威胁情报开源示例：ip_list

honeypot-blocklist 项目地址

规划

蜜罐（Honeypot）最核心的特点是：没有任何正常的业务流量会访问它。因此，凡是进入蜜罐的数据，本质上都是“可疑”或“恶意”的。这使得蜜罐收集到的数据具有极高的信噪比（高保真）。

蜜罐可以捕获攻击者的基础信息，将其转化为入侵指标（IOCs）：

• 攻击源 IP 地址：识别攻击者来自哪里（国家、ASN、代理池）。
• 恶意哈希值（File Hash）：上传的恶意软件的 MD5/SHA256。
• 恶意域名/URL：恶意软件回连的 C2（命令与控制）服务器地址。
• 用途：将这些数据实时同步给防火墙（FW）、WAF 或入侵检测系统（IDS），实现“一处被攻，全网封禁”。

本文即是实现将Hifsh蜜罐获得的攻击信息，通过使用其自带的 API 接口进行自动化提取，并利用 GitHub/Gitee Pages 进行分发。（提取简单的攻击源 IP 地址为例）

架构设计

1. 数据源：部署在内网或公网的 HFish 蜜罐。

   部署教程：云服务器搭建HFish蜜罐全流程

2. 处理中心：一个运行 Python 脚本的中间服务器（可以是 HFish 本机）。

3. 发布平台：GitHub 或 Gitee（利用其 Pages 服务托管静态文本文件）。（ GitHub ）

4. 最终产物：一个公网可访问的 URL（例如 https://yuexuan521.github.io/honeypot-blocklist/ip_list.txt）。

第一步：准备 HFish API

HFish 提供了 API 用于获取攻击数据。

1. 登录 HFish 管理后台。
2. 进入 “系统设置” -> “API 设置”。
3. 获取 API Key 和 管理端地址。
   • 注意：如果你的 HFish 在内网，确保运行脚本的机器能访问到 HFish 的管理端口（默认 4433）。

第二步：编写自动化提取脚本 (Python)

我们需要编写一个 Python 脚本，完成“拉取数据 -> 过滤白名单 -> 格式化 -> 写入文件”的动作。

在 HFish 服务器或能访问 HFish 的机器上创建 /root/generate_feed.py：（需修改HFISH_HOST、API_KEY、OUTPUT_TXT的值，第10行）

  1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39
 40
 41
 42
 43
 44
 45
 46
 47
 48
 49
 50
 51
 52
 53
 54
 55
 56
 57
 58
 59
 60
 61
 62
 63
 64
 65
 66
 67
 68
 69
 70
 71
 72
 73
 74
 75
 76
 77
 78
 79
 80
 81
 82
 83
 84
 85
 86
 87
 88
 89
 90
 91
 92
 93
 94
 95
 96
 97
 98
 99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134

import requests
import json
import ipaddress
import urllib3
import time
import sys
from datetime import datetime, timedelta

# ================= 配置区 =================
HFISH_HOST = "https://IP:4433"                       # !!填写你的Hish网址!!
API_KEY = ""                                         # !!填写你的Hish API Key!!
OUTPUT_TXT = "/root/threat-feed/ip_list.txt"         # !!填写你保存文件的地址!!
TIME_WINDOW_HOURS = 24 

LOCAL_WHITELIST = [
    "127.0.0.1", "192.168.0.0/16", "10.0.0.0/8", "172.16.0.0/12",
    "8.8.8.8", "1.1.1.1", "60.204.200.232"
]
WHITELIST_URLS = {
    "bing": "https://www.bing.com/toolbox/bingbot.json",
    "github": "https://api.github.com/meta"
}
# =========================================

urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

class WhitelistManager:
    def __init__(self):
        self.whitelist_cidrs = []
        for ip in LOCAL_WHITELIST:
            try:
                self.whitelist_cidrs.append(ipaddress.ip_network(ip, strict=False))
            except: pass

    def fetch_remote_whitelists(self):
        print("[-] Fetching remote whitelists...")
        for name, url in WHITELIST_URLS.items():
            try:
                resp = requests.get(url, timeout=10)
                if resp.status_code == 200:
                    data = resp.json()
                    prefixes = []
                    if "prefixes" in data: prefixes = [p.get("ipv4Prefix") for p in data["prefixes"]]
                    elif "web" in data: prefixes = data.get("web", [])
                    for p in prefixes:
                        if p and "." in p:
                            self.whitelist_cidrs.append(ipaddress.ip_network(p))
            except: pass

    def is_whitelisted(self, ip_str):
        try:
            target = ipaddress.ip_address(ip_str)
            for network in self.whitelist_cidrs:
                if target in network: return True
        except: pass
        return False

def get_data():
    url = f"{HFISH_HOST}/api/v1/attack/ip?api_key={API_KEY}"
    end_time = int(time.time())
    start_time = 0 if TIME_WINDOW_HOURS == 0 else int(end_time - (TIME_WINDOW_HOURS * 3600))
    
    payload = {
        "start_time": start_time,
        "end_time": end_time,
        "intranet": 0,
        "threat_label": []
    }
    
    try:
        resp = requests.post(url, json=payload, headers={'Content-Type': 'application/json'}, verify=False, timeout=20)
        return resp.json()
    except Exception as e:
        print(f"[!] Request Error: {e}")
        return None

def main():
    wl = WhitelistManager()
    wl.fetch_remote_whitelists()
    
    result = get_data()
    if not result: return

    raw_ips = []
    
    if 'data' in result:
        data_content = result['data']
        print(f"[-] API Response Keys: {data_content.keys() if isinstance(data_content, dict) else 'List Type'}")
        
        if isinstance(data_content, list):

            raw_ips = data_content
        elif isinstance(data_content, dict):

            if 'attack_ip' in data_content:
                raw_ips = data_content['attack_ip']
            elif 'list' in data_content:
                raw_ips = data_content['list']
            else:
                print("[!] Error: Unknown dict structure in 'data'")
                print(data_content) # 打印出来看看
    else:
        print(f"[!] Error: No 'data' field. keys: {result.keys()}")

    print(f"[-] Raw IPs found: {len(raw_ips)}")


    clean_ips = set()
    for item in raw_ips:
        ip = None

        if isinstance(item, str):
            ip = item

        elif isinstance(item, dict):
            ip = item.get('source_ip') or item.get('ip') or item.get('attack_ip')
            

        if ip and "." in ip and "attack_ip" not in ip:
            if not wl.is_whitelisted(ip):
                clean_ips.add(ip)

    print(f"[-] Final Unique IPs: {len(clean_ips)}")


    with open(OUTPUT_TXT, 'w') as f:
        f.write(f"# HFish Threat Feed\n")
        f.write(f"# Updated: {datetime.now()}\n")
        for ip in clean_ips:
            f.write(f"{ip}\n")
    print(f"[-] Saved to {OUTPUT_TXT}")

if __name__ == "__main__":
    main()

第三步：建立开源仓库 (GitHub/Gitee)

1. 在 GitHub 上创建一个新仓库，例如 honeypot-blocklist。
2. 在你的服务器上安装 Git，并克隆该仓库。（yourusername改成你的用户名）

1
2
3

# 在服务器上操作
cd /root/
git clone https://github.com/yourusername/honeypot-blocklist.git threat-feed

修改上面的 Python 脚本配置，将输出路径指向这个 Git 目录。

第四步：自动化更新与推送 (Shell + Crontab)

1、编写自动化 Shell 脚本

编写一个 Shell 脚本 update_feed.sh，将“生成”和“推送”结合起来：

1. 创建脚本文件：

   1	vim /root/update_feed.sh

2. 写入以下内容：（需修改git user.name和user.email，推荐 ✅使用 GitHub 提供的隐私邮箱）

   GitHub隐私邮箱特点：既能保护你的真实邮箱不泄露，又能让 GitHub 识别出这是你的账号，给你的 GitHub 贡献墙（Contributions Graph）加“绿格子”。

   1. 登录 GitHub，进入 Settings（设置） -> Emails。
   2. 勾选 “Keep my email addresses private”。
   3. 你会看到一个类似这样的邮箱：12345678+你的用户名@users.noreply.github.com。
   

   配置方法：（修改5. 配置 Git 身份）

   1 2	git config user.name "你的GitHub用户名" git config user.email "12345678+你的用户名@users.noreply.github.com"

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55

   #!/bin/bash # ================= 配置路径 ================= PY_SCRIPT="/root/generate_feed.py" GIT_REPO="/root/threat-feed" LOG_FILE="/var/log/hfish_feed.log" # =========================================== echo "-----------------------------------------------------" >> $LOG_FILE echo "[$(date)] Starting update process..." >> $LOG_FILE # 1. 进入 Git 仓库目录 (这一步必须最先做) cd $GIT_REPO || { echo "[Error] Cannot cd into $GIT_REPO" >> $LOG_FILE; exit 1; } # 2. 【新增】先拉取远程更新 (防止 Push 冲突) # 这一步会把你在 GitHub 网页上改的 README 同步到本地 echo "[-] Pulling remote changes..." >> $LOG_FILE if git pull origin main >> $LOG_FILE 2>&1; then echo "[Info] Git pull successful." >> $LOG_FILE else # 如果 pull 失败（极少见），通常是因为冲突，记录日志但不退出，尝试强制覆盖 echo "[Warn] Git pull failed (Conflict?). Will try to push anyway." >> $LOG_FILE fi # 3. 执行 Python 提取 IP # 注意：即使 git pull 失败了，我们也要生成新数据，因为数据才是核心 /usr/bin/python3 $PY_SCRIPT >> $LOG_FILE 2>&1 # 4. 检查文件是否生成 if [ ! -f "ip_list.txt" ]; then echo "[Error] ip_list.txt missing. Python script failed?" >> $LOG_FILE exit 1 fi # 5. 配置 Git 身份 git config user.name "" //!!填写你的name和email!! git config user.email "" # 6. 提交并推送 git add . if git commit -m "Auto update: $(date "+%Y-%m-%d %H:%M")" >> $LOG_FILE 2>&1; then echo "[Info] Changes committed." >> $LOG_FILE # 尝试推送 if git push origin main >> $LOG_FILE 2>&1; then echo "[Success] Pushed to GitHub." >> $LOG_FILE else echo "[Error] Git Push failed. Retrying with --force..." >> $LOG_FILE # 如果普通推送失败，尝试强制推送 (慎用，但在这种只增不减的情报源场景下是可行的) # git push -f origin main >> $LOG_FILE 2>&1 fi else echo "[Info] No changes detected. Nothing to push." >> $LOG_FILE fi

3. 赋予执行权限：

   1	chmod +x /root/update_feed.sh

2、配置 SSH 免密推送（关键！）

自动化脚本在后台运行时，无法输入 GitHub 的账号密码。你必须配置 SSH Key。

1. 检查是否已有 Key：

   1	ls ~/.ssh/id_rsa.pub

   • 如果有文件，跳过第2步。
   • 如果没有（报错），执行第2步。

2. 生成 Key（一路回车即可）：

   1	ssh-keygen -t rsa -b 4096 -C "hfish-feed"

3. 获取公钥：

   1	cat ~/.ssh/id_rsa.pub

   • 复制输出的内容（以 ssh-rsa 开头的一长串）。

4. 上传到 GitHub：

   • 打开 GitHub 仓库 -> Settings -> Deploy keys -> Add deploy key。

     

   • Title: HFish Server

   • Key: 粘贴刚才的内容。

   • 重要：勾选 Allow write access（允许写入权限），否则无法推送！

     

