目标

• 在SW-1和SW-2之间建立新的冗余链路。

• 在新连接的SW-1和SW-2之间的干线链路上启用中继并配置安全措施。

• 创建一个新的管理VLAN（VLAN 20）并将一台管理PC连接到该VLAN。

• 实施ACL以防止外部用户访问管理VLAN。

背景/场景

一家公司的网络当前使用两个独立的VLAN：VLAN 5和VLAN 10。此外，所有干线端口都已配置为本征VLAN 15。网络管理员希望在交换机SW-1和SW-2之间添加一条冗余链路。这条链路必须启用中继功能，并确保所有必要的安全设置到位。

此外，网络管理员还希望将一台管理PC连接到交换机SW-A。管理员希望这台管理PC能够连接到所有交换机及路由器，但不希望任何其他设备能够连接到管理PC或这些交换机上。因此，管理员计划创建一个新的VLAN 20用于管理目的。

所有设备已经预先配置了以下信息：

• 启用密码： ciscoenpa55

• 控制台密码： ciscoconpa55

• SSH用户名及密码： SSHadmin / ciscosshpa55

第一部分：验证连通性

步骤1：验证C2（VLAN 10）与C3（VLAN 10）之间的连通性。

步骤2：验证C2（VLAN 10）与D1（VLAN 5）之间的连通性。 注：如果使用简易PDU GUI包，请确保ping两次以允许ARP过程完成。

第二部分：在SW-1和SW-2之间创建冗余链路

步骤1：连接SW-1和SW-2。

使用交叉线缆将SW-1的F0/23端口与SW-2的F0/23端口相连。

步骤2：在SW-1和SW-2之间的链路上启用干线功能，包括所有干线安全机制。

已预先配置了所有现存干线接口的干线功能。新链接必须设置为干线，并包括所有干线安全机制。在SW-1和SW-2上，将端口设置为干线模式，将本征VLAN 15分配给干线端口，并禁用自动协商功能。

SW-1(config)#interface f0/23 SW-1(config-if)#switchport mode trunk SW-1(config-if)#switchport trunk native vlan 15 SW-1(config-if)#switchport nonegotiate SW-1(config-if)#no shutdown

SW-2(config)#interface f0/23 SW-2(config-if)#switchport mode trunk SW-2(config-if)#switchport trunk native vlan 15 SW-2(config-if)#switchport nonegotiate SW-2(config-if)#no shutdown

第三部分：启用VLAN 20作为管理VLAN

网络管理员希望通过管理PC访问所有交换机和路由设备。出于安全原因，管理员希望确保所有受管设备都在一个独立的VLAN中。

步骤1：在SW-A上启用管理VLAN（VLAN 20）。

a. 在SW-A上启用VLAN 20。

SW-A(config)#vlan 20 SW-A(config-vlan)#exit

b. 创建VLAN 20接口并在192.168.20.0/24网络内分配一个IP地址。

SW-A(config)#interface vlan 20 SW-A(config-if)#ip address 192.168.20.1 255.255.255.0

步骤2：在所有其他交换机上启用相同的管理VLAN。

a. 在SW-B、SW-1、SW-2和中央交换机上创建管理VLAN。

Central(config)#vlan 20 Central(config-vlan)#exit

SW-1(config)#vlan 20 SW-1(config-vlan)#exit

SW-2(config)#vlan 20 SW-2(config-vlan)#exit

SW-B(config)#vlan 20 SW-B(config-vlan)#exit

b. 在所有交换机上创建VLAN 20接口，并在192.168.20.0/24网络内分配一个IP地址。

Central(config)#int vlan 20 Central(config-if)#ip address 192.168.20.2 255.255.255.0

SW-1(config)#int vlan 20 SW-1(config-if)#ip address 192.168.20.3 255.255.255.0

SW-2(config)#int vlan 20 SW-2(config-if)#ip address 192.168.20.4 255.255.255.0

SW-B(config)#int vlan 20 SW-B(config-if)#ip address 192.168.20.5 255.255.255.0

步骤3：连接并配置管理PC。

将管理PC连接到SW-A的F0/1端口，并确保为其分配192.168.20.0/24网络内的可用IP地址。

步骤4：在SW-A上确保管理PC属于VLAN 20。

接口F0/1必须是VLAN 20的一部分。

SW-A(config)#int f0/1 SW-A(config-if)#switchport access vlan 20 SW-A(config-if)#no shutdown

