录日志。

1
2
3

R1(config)#logging 192.168.1.6
R2(config)#logging 192.168.1.6
R3(config)#logging 192.168.1.6

步骤2：验证日志配置。

使用命令 show logging 来验证是否已启用日志记录功能。

步骤3：检查Syslog服务器的日志记录。

在Syslog服务器对话框的服务标签下，选择“Syslog服务”按钮。观察从路由器接收到的日志消息。

注意：通过在路由器上执行命令可以生成服务器上的日志消息。例如，进入和退出全局配置模式会生成一个信息性配置消息。您可能需要点击其他服务，然后再点击Syslog以刷新消息显示界面。

第四部分：配置R3以支持SSH连接

步骤1：配置域名 在R3上配置一个域名 ccnasecurity.com 。

1

R3(config)#ip domain-name ccnasecurity.com

步骤2：配置R3上SSH服务器的登录用户 创建一个用户名为 SSHadmin ，具有最高权限级别的用户ID，并设置秘密密码为 ciscosshpa55 。

1

R3(config)# username SSHadmin privilege 15 secret ciscosshpa55

步骤3：配置R3上的入站vty线路 要求使用本地用户账户进行强制登录和验证，只接受SSH连接。

1
2
3

R3(config)#line vty 0 4
R3(config-line)# login local
R3(config-line)# transport input ssh

步骤4：删除R3上的现有密钥对 如有任何现有的RSA密钥对，应在路由器上将其删除。

1

R3(config)#crypto key zeroize rsa

注：如果不存在任何密钥，您可能会收到此消息： % No Signature RSA Keys found in configuration.

步骤5：为R3生成RSA加密密钥对 路由器使用RSA密钥对进行SSH传输数据的身份验证和加密。配置RSA密钥时，选择模数为 1024 （默认值为512，范围为360至2048）。

1
2
3
4
5
6
7
8

R3(config)# crypto key generate rsa
The name for the keys will be: R3.ccnasecurity.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
 
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

注：在Packet Tracer中为R3生成RSA加密密钥对的命令与实验室中的有所不同。

步骤6：验证SSH配置 使用 show ip ssh 命令查看当前设置，确保身份验证超时和重试次数保持默认值120和3。

步骤7：配置SSH超时和认证参数 可以更改默认的SSH超时和认证参数使其更加严格。将超时时间设置为 90 秒，认证重试次数设为 2 次，版本设为 2 。

1
2
3

R3(config)#ip ssh version 2
R3(config)#ip ssh authentication-retries 2
R3(config)#ip ssh time-out 90

再次执行 show ip ssh 命令确认这些值已更改。

步骤8：尝试从PC-C通过Telnet连接到R3 打开PC-C的桌面，选择“命令提示符”图标。从PC-C输入命令通过Telnet连接到R3。

1

PC> telnet 192.168.3.1

此连接应失败，因为R3已被配置为仅在其虚拟终端线上接受SSH连接。

步骤9：通过SSH从PC-C连接到R3 打开PC-C的桌面，选择“命令提示符”图标。从PC-C输入命令通过SSH连接到R3。当提示输入密码时，请输入为管理员账户配置的密码 ciscosshpa55 。

1

PC> ssh -l SSHadmin 192.168.3.1

步骤10：通过R2使用SSH连接到R3 为了对R3进行故障排查和维护，ISP的管理员必须使用SSH访问路由器CLI。在R2的CLI中，输入命令通过SSH版本2使用 SSHadmin 用户账户连接到R3。当提示输入密码时，请输入为管理员配置的密码 ciscosshpa55 。

1

R2# ssh -v 2 -l SSHadmin 10.2.2.1

步骤11：检查结果 您的完成百分比应为100%。点击“检查结果”以查看反馈信息和已完成所需组件的验证情况。

实验脚本：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69

# PART1
R1:
router ospf 1
area 0 authentication message-digest
interface Serial0/0/0
ip ospf message-digest-key 1 md5 MD5pa55

R2:
router ospf 1
area 0 authentication message-digest
interface Serial0/0/0
ip ospf message-digest-key 1 md5 MD5pa55
interface Serial0/0/1
ip ospf message-digest-key 1 md5 MD5pa55

R3:
router ospf 1
area 0 authentication message-digest
interface Serial0/0/1
ip ospf message-digest-key 1 md5 MD5pa55

# PART2
# 打开NTP服务器，配置NTP服务。
R1:
ntp authentication-key 1 md5 NTPpa55
ntp authenticate
ntp trusted-key 1
ntp server 192.168.1.5 key 1
ntp update-calendar
service timestamps log datetime msec

R2:
ntp authentication-key 1 md5 NTPpa55
ntp authenticate
ntp trusted-key 1
ntp server 192.168.1.5 key 1
ntp update-calendar
service timestamps log datetime msec

R3:
ntp authentication-key 1 md5 NTPpa55
ntp authenticate
ntp trusted-key 1
ntp server 192.168.1.5 key 1
ntp update-calendar
service timestamps log datetime msec

# PART3
R1:
logging 192.168.1.6
R2:
logging 192.168.1.6
R3:
logging 192.168.1.6

# PART4
R3:
ip ssh version 2
ip ssh authentication-retries 2
ip ssh time-out 90
ip domain-name ccnasecurity.com
username SSHadmin privilege 15 secret ciscosshpa55
crypto key zeroize rsa

crypto key generate rsa

line vty 0 4
 login local
 transport input ssh

地址表

目标

• 在R1上配置本地用户账户，并使用本地AAA进行控制台和vty线路的身份验证。

• 从R1控制台和PC-A客户端验证本地AAA身份验证功能。

• 配置基于服务器的AAA身份验证，采用TACACS+协议。

• 从PC-B客户端验证基于服务器的AAA（TACACS+）身份验证。

• 配置基于服务器的AAA身份验证，采用RADIUS协议。

• 从PC-C客户端验证基于服务器的AAA（RADIUS）身份验证。

背景/场景

网络拓扑图显示了路由器R1、R2和R3。目前，所有管理安全性都基于enable secret密码。您的任务是配置并测试本地及基于服务器的AAA解决方案。

您将在路由器R1上创建一个本地用户账户，并配置本地AAA以测试控制台和vty登录：

• 用户账户：Admin1，密码admin1pa55 接下来，将配置路由器R2以支持通过TACACS+协议实现的基于服务器的身份验证。TACACS+服务器已经预先配置了以下信息：