5. 手动测试连接（必须做一次！）： 在服务器执行：

   1	ssh -T git@github.com

   • 输入 yes 确认指纹。
   • 如果看到 Hi <username>/<repo>! You’ve successfully authenticated…，说明通了。

6. 修改仓库地址为 SSH（如果你之前是用 HTTPS clone 的）： 进入目录检查：

   1 2	cd /root/threat-feed git remote -v

   • 如果显示 https://github.com/…，请执行：

     1	git remote set-url origin git@github.com:你的用户名/你的仓库名.git

3、手动测试全流程

现在我们手动运行一次 Shell 脚本，看看能不能成功推送。

1

/root/update_feed.sh

检查结果：

1. 看日志：tail -f /var/log/hfish_feed.log
2. 看 GitHub 网页：刷新你的仓库，看看 ip_list.txt 更新时间是不是变成了 “Just now”。

4、设置定时任务 (Crontab)

确认手动运行没问题后，最后一步是让它自动跑。我们设置为 每 2 小时更新一次（既保证新鲜度，又不浪费资源）。

1. 编辑定时任务：

   1	crontab -e

2. 在文件末尾添加一行：

   1 2	# 每 2 小时的第 5 分钟执行一次 (错峰执行) 5 */2 * * * /bin/bash /root/update_feed.sh

3. 保存退出（如果是 vim，按 Esc 输入 :wq 回车）。

第五步：开源给他人使用

现在，你的 GitHub 仓库中会有 ip_list.txt。你需要开启 GitHub Pages 功能（在仓库 Settings -> Pages 中开启）。

1. 进入该仓库的 Settings (设置)。
2. 在左侧侧边栏找到 Pages。
3. 在 Build and deployment 下的 Source 选择 Deploy from a branch。
4. 在 Branch 处选择 main (或 master) 分支，文件夹选择 / (root)。
5. 点击 Save。

一旦开启，你就得到了一个全球可访问的永久直链，例如： https://yourusername.github.io/honeypot-blocklist/ip_list.txt

等待 1-2 分钟后，GitHub 会生成页面，别人只需要订阅这个以 .txt 结尾的 URL 即可。

别人可以这样使用我们的数据：

1. PaloAlto/Fortinet 防火墙：创建一个 “External Dynamic List”，填入你的 URL。
2. Linux 服务器：写个脚本 wget 你的文件并导入 ipset。

效果展示：

HFish蜜罐官网：https://hfish.net/#/

蜜罐基础知识

蜜罐的定义

蜜罐是一种主动防御的欺骗技术，其核心思想是通过部署虚假的主机、服务或信息作为诱饵，诱导攻击者实施攻击。在此过程中，蜜罐能够记录攻击行为、分析攻击手法与工具，并推断攻击者的意图，从而帮助防御方更清晰地识别威胁，并针对性地提升真实系统的安全防护能力。[蜜罐技术_百度百科]

蜜罐的优势

1. 误报率低，告警精准由于蜜罐本身不承载真实业务，正常情况下不应被访问，因此任何对其发起的连接或探测行为都具有较高的可疑性。相较于传统检测设备容易将正常业务请求误判为攻击的情况，蜜罐几乎不会产生误报，能够实现高度可信的安全告警。
2. 深度交互，信息全面蜜罐可模拟多种业务服务甚至对攻击做出合理响应，从而与攻击者进行深度交互。这使得蜜罐能够获取从初始探测到后续攻击链的完整数据，实现对攻击行为的全流程捕获。尤其在SSL加密通信或工业控制等特殊场景中，蜜罐可有效伪装为目标系统，获取非解密的原始攻击载荷。
3. 主动诱捕，生成威胁情报传统防护往往在攻击探测阶段即告结束，而蜜罐则能主动吸引攻击者深入交互，如诱使其上传恶意工具、连接C2服务器等。这些行为不仅被完整记录，还可进一步提取为高质量的本地威胁情报，赋能于IDS、防火墙等其他安全设备，实现对特定攻击手法（TTPs）的持续检测与预警。[一篇文章带你搞懂蜜罐-先知社区]
4. 部署灵活，扩展性强蜜罐通常以软件形态存在，无需调整现有网络结构，即可灵活部署于物理网络、云环境或边缘节点。其轻量化的特性使其能够作为探针广泛分布于网络末端，将安全事件统一上报至态势感知平台，实现对全网威胁的可视化监控。

蜜罐与威胁情报

蜜罐是高质量威胁情报的稳定来源。通过诱使攻击者暴露其攻击工具、基础设施与行为模式，结合其误报率低、信息详实的特性，蜜罐能够持续产出精准的私有威胁情报。这些情报可整合至本地安全分析平台，有效提升对新型攻击的预见性与防护能力。

安装HFish蜜罐

如果部署的环境为Linux，且可以访问互联网，强烈建议使用一键部署脚本进行安装和配置，在使用一键脚本前，请先配置防火墙。

其它版本（及无网环境）安装指南：https://hfish.net/#/quick-deploy

配置防火墙

以root权限运行以下命令，确保配置防火墙开启TCP/4433、TCP/4434

1
2
3

firewall-cmd --add-port=4433/tcp --permanent   #（用于web界面启动）
firewall-cmd --add-port=4434/tcp --permanent   #（用于节点与管理端通信）
firewall-cmd --reload

可能提示需要开启防火墙，使用如下命令：

1
2
3

systemctl status firewalld
systemctl start firewalld
systemctl status firewalld

一键部署HFish蜜罐

以root权限运行以下一键部署命令，输入“1”，安装并运行。

1

bash <(curl -sS -L https://hfish.net/webinstall.sh)

出现下面提示，表示成功安装。

安装MySQL

使用 yum 安装

首先，尝试一下直接使用 yum 安装 MySQL

1

yum install mysql-community-server

安装过程中，会提示让我们确认，一律输入 y 按回车即可

如果出现以下错误：

1
2
3

Loading mirror speeds from cached hostfile
没有可用软件包 mysql-community-server。
错误：无须任何处理

表示我们没有添加安装包的源信息，需要安装 MySQL rpm 源信息

安装 MySQL rpm 源信息

打开 http://dev.mysql.com/downloads/repo/yum/

根据你的系统版本，选择对应的安装包，例如我的是CentOS 7.5，这个系统的Linux内核是 Linux 7，所以我选择了红框内的地址，大家依次类推。

拼接下载地址头：http://dev.mysql.com/get/，得到以下地址

1
2
3
4

 CentOS 7
 http://dev.mysql.com/get/mysql80-community-release-el7-7.noarch.rpm
 CentOS 8
 http://dev.mysql.com/get/mysql84-community-release-el8-2.noarch.rpm

使用 wget + 刚才拼接的地址，下载安装包源信息

1
2
3
4

CentOS 7
wget  http://dev.mysql.com/get/mysql80-community-release-el7-7.noarch.rpm
CentOS 8
wget http://dev.mysql.com/get/mysql84-community-release-el8-2.noarch.rpm

rpm 安装源信息

1
2
3
4

CentOS 7
rpm -ivh mysql80-community-release-el7-7.noarch.rpm
CentOS 8
rpm -ivh mysql84-community-release-el8-2.noarch.rpm

禁用 MySQL 模块

如果还是出现错误，需要禁用默认启用的 MySQL 模块。

1

yum module disable mysql

再次安装

再尝试使用 yum 安装MySQL

1

yum install mysql-community-server

安装过程中，会提示让我们确认，一律输入 y 按回车即可

检查安装是否成功

检查一下刚才的安装是否成功

1

rpm -qa | grep mysql

输出：

1
2
3
4
5
6
7
8

mysql-community-libs-compat-8.0.33-1.el7.x86_64
mysql-community-icu-data-files-8.0.33-1.el7.x86_64
mysql80-community-release-el7-7.noarch
mysql-community-common-8.0.33-1.el7.x86_64
mysql-community-libs-8.0.33-1.el7.x86_64
mysql-community-server-8.0.33-1.el7.x86_64
mysql-community-client-8.0.33-1.el7.x86_64
mysql-community-client-plugins-8.0.33-1.el7.x86_64

输出类似以上内容，表示安装完成

登录和修改密码

我们安装的时候，并没有设置初始密码

所以 mysql 在第一次启动的时候，会自动初始化一个密码

通过以下这行代码，我们可以查看 mysql 自动初始化的密码：

1
2
3
4
5
6

# 第一次启动后，可以查看mysql初始化密码
grep 'temporary password' /var/log/mysqld.log

输出（root@localhost: 后面的是密码）：
2023-04-21T06:03:27.071550Z 6 [Note] [MY-010454] [Server] A temporary password
is generated for root@localhost: r2to%yZ%a)%s

登录

1
2

# 登录mysql，一定要注意：-p和'密码'之间是没有空格的
mysql -u root -p'r2to%yZ%a)%s'

修改 root 密码

注意了，默认的密码策略，需要：大写英文 + 特殊字符 + 数字

1

ALTER USER 'root'@'localhost' IDENTIFIED BY 'Root_123';

创建需要的HFish数据库

1
2

CREATE DATABASE HFish001;
show databases;

登录Web界面

华为云服务器需要添加一条安全组规则，允许访问4433端口

完成安装后，通过以下网址、账号密码登录

1
2
3

登陆链接：https://[ip]:4433/web/
账号：admin
密码：HFish2021

如果管理端的IP是192.168.1.1，则登陆链接为：https://192.168.1.1:4433/web/

1

注意：访问管理端的URL中必须有/web/目录

初次配置需要选择数据库，端口默认3306，数据库名：HFish001，用户名密码为MySQL的数据库密码

配置成功，等待重启

看到下方的管理界面

配置蜜罐服务

选择“节点管理”，可以配置蜜罐服务

华为云服务器需要相应添加安全组规则，开放端口

CentOS内的firewall也需要开放相应端口

1
2
3
4
5

安全组规则：8080,9215,6379,9200,9000,8081,135,139,445,1433,3389

 firewall-cmd --add-port=6379/tcp --add-port=9200/tcp --add-port=9000/tcp --add-port=8081/tcp --add-port=135/tcp --add-port=139/tcp --add-port=445/tcp --add-port=1433/tcp --add-port=3389/tcp --add-port=80/tcp --permanent    //firewall批量添加端口
 
 firewall-cmd --reload

测试http://[ip]:[port]，相应的服务已经可以访问了

稍等片刻，就可以看到攻击者的记录了

其它配置

配置白名单

在系统配置内，选择“白名单配置”，填入自己的网段可以减少管理蜜罐时产生的误报

数据大屏

其它功能详见HFish蜜罐功能手册：[快速了解HFish]

报告导出word无法打开问题解决

我在使用HFish蜜罐导出自动生成的周报时遇到问题，下载下来的word（.docx）文件无法打开，显示错误如下。网上修复的方法试了很多，最后找到一种真正有效的方法。

可以在网站上预览：

通过Word打开显示错误如下：

我的Office版本为2021，2019版本也会遇到这个问题。

解决方法：

使用WPS可以正常打开下载下来的。或者用WPS另存为.doc文件后，word也可以正常打开。

地址表

目标

• 验证整个网络的连通性。

• 配置R1以支持与R3之间的站点到站点IPsec VPN。

背景/场景

网络拓扑图显示了三个路由器。您的任务是配置R1和R3，以便在各自局域网（LAN）之间的流量流动时支持站点到站点的IPsec VPN。IPsec VPN隧道从R1经由R2到达R3。R2充当通过设备，并不了解VPN的存在。IPsec提供了一种在不受保护的网络（如互联网）上安全传输敏感信息的方法。IPsec在网络层运行，负责保护并验证参与IPsec设备（对等体）之间的IP数据包，例如Cisco路由器。