步骤5：验证管理PC与所有交换机之间的连通性 。

管理PC应能成功ping通SW-A、SW-B、SW-1、SW-2和中央交换机。

第四部分：使管理PC能够访问路由器R1

步骤1：在路由器R1上启用新的子接口。

a. 创建子接口 g0/0.3 ，并设置封装类型为 dot1q 20 ，以便支持VLAN 20。

R1(config)#int g0/0.3 R1(config-subif)#encapsulation dot1Q 20

b. 分配192.168.20.0/24网络内的IP地址。

R1(config)#int g0/0.3 R1(config-subif)#ip address 192.168.20.100 255.255.255.0

步骤2：验证管理PC与R1之间的连通性。

务必在管理PC上配置默认网关以实现连通性。

步骤3：启用安全性。

虽然管理PC必须能够访问路由器，但其他任何PC都不应能够访问管理VLAN。

a. 创建只允许管理PC访问路由器的ACL。

R1(config)#access-list 101 deny ip any 192.168.20.0 0.0.0.255 R1(config)#access-list 101 permit ip any any R1(config)#access-list 102 permit ip host 192.168.20.6 any

b. 将ACL应用到适当的接口上。

R1(config)#int g0/0.1 R1(config-subif)#ip access-group 101 in R1(config-subif)#int g0/0.2 R1(config-subif)#ip access-group 101 in

R1(config)#line vty 0 4 R1(config-line)#access-class 102 in

注：可以有多种方式创建ACL来满足必要的安全要求。因此，该活动这一部分的评分基于正确的连通性需求。管理PC必须能够连接到所有交换机和路由器，而所有其他PC则不能连接到管理VLAN内的任何设备。

步骤4：验证安全性。

a. 验证只有管理PC可以访问路由器。使用SSH从管理PC通过用户名SSHadmin和密码ciscosshpa55登录R1。

PC> ssh -l SSHadmin 192.168.20.100

b. 从管理PC尝试ping SW-A、SW-B和R1，是否成功？请解释结果。

VLAN20 中的设备不需要通过路由器进行路由，不受ACL的影响。

c. 从D1尝试ping管理PC，是否成功？请解释结果。

不同 VLAN 中的设备 ping VLAN20 中的设备，必须进行路由，而路由器具有阻止所有数据包访问 192.168.20.0 目标网络的 ACL。

步骤5：检查结果。

您的完成度应该为100%。点击“检查结果”查看反馈信息以及已完成的必要组件验证。

如果所有组件都看似正确，但活动仍显示未完成，则可能是由于验证ACL操作的连通性测试出现问题。

实验脚本：

Part 2:

SW-1、SW-2

1
2
3
4
5
6
7

连接SW-1、SW-2，使用交叉线路，要开端口
连接SW-A、PC，要开端口
interface f0/23
switchport mode trunk
switchport trunk native vlan 15
switchport nonegotiate
no shutdown

Part 3：

SW-A：

1
2
3

int f0/1
switchport access vlan 20
no shutdown

SW-1：

1
2
3
4

int f0/23
switchport trunk native vlan 15
switchport mode trunk 
switchport nonegotiate

SW-2:

1
2
3
4

int f0/23
switchport trunk native vlan 15
switchport mode trunk 
switchport nonegotiate

SW-A、B、1、2、Central：

1
2
3

vlan 20
int vlan 20
ip address 192.168.20.XXX 255.255.255.0

Part 4:

R1：

1
2
3

int g0/0.3
encapsulation dot1Q 20
ip address 192.168.20.20 255.255.255.0

R1：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12

access-list 101 deny ip any 192.168.20.0 255.255.255.0
access-list 101 permit ip any any 
access-list 102 permit ip host 192.168.20.6 any 

int g0/0.1
ip access-group 101 in 

int g0/0.2
ip access-group 101 in 

line vty 0 4
access-class 102 in

PC：

1

ssh -l SSHadmin 192.168.20.20

IP地址表

目标

• 验证连接并探索ASA设备

• 使用CLI配置ASA的基本设置和接口安全级别

• 使用CLI配置路由、地址转换和检查策略

• 配置DHCP、AAA和SSH服务

• 配置DMZ区域、静态NAT和访问控制列表（ACL）

场景

您的公司有一个地点通过ISP进行互联网接入。R1代表由ISP管理的CPE设备。R2代表一个互联网路由器中继节点。R3代表一个ISP，它连接着一家网络管理公司的管理员，该管理员受雇远程管理您的网络。ASA是一个边缘CPE安全设备，将内部企业网络和DMZ区域连接到ISP，并为内部主机提供NAT和DHCP服务。ASA将被配置以允许内部网络的管理员以及远程管理员对其进行管理。三层VLAN接口提供了对活动中创建的三个区域——Inside区域、Outside区域和DMZ区域的访问权限。ISP分配了公共IP地址空间209.165.200.224/29，将在ASA上用于地址转换。

所有路由器和交换机设备已预先配置以下信息：

• 启用密码： ciscoenpa55

• 控制台密码： ciscoconpa55

• 管理员用户名及密码： admin/adminpa55

注意：此Packet Tracer活动并不能替代ASA实验室练习。这个活动提供了额外的实践机会，模拟了大部分ASA 5505设备的配置过程。与真实的ASA 5505相比，在命令输出或部分尚未在Packet Tracer中支持的命令上可能存在细微差别。

第一部分：验证连接和探索ASA设备

注：此Packet Tracer活动开始时，有20%的评估项已被标记为已完成。这是为了确保您不会意外更改ASA的某些默认值。例如，默认情况下内部接口名称为“inside”，不应更改。点击“检查结果”查看哪些评估项已经被正确评分。

步骤1：验证网络连接性。

目前ASA尚未配置，但所有路由器、PC以及DMZ服务器都已配置完毕。请确认PC-C可以ping通任何路由器接口。请注意，此时PC-C无法ping通ASA、PC-B或DMZ服务器。

步骤2：确定ASA版本、接口及许可证信息。

使用 show version 命令来了解ASA设备的各种特性。

步骤3：确定文件系统及其闪存内存内容。

a. 进入特权EXEC模式。当前未设置密码，当提示输入密码时直接按回车键。

b. 使用 show file system 命令显示ASA的文件系统，并确定支持哪些前缀。

c. 使用 show flash: 或 show disk0: 命令来显示闪存内存的内容。

第二部分：使用CLI配置ASA设置和接口安全

提示：许多ASA CLI命令与Cisco IOS CLI中的命令相似，甚至相同。此外，在不同配置模式及子模式之间切换的过程本质上是相同的。

步骤1：配置主机名和域名。

a. 配置ASA主机名为 CCNAS-ASA 。

b. 配置域名为 ccnasecurity.com 。

1
2

ciscoasa(config)#hostname CCNAS-ASA
CCNAS-ASA(config)#domain-name ccnasecurity.com

步骤2：配置启用模式密码。

使用 enable password 命令将特权EXEC模式密码更改为 ciscoenpa55 。

1

CCNAS-ASA(config)#enable password ciscoenpa55

步骤3：设置日期和时间。

使用 clock set 命令手动设置日期和时间（此步骤不计入评分）。

1

CCNAS-ASA(config)#clock set 21:42:25 May 11 2023

步骤4：配置内部和外部接口。

此时您只需配置VLAN 1（内部）和VLAN 2（外部）接口。VLAN 3（dmz）接口将在活动的第五部分进行配置。

a. 为内部网络（192.168.1.0/24）配置逻辑VLAN 1接口，并将其安全级别设置为最高值 100 。

1
2
3
4

CCNAS-ASA(config)# interface vlan 1
CCNAS-ASA(config-if)# nameif inside
CCNAS-ASA(config-if)# ip address 192.168.1.1 255.255.255.0
CCNAS-ASA(config-if)# security-level 100

b. 为外部网络（209.165.200.224/29）创建逻辑VLAN 2接口，将其安全级别设置为最低值 0 ，并启用VLAN 2接口。

1
2
3
4

CCNAS-ASA(config-if)# interface vlan 2
CCNAS-ASA(config-if)# nameif outside
CCNAS-ASA(config-if)# ip address 209.165.200.226 255.255.255.248
CCNAS-ASA(config-if)# security-level 0

c. 使用以下验证命令检查您的配置：

1. 使用 show interface ip brief 命令显示所有ASA接口的状态。注意：这个命令与IOS命令show ip interface brief不同。如果之前配置的任何物理或逻辑接口状态不是up/up，请根据需要排查问题后再继续。