• 客户端：R2，关键字为tacacspa55

• 用户账户：Admin2，密码admin2pa55 最后，您将配置路由器R3以支持通过RADIUS协议实现的基于服务器的身份验证。RADIUS服务器已预先配置如下信息：

• 客户端：R3，关键字为radiuspa55

• 用户账户：Admin3，密码admin3pa55 此外，路由器还预配置了以下内容：

• 启用秘密密码：ciscoenpa55

• 使用MD5认证的OSPF路由协议，密码为：MD5pa55 注意：控制台和vty线路尚未预先配置。

注意：尽管IOS版本15.3使用了更为安全的加密哈希算法SCRYPT，但在Packet Tracer当前支持的IOS版本中仍使用MD5。请始终在您的设备上使用最安全的选项。

第一部分：在R1上配置本地AAA认证以实现控制台访问

步骤1：测试连通性

• 从PC-A向PC-B执行Ping操作。

• 从PC-A向PC-C执行Ping操作。

• 从PC-B向PC-C执行Ping操作。

步骤2：在R1上配置本地用户名

• 在R1上配置一个名为 Admin1 的用户名，设置秘密密码为 admin1pa55 。

R1(config)# username Admin1 secret admin1pa55

步骤3：在R1上为控制台访问配置本地AAA认证

• 在R1上启用AAA功能，并配置控制台登录时使用本地数据库进行AAA身份验证。

R1(config)# aaa new-model R1(config)# aaa authentication login default local

步骤4：配置控制台线路使用定义的AAA认证方法

• 在R1上针对控制台登录启用AAA，并配置其使用默认方法列表进行AAA身份验证。

R1(config)# line console 0 R1(config-line)# login authentication default

步骤5：验证AAA认证方法

• 使用本地数据库验证用户EXEC登录过程。

通过以上配置后，可以在R1的控制台上用Admin1账户和对应的密码admin1pa55进行登录，验证本地AAA身份验证是否生效。

第二部分：在R1上配置本地AAA认证以实现vty线路访问

步骤1：配置域名和加密密钥以配合SSH使用 a. 在R1上将 ccnasecurity.com 设置为域名。 b. 创建一个1024位的RSA加密密钥。

R1(config)#ip domain-name ccnasecurity.com R1(config)# crypto key generate rsa

1
2
3
4
5
6
7
8

R1(config)# crypto key generate rsa
The name for the keys will be: R3.ccnasecurity.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
 
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

步骤2：为R1上的vty线路配置命名列表AAA认证方法

• 配置名为 SSH-LOGIN 的命名列表，用于使用本地AAA进行登录认证。

R1(config)# aaa authentication login SSH-LOGIN local

步骤3：配置vty线路使用定义的AAA认证方法

• 配置vty线路使用已定义的AAA方法，并只允许通过SSH进行远程访问。

R1(config)# line vty 0 4 R1(config-line)# transport input ssh R1(config-line)# login authentication SSH-LOGIN

步骤4：验证AAA认证方法

• 从PC-A的命令提示符处通过SSH连接到R1，验证SSH配置及AAA身份验证。
  

第三部分：在R2上配置基于TACACS+服务器的AAA认证

步骤1：配置备用本地数据库条目（Admin）

• 为了备份目的，在R2上配置一个本地用户名 Admin2 ，密码为 admin2pa55 。

R2(config)# username Admin2 secret admin2pa55

步骤2：验证TACACS+服务器配置

• 点击TACACS+ Server，查看“服务”选项卡中的AAA设置，确认存在针对R2的网络配置条目和针对Admin2的用户设置条目。

步骤3：在R2上配置TACACS+服务器详细信息

• 在R2上配置AAA TACACS+服务器IP地址和共享密钥。

注意：尽管 tacacs-server host 和 tacacs-server key 命令已过时，但目前Packet Tracer暂不支持新命令 tacacs server 。此处依然使用旧命令进行配置。

R2(config)# tacacs-server host 192.168.2.2 R2(config)# tacacs-server key tacacspa55

步骤4：为R2的控制台访问配置AAA登录认证

• 启用R2上的AAA，并配置所有登录通过AAA TACACS+服务器进行认证，若服务器不可用，则使用本地数据库。

R2(config)# aaa new-model R2(config)# aaa authentication login default group tacacs+ local

步骤5：配置控制台线路使用定义的AAA认证方法

• 配置控制台登录使用默认的AAA认证方法。

R2(config)#line console 0 R2(config-line)#login authentication default

由于之前已经全局配置了AAA和TACACS+，此处不再需要单独配置console线路。

步骤6：验证AAA认证方法

• 通过AAA TACACS+服务器验证用户EXEC登录。可以尝试从另一设备通过console或SSH等方式登录R2并观察其是否成功通过TACACS+服务器进行身份验证。
  

第四部分：在R3上配置基于RADIUS服务器的AAA认证

步骤1：配置备用本地数据库条目（Admin）

• 为了备份目的，在R3上配置一个本地用户名 Admin3 ，密码为 admin3pa55 。

R3(config)# username Admin3 secret admin3pa55

步骤2：验证RADIUS服务器配置

• 点击RADIUS服务器，并查看“服务”选项卡中的AAA设置。注意其中包含针对R3的网络配置条目和针对Admin3的用户设置条目。

步骤3：在R3上配置RADIUS服务器详细信息

• 在R3上配置AAA RADIUS服务器IP地址和共享密钥。

注意：虽然 radius-server host 和 radius-server key 命令可能已过时，但当前Packet Tracer版本暂不支持新的 radius server 命令。此处仍使用旧命令进行配置。

R3(config)# radius-server host 192.168.3.2 R3(config)# radius-server key radiuspa55

步骤4：为R3的控制台访问配置AAA登录认证

• 启用R3上的AAA，并配置所有登录通过AAA RADIUS服务器进行认证，若服务器不可用，则使用本地数据库。

R3(config)# aaa new-model R3(config)# aaa authentication login default group radius local