ISAKMP阶段1策略参数

注意：加粗参数为默认值。只有非加粗参数需要明确配置。

IPsec阶段2策略参数

路由器已预先配置以下内容：

· 控制台线路密码： ciscoconpa55

· vty线路密码： ciscovtypa55

· 启用密码： ciscoenpa55

· SSH用户名和密码： SSHadmin / ciscosshpa55

· OSPF进程号 101

第一部分：在R1上配置IPsec参数

步骤1：测试连通性。

从PC-A向PC-C发送ping请求。

步骤2：启用安全技术包。

a. 在R1上执行 show version 命令查看安全技术包许可证信息。

b. 如果未启用安全技术包，请使用以下命令启用该包。

R1(config)# license boot module c1900 technology-package securityk9

c. 接受最终用户许可协议。

d. 保存运行配置并重新加载路由器以启用安全许可证。

e. 使用 show version 命令验证是否已启用安全技术包。

步骤3：在R1上识别感兴趣流量。

配置 ACL 110 ，将来自R1 LAN到R3 LAN的流量标识为“感兴趣”流量。当R1和R3之间的LAN之间存在流量时，这种感兴趣的流量会触发实施IPsec VPN。除了这些流量外，所有其他源自LAN的流量都不会被加密。由于存在隐式拒绝所有规则，因此无需配置deny ip any any语句。

R1(config)# access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

步骤4：在R1上配置IKE阶段1 ISAKMP策略。

在R1上配置crypto ISAKMP策略 10 属性以及共享的crypto密钥 vpnpa55 。请参考ISAKMP阶段1表中特定的参数进行配置。默认值不需要配置，因此只需要配置加密方法、密钥交换方法和DH方法。

注：当前Packet Tracer支持的最大DH组是组5。在生产网络中，您至少应配置DH 14。

R1(config)# crypto isakmp policy 10 R1(config-isakmp)# encryption aes 256 R1(config-isakmp)# authentication pre-share R1(config-isakmp)# group 5 R1(config-isakmp)# exit R1(config)# crypto isakmp key vpnpa55 address 10.2.2.2

步骤5：在R1上配置IKE阶段2 IPsec策略。

a. 创建名为VPN-SET的转换集，使用 esp-aes 和 esp-sha-hmac 。

R1(config)# crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac

b. 创建名为VPN-MAP的crypto映射，将所有阶段2参数绑定在一起。使用序列号10，并将其标识为ipsec-isakmp映射。

R1(config)# crypto map VPN-MAP 10 ipsec-isakmp R1(config-crypto-map)# description VPN connection to R3 R1(config-crypto-map)# set peer 10.2.2.2 R1(config-crypto-map)# set transform-set VPN-SET R1(config-crypto-map)# match address 110 R1(config-crypto-map)# exit

步骤6：配置接口上的crypto映射。

将VPN-MAP crypto映射绑定到 Serial 0/0/0 出站接口。

R1(config)# interface s0/0/0 R1(config-if)# crypto map VPN-MAP

第二部分：在R3上配置IPsec参数

步骤1：启用安全技术包。

a. 在R3上执行 show version 命令以验证是否已启用安全技术包许可证信息。

b. 如果尚未启用安全技术包，则启用该包并重新加载R3。

步骤2：配置路由器R3以支持与R1的站点到站点VPN。

在R3上配置相应的参数。配置 ACL 110 ，将来自R3 LAN到R1 LAN的流量标识为“感兴趣”流量。

R3(config)# access-list 110 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

步骤3：在R3上配置IKE阶段1 ISAKMP属性。

在R3上配置crypto ISAKMP策略 10 属性以及共享的crypto密钥 vpnpa55 。

R3(config)# crypto isakmp policy 10 R3(config-isakmp)# encryption aes 256 R3(config-isakmp)# authentication pre-share R3(config-isakmp)# group 5 R3(config-isakmp)# exit R3(config)# crypto isakmp key vpnpa55 address 10.1.1.2

步骤4：在R3上配置IKE阶段2 IPsec策略。

a. 创建名为VPN-SET的转换集，使用 esp-aes 和 esp-sha-hmac 。

R3(config)# crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac

b. 创建名为VPN-MAP的crypto映射，将所有阶段2参数绑定在一起。使用序列号 10 ，并将其标识为ipsec-isakmp映射。

R3(config)# crypto map VPN-MAP 10 ipsec-isakmp R3(config-crypto-map)# description VPN connection to R1 R3(config-crypto-map)# set peer 10.1.1.2 R3(config-crypto-map)# set transform-set VPN-SET R3(config-crypto-map)# match address 110 R3(config-crypto-map)# exit

步骤5：配置接口上的crypto映射。

将VPN-MAP crypto映射绑定到 Serial 0/0/1 出站接口（注意：此操作不会被评估）。

R3(config)# interface s0/0/1 R3(config-if)# crypto map VPN-MAP

第三部分：验证IPsec VPN

步骤1：在出现感兴趣流量之前验证隧道。

在R1上执行 show crypto ipsec sa 命令。注意封装、加密、解封装和解密的包数量均设置为 0 。

步骤2：创建感兴趣流量。

从PC-A向PC-C发送ping请求。

步骤3：在产生感兴趣流量后验证隧道。

在R1上重新执行 show crypto ipsec sa 命令。注意包的数量大于0，这表明IPsec VPN隧道正在工作。

步骤4：创建非感兴趣流量。

从PC-A向PC-B发送ping请求。注：从路由器R1向PC-C或R3向PC-A发送ping请求不属于感兴趣流量。

步骤5：再次验证隧道。

在R1上重新执行 show crypto ipsec sa 命令。注意包的数量没有改变，这证实了非感兴趣流量并未被加密。

步骤6：检查结果。

您的完成百分比应为100%。点击“CheckResults”查看反馈信息以及已完成的必要组件验证。

实验脚本：

R1:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19

crypto isakmp policy 10
 encr aes 256
 authentication pre-share
 group 5
 
crypto isakmp key vpnpa55 address 10.2.2.2

crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac

access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255

crypto map VPN-MAP 10 ipsec-isakmp 
 description VPN connection to R3
 set peer 10.2.2.2
 set transform-set VPN-SET 
 match address 110

interface Serial0/0/0
 crypto map VPN-MAP

R3:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19

crypto isakmp policy 10
 encr aes 256
 authentication pre-share
 group 5

crypto isakmp key vpnpa55 address 10.1.1.2

crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac

access-list 110 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255

crypto map VPN-MAP 10 ipsec-isakmp 
 description VPN connection to R1
 set peer 10.1.1.2
 set transform-set VPN-SET 
 match address 110

interface Serial0/0/1
 crypto map VPN-MAP

地址表

目标：

• 配置OSPF MD5身份验证。

• 配置NTP服务。

• 设置路由器将消息记录到syslog服务器。

• 配置R3路由器以支持SSH连接。

背景/场景：

在本练习中，您将配置OSPF MD5身份验证以实现安全的路由更新。

NTP服务器是本次活动中主NTP服务器。您需要在NTP服务器和路由器上配置身份验证，并设置路由器允许软件时钟通过NTP与时间服务器同步。同时，您还需要配置路由器定期使用从NTP获取的时间更新硬件时钟。

Syslog服务器在此活动提供消息记录功能。您需要配置路由器识别接收日志消息的远程主机（即Syslog服务器）。

您需要在路由器上配置时间戳服务以便于记录日志。在使用Syslog监控网络时，在Syslog消息中显示正确的日期和时间至关重要。

此外，您还将配置R3路由器，使其能够通过SSH而非Telnet进行安全管理。服务器已经预先配置好了相应的NTP和Syslog服务，NTP无需身份验证。路由器已预设了以下密码：

1
2

启用密码：ciscoenpa55
vty线路密码：ciscovtypa55

注意：请注意，在开发本活动所使用的Packet Tracer版本（v6.2）中，MD5是最强支持的加密方式。虽然MD5存在已知的安全漏洞，但在实际操作中应根据组织的安全需求选择合适的加密方法。在本活动中，安全要求指定使用MD5加密。

第一部分：配置OSPF MD5身份验证

步骤1：测试连通性。所有设备应能成功ping通所有其他IP地址。

步骤2：为区域0内的所有路由器配置OSPF MD5身份验证。

针对区域0中的所有路由器设置OSPF MD5身份验证：

1
2

R1(config)# router ospf 1
R1(config-router)# area 0 authentication message-digest

1
2

R2(config)#router ospf 1
R2(config-router)#area 0 authentication message-digest

1
2

R3(config)#router ospf 1
R3(config-router)#area 0 authentication message-digest

步骤3：为区域0内的所有路由器配置MD5密钥。

在R1、R2和R3的串行接口上配置MD5密钥，对密钥1使用密码 MD5pa55 。

1
2

R1(config)# interface s0/0/0
R1(config-if)# ip ospf message-digest-key 1 md5 MD5pa55

1
2
3
4

R2(config)#interface Serial0/0/0
R2(config-if)#ip ospf message-digest-key 1 md5 MD5pa55
R2(config)#interface Serial0/0/1
R2(config-if)#ip ospf message-digest-key 1 md5 MD5pa55

1
2

R3(config)#interface Serial0/0/1
R3(config-if)#ip ospf message-digest-key 1 md5 MD5pa55

步骤4：验证配置。

a. 使用命令 show ip ospf interface 验证MD5身份验证配置是否正确生效。

b. 验证端到端的连通性，确保网络连接无误。

第二部分：配置NTP

步骤1：在PC-A上启用NTP身份验证。

a. 在PC-A上，点击服务标签下的“NTP”以确认NTP服务已启用。

b. 为配置NTP身份验证，请点击“认证”下的“启用”。使用密钥1和密码NTPpa55进行身份验证。

步骤2：将R1、R2和R3配置为NTP客户端。

1
2
3

R1(config)#ntp server 192.168.1.5 key 1
R2(config)#ntp server 192.168.1.5 key 1
R3(config)#ntp server 192.168.1.5 key 1

通过执行命令 show ntp status 来验证客户端配置是否正确。

步骤3：配置路由器定期更新硬件时钟。

设置R1、R2和R3路由器定期从NTP同步的时间更新硬件时钟。

1
2
3

R1(config)#ntp update-calendar
R2(config)#ntp update-calendar
R3(config)#ntp update-calendar

退出全局配置模式，并使用命令 show clock 来验证硬件时钟是否已成功更新。

步骤4：在路由器上配置NTP身份验证。

在R1、R2和R3上使用密钥 1 和密码 NTPpa55 配置NTP身份验证。

1
2
3

R1(config)# ntp authenticate
R1(config)# ntp trusted-key 1
R1(config)# ntp authentication-key 1 md5 NTPpa55

1
2
3

R2(config)# ntp authenticate
R2(config)# ntp trusted-key 1
R2(config)# ntp authentication-key 1 md5 NTPpa55

1
2
3

R3(config)# ntp authenticate
R3(config)# ntp trusted-key 1
R3(config)# ntp authentication-key 1 md5 NTPpa55

步骤5：配置路由器对日志消息添加时间戳。

在路由器上配置日志记录的时间戳服务。

1
2
3

R1(config)#service timestamps log datetime msec
R2(config)#service timestamps log datetime msec
R3(config)#service timestamps log datetime msec

第三部分：配置路由器将消息记录到Syslog服务器

步骤1：配置路由器以识别接收日志消息的远程主机（即Syslog服务器）。

路由器控制台将会显示一条消息，表明已经开始记录日志。

1
2
3

R1(config)#logging 192.168.1.6
R2(config)#logging 192.168.1.6
R3(config)#logging 192.168.1.6

步骤2：验证日志配置。

使用命令 show logging 来验证是否已启用日志记录功能。

步骤3：检查Syslog服务器的日志记录。

在Syslog服务器对话框的服务标签下，选择“Syslog服务”按钮。观察从路由器接收到的日志消息。

注意：通过在路由器上执行命令可以生成服务器上的日志消息。例如，进入和退出全局配置模式会生成一个信息性配置消息。您可能需要点击其他服务，然后再点击Syslog以刷新消息显示界面。

第四部分：配置R3以支持SSH连接

步骤1：配置域名 在R3上配置一个域名 ccnasecurity.com 。

1

R3(config)#ip domain-name ccnasecurity.com

步骤2：配置R3上SSH服务器的登录用户 创建一个用户名为 SSHadmin ，具有最高权限级别的用户ID，并设置秘密密码为 ciscosshpa55 。

1

R3(config)# username SSHadmin privilege 15 secret ciscosshpa55

步骤3：配置R3上的入站vty线路 要求使用本地用户账户进行强制登录和验证，只接受SSH连接。

1
2
3

R3(config)#line vty 0 4
R3(config-line)# login local
R3(config-line)# transport input ssh

步骤4：删除R3上的现有密钥对 如有任何现有的RSA密钥对，应在路由器上将其删除。

1

R3(config)#crypto key zeroize rsa

注：如果不存在任何密钥，您可能会收到此消息： % No Signature RSA Keys found in configuration.