提示：大多数ASA show命令，包括ping、copy等，无需do命令即可在任意配置模式提示符下执行。

1. 使用 show ip address 命令显示三层VLAN接口的信息。

2. 使用 show switch vlan 命令显示ASA上配置的内部和外部VLAN以及分配的端口。

步骤5：测试到ASA的连接性。

a. 应该可以从PC-B成功ping通ASA内部接口地址（192.168.1.1）。如果无法ping通，请按需排查配置问题。

b. 从PC-B尝试ping VLAN 2（外部）接口的IP地址209.165.200.226。理论上您不应该能ping通这个地址。

第三部分：使用CLI配置路由、地址转换和检查策略

步骤1：为ASA配置静态默认路由。

在ASA外部接口上配置默认静态路由，以便ASA能够访问外部网络。

a. 使用 route 命令创建一个“全零”默认路由，将其与ASA外部接口关联，并将R1 G0/0 IP地址（209.165.200.225）设置为最后手段网关。

1

CCNAS-ASA(config)# route outside 0.0.0.0 0.0.0.0 209.165.200.225

b. 发出 show route 命令以验证静态默认路由是否存在于ASA路由表中。

c. 验证ASA能否ping通R1 S0/0/0 IP地址10.1.1.1。如果无法ping通，请按需排查问题。

步骤2：使用PAT和网络对象配置地址转换。

a. 创建名为 inside-net 的网络对象，并使用subnet和nat命令为其分配属性。

1
2
3
4

CCNAS-ASA(config)# object network inside-net
CCNAS-ASA(config-network-object)# subnet 192.168.1.0 255.255.255.0
CCNAS-ASA(config-network-object)# nat (inside,outside) dynamic interface
CCNAS-ASA(config-network-object)# end

b. ASA将配置拆分为定义要转换的网络的对象部分以及实际的nat命令参数。这些内容会在运行配置中的两个不同位置显示。使用 show run 命令显示NAT对象配置。

c. 从PC-B尝试ping R1 G0/0接口IP地址209.165.200.225。这些ping请求应失败。

d. 在ASA上发出 show nat 命令查看已翻译和未翻译的命中次数。请注意，来自PC-B的ping请求中有四个被翻译，四个未被翻译。外出的ping（echo请求）已被翻译并发送至目标。返回的echo响应由于防火墙策略而被阻止。您将在本部分活动的第3步配置默认检查策略以允许ICMP流量。

步骤3：修改默认MPF应用检查全局服务策略。

为了实现应用层检查和其他高级选项，Cisco ASA设备提供了MPF功能。

Packet Tracer ASA设备默认没有MPF策略映射。作为修改，我们可以创建一个默认策略映射，用于对内部到外部的流量进行检查。正确配置后，只有由内部发起的流量才被允许回传到外部接口。您需要将ICMP添加到检查列表中。

a. 使用以下命令创建类图、策略映射和服务策略，并在策略映射列表中添加ICMP流量的检查：

1
2
3
4
5
6
7
8

CCNAS-ASA(config)# class-map inspection_default
CCNAS-ASA(config-cmap)# match default-inspection-traffic
CCNAS-ASA(config-cmap)# exit
CCNAS-ASA(config)# policy-map global_policy
CCNAS-ASA(config-pmap)# class inspection_default
CCNAS-ASA(config-pmap-c)# inspect icmp
CCNAS-ASA(config-pmap-c)# exit
CCNAS-ASA(config)# service-policy global_policy global

b. 从PC-B再次尝试ping R1 G0/0接口IP地址209.165.200.225。这次ping应该成功，因为现在ICMP流量正在被检查，合法的返回流量被允许通过。若ping失败，请排查您的配置。