步骤5：配置控制台线路使用定义的AAA认证方法

• 配置控制台登录使用默认的AAA认证方法。

R3(config)#line console 0 R3(config-line)#login authentication default

由于之前已经全局配置了AAA和RADIUS，此处不再需要单独配置console线路。

步骤6：验证AAA认证方法

• 通过AAA RADIUS服务器验证用户EXEC登录。可以尝试从另一设备通过console或SSH等方式登录R3并观察其是否成功通过RADIUS服务器进行身份验证。
  

步骤7：检查结果

• 您的完成度应达到100%。点击“检查结果”以查看反馈和已完成所需组件的验证情况。

目标

• 在SW-1和SW-2之间建立新的冗余链路。

• 在新连接的SW-1和SW-2之间的干线链路上启用中继并配置安全措施。

• 创建一个新的管理VLAN（VLAN 20）并将一台管理PC连接到该VLAN。

• 实施ACL以防止外部用户访问管理VLAN。

背景/场景

一家公司的网络当前使用两个独立的VLAN：VLAN 5和VLAN 10。此外，所有干线端口都已配置为本征VLAN 15。网络管理员希望在交换机SW-1和SW-2之间添加一条冗余链路。这条链路必须启用中继功能，并确保所有必要的安全设置到位。

此外，网络管理员还希望将一台管理PC连接到交换机SW-A。管理员希望这台管理PC能够连接到所有交换机及路由器，但不希望任何其他设备能够连接到管理PC或这些交换机上。因此，管理员计划创建一个新的VLAN 20用于管理目的。

所有设备已经预先配置了以下信息：

• 启用密码： ciscoenpa55

• 控制台密码： ciscoconpa55

• SSH用户名及密码： SSHadmin / ciscosshpa55

第一部分：验证连通性

步骤1：验证C2（VLAN 10）与C3（VLAN 10）之间的连通性。

步骤2：验证C2（VLAN 10）与D1（VLAN 5）之间的连通性。 注：如果使用简易PDU GUI包，请确保ping两次以允许ARP过程完成。

第二部分：在SW-1和SW-2之间创建冗余链路

步骤1：连接SW-1和SW-2。

使用交叉线缆将SW-1的F0/23端口与SW-2的F0/23端口相连。

步骤2：在SW-1和SW-2之间的链路上启用干线功能，包括所有干线安全机制。

已预先配置了所有现存干线接口的干线功能。新链接必须设置为干线，并包括所有干线安全机制。在SW-1和SW-2上，将端口设置为干线模式，将本征VLAN 15分配给干线端口，并禁用自动协商功能。

SW-1(config)#interface f0/23 SW-1(config-if)#switchport mode trunk SW-1(config-if)#switchport trunk native vlan 15 SW-1(config-if)#switchport nonegotiate SW-1(config-if)#no shutdown

SW-2(config)#interface f0/23 SW-2(config-if)#switchport mode trunk SW-2(config-if)#switchport trunk native vlan 15 SW-2(config-if)#switchport nonegotiate SW-2(config-if)#no shutdown

第三部分：启用VLAN 20作为管理VLAN

网络管理员希望通过管理PC访问所有交换机和路由设备。出于安全原因，管理员希望确保所有受管设备都在一个独立的VLAN中。

步骤1：在SW-A上启用管理VLAN（VLAN 20）。

a. 在SW-A上启用VLAN 20。

SW-A(config)#vlan 20 SW-A(config-vlan)#exit

b. 创建VLAN 20接口并在192.168.20.0/24网络内分配一个IP地址。

SW-A(config)#interface vlan 20 SW-A(config-if)#ip address 192.168.20.1 255.255.255.0

步骤2：在所有其他交换机上启用相同的管理VLAN。

a. 在SW-B、SW-1、SW-2和中央交换机上创建管理VLAN。

Central(config)#vlan 20 Central(config-vlan)#exit

SW-1(config)#vlan 20 SW-1(config-vlan)#exit

SW-2(config)#vlan 20 SW-2(config-vlan)#exit

SW-B(config)#vlan 20 SW-B(config-vlan)#exit

b. 在所有交换机上创建VLAN 20接口，并在192.168.20.0/24网络内分配一个IP地址。

Central(config)#int vlan 20 Central(config-if)#ip address 192.168.20.2 255.255.255.0

SW-1(config)#int vlan 20 SW-1(config-if)#ip address 192.168.20.3 255.255.255.0

SW-2(config)#int vlan 20 SW-2(config-if)#ip address 192.168.20.4 255.255.255.0

SW-B(config)#int vlan 20 SW-B(config-if)#ip address 192.168.20.5 255.255.255.0

步骤3：连接并配置管理PC。

将管理PC连接到SW-A的F0/1端口，并确保为其分配192.168.20.0/24网络内的可用IP地址。

步骤4：在SW-A上确保管理PC属于VLAN 20。

接口F0/1必须是VLAN 20的一部分。

SW-A(config)#int f0/1 SW-A(config-if)#switchport access vlan 20 SW-A(config-if)#no shutdown

步骤5：验证管理PC与所有交换机之间的连通性 。

管理PC应能成功ping通SW-A、SW-B、SW-1、SW-2和中央交换机。

第四部分：使管理PC能够访问路由器R1

步骤1：在路由器R1上启用新的子接口。

a. 创建子接口 g0/0.3 ，并设置封装类型为 dot1q 20 ，以便支持VLAN 20。

R1(config)#int g0/0.3 R1(config-subif)#encapsulation dot1Q 20

b. 分配192.168.20.0/24网络内的IP地址。

R1(config)#int g0/0.3 R1(config-subif)#ip address 192.168.20.100 255.255.255.0

步骤2：验证管理PC与R1之间的连通性。

务必在管理PC上配置默认网关以实现连通性。

步骤3：启用安全性。

虽然管理PC必须能够访问路由器，但其他任何PC都不应能够访问管理VLAN。

a. 创建只允许管理PC访问路由器的ACL。

R1(config)#access-list 101 deny ip any 192.168.20.0 0.0.0.255 R1(config)#access-list 101 permit ip any any R1(config)#access-list 102 permit ip host 192.168.20.6 any

b. 将ACL应用到适当的接口上。

R1(config)#int g0/0.1 R1(config-subif)#ip access-group 101 in R1(config-subif)#int g0/0.2 R1(config-subif)#ip access-group 101 in