步骤5：为R3生成RSA加密密钥对 路由器使用RSA密钥对进行SSH传输数据的身份验证和加密。配置RSA密钥时，选择模数为 1024 （默认值为512，范围为360至2048）。

1
2
3
4
5
6
7
8

R3(config)# crypto key generate rsa
The name for the keys will be: R3.ccnasecurity.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
 
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

注：在Packet Tracer中为R3生成RSA加密密钥对的命令与实验室中的有所不同。

步骤6：验证SSH配置 使用 show ip ssh 命令查看当前设置，确保身份验证超时和重试次数保持默认值120和3。

步骤7：配置SSH超时和认证参数 可以更改默认的SSH超时和认证参数使其更加严格。将超时时间设置为 90 秒，认证重试次数设为 2 次，版本设为 2 。

1
2
3

R3(config)#ip ssh version 2
R3(config)#ip ssh authentication-retries 2
R3(config)#ip ssh time-out 90

再次执行 show ip ssh 命令确认这些值已更改。

步骤8：尝试从PC-C通过Telnet连接到R3 打开PC-C的桌面，选择“命令提示符”图标。从PC-C输入命令通过Telnet连接到R3。

1

PC> telnet 192.168.3.1

此连接应失败，因为R3已被配置为仅在其虚拟终端线上接受SSH连接。

步骤9：通过SSH从PC-C连接到R3 打开PC-C的桌面，选择“命令提示符”图标。从PC-C输入命令通过SSH连接到R3。当提示输入密码时，请输入为管理员账户配置的密码 ciscosshpa55 。

1

PC> ssh -l SSHadmin 192.168.3.1

步骤10：通过R2使用SSH连接到R3 为了对R3进行故障排查和维护，ISP的管理员必须使用SSH访问路由器CLI。在R2的CLI中，输入命令通过SSH版本2使用 SSHadmin 用户账户连接到R3。当提示输入密码时，请输入为管理员配置的密码 ciscosshpa55 。

1

R2# ssh -v 2 -l SSHadmin 10.2.2.1

步骤11：检查结果 您的完成百分比应为100%。点击“检查结果”以查看反馈信息和已完成所需组件的验证情况。

实验脚本：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69

# PART1
R1:
router ospf 1
area 0 authentication message-digest
interface Serial0/0/0
ip ospf message-digest-key 1 md5 MD5pa55

R2:
router ospf 1
area 0 authentication message-digest
interface Serial0/0/0
ip ospf message-digest-key 1 md5 MD5pa55
interface Serial0/0/1
ip ospf message-digest-key 1 md5 MD5pa55

R3:
router ospf 1
area 0 authentication message-digest
interface Serial0/0/1
ip ospf message-digest-key 1 md5 MD5pa55

# PART2
# 打开NTP服务器，配置NTP服务。
R1:
ntp authentication-key 1 md5 NTPpa55
ntp authenticate
ntp trusted-key 1
ntp server 192.168.1.5 key 1
ntp update-calendar
service timestamps log datetime msec

R2:
ntp authentication-key 1 md5 NTPpa55
ntp authenticate
ntp trusted-key 1
ntp server 192.168.1.5 key 1
ntp update-calendar
service timestamps log datetime msec

R3:
ntp authentication-key 1 md5 NTPpa55
ntp authenticate
ntp trusted-key 1
ntp server 192.168.1.5 key 1
ntp update-calendar
service timestamps log datetime msec

# PART3
R1:
logging 192.168.1.6
R2:
logging 192.168.1.6
R3:
logging 192.168.1.6

# PART4
R3:
ip ssh version 2
ip ssh authentication-retries 2
ip ssh time-out 90
ip domain-name ccnasecurity.com
username SSHadmin privilege 15 secret ciscosshpa55
crypto key zeroize rsa

crypto key generate rsa

line vty 0 4
 login local
 transport input ssh

地址表

目标

• 在R1上配置本地用户账户，并使用本地AAA进行控制台和vty线路的身份验证。

• 从R1控制台和PC-A客户端验证本地AAA身份验证功能。

• 配置基于服务器的AAA身份验证，采用TACACS+协议。

• 从PC-B客户端验证基于服务器的AAA（TACACS+）身份验证。

• 配置基于服务器的AAA身份验证，采用RADIUS协议。

• 从PC-C客户端验证基于服务器的AAA（RADIUS）身份验证。

背景/场景

网络拓扑图显示了路由器R1、R2和R3。目前，所有管理安全性都基于enable secret密码。您的任务是配置并测试本地及基于服务器的AAA解决方案。

您将在路由器R1上创建一个本地用户账户，并配置本地AAA以测试控制台和vty登录：

• 用户账户：Admin1，密码admin1pa55 接下来，将配置路由器R2以支持通过TACACS+协议实现的基于服务器的身份验证。TACACS+服务器已经预先配置了以下信息：

• 客户端：R2，关键字为tacacspa55

• 用户账户：Admin2，密码admin2pa55 最后，您将配置路由器R3以支持通过RADIUS协议实现的基于服务器的身份验证。RADIUS服务器已预先配置如下信息：

• 客户端：R3，关键字为radiuspa55

• 用户账户：Admin3，密码admin3pa55 此外，路由器还预配置了以下内容：

• 启用秘密密码：ciscoenpa55

• 使用MD5认证的OSPF路由协议，密码为：MD5pa55 注意：控制台和vty线路尚未预先配置。

注意：尽管IOS版本15.3使用了更为安全的加密哈希算法SCRYPT，但在Packet Tracer当前支持的IOS版本中仍使用MD5。请始终在您的设备上使用最安全的选项。

第一部分：在R1上配置本地AAA认证以实现控制台访问

步骤1：测试连通性

• 从PC-A向PC-B执行Ping操作。

• 从PC-A向PC-C执行Ping操作。

• 从PC-B向PC-C执行Ping操作。

步骤2：在R1上配置本地用户名

• 在R1上配置一个名为 Admin1 的用户名，设置秘密密码为 admin1pa55 。

R1(config)# username Admin1 secret admin1pa55

步骤3：在R1上为控制台访问配置本地AAA认证

• 在R1上启用AAA功能，并配置控制台登录时使用本地数据库进行AAA身份验证。

R1(config)# aaa new-model R1(config)# aaa authentication login default local

步骤4：配置控制台线路使用定义的AAA认证方法

• 在R1上针对控制台登录启用AAA，并配置其使用默认方法列表进行AAA身份验证。

R1(config)# line console 0 R1(config-line)# login authentication default

步骤5：验证AAA认证方法

• 使用本地数据库验证用户EXEC登录过程。

通过以上配置后，可以在R1的控制台上用Admin1账户和对应的密码admin1pa55进行登录，验证本地AAA身份验证是否生效。

第二部分：在R1上配置本地AAA认证以实现vty线路访问

步骤1：配置域名和加密密钥以配合SSH使用 a. 在R1上将 ccnasecurity.com 设置为域名。 b. 创建一个1024位的RSA加密密钥。

R1(config)#ip domain-name ccnasecurity.com R1(config)# crypto key generate rsa

1
2
3
4
5
6
7
8

R1(config)# crypto key generate rsa
The name for the keys will be: R3.ccnasecurity.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
 
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

步骤2：为R1上的vty线路配置命名列表AAA认证方法

• 配置名为 SSH-LOGIN 的命名列表，用于使用本地AAA进行登录认证。

R1(config)# aaa authentication login SSH-LOGIN local

步骤3：配置vty线路使用定义的AAA认证方法

• 配置vty线路使用已定义的AAA方法，并只允许通过SSH进行远程访问。

R1(config)# line vty 0 4 R1(config-line)# transport input ssh R1(config-line)# login authentication SSH-LOGIN

步骤4：验证AAA认证方法

• 从PC-A的命令提示符处通过SSH连接到R1，验证SSH配置及AAA身份验证。
  

第三部分：在R2上配置基于TACACS+服务器的AAA认证

步骤1：配置备用本地数据库条目（Admin）

• 为了备份目的，在R2上配置一个本地用户名 Admin2 ，密码为 admin2pa55 。

R2(config)# username Admin2 secret admin2pa55

步骤2：验证TACACS+服务器配置

• 点击TACACS+ Server，查看“服务”选项卡中的AAA设置，确认存在针对R2的网络配置条目和针对Admin2的用户设置条目。

步骤3：在R2上配置TACACS+服务器详细信息

• 在R2上配置AAA TACACS+服务器IP地址和共享密钥。

注意：尽管 tacacs-server host 和 tacacs-server key 命令已过时，但目前Packet Tracer暂不支持新命令 tacacs server 。此处依然使用旧命令进行配置。

R2(config)# tacacs-server host 192.168.2.2 R2(config)# tacacs-server key tacacspa55

步骤4：为R2的控制台访问配置AAA登录认证

• 启用R2上的AAA，并配置所有登录通过AAA TACACS+服务器进行认证，若服务器不可用，则使用本地数据库。

R2(config)# aaa new-model R2(config)# aaa authentication login default group tacacs+ local

步骤5：配置控制台线路使用定义的AAA认证方法

• 配置控制台登录使用默认的AAA认证方法。

R2(config)#line console 0 R2(config-line)#login authentication default

由于之前已经全局配置了AAA和TACACS+，此处不再需要单独配置console线路。

步骤6：验证AAA认证方法

• 通过AAA TACACS+服务器验证用户EXEC登录。可以尝试从另一设备通过console或SSH等方式登录R2并观察其是否成功通过TACACS+服务器进行身份验证。
  

第四部分：在R3上配置基于RADIUS服务器的AAA认证

步骤1：配置备用本地数据库条目（Admin）

• 为了备份目的，在R3上配置一个本地用户名 Admin3 ，密码为 admin3pa55 。

R3(config)# username Admin3 secret admin3pa55

步骤2：验证RADIUS服务器配置

• 点击RADIUS服务器，并查看“服务”选项卡中的AAA设置。注意其中包含针对R3的网络配置条目和针对Admin3的用户设置条目。

步骤3：在R3上配置RADIUS服务器详细信息

• 在R3上配置AAA RADIUS服务器IP地址和共享密钥。

注意：虽然 radius-server host 和 radius-server key 命令可能已过时，但当前Packet Tracer版本暂不支持新的 radius server 命令。此处仍使用旧命令进行配置。

R3(config)# radius-server host 192.168.3.2 R3(config)# radius-server key radiuspa55

步骤4：为R3的控制台访问配置AAA登录认证

• 启用R3上的AAA，并配置所有登录通过AAA RADIUS服务器进行认证，若服务器不可用，则使用本地数据库。

R3(config)# aaa new-model R3(config)# aaa authentication login default group radius local

步骤5：配置控制台线路使用定义的AAA认证方法

• 配置控制台登录使用默认的AAA认证方法。

R3(config)#line console 0 R3(config-line)#login authentication default

由于之前已经全局配置了AAA和RADIUS，此处不再需要单独配置console线路。

步骤6：验证AAA认证方法

• 通过AAA RADIUS服务器验证用户EXEC登录。可以尝试从另一设备通过console或SSH等方式登录R3并观察其是否成功通过RADIUS服务器进行身份验证。
  

步骤7：检查结果

• 您的完成度应达到100%。点击“检查结果”以查看反馈和已完成所需组件的验证情况。

目标

• 确保将中心交换机（3560型号）设置为根桥。

• 保护生成树协议参数以防止对STP的操控攻击。

• 启用端口安全功能以防止CAM表溢出攻击。

背景/场景

最近网络遭受了一系列攻击。因此，网络管理员已指派您负责配置第二层安全措施。

为了确保网络性能和安全性达到最优状态，管理员希望确定中心3560型号交换机作为根桥。为防止对生成树协议进行篡改攻击，管理员希望确保STP参数得到安全配置。针对CAM表溢出攻击的风险，网络管理员决定配置端口安全策略，限制每个交换机端口学习到的MAC地址数量。一旦学习到的MAC地址超过设定的限制，管理员希望建立机制自动关闭该端口。

所有交换机设备已经预先配置了以下信息：

• 启用密码： ciscoenpa55

• 控制台密码： ciscoconpa55

• SSH用户名及密码： SSHadmin / ciscosshpa55

第一部分：配置根桥

步骤1：确定当前的根桥。

从中心交换机（Central）发出 show spanning-tree 命令，以确定当前的根桥、查看正在使用的端口及其状态。

Central#show spanning-tree

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18

VLAN0001
  Spanning tree enabled protocol ieee
  Root ID    Priority    32769
             Address     0009.7C61.9058
             Cost        4
             Port        25(GigabitEthernet0/1)
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32769  (priority 32768 sys-id-ext 1)
             Address     00D0.D31C.634C
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  20

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Gi0/2            Desg FWD 4         128.26   P2p
Gi0/1            Root FWD 4         128.25   P2p
Fa0/1            Desg FWD 19        128.1    P2p

哪个交换机是当前的根桥？

基于当前的根桥，请绘制由此得出的生成树拓扑结构。

步骤2：将Central设置为主根桥。

使用命令 spanning-tree vlan 1 root primary ，将 Central 设置为根桥。

Central(config)#spanning-tree vlan 1 root primary

步骤3：将SW-1设置为备用根桥。

使用命令 spanning-tree vlan 1 root secondary ，将 SW-1 设置为备用根桥。

SW-1(config)#spanning-tree vlan 1 root secondary

步骤4：验证生成树配置。

发出 show spanning-tree 命令来验证Central已成为根桥。

在Central#提示符下执行了该命令后显示如下信息：

1
2
3
4
5
6

VLAN0001
   Spanning tree enabled protocol ieee
   Root ID  Priority      24577
            Address       00D0.D31C.634C
          -->>  This bridge is the root  <<--
            Hello Time  2 sec  Max Age  20 sec   Forward Delay  15 sec

根据上述信息，哪个交换机是当前的根桥？

基于新的根桥设置，请绘制由此得出的生成树拓扑结构。

第二部分：防止STP攻击

步骤1：在所有接入端口上启用PortFast。

PortFast应在连接至单个工作站或服务器的接入端口上配置，以使它们更快地进入活动状态。在SW-A和SW-B的相连接入端口上使用 spanning-tree portfast 命令来启用 PortFast 。

SW-A(config)#int range f0/1-4 SW-A(config-if-range)#spanning-tree portfast

SW-B(config)#int range f0/1-4 SW-B(config-if-range)#spanning-tree portfast

步骤2：在所有接入端口上启用BPDU防护。

BPDU guard是一项功能，可以有助于防止恶意交换机和在接入端口上的欺骗行为。在SW-A和SW-B的接入端口上启用BPDU防护。

注解：为了防止STP报文（BPDU）操纵攻击，在接口配置模式下可以对每个单独端口使用命令 spanning-tree bpduguard enable 来启用BPDU防护；或者在全局配置模式下使用命令 spanning-tree portfast bpduguard default 来默认为所有启用PortFast的端口启用BPDU防护。针对本活动评分目的，请使用 spanning-tree bpduguard enable 命令。

SW-A(config)#int range f0/1-4 SW-A(config-if-range)#spanning-tree bpduguard enable

SW-B(config)#int range f0/1-4 SW-B(config-if-range)#spanning-tree bpduguard enable

步骤3：启用根保护。

根保护可以在非根端口的所有交换机端口上启用，最好部署在连接到其他非根交换机的端口上。使用 show spanning-tree 命令确定每个交换机上根端口的位置。

在SW-1上，在端口F0/23和F0/24上启用根保护。同样，在SW-2上，在端口F0/23和F0/24上也启用根保护。

SW-1(config)#int range f0/23-24 SW-1(config-if-range)#spanning-tree guard root

SW-2(config)#int range f0/23-24 SW-2(config-if-range)#spanning-tree guard root

第三部分：配置端口安全并禁用未使用端口

步骤1：在连接到主机设备的所有端口上配置基本端口安全。

此操作应在SW-A和SW-B的所有接入端口上执行。设置允许学习的MAC地址最大数量为 2 ，允许动态学习MAC地址，并将违规处理方式设为 shutdown （关闭）。

注解：只有当交换机端口配置为接入模式时，才能启用端口安全功能。

SW-A(config)#interface range f0/1 - 22 SW-A(config-if-range)#switchport mode access SW-A(config-if-range)#switchport port-security SW-A(config-if-range)#switchport port-security maximum 2 SW-A(config-if-range)#switchport port-security violation shutdown SW-A(config-if-range)#switchport port-security mac-address sticky

SW-B(config)#interface range f0/1-22 SW-B(config-if-range)#switchport mode access SW-B(config-if-range)#switchport port-security max SW-B(config-if-range)#switchport port-security maximum 2 SW-B(config-if-range)#switchport port-security violation shutdown SW-B(config-if-range)#switchport port-security mac-address sticky

为什么与其它交换机设备相连的端口不启用端口安全？

步骤2：验证端口安全配置。

a. 在SW-A上，输入命令 show port-security interface f0/1 来确认已成功配置了端口安全。

SW-A#show port-security int f0/1 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 2 Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0000.0000.0000:0 Security Violation Count : 0

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13

SW-A# show port-security interface f0/1
端口安全              : 已启用
端口状态                : 安全且已启动
违规模式             : 关闭端口
老化时间                 : 0分钟
老化类型                 : 绝对时间
静态安全MAC地址老化: 禁用
最大MAC地址数      : 2
总MAC地址数        : 0
已配置MAC地址数   : 0
粘性MAC地址数       : 0
最近源地址:VLAN   : 0000.0000.0000:0
安全违规计数         : 0

b. 从C1向C2发送Ping请求，然后再次输入 show port-security interface f0/1 命令，以验证交换机是否已学会C1的MAC地址。

步骤3：禁用未使用的端口。

禁用当前所有未使用的端口。

SW-A(config)#int range f0/5-22 SW-A(config-if-range)#shutdown

SW-B(config)#int range f0/5-22 SW-B(config-if-range)#shutdown

步骤4：检查结果。

您的完成度应为100%。点击“检查结果”查看反馈信息以及所需组件完成情况的验证。

实验脚本：

Central:

1
2

! 使Central成为Vlan1的根桥
spanning-tree vlan 1 root primary

SW-1:

1
2
3
4
5
6

! 使SW-1成为Vlan1的次根桥
spanning-tree vlan 1 root secondary
! 进入f0/23-f0/24端口
interface range fastEthernet 0/23 - fastEthernet 0/24
! 启用STP根防护功能，在此端口不接受拥有更优BID的BPDU报文
spanning-tree guard root 

SW-2:

1
2
3
4

! 进入f0/23-f0/24端口
interface range fastEthernet 0/23 - fastEthernet 0/24
! 启用STP根防护功能，在此端口不接受拥有更优BID的BPDU报文
spanning-tree guard root 

SW-A:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20

! 选择接入的端口，F0/1-F0/4
interface range fastEthernet 0/1 - fastEthernet 0/4
! 让F0/1-F0/4端口开启portfast（不参与生成树）
spanning-tree portfast 
! 为他们启用BPDU防护功能，在此端口不接受BPDU；收到BPDU，端口禁用
spanning-tree bpduguard enable 
! 开启access模式
switchport mode access
! 开启端口安全
switchport port-security 
! 设置最大Mac学习数为2
switchport port-security maximum 2
! 设置学习到的Mac地址将被保存
switchport port-security mac-address sticky 
! 设置超过措施：关闭端口
switchport port-security violation shutdown 
! 进入不使用的端口
interface range fastEthernet 0/5 - fastEthernet 0/22
! 关闭
shutdown

SW-B:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20

! 选择接入的端口，F0/1-F0/4
interface range fastEthernet 0/1 - fastEthernet 0/4
! 让F0/1-F0/4端口开启portfast（不参与生成树）
spanning-tree portfast 
! 为他们开启BPDU
spanning-tree bpduguard enable 
! 开启access模式
switchport mode access
! 开启端口安全
switchport port-security 
! 设置最大Mac学习数为2
switchport port-security maximum 2
! 设置学习到的Mac地址将被保存
switchport port-security mac-address sticky 
! 设置超过措施：关闭端口
switchport port-security violation shutdown 
! 进入不使用的端口
interface range fastEthernet 0/5 - fastEthernet 0/22
! 关闭
shutdown

地址表

目标

第一部分：配置、应用并验证一个编号扩展访问控制列表（Extended ACL）

第二部分：配置、应用并验证一个命名扩展访问控制列表（Extended Named ACL）

背景/场景

两位员工需要访问由服务器提供的服务。PC1只需要FTP访问权限，而PC2仅需Web访问权限。两台计算机都能ping通服务器，但彼此之间不能互相ping通。

第一部分：配置、应用并验证一个编号扩展访问控制列表

步骤 1：配置ACL以允许FTP和ICMP流量

a. 在R1的全局配置模式下，输入以下命令确定扩展访问列表的第一个有效编号。

R1(config)# access-list ? <1-99> IP标准访问列表 <100-199> IP扩展访问列表

b. 向命令中添加数字100后跟问号。

R1(config)# access-list 100 ? deny 拒绝指定的数据包 permit 允许转发指定的数据包 remark 访问列表条目注释

c. 为了允许FTP流量，在“permit”后面输入问号。

R1(config)# access-list 100 permit ? ahp 认证报头协议 eigrp 思科 EIGRP 路由协议 esp 封装安全负载 gre 思科 GRE 隧道 icmp Internet 控制消息协议 ip 任意 Internet 协议 ospf OSPF 路由协议 tcp 传输控制协议 udp 用户数据报协议

d. 此ACL允许FTP和ICMP流量。虽然ICMP已列出，但FTP未列出，因为FTP使用TCP协议。因此，输入“tcp”进一步细化ACL帮助信息。

R1(config)# access-list 100 permit tcp ? A.B.C.D 源地址 any 任意源主机 host 单个源主机

e. 注意可以通过使用“host”关键字仅过滤PC1的流量，或者允许任何主机。在本例中，允许任何属于172.22.34.64/27网络地址范围内的设备。输入网络地址后跟问号。