R1(config)#line vty 0 4 R1(config-line)#access-class 102 in

注：可以有多种方式创建ACL来满足必要的安全要求。因此，该活动这一部分的评分基于正确的连通性需求。管理PC必须能够连接到所有交换机和路由器，而所有其他PC则不能连接到管理VLAN内的任何设备。

步骤4：验证安全性。

a. 验证只有管理PC可以访问路由器。使用SSH从管理PC通过用户名SSHadmin和密码ciscosshpa55登录R1。

PC> ssh -l SSHadmin 192.168.20.100

b. 从管理PC尝试ping SW-A、SW-B和R1，是否成功？请解释结果。

VLAN20 中的设备不需要通过路由器进行路由，不受ACL的影响。

c. 从D1尝试ping管理PC，是否成功？请解释结果。

不同 VLAN 中的设备 ping VLAN20 中的设备，必须进行路由，而路由器具有阻止所有数据包访问 192.168.20.0 目标网络的 ACL。

步骤5：检查结果。

您的完成度应该为100%。点击“检查结果”查看反馈信息以及已完成的必要组件验证。

如果所有组件都看似正确，但活动仍显示未完成，则可能是由于验证ACL操作的连通性测试出现问题。

实验脚本：

Part 2:

SW-1、SW-2

1
2
3
4
5
6
7

连接SW-1、SW-2，使用交叉线路，要开端口
连接SW-A、PC，要开端口
interface f0/23
switchport mode trunk
switchport trunk native vlan 15
switchport nonegotiate
no shutdown

Part 3：

SW-A：

1
2
3

int f0/1
switchport access vlan 20
no shutdown

SW-1：

1
2
3
4

int f0/23
switchport trunk native vlan 15
switchport mode trunk 
switchport nonegotiate

SW-2:

1
2
3
4

int f0/23
switchport trunk native vlan 15
switchport mode trunk 
switchport nonegotiate

SW-A、B、1、2、Central：

1
2
3

vlan 20
int vlan 20
ip address 192.168.20.XXX 255.255.255.0

Part 4:

R1：

1
2
3

int g0/0.3
encapsulation dot1Q 20
ip address 192.168.20.20 255.255.255.0

R1：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

access-list 101 deny ip any 192.168.20.0 255.255.255.0
access-list 101 permit ip any any 
access-list 102 permit ip host 192.168.20.6 any 

int g0/0.1
ip access-group 101 in 

int g0/0.2
ip access-group 101 in 

line vty 0 4
access-class 102 in

PC：

1

ssh -l SSHadmin 192.168.20.20

地址表

目标

• 启用IOS入侵防御系统（IPS）。

• 配置日志记录功能。

• 修改IPS签名规则。

• 验证IPS配置。

背景/场景

您的任务是在R1上启用IPS，扫描进入192.168.1.0网络的流量。

标记为“Syslog”的服务器用于接收和记录IPS消息。您需要配置路由器以识别该syslog服务器，并将日志消息发送到该服务器。在使用syslog监控网络时，在syslog消息中显示正确的时间和日期至关重要。因此，请设置时钟并为路由器上的日志记录功能配置时间戳服务。最后，启用IPS以产生警报并在线路上丢弃ICMP回显应答数据包。

服务器和PC已预先配置好。路由器也已经预先配置了以下内容：

o 启用密码： ciscoenpa55

o 控制台密码： ciscoconpa55

o SSH用户名和密码： SSHadmin / ciscosshpa55

o OSPF进程号101

第一部分：启用IOS入侵防御系统（IPS）

注意：在Packet Tracer中，路由器已经导入并安装了签名文件。它们是闪存中的默认xml文件。因此，不需要配置公钥和手动导入签名文件。

步骤1：启用安全技术包。

a. 在R1上，执行 show version 命令查看技术包许可证信息。

b. 如果尚未启用“Security Technology”包，请使用以下命令启用该包：

R1(config)# license boot module c1900 technology-package securityk9

c. 接受最终用户许可协议。

d. 保存运行配置，并重新加载路由器以启用安全许可证。

R1#write Building configuration… [OK] R1#reload

e. 使用 show version 命令验证是否已启用“Security Technology”包。

步骤2：验证网络连接性。

a. 从PC-C向PC-A发送ping请求。应能成功ping通。

b. 从PC-A向PC-C发送ping请求。应能成功ping通。

步骤3：在闪存中创建一个IOS IPS配置目录。

在R1上，使用 mkdir 命令在闪存中创建一个目录。将目录命名为ipsdir。

R1#mkdir ipsdir Create directory filename [ipsdir]? Created dir flash:ipsdir

步骤4：配置IPS签名存储位置。

在R1上，将IPS签名存储位置配置为刚刚创建的目录。

R1(config)#ip ips config location flash:ipsdir

步骤5：创建一个IPS规则。

在R1的全局配置模式下，使用 ip ips name "name" 命令创建一个IPS规则名称。将IPS规则命名为 iosips 。

R1(config)#ip ips name iosips

步骤6：启用日志记录。

IOS IPS支持使用syslog发送事件通知。Syslog通知默认情况下是启用的。如果启用了loggingconsole，则会显示IPS的syslog消息。

a. 如未启用syslog，则启用syslog。

R1(config)#ip ips notify log

b. 如有必要，从特权EXEC模式下使用 clock set 命令重置时钟。

R1#clock set 19:31:59 6 jan 2024

c. 使用 show run 命令验证路由器上的日志记录时间戳服务是否已启用。如果没有启用，则启用时间戳服务。

R1(config)#service timestamps log datetime msec

d. 将日志消息发送到位于IP地址192.168.1.50的syslog服务器。

R1(config)#logging host 192.168.1.50

步骤7：配置IOS IPS使用签名类别。

使用 retired true 命令退休所有签名类别（签名发布内的所有签名）。使用 retired false 命令取消退休IOS_IPS Basic类别。

R1(config)#ip ips signature-category R1(config-ips-category)#category all R1(config-ips-category-action)#retired true R1(config-ips-category-action)#exit R1(config-ips-category)#category ios_ips basic R1(config-ips-category-action)#retired false R1(config-ips-category-action)#exit R1(config-ips-category)#exit