R1(config)# access-list 100 permit tcp 172.22.34.64 ? A.B.C.D 源通配符位

f. 计算通配符掩码，通过计算子网掩码的二进制相反数。

255.255.255.224 = 11111111.11111111.11111111.11100000 0.0.0.31 = 00000000.00000000.00000000.00011111

g. 输入通配符掩码后跟问号。

R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 ? A.B.C.D 目的地址 any 任意目的主机 eq 仅匹配给定端口号上的数据包 gt 仅匹配具有较大端口号的数据包 host 单个目的主机 lt 仅匹配具有较小端口号的数据包 neq 仅匹配非给定端口号上的数据包 range 仅匹配端口号范围内的数据包

h. 配置目标地址。在此场景中，我们正在为单个目标（即服务器）过滤流量。输入“host”关键字后跟服务器的IP地址。

R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 ? dscp 匹配具有给定 dscp 值的数据包 eq 仅匹配给定端口号上的数据包 established 已建立 gt 仅匹配有更大端口号的数据包 lt 仅匹配有更小端口号的数据包 neq 仅匹配不具有给定端口号的数据包 precedence 匹配具有给定优先级值的数据包 range 仅匹配端口号范围内的数据包

i. 注意其中一个选项是（回车）。换句话说，您可以按Enter键，该语句将允许所有TCP流量。然而，我们只允许FTP流量；因此，输入“eq”关键字后跟问号以显示可用选项。然后输入“ftp”并按Enter。

R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ftp

j. 创建第二个访问列表语句以允许从PC1到Server的ICMP（ping等）流量。注意，访问列表编号保持不变，并且不需要指定特定类型的ICMP流量。

R1(config)# access-list 100 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62 <0-65535> 端口号 ftp 文件传输协议 (21) pop3 邮局协议 v3 (110) smtp 简单邮件传输协议 (25) telnet Telnet (23) www 万维网（HTTP，80）

k. 默认情况下，所有其他流量都将被拒绝。

步骤 2：在正确接口上应用ACL以过滤流量

从R1的角度看，ACL 100应用于与Gigabit Ethernet 0/0接口相连的网络中的入站流量。进入接口配置模式并应用ACL。

R1(config)# interface gigabitEthernet 0/0 R1(config-if)# ip access-group 100 in

步骤 3：验证ACL实现

a. 从PC1 ping Server。如果无法成功ping通，请先验证IP地址是否正确。

b. 从PC1 FTP至Server。用户名和密码均为cisco。

PC> ftp 172.22.34.62

c. 退出Server上的FTP服务。

ftp> quit

d. 从PC1 ping PC2。由于未明确允许此流量，目标主机应无法到达。

第二部分：配置、应用并验证一个命名扩展访问控制列表

步骤 1：配置ACL以允许HTTP访问和ICMP

a. 命名ACL以“ip”关键字开始。在R1的全局配置模式下，输入以下命令后跟问号。

R1(config)# ip access-list ? extended 扩展访问列表 standard 标准访问列表

b. 您可以配置命名的标准和扩展ACL。由于此访问列表需要过滤源和目标IP地址，因此必须是扩展类型。将名称设为 HTTP_ONLY （请注意，在Packet Tracer中评分时，名称区分大小写）。

R1(config)# ip access-list extended HTTP_ONLY

c. 提示符会改变。现在您处于扩展命名ACL配置模式。PC2 LAN上的所有设备都需要TCP访问权限。输入网络地址后跟问号。

R1(config-ext-nacl)# permit tcp 172.22.34.96 ? A.B.C.D 源通配符位

d. 另一种计算通配符的方法是从255.255.255.255减去子网掩码：

R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 ?

e. 完成语句，指定服务器地址，并筛选www流量，如同第一部分操作一样。

R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www

f. 创建第二个访问列表语句，允许从PC2到Server的ICMP（ping等）流量。注意：提示符保持不变，此处无需指定特定类型的ICMP流量。

R1(config-ext-nacl)# permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62

g. 默认情况下，所有其他流量都将被拒绝。退出扩展命名ACL配置模式。

步骤 2：在正确接口上应用ACL以过滤流量

从R1的角度看，访问列表HTTP_ONLY应用于与Gigabit Ethernet 0/1接口相连的网络中的入站流量。进入接口配置模式并应用ACL。

R1(config)# interface gigabitEthernet 0/1 R1(config-if)# ip access-group HTTP_ONLY in

步骤 3：验证ACL实现

a. 从PC2 ping Server。如果ping成功，则继续进行下一步；如果不成功，请先验证IP地址是否正确。

b. 从PC2通过FTP连接到Server。连接应该失败。

c. 在PC2上打开网页浏览器，将Server的IP地址作为URL输入。连接应该成功建立。

目标

• 在SW-1和SW-2之间建立新的冗余链路。

• 在新连接的SW-1和SW-2之间的干线链路上启用中继并配置安全措施。

• 创建一个新的管理VLAN（VLAN 20）并将一台管理PC连接到该VLAN。

• 实施ACL以防止外部用户访问管理VLAN。

背景/场景

一家公司的网络当前使用两个独立的VLAN：VLAN 5和VLAN 10。此外，所有干线端口都已配置为本征VLAN 15。网络管理员希望在交换机SW-1和SW-2之间添加一条冗余链路。这条链路必须启用中继功能，并确保所有必要的安全设置到位。

此外，网络管理员还希望将一台管理PC连接到交换机SW-A。管理员希望这台管理PC能够连接到所有交换机及路由器，但不希望任何其他设备能够连接到管理PC或这些交换机上。因此，管理员计划创建一个新的VLAN 20用于管理目的。

所有设备已经预先配置了以下信息：

• 启用密码： ciscoenpa55

• 控制台密码： ciscoconpa55

• SSH用户名及密码： SSHadmin / ciscosshpa55

第一部分：验证连通性

步骤1：验证C2（VLAN 10）与C3（VLAN 10）之间的连通性。

步骤2：验证C2（VLAN 10）与D1（VLAN 5）之间的连通性。 注：如果使用简易PDU GUI包，请确保ping两次以允许ARP过程完成。

第二部分：在SW-1和SW-2之间创建冗余链路

步骤1：连接SW-1和SW-2。

使用交叉线缆将SW-1的F0/23端口与SW-2的F0/23端口相连。

步骤2：在SW-1和SW-2之间的链路上启用干线功能，包括所有干线安全机制。

已预先配置了所有现存干线接口的干线功能。新链接必须设置为干线，并包括所有干线安全机制。在SW-1和SW-2上，将端口设置为干线模式，将本征VLAN 15分配给干线端口，并禁用自动协商功能。

SW-1(config)#interface f0/23 SW-1(config-if)#switchport mode trunk SW-1(config-if)#switchport trunk native vlan 15 SW-1(config-if)#switchport nonegotiate SW-1(config-if)#no shutdown

SW-2(config)#interface f0/23 SW-2(config-if)#switchport mode trunk SW-2(config-if)#switchport trunk native vlan 15 SW-2(config-if)#switchport nonegotiate SW-2(config-if)#no shutdown

第三部分：启用VLAN 20作为管理VLAN

网络管理员希望通过管理PC访问所有交换机和路由设备。出于安全原因，管理员希望确保所有受管设备都在一个独立的VLAN中。

步骤1：在SW-A上启用管理VLAN（VLAN 20）。

a. 在SW-A上启用VLAN 20。

SW-A(config)#vlan 20 SW-A(config-vlan)#exit

b. 创建VLAN 20接口并在192.168.20.0/24网络内分配一个IP地址。

SW-A(config)#interface vlan 20 SW-A(config-if)#ip address 192.168.20.1 255.255.255.0

步骤2：在所有其他交换机上启用相同的管理VLAN。

a. 在SW-B、SW-1、SW-2和中央交换机上创建管理VLAN。

Central(config)#vlan 20 Central(config-vlan)#exit

SW-1(config)#vlan 20 SW-1(config-vlan)#exit

SW-2(config)#vlan 20 SW-2(config-vlan)#exit

SW-B(config)#vlan 20 SW-B(config-vlan)#exit

b. 在所有交换机上创建VLAN 20接口，并在192.168.20.0/24网络内分配一个IP地址。

Central(config)#int vlan 20 Central(config-if)#ip address 192.168.20.2 255.255.255.0

SW-1(config)#int vlan 20 SW-1(config-if)#ip address 192.168.20.3 255.255.255.0

SW-2(config)#int vlan 20 SW-2(config-if)#ip address 192.168.20.4 255.255.255.0

SW-B(config)#int vlan 20 SW-B(config-if)#ip address 192.168.20.5 255.255.255.0

步骤3：连接并配置管理PC。

将管理PC连接到SW-A的F0/1端口，并确保为其分配192.168.20.0/24网络内的可用IP地址。

步骤4：在SW-A上确保管理PC属于VLAN 20。

接口F0/1必须是VLAN 20的一部分。

SW-A(config)#int f0/1 SW-A(config-if)#switchport access vlan 20 SW-A(config-if)#no shutdown

步骤5：验证管理PC与所有交换机之间的连通性 。

管理PC应能成功ping通SW-A、SW-B、SW-1、SW-2和中央交换机。

第四部分：使管理PC能够访问路由器R1

步骤1：在路由器R1上启用新的子接口。

a. 创建子接口 g0/0.3 ，并设置封装类型为 dot1q 20 ，以便支持VLAN 20。

R1(config)#int g0/0.3 R1(config-subif)#encapsulation dot1Q 20

b. 分配192.168.20.0/24网络内的IP地址。

R1(config)#int g0/0.3 R1(config-subif)#ip address 192.168.20.100 255.255.255.0

步骤2：验证管理PC与R1之间的连通性。

务必在管理PC上配置默认网关以实现连通性。

步骤3：启用安全性。

虽然管理PC必须能够访问路由器，但其他任何PC都不应能够访问管理VLAN。

a. 创建只允许管理PC访问路由器的ACL。

R1(config)#access-list 101 deny ip any 192.168.20.0 0.0.0.255 R1(config)#access-list 101 permit ip any any R1(config)#access-list 102 permit ip host 192.168.20.6 any

b. 将ACL应用到适当的接口上。

R1(config)#int g0/0.1 R1(config-subif)#ip access-group 101 in R1(config-subif)#int g0/0.2 R1(config-subif)#ip access-group 101 in

R1(config)#line vty 0 4 R1(config-line)#access-class 102 in

注：可以有多种方式创建ACL来满足必要的安全要求。因此，该活动这一部分的评分基于正确的连通性需求。管理PC必须能够连接到所有交换机和路由器，而所有其他PC则不能连接到管理VLAN内的任何设备。

步骤4：验证安全性。

a. 验证只有管理PC可以访问路由器。使用SSH从管理PC通过用户名SSHadmin和密码ciscosshpa55登录R1。

PC> ssh -l SSHadmin 192.168.20.100

b. 从管理PC尝试ping SW-A、SW-B和R1，是否成功？请解释结果。

VLAN20 中的设备不需要通过路由器进行路由，不受ACL的影响。

c. 从D1尝试ping管理PC，是否成功？请解释结果。

不同 VLAN 中的设备 ping VLAN20 中的设备，必须进行路由，而路由器具有阻止所有数据包访问 192.168.20.0 目标网络的 ACL。

步骤5：检查结果。

您的完成度应该为100%。点击“检查结果”查看反馈信息以及已完成的必要组件验证。

如果所有组件都看似正确，但活动仍显示未完成，则可能是由于验证ACL操作的连通性测试出现问题。

实验脚本：

Part 2:

SW-1、SW-2

1
2
3
4
5
6
7

连接SW-1、SW-2，使用交叉线路，要开端口
连接SW-A、PC，要开端口
interface f0/23
switchport mode trunk
switchport trunk native vlan 15
switchport nonegotiate
no shutdown

Part 3：

SW-A：

1
2
3

int f0/1
switchport access vlan 20
no shutdown

SW-1：

1
2
3
4

int f0/23
switchport trunk native vlan 15
switchport mode trunk 
switchport nonegotiate

SW-2:

1
2
3
4

int f0/23
switchport trunk native vlan 15
switchport mode trunk 
switchport nonegotiate

SW-A、B、1、2、Central：

1
2
3

vlan 20
int vlan 20
ip address 192.168.20.XXX 255.255.255.0

Part 4:

R1：

1
2
3

int g0/0.3
encapsulation dot1Q 20
ip address 192.168.20.20 255.255.255.0

R1：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

access-list 101 deny ip any 192.168.20.0 255.255.255.0
access-list 101 permit ip any any 
access-list 102 permit ip host 192.168.20.6 any 

int g0/0.1
ip access-group 101 in 

int g0/0.2
ip access-group 101 in 

line vty 0 4
access-class 102 in

PC：

1

ssh -l SSHadmin 192.168.20.20

地址表

目标

• 启用IOS入侵防御系统（IPS）。

• 配置日志记录功能。

• 修改IPS签名规则。

• 验证IPS配置。

背景/场景

您的任务是在R1上启用IPS，扫描进入192.168.1.0网络的流量。

标记为“Syslog”的服务器用于接收和记录IPS消息。您需要配置路由器以识别该syslog服务器，并将日志消息发送到该服务器。在使用syslog监控网络时，在syslog消息中显示正确的时间和日期至关重要。因此，请设置时钟并为路由器上的日志记录功能配置时间戳服务。最后，启用IPS以产生警报并在线路上丢弃ICMP回显应答数据包。

服务器和PC已预先配置好。路由器也已经预先配置了以下内容：

o 启用密码： ciscoenpa55

o 控制台密码： ciscoconpa55

o SSH用户名和密码： SSHadmin / ciscosshpa55

o OSPF进程号101

第一部分：启用IOS入侵防御系统（IPS）

注意：在Packet Tracer中，路由器已经导入并安装了签名文件。它们是闪存中的默认xml文件。因此，不需要配置公钥和手动导入签名文件。

步骤1：启用安全技术包。

a. 在R1上，执行 show version 命令查看技术包许可证信息。

b. 如果尚未启用“Security Technology”包，请使用以下命令启用该包：

R1(config)# license boot module c1900 technology-package securityk9

c. 接受最终用户许可协议。

d. 保存运行配置，并重新加载路由器以启用安全许可证。

R1#write Building configuration… [OK] R1#reload

e. 使用 show version 命令验证是否已启用“Security Technology”包。

步骤2：验证网络连接性。

a. 从PC-C向PC-A发送ping请求。应能成功ping通。

b. 从PC-A向PC-C发送ping请求。应能成功ping通。

步骤3：在闪存中创建一个IOS IPS配置目录。

在R1上，使用 mkdir 命令在闪存中创建一个目录。将目录命名为ipsdir。

R1#mkdir ipsdir Create directory filename [ipsdir]? Created dir flash:ipsdir

步骤4：配置IPS签名存储位置。

在R1上，将IPS签名存储位置配置为刚刚创建的目录。

R1(config)#ip ips config location flash:ipsdir

步骤5：创建一个IPS规则。

在R1的全局配置模式下，使用 ip ips name "name" 命令创建一个IPS规则名称。将IPS规则命名为 iosips 。

R1(config)#ip ips name iosips

步骤6：启用日志记录。

IOS IPS支持使用syslog发送事件通知。Syslog通知默认情况下是启用的。如果启用了loggingconsole，则会显示IPS的syslog消息。

a. 如未启用syslog，则启用syslog。

R1(config)#ip ips notify log

b. 如有必要，从特权EXEC模式下使用 clock set 命令重置时钟。

R1#clock set 19:31:59 6 jan 2024

c. 使用 show run 命令验证路由器上的日志记录时间戳服务是否已启用。如果没有启用，则启用时间戳服务。

R1(config)#service timestamps log datetime msec

d. 将日志消息发送到位于IP地址192.168.1.50的syslog服务器。

R1(config)#logging host 192.168.1.50

步骤7：配置IOS IPS使用签名类别。

使用 retired true 命令退休所有签名类别（签名发布内的所有签名）。使用 retired false 命令取消退休IOS_IPS Basic类别。

R1(config)#ip ips signature-category R1(config-ips-category)#category all R1(config-ips-category-action)#retired true R1(config-ips-category-action)#exit R1(config-ips-category)#category ios_ips basic R1(config-ips-category-action)#retired false R1(config-ips-category-action)#exit R1(config-ips-category)#exit

步骤8：将IPS规则应用于接口。

在接口配置模式下，使用 ip ips name "direction" 命令将IPS规则应用于接口。将规则应用于R1的G0/1接口的出站方向。启用IPS后，控制台行将收到一些日志消息，表明IPS引擎正在初始化。

R1(config)#int g0/1 R1(config-if)#ip ips iosips out

注：direction in表示IPS仅检查进入接口的流量。同样地，out表示IPS仅检查离开接口的流量。

第二部分：修改签名

步骤1：更改签名的事件动作。

取消退休echo request签名（签名ID 2004，子签名ID 0），启用它，并将签名动作更改为alert和drop。

R1(config)#ip ips signature-definition R1(config-sigdef)#signature 2004 0 R1(config-sigdef-sig)#status R1(config-sigdef-sig-status)#retired false R1(config-sigdef-sig-status)#enabled true R1(config-sigdef-sig-status)#exit R1(config-sigdef-sig)#engine R1(config-sigdef-sig-engine)#event-action produce-alert R1(config-sigdef-sig-engine)#event-action deny-packet-inline R1(config-sigdef-sig-engine)#exit R1(config-sigdef-sig)#exit R1(config-sigdef)#exit

步骤2：使用show命令验证IPS配置。

使用 show ip ips all 命令查看IPS配置状态摘要。

iosips规则应用于哪些接口以及什么方向？

步骤3：验证IPS是否正常工作。

a. 从PC-C尝试ping PC-A。这些ping请求成功了吗？请解释原因。

b. 从PC-A尝试ping PC-C。这些ping请求成功了吗？请解释原因。

步骤4：查看syslog消息。

a. 点击Syslog服务器。

b. 选择“服务”标签页。

c. 在左侧导航菜单中，选择SYSLOG以查看日志文件。

步骤5：检查结果。

您的完成百分比应为100%。点击“CheckResults”查看反馈信息及已完成的必要组件验证。

IP地址表

目标

• 验证连接并探索ASA设备

• 使用CLI配置ASA的基本设置和接口安全级别

• 使用CLI配置路由、地址转换和检查策略

• 配置DHCP、AAA和SSH服务

• 配置DMZ区域、静态NAT和访问控制列表（ACL）

场景

您的公司有一个地点通过ISP进行互联网接入。R1代表由ISP管理的CPE设备。R2代表一个互联网路由器中继节点。R3代表一个ISP，它连接着一家网络管理公司的管理员，该管理员受雇远程管理您的网络。ASA是一个边缘CPE安全设备，将内部企业网络和DMZ区域连接到ISP，并为内部主机提供NAT和DHCP服务。ASA将被配置以允许内部网络的管理员以及远程管理员对其进行管理。三层VLAN接口提供了对活动中创建的三个区域——Inside区域、Outside区域和DMZ区域的访问权限。ISP分配了公共IP地址空间209.165.200.224/29，将在ASA上用于地址转换。

所有路由器和交换机设备已预先配置以下信息：

• 启用密码： ciscoenpa55

• 控制台密码： ciscoconpa55

• 管理员用户名及密码： admin/adminpa55

注意：此Packet Tracer活动并不能替代ASA实验室练习。这个活动提供了额外的实践机会，模拟了大部分ASA 5505设备的配置过程。与真实的ASA 5505相比，在命令输出或部分尚未在Packet Tracer中支持的命令上可能存在细微差别。

第一部分：验证连接和探索ASA设备

注：此Packet Tracer活动开始时，有20%的评估项已被标记为已完成。这是为了确保您不会意外更改ASA的某些默认值。例如，默认情况下内部接口名称为“inside”，不应更改。点击“检查结果”查看哪些评估项已经被正确评分。

步骤1：验证网络连接性。

目前ASA尚未配置，但所有路由器、PC以及DMZ服务器都已配置完毕。请确认PC-C可以ping通任何路由器接口。请注意，此时PC-C无法ping通ASA、PC-B或DMZ服务器。

步骤2：确定ASA版本、接口及许可证信息。

使用 show version 命令来了解ASA设备的各种特性。

步骤3：确定文件系统及其闪存内存内容。

a. 进入特权EXEC模式。当前未设置密码，当提示输入密码时直接按回车键。

b. 使用 show file system 命令显示ASA的文件系统，并确定支持哪些前缀。

c. 使用 show flash: 或 show disk0: 命令来显示闪存内存的内容。

第二部分：使用CLI配置ASA设置和接口安全

提示：许多ASA CLI命令与Cisco IOS CLI中的命令相似，甚至相同。此外，在不同配置模式及子模式之间切换的过程本质上是相同的。

步骤1：配置主机名和域名。

a. 配置ASA主机名为 CCNAS-ASA 。

b. 配置域名为 ccnasecurity.com 。

1
2

ciscoasa(config)#hostname CCNAS-ASA
CCNAS-ASA(config)#domain-name ccnasecurity.com

步骤2：配置启用模式密码。

使用 enable password 命令将特权EXEC模式密码更改为 ciscoenpa55 。

1

CCNAS-ASA(config)#enable password ciscoenpa55

步骤3：设置日期和时间。

使用 clock set 命令手动设置日期和时间（此步骤不计入评分）。

1

CCNAS-ASA(config)#clock set 21:42:25 May 11 2023

步骤4：配置内部和外部接口。

此时您只需配置VLAN 1（内部）和VLAN 2（外部）接口。VLAN 3（dmz）接口将在活动的第五部分进行配置。

a. 为内部网络（192.168.1.0/24）配置逻辑VLAN 1接口，并将其安全级别设置为最高值 100 。

1
2
3
4

CCNAS-ASA(config)# interface vlan 1
CCNAS-ASA(config-if)# nameif inside
CCNAS-ASA(config-if)# ip address 192.168.1.1 255.255.255.0
CCNAS-ASA(config-if)# security-level 100

b. 为外部网络（209.165.200.224/29）创建逻辑VLAN 2接口，将其安全级别设置为最低值 0 ，并启用VLAN 2接口。

1
2
3
4

CCNAS-ASA(config-if)# interface vlan 2
CCNAS-ASA(config-if)# nameif outside
CCNAS-ASA(config-if)# ip address 209.165.200.226 255.255.255.248
CCNAS-ASA(config-if)# security-level 0

c. 使用以下验证命令检查您的配置：

1. 使用 show interface ip brief 命令显示所有ASA接口的状态。注意：这个命令与IOS命令show ip interface brief不同。如果之前配置的任何物理或逻辑接口状态不是up/up，请根据需要排查问题后再继续。