步骤8：将IPS规则应用于接口。

在接口配置模式下，使用 ip ips name "direction" 命令将IPS规则应用于接口。将规则应用于R1的G0/1接口的出站方向。启用IPS后，控制台行将收到一些日志消息，表明IPS引擎正在初始化。

R1(config)#int g0/1 R1(config-if)#ip ips iosips out

注：direction in表示IPS仅检查进入接口的流量。同样地，out表示IPS仅检查离开接口的流量。

第二部分：修改签名

步骤1：更改签名的事件动作。

取消退休echo request签名（签名ID 2004，子签名ID 0），启用它，并将签名动作更改为alert和drop。

R1(config)#ip ips signature-definition R1(config-sigdef)#signature 2004 0 R1(config-sigdef-sig)#status R1(config-sigdef-sig-status)#retired false R1(config-sigdef-sig-status)#enabled true R1(config-sigdef-sig-status)#exit R1(config-sigdef-sig)#engine R1(config-sigdef-sig-engine)#event-action produce-alert R1(config-sigdef-sig-engine)#event-action deny-packet-inline R1(config-sigdef-sig-engine)#exit R1(config-sigdef-sig)#exit R1(config-sigdef)#exit

步骤2：使用show命令验证IPS配置。

使用 show ip ips all 命令查看IPS配置状态摘要。

iosips规则应用于哪些接口以及什么方向？

步骤3：验证IPS是否正常工作。

a. 从PC-C尝试ping PC-A。这些ping请求成功了吗？请解释原因。

b. 从PC-A尝试ping PC-C。这些ping请求成功了吗？请解释原因。

步骤4：查看syslog消息。

a. 点击Syslog服务器。

b. 选择“服务”标签页。

c. 在左侧导航菜单中，选择SYSLOG以查看日志文件。

步骤5：检查结果。

您的完成百分比应为100%。点击“CheckResults”查看反馈信息及已完成的必要组件验证。

IP地址表

目标

• 验证连接并探索ASA设备

• 使用CLI配置ASA的基本设置和接口安全级别

• 使用CLI配置路由、地址转换和检查策略

• 配置DHCP、AAA和SSH服务

• 配置DMZ区域、静态NAT和访问控制列表（ACL）

场景

您的公司有一个地点通过ISP进行互联网接入。R1代表由ISP管理的CPE设备。R2代表一个互联网路由器中继节点。R3代表一个ISP，它连接着一家网络管理公司的管理员，该管理员受雇远程管理您的网络。ASA是一个边缘CPE安全设备，将内部企业网络和DMZ区域连接到ISP，并为内部主机提供NAT和DHCP服务。ASA将被配置以允许内部网络的管理员以及远程管理员对其进行管理。三层VLAN接口提供了对活动中创建的三个区域——Inside区域、Outside区域和DMZ区域的访问权限。ISP分配了公共IP地址空间209.165.200.224/29，将在ASA上用于地址转换。

所有路由器和交换机设备已预先配置以下信息：

• 启用密码： ciscoenpa55

• 控制台密码： ciscoconpa55

• 管理员用户名及密码： admin/adminpa55

注意：此Packet Tracer活动并不能替代ASA实验室练习。这个活动提供了额外的实践机会，模拟了大部分ASA 5505设备的配置过程。与真实的ASA 5505相比，在命令输出或部分尚未在Packet Tracer中支持的命令上可能存在细微差别。

第一部分：验证连接和探索ASA设备

注：此Packet Tracer活动开始时，有20%的评估项已被标记为已完成。这是为了确保您不会意外更改ASA的某些默认值。例如，默认情况下内部接口名称为“inside”，不应更改。点击“检查结果”查看哪些评估项已经被正确评分。

步骤1：验证网络连接性。

目前ASA尚未配置，但所有路由器、PC以及DMZ服务器都已配置完毕。请确认PC-C可以ping通任何路由器接口。请注意，此时PC-C无法ping通ASA、PC-B或DMZ服务器。

步骤2：确定ASA版本、接口及许可证信息。

使用 show version 命令来了解ASA设备的各种特性。

步骤3：确定文件系统及其闪存内存内容。

a. 进入特权EXEC模式。当前未设置密码，当提示输入密码时直接按回车键。

b. 使用 show file system 命令显示ASA的文件系统，并确定支持哪些前缀。

c. 使用 show flash: 或 show disk0: 命令来显示闪存内存的内容。

第二部分：使用CLI配置ASA设置和接口安全

提示：许多ASA CLI命令与Cisco IOS CLI中的命令相似，甚至相同。此外，在不同配置模式及子模式之间切换的过程本质上是相同的。

步骤1：配置主机名和域名。

a. 配置ASA主机名为 CCNAS-ASA 。

b. 配置域名为 ccnasecurity.com 。

1
2

ciscoasa(config)#hostname CCNAS-ASA
CCNAS-ASA(config)#domain-name ccnasecurity.com

步骤2：配置启用模式密码。

使用 enable password 命令将特权EXEC模式密码更改为 ciscoenpa55 。

1

CCNAS-ASA(config)#enable password ciscoenpa55

步骤3：设置日期和时间。

使用 clock set 命令手动设置日期和时间（此步骤不计入评分）。

1

CCNAS-ASA(config)#clock set 21:42:25 May 11 2023

步骤4：配置内部和外部接口。

此时您只需配置VLAN 1（内部）和VLAN 2（外部）接口。VLAN 3（dmz）接口将在活动的第五部分进行配置。

a. 为内部网络（192.168.1.0/24）配置逻辑VLAN 1接口，并将其安全级别设置为最高值 100 。

1
2
3
4

CCNAS-ASA(config)# interface vlan 1
CCNAS-ASA(config-if)# nameif inside
CCNAS-ASA(config-if)# ip address 192.168.1.1 255.255.255.0
CCNAS-ASA(config-if)# security-level 100

b. 为外部网络（209.165.200.224/29）创建逻辑VLAN 2接口，将其安全级别设置为最低值 0 ，并启用VLAN 2接口。

1
2
3
4

CCNAS-ASA(config-if)# interface vlan 2
CCNAS-ASA(config-if)# nameif outside
CCNAS-ASA(config-if)# ip address 209.165.200.226 255.255.255.248
CCNAS-ASA(config-if)# security-level 0

c. 使用以下验证命令检查您的配置：

1. 使用 show interface ip brief 命令显示所有ASA接口的状态。注意：这个命令与IOS命令show ip interface brief不同。如果之前配置的任何物理或逻辑接口状态不是up/up，请根据需要排查问题后再继续。