提示：大多数ASA show命令，包括ping、copy等，无需do命令即可在任意配置模式提示符下执行。

1. 使用 show ip address 命令显示三层VLAN接口的信息。

2. 使用 show switch vlan 命令显示ASA上配置的内部和外部VLAN以及分配的端口。

步骤5：测试到ASA的连接性。

a. 应该可以从PC-B成功ping通ASA内部接口地址（192.168.1.1）。如果无法ping通，请按需排查配置问题。

b. 从PC-B尝试ping VLAN 2（外部）接口的IP地址209.165.200.226。理论上您不应该能ping通这个地址。

第三部分：使用CLI配置路由、地址转换和检查策略

步骤1：为ASA配置静态默认路由。

在ASA外部接口上配置默认静态路由，以便ASA能够访问外部网络。

a. 使用 route 命令创建一个“全零”默认路由，将其与ASA外部接口关联，并将R1 G0/0 IP地址（209.165.200.225）设置为最后手段网关。

1

CCNAS-ASA(config)# route outside 0.0.0.0 0.0.0.0 209.165.200.225

b. 发出 show route 命令以验证静态默认路由是否存在于ASA路由表中。

c. 验证ASA能否ping通R1 S0/0/0 IP地址10.1.1.1。如果无法ping通，请按需排查问题。

步骤2：使用PAT和网络对象配置地址转换。

a. 创建名为 inside-net 的网络对象，并使用subnet和nat命令为其分配属性。

1
2
3
4

CCNAS-ASA(config)# object network inside-net
CCNAS-ASA(config-network-object)# subnet 192.168.1.0 255.255.255.0
CCNAS-ASA(config-network-object)# nat (inside,outside) dynamic interface
CCNAS-ASA(config-network-object)# end

b. ASA将配置拆分为定义要转换的网络的对象部分以及实际的nat命令参数。这些内容会在运行配置中的两个不同位置显示。使用 show run 命令显示NAT对象配置。

c. 从PC-B尝试ping R1 G0/0接口IP地址209.165.200.225。这些ping请求应失败。

d. 在ASA上发出 show nat 命令查看已翻译和未翻译的命中次数。请注意，来自PC-B的ping请求中有四个被翻译，四个未被翻译。外出的ping（echo请求）已被翻译并发送至目标。返回的echo响应由于防火墙策略而被阻止。您将在本部分活动的第3步配置默认检查策略以允许ICMP流量。

步骤3：修改默认MPF应用检查全局服务策略。

为了实现应用层检查和其他高级选项，Cisco ASA设备提供了MPF功能。

Packet Tracer ASA设备默认没有MPF策略映射。作为修改，我们可以创建一个默认策略映射，用于对内部到外部的流量进行检查。正确配置后，只有由内部发起的流量才被允许回传到外部接口。您需要将ICMP添加到检查列表中。

a. 使用以下命令创建类图、策略映射和服务策略，并在策略映射列表中添加ICMP流量的检查：

1
2
3
4
5
6
7
8

CCNAS-ASA(config)# class-map inspection_default
CCNAS-ASA(config-cmap)# match default-inspection-traffic
CCNAS-ASA(config-cmap)# exit
CCNAS-ASA(config)# policy-map global_policy
CCNAS-ASA(config-pmap)# class inspection_default
CCNAS-ASA(config-pmap-c)# inspect icmp
CCNAS-ASA(config-pmap-c)# exit
CCNAS-ASA(config)# service-policy global_policy global

b. 从PC-B再次尝试ping R1 G0/0接口IP地址209.165.200.225。这次ping应该成功，因为现在ICMP流量正在被检查，合法的返回流量被允许通过。若ping失败，请排查您的配置。

第四部分：配置DHCP、AAA和SSH

步骤1：配置ASA作为DHCP服务器。

a. 在ASA内部接口上配置DHCP地址池并启用它。

1

CCNAS-ASA(config)# dhcpd address 192.168.1.5-192.168.1.36 inside

b. （可选）指定给客户端提供的DNS服务器IP地址。

1

CCNAS-ASA(config)# dhcpd dns 209.165.201.2 interface inside

c. 在ASA内启用DHCP守护进程，使其监听内部接口上的DHCP客户端请求。

1

CCNAS-ASA(config)# dhcpd enable inside

d. 将PC-B从静态IP地址更改为DHCP客户端，并验证其是否接收到IP地址信息。如有必要，请解决任何问题。

步骤2：配置AAA以使用本地数据库进行身份验证。

a. 使用username命令定义一个名为admin的本地用户，并指定密码adminpa55。

1

CCNAS-ASA(config)# username admin password adminpa55

b. 配置AAA以使用本地ASA数据库进行SSH用户身份验证。

1

CCNAS-ASA(config)# aaa authentication ssh console LOCAL

步骤3：配置远程访问ASA。

ASA可以配置为接受来自内部或外部网络的单个主机或范围内的主机连接。在此步骤中，外部网络的主机只能通过SSH与ASA通信。SSH会话可用于从内部网络访问ASA。

a. 生成RSA密钥对，这是支持SSH连接所必需的。由于ASA设备已经有RSA密钥存在，当提示替换它们时请输入no。

1

CCNAS-ASA(config)# crypto key generate rsa modulus 1024

b. 配置ASA以允许来自内部网络（192.168.1.0/24）和外部网络分支办公室远程管理主机（172.16.3.3）的任何主机通过SSH进行连接。设置SSH超时时间为10分钟（默认为5分钟）。

1
2
3

CCNAS-ASA(config)# ssh 192.168.1.0 255.255.255.0 inside
CCNAS-ASA(config)# ssh 172.16.3.3 255.255.255.255 outside
CCNAS-ASA(config)# ssh timeout 10

c. 从PC-C通过SSH建立到ASA（209.165.200.226）的会话。如不成功，请排查问题。

1

PC> ssh -l admin 209.165.200.226

d. 从PC-B通过SSH建立到ASA（192.168.1.1）的会话。如不成功，请排查问题。

1

PC> ssh -l admin 192.168.1.1

第五部分：配置DMZ、静态NAT和ACL

R1 G0/0接口与ASA的外部接口分别使用209.165.200.225和.226。您将使用公网地址209.165.200.227，并通过静态NAT提供对服务器的地址转换访问。

步骤1：在ASA上配置DMZ接口VLAN 3。

a. 配置DMZ VLAN 3，该VLAN将是公共访问Web服务器所在的位置。为它分配IP地址192.168.2.1/24，并命名为 dmz ，同时为其设置安全级别为 70 。由于服务器无需主动与内部用户通信，因此禁用到接口VLAN 1的转发。

1
2
3
4
5
6

CCNAS-ASA(config)# interface vlan 3
CCNAS-ASA(config-if)# ip address 192.168.2.1 255.255.255.0
CCNAS-ASA(config-if)# no forward interface vlan 1
CCNAS-ASA(config-if)# nameif dmz
INFO: Security level for "dmz" set to 0 by default.
CCNAS-ASA(config-if)# security-level 70

b. 将ASA物理接口E0/2分配给DMZ VLAN 3并启用此接口。

1
2

CCNAS-ASA(config-if)# interface Ethernet0/2
CCNAS-ASA(config-if)# switchport access vlan 3

c. 使用以下验证命令检查您的配置：

1. 使用 show interface ip brief 命令显示所有ASA接口的状态。

   

2. 使用 show ip address 命令显示第3层VLAN接口的信息。

   

3. 使用 show switch vlan 命令显示ASA上的inside和outside VLAN配置以及分配的端口信息。

   

步骤2：使用网络对象配置到DMZ服务器的静态NAT。

配置一个名为dmz-server的网络对象，并将其分配给DMZ服务器的静态IP地址（192.168.2.3）。在定义对象模式下，使用nat命令指定此对象用于使用静态NAT将DMZ地址翻译为外部地址，并指定公开翻译地址209.165.200.227。

1
2
3
4

CCNAS-ASA(config)# object network dmz-server
CCNAS-ASA(config-network-object)# host 192.168.2.3
CCNAS-ASA(config-network-object)# nat (dmz,outside) static 209.165.200.227
CCNAS-ASA(config-network-object)# exit

步骤3：配置ACL以允许从互联网访问DMZ服务器。

配置一个名为OUTSIDE-DMZ的命名访问列表，允许来自任何外部主机到DMZ服务器内部IP地址的TCP协议在端口80上进行通信。将访问列表应用到ASA的外部接口的“IN”方向。

1
2

CCNAS-ASA(config)# access-list OUTSIDE-DMZ permit tcp any host 192.168.2.3 eq 80
CCNAS-ASA(config)# access-group OUTSIDE-DMZ in interface outside

注：与IOS ACL不同，ASA ACL的permit语句必须允许对内部私有DMZ地址的访问。外部主机通过服务器的公共静态NAT地址访问服务器，ASA将其翻译成内部主机IP地址，然后应用ACL。

步骤4：测试对DMZ服务器的访问。

在创建Packet Tracer活动时，成功测试外部对DMZ Web服务器的访问功能并未实现；因此，不强制要求成功测试。

步骤5：检查结果。

完成百分比应为100%。点击“Check Results”查看反馈和已完成所需组件的验证。

实验脚本：

第一部分：验证连接和探索ASA设备

1
2
3
4

hostname CCNAS-ASA
domain-name ccnasecurity.com
enable password ciscoenpa55
clock set 10:38:00 22 dec 2020

第二部分：使用CLI配置ASA设置和接口安全

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19

interface vlan 1
nameif inside
ip address 192.168.1.1 255.255.255.0
security-level 100

interface vlan 2
nameif outside
ip address 209.165.200.226 255.255.255.248
security-level 0
interface Ethernet0/0
switchport access vlan 2

interface vlan 3
ip address 192.168.2.1 255.255.255.0
no forward interface vlan 1
nameif dmz
security-level 70
interface Ethernet0/2
switchport access vlan 3

第三部分：使用CLI配置路由、地址转换和检查策略

1
2
3
4
5
6
7
8
9

route outside 0.0.0.0 0.0.0.0 209.165.200.225
class-map inspection_default
match default-inspection-traffic
exit
policy-map global_policy
class inspection_default
inspect icmp
exit
service-policy global_policy global

第四部分：配置DHCP、AAA和SSH

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

dhcpd address 192.168.1.5-192.168.1.36 inside
dhcpd dns 209.165.201.2 interface inside
dhcpd enable inside

username admin password adminpa55
crypto key generate rsa modulus 1024 #no

aaa authentication ssh console LOCAL
ssh 192.168.1.0 255.255.255.0 inside
ssh 172.16.3.3 255.255.255.255 outside
ssh timeout 10

第五部分：配置DMZ、静态NAT和ACL

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

object network dmz-server
host 192.168.2.3
nat (dmz,outside) static 209.165.200.227

object network inside-net
subnet 192.168.1.0 255.255.255.0
nat (inside,outside) dynamic interface

access-list OUTSIDE-DMZ permit icmp any host 192.168.2.3
access-list OUTSIDE-DMZ permit tcp any host 192.168.2.3 eq 80
access-group OUTSIDE-DMZ in interface outside