提示：大多数ASA show命令，包括ping、copy等，无需do命令即可在任意配置模式提示符下执行。

1. 使用 show ip address 命令显示三层VLAN接口的信息。

2. 使用 show switch vlan 命令显示ASA上配置的内部和外部VLAN以及分配的端口。

步骤5：测试到ASA的连接性。

a. 应该可以从PC-B成功ping通ASA内部接口地址（192.168.1.1）。如果无法ping通，请按需排查配置问题。

b. 从PC-B尝试ping VLAN 2（外部）接口的IP地址209.165.200.226。理论上您不应该能ping通这个地址。

第三部分：使用CLI配置路由、地址转换和检查策略

步骤1：为ASA配置静态默认路由。

在ASA外部接口上配置默认静态路由，以便ASA能够访问外部网络。

a. 使用 route 命令创建一个“全零”默认路由，将其与ASA外部接口关联，并将R1 G0/0 IP地址（209.165.200.225）设置为最后手段网关。

1

CCNAS-ASA(config)# route outside 0.0.0.0 0.0.0.0 209.165.200.225

b. 发出 show route 命令以验证静态默认路由是否存在于ASA路由表中。

c. 验证ASA能否ping通R1 S0/0/0 IP地址10.1.1.1。如果无法ping通，请按需排查问题。

步骤2：使用PAT和网络对象配置地址转换。

a. 创建名为 inside-net 的网络对象，并使用subnet和nat命令为其分配属性。

1
2
3
4

CCNAS-ASA(config)# object network inside-net
CCNAS-ASA(config-network-object)# subnet 192.168.1.0 255.255.255.0
CCNAS-ASA(config-network-object)# nat (inside,outside) dynamic interface
CCNAS-ASA(config-network-object)# end

b. ASA将配置拆分为定义要转换的网络的对象部分以及实际的nat命令参数。这些内容会在运行配置中的两个不同位置显示。使用 show run 命令显示NAT对象配置。

c. 从PC-B尝试ping R1 G0/0接口IP地址209.165.200.225。这些ping请求应失败。

d. 在ASA上发出 show nat 命令查看已翻译和未翻译的命中次数。请注意，来自PC-B的ping请求中有四个被翻译，四个未被翻译。外出的ping（echo请求）已被翻译并发送至目标。返回的echo响应由于防火墙策略而被阻止。您将在本部分活动的第3步配置默认检查策略以允许ICMP流量。

步骤3：修改默认MPF应用检查全局服务策略。

为了实现应用层检查和其他高级选项，Cisco ASA设备提供了MPF功能。

Packet Tracer ASA设备默认没有MPF策略映射。作为修改，我们可以创建一个默认策略映射，用于对内部到外部的流量进行检查。正确配置后，只有由内部发起的流量才被允许回传到外部接口。您需要将ICMP添加到检查列表中。

a. 使用以下命令创建类图、策略映射和服务策略，并在策略映射列表中添加ICMP流量的检查：

1
2
3
4
5
6
7
8

CCNAS-ASA(config)# class-map inspection_default
CCNAS-ASA(config-cmap)# match default-inspection-traffic
CCNAS-ASA(config-cmap)# exit
CCNAS-ASA(config)# policy-map global_policy
CCNAS-ASA(config-pmap)# class inspection_default
CCNAS-ASA(config-pmap-c)# inspect icmp
CCNAS-ASA(config-pmap-c)# exit
CCNAS-ASA(config)# service-policy global_policy global

b. 从PC-B再次尝试ping R1 G0/0接口IP地址209.165.200.225。这次ping应该成功，因为现在ICMP流量正在被检查，合法的返回流量被允许通过。若ping失败，请排查您的配置。

第四部分：配置DHCP、AAA和SSH

步骤1：配置ASA作为DHCP服务器。

a. 在ASA内部接口上配置DHCP地址池并启用它。

1

CCNAS-ASA(config)# dhcpd address 192.168.1.5-192.168.1.36 inside

b. （可选）指定给客户端提供的DNS服务器IP地址。

1

CCNAS-ASA(config)# dhcpd dns 209.165.201.2 interface inside

c. 在ASA内启用DHCP守护进程，使其监听内部接口上的DHCP客户端请求。

1

CCNAS-ASA(config)# dhcpd enable inside

d. 将PC-B从静态IP地址更改为DHCP客户端，并验证其是否接收到IP地址信息。如有必要，请解决任何问题。

步骤2：配置AAA以使用本地数据库进行身份验证。

a. 使用username命令定义一个名为admin的本地用户，并指定密码adminpa55。

1

CCNAS-ASA(config)# username admin password adminpa55

b. 配置AAA以使用本地ASA数据库进行SSH用户身份验证。

1

CCNAS-ASA(config)# aaa authentication ssh console LOCAL

步骤3：配置远程访问ASA。

ASA可以配置为接受来自内部或外部网络的单个主机或范围内的主机连接。在此步骤中，外部网络的主机只能通过SSH与ASA通信。SSH会话可用于从内部网络访问ASA。

a. 生成RSA密钥对，这是支持SSH连接所必需的。由于ASA设备已经有RSA密钥存在，当提示替换它们时请输入no。

1

CCNAS-ASA(config)# crypto key generate rsa modulus 1024

b. 配置ASA以允许来自内部网络（192.168.1.0/24）和外部网络分支办公室远程管理主机（172.16.3.3）的任何主机通过SSH进行连接。设置SSH超时时间为10分钟（默认为5分钟）。

1
2
3

CCNAS-ASA(config)# ssh 192.168.1.0 255.255.255.0 inside
CCNAS-ASA(config)# ssh 172.16.3.3 255.255.255.255 outside
CCNAS-ASA(config)# ssh timeout 10

c. 从PC-C通过SSH建立到ASA（209.165.200.226）的会话。如不成功，请排查问题。

1

PC> ssh -l admin 209.165.200.226

d. 从PC-B通过SSH建立到ASA（192.168.1.1）的会话。如不成功，请排查问题。

1

PC> ssh -l admin 192.168.1.1

第五部分：配置DMZ、静态NAT和ACL

R1 G0/0接口与ASA的外部接口分别使用209.165.200.225和.226。您将使用公网地址209.165.200.227，并通过静态NAT提供对服务器的地址转换访问。

步骤1：在ASA上配置DMZ接口VLAN 3。

a. 配置DMZ VLAN 3，该VLAN将是公共访问Web服务器所在的位置。为它分配IP地址192.168.2.1/24，并命名为 dmz ，同时为其设置安全级别为 70 。由于服务器无需主动与内部用户通信，因此禁用到接口VLAN 1的转发。

1
2
3
4
5
6

CCNAS-ASA(config)# interface vlan 3
CCNAS-ASA(config-if)# ip address 192.168.2.1 255.255.255.0
CCNAS-ASA(config-if)# no forward interface vlan 1
CCNAS-ASA(config-if)# nameif dmz
INFO: Security level for "dmz" set to 0 by default.
CCNAS-ASA(config-if)# security-level 70

b. 将ASA物理接口E0/2分配给DMZ VLAN 3并启用此接口。

1
2

CCNAS-ASA(config-if)# interface Ethernet0/2
CCNAS-ASA(config-if)# switchport access vlan 3

c. 使用以下验证命令检查您的配置：

1. 使用 show interface ip brief 命令显示所有ASA接口的状态。

   

2. 使用 show ip address 命令显示第3层VLAN接口的信息。

   

3. 使用 show switch vlan 命令显示ASA上的inside和outside VLAN配置以及分配的端口信息。

   

步骤2：使用网络对象配置到DMZ服务器的静态NAT。

配置一个名为dmz-server的网络对象，并将其分配给DMZ服务器的静态IP地址（192.168.2.3）。在定义对象模式下，使用nat命令指定此对象用于使用静态NAT将DMZ地址翻译为外部地址，并指定公开翻译地址209.165.200.227。

1
2
3
4

CCNAS-ASA(config)# object network dmz-server
CCNAS-ASA(config-network-object)# host 192.168.2.3
CCNAS-ASA(config-network-object)# nat (dmz,outside) static 209.165.200.227
CCNAS-ASA(config-network-object)# exit

步骤3：配置ACL以允许从互联网访问DMZ服务器。

配置一个名为OUTSIDE-DMZ的命名访问列表，允许来自任何外部主机到DMZ服务器内部IP地址的TCP协议在端口80上进行通信。将访问列表应用到ASA的外部接口的“IN”方向。

1
2

CCNAS-ASA(config)# access-list OUTSIDE-DMZ permit tcp any host 192.168.2.3 eq 80
CCNAS-ASA(config)# access-group OUTSIDE-DMZ in interface outside

注：与IOS ACL不同，ASA ACL的permit语句必须允许对内部私有DMZ地址的访问。外部主机通过服务器的公共静态NAT地址访问服务器，ASA将其翻译成内部主机IP地址，然后应用ACL。

步骤4：测试对DMZ服务器的访问。

在创建Packet Tracer活动时，成功测试外部对DMZ Web服务器的访问功能并未实现；因此，不强制要求成功测试。

步骤5：检查结果。

完成百分比应为100%。点击“Check Results”查看反馈和已完成所需组件的验证。

实验脚本：

第一部分：验证连接和探索ASA设备

1
2
3
4

hostname CCNAS-ASA
domain-name ccnasecurity.com
enable password ciscoenpa55
clock set 10:38:00 22 dec 2020

第二部分：使用CLI配置ASA设置和接口安全

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19

interface vlan 1
nameif inside
ip address 192.168.1.1 255.255.255.0
security-level 100

interface vlan 2
nameif outside
ip address 209.165.200.226 255.255.255.248
security-level 0
interface Ethernet0/0
switchport access vlan 2

interface vlan 3
ip address 192.168.2.1 255.255.255.0
no forward interface vlan 1
nameif dmz
security-level 70
interface Ethernet0/2
switchport access vlan 3

第三部分：使用CLI配置路由、地址转换和检查策略

1
2
3
4
5
6
7
8
9

route outside 0.0.0.0 0.0.0.0 209.165.200.225
class-map inspection_default
match default-inspection-traffic
exit
policy-map global_policy
class inspection_default
inspect icmp
exit
service-policy global_policy global

第四部分：配置DHCP、AAA和SSH

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

dhcpd address 192.168.1.5-192.168.1.36 inside
dhcpd dns 209.165.201.2 interface inside
dhcpd enable inside

username admin password adminpa55
crypto key generate rsa modulus 1024 #no

aaa authentication ssh console LOCAL
ssh 192.168.1.0 255.255.255.0 inside
ssh 172.16.3.3 255.255.255.255 outside
ssh timeout 10

第五部分：配置DMZ、静态NAT和ACL

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

object network dmz-server
host 192.168.2.3
nat (dmz,outside) static 209.165.200.227

object network inside-net
subnet 192.168.1.0 255.255.255.0
nat (inside,outside) dynamic interface

access-list OUTSIDE-DMZ permit icmp any host 192.168.2.3
access-list OUTSIDE-DMZ permit tcp any host 192.168.2.3 eq 80
access-group OUTSIDE-DMZ in interface outside

地址表

目标

• 在防火墙配置前验证设备之间的连通性。

• 在路由器R3上配置基于区域的策略（ZPF）防火墙。

• 使用ping、Telnet和网页浏览器验证ZPF防火墙功能。

背景/场景

基于区域的策略（Zone-Based Policy，ZPF）防火墙是Cisco防火墙技术发展的最新成果。在本活动中，您将在边缘路由器R3上配置一个基本的ZPF防火墙，允许内部主机访问外部资源，并阻止外部主机访问内部资源。然后，从内部和外部主机验证防火墙的功能。

路由器已预先配置了以下内容：

• 控制台密码： ciscoconpa55

• vty线路密码： ciscovtypa55

• 启用密码： ciscoenpa55

• 主机名和IP地址配置

• 静态路由配置

第一部分：验证基本网络连通性

在配置基于区域的策略防火墙之前，验证网络连通性。

步骤1：从PC-A命令提示符，ping PC-C的192.168.3.3地址。

步骤2：从PC-C命令提示符，通过telnet连接到Router R2 S0/0/1接口的10.2.2.2地址。退出Telnet会话。

步骤3：从PC-C打开一个网页浏览器访问PC-A服务器。

a. 点击桌面标签页并点击Web浏览器应用程序。将PC-A的IP地址 192.168.1.3 作为URL输入。此时应显示来自Web服务器的Packet Tracer欢迎页面。

b. 关闭PC-C上的浏览器。

第二部分：在路由器R3上创建防火墙区域

注意：对于所有配置任务，请确保使用指定的确切名称。

步骤1：创建内部区域。

使用 zone security 命令创建名为 IN-ZONE 的区域。

1

R3(config)# zone security IN-ZONE

步骤2：创建外部区域。

使用 zone security 命令创建名为 OUT-ZONE 的区域，并退出区域安全配置模式。

1
2

R3(config)# zone security OUT-ZONE
R3(config-sec-zone)# exit

第三部分：定义流量类别和访问列表

步骤1：创建定义内部流量的ACL。

使用 access-list 命令创建扩展ACL 101，允许来自192.168.3.0/24源网络的所有IP协议到任何目的地。

1

R3(config)# access-list 101 permit ip 192.168.3.0 0.0.0.255 any

步骤2：创建引用内部流量ACL的类映射。

使用带有match-all选项的 class-map type inspect 命令创建名为 IN-NET-CLASS-MAP 的类映射。使用 match access-group 命令匹配ACL 101。

1
2
3

R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP
R3(config-cmap)# match access-group 101
R3(config-cmap)# exit

注：虽然在本Packet Tracer练习中不支持，但可以通过match-any选项指定具体的协议（如HTTP、FTP等），以便对需要检查的流量类型提供更精确的控制。

第四部分：指定防火墙策略

步骤1：创建策略映射以确定如何处理匹配的流量。

使用 policy-map type inspect 命令并创建一个名为IN-2-OUT-PMAP的策略映射。

1

R3(config)# policy-map type inspect IN-2-OUT-PMAP

步骤2：指定inspect类型的类，并引用类映射IN-NET-CLASS-MAP。

1

R3(config-pmap)# class type inspect IN-NET-CLASS-MAP

步骤3：为该策略映射指定inspect操作。

使用inspect命令会调用基于上下文的访问控制（其他选项包括pass和drop）。

1
2
3

R3(config-pmap-c)# inspect

%No specific protocol configured in class IN-NET-CLASS-MAP for inspection. All protocols will be inspected.

提示信息表示IN-NET-CLASS-MAP类没有配置特定协议进行检查，因此所有协议都将被检查。

连续两次发出exit命令，退出config-pmap-c模式并返回到config模式。

1
2

R3(config-pmap-c)# exit
R3(config-pmap)# exit

第五部分：应用防火墙策略

步骤1：创建一对区域。

使用 zone-pair security 命令，创建一个名为 IN-2-OUT-ZPAIR 的区域对。指定在任务1中创建的源和目标区域。

1

R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE

步骤2：为两个区域之间的流量指定策略映射。

通过 service-policy type inspect 命令将策略映射及其关联操作附加到区域对，并引用之前创建的策略映射IN-2-OUT-PMAP。

1
2
3

R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP
R3(config-sec-zone-pair)# exit
R3(config)#

步骤3：将接口分配给相应的安全区域。

在接口配置模式下，使用 zone-member security 命令将Fa0/1分配给IN-ZONE，将S0/0/1分配给OUT-ZONE。

1
2
3
4
5
6
7

R3(config)# interface fa0/1
R3(config-if)# zone-member security IN-ZONE
R3(config-if)# exit

R3(config)# interface s0/0/1
R3(config-if)# zone-member security OUT-ZONE
R3(config-if)# exit

步骤4：将运行配置复制到启动配置。

第六部分：从IN-ZONE到OUT-ZONE测试防火墙功能

验证配置基于区域的策略防火墙后，内部主机仍能访问外部资源。

步骤1：从内部PC-C，ping外部PC-A服务器。

从PC-C命令提示符，ping PC-A的192.168.1.3地址。ping操作应成功。

步骤2：从内部PC-C，telnet到路由器R2 S0/0/1接口。

a. 从PC-C命令提示符，telnet到R2的10.2.2.2，并提供vty密码 ciscovtypa55 。Telnet会话应成功。

b. 在活动的Telnet会话中，在R3上执行命令 show policy-map type inspect zone-pair sessions 以查看已建立的会话。

源IP地址和端口号是什么？

目标IP地址和端口号是什么？

步骤3：从PC-C退出R2上的Telnet会话并关闭命令提示符窗口。

步骤4：从内部PC-C，打开一个网页浏览器访问PC-A服务器的网页。

在浏览器URL字段中输入服务器IP地址192.168.1.3，并点击“Go”。HTTP会话应成功。在HTTP会话活动期间，在R3上执行命令 show policy-map type inspect zone-pair sessions 以查看已建立的会话。

注：如果在您在R3上执行命令之前HTTP会话超时，您需要在PC-C上点击“Go”按钮来生成PC-C与PC-A之间的会话。

源IP地址和端口号是什么？

目标IP地址和端口号是什么？

步骤5：关闭PC-C上的浏览器。

第七部分：从OUT-ZONE到IN-ZONE测试防火墙功能

验证配置基于区域的策略防火墙后，外部主机无法访问内部资源。

步骤1：从PC-A服务器命令提示符，ping PC-C。

从PC-A命令提示符，ping PC-C的192.168.3.3地址。ping操作应失败。

步骤2：从路由器R2，ping PC-C。

从R2，ping PC-C的192.168.3.3地址。ping操作应失败。

步骤3：检查结果。

您的完成百分比应为100%。点击“CheckResults”查看反馈和已完成的必要组件验证。