第四部分：配置DHCP、AAA和SSH

步骤1：配置ASA作为DHCP服务器。

a. 在ASA内部接口上配置DHCP地址池并启用它。

1

CCNAS-ASA(config)# dhcpd address 192.168.1.5-192.168.1.36 inside

b. （可选）指定给客户端提供的DNS服务器IP地址。

1

CCNAS-ASA(config)# dhcpd dns 209.165.201.2 interface inside

c. 在ASA内启用DHCP守护进程，使其监听内部接口上的DHCP客户端请求。

1

CCNAS-ASA(config)# dhcpd enable inside

d. 将PC-B从静态IP地址更改为DHCP客户端，并验证其是否接收到IP地址信息。如有必要，请解决任何问题。

步骤2：配置AAA以使用本地数据库进行身份验证。

a. 使用username命令定义一个名为admin的本地用户，并指定密码adminpa55。

1

CCNAS-ASA(config)# username admin password adminpa55

b. 配置AAA以使用本地ASA数据库进行SSH用户身份验证。

1

CCNAS-ASA(config)# aaa authentication ssh console LOCAL

步骤3：配置远程访问ASA。

ASA可以配置为接受来自内部或外部网络的单个主机或范围内的主机连接。在此步骤中，外部网络的主机只能通过SSH与ASA通信。SSH会话可用于从内部网络访问ASA。

a. 生成RSA密钥对，这是支持SSH连接所必需的。由于ASA设备已经有RSA密钥存在，当提示替换它们时请输入no。

1

CCNAS-ASA(config)# crypto key generate rsa modulus 1024

b. 配置ASA以允许来自内部网络（192.168.1.0/24）和外部网络分支办公室远程管理主机（172.16.3.3）的任何主机通过SSH进行连接。设置SSH超时时间为10分钟（默认为5分钟）。

1
2
3

CCNAS-ASA(config)# ssh 192.168.1.0 255.255.255.0 inside
CCNAS-ASA(config)# ssh 172.16.3.3 255.255.255.255 outside
CCNAS-ASA(config)# ssh timeout 10

c. 从PC-C通过SSH建立到ASA（209.165.200.226）的会话。如不成功，请排查问题。

1

PC> ssh -l admin 209.165.200.226

d. 从PC-B通过SSH建立到ASA（192.168.1.1）的会话。如不成功，请排查问题。

1

PC> ssh -l admin 192.168.1.1

第五部分：配置DMZ、静态NAT和ACL

R1 G0/0接口与ASA的外部接口分别使用209.165.200.225和.226。您将使用公网地址209.165.200.227，并通过静态NAT提供对服务器的地址转换访问。

步骤1：在ASA上配置DMZ接口VLAN 3。

a. 配置DMZ VLAN 3，该VLAN将是公共访问Web服务器所在的位置。为它分配IP地址192.168.2.1/24，并命名为 dmz ，同时为其设置安全级别为 70 。由于服务器无需主动与内部用户通信，因此禁用到接口VLAN 1的转发。

1
2
3
4
5
6

CCNAS-ASA(config)# interface vlan 3
CCNAS-ASA(config-if)# ip address 192.168.2.1 255.255.255.0
CCNAS-ASA(config-if)# no forward interface vlan 1
CCNAS-ASA(config-if)# nameif dmz
INFO: Security level for "dmz" set to 0 by default.
CCNAS-ASA(config-if)# security-level 70

b. 将ASA物理接口E0/2分配给DMZ VLAN 3并启用此接口。

1
2

CCNAS-ASA(config-if)# interface Ethernet0/2
CCNAS-ASA(config-if)# switchport access vlan 3

c. 使用以下验证命令检查您的配置：

1. 使用 show interface ip brief 命令显示所有ASA接口的状态。

   

2. 使用 show ip address 命令显示第3层VLAN接口的信息。

   

3. 使用 show switch vlan 命令显示ASA上的inside和outside VLAN配置以及分配的端口信息。

   

步骤2：使用网络对象配置到DMZ服务器的静态NAT。

配置一个名为dmz-server的网络对象，并将其分配给DMZ服务器的静态IP地址（192.168.2.3）。在定义对象模式下，使用nat命令指定此对象用于使用静态NAT将DMZ地址翻译为外部地址，并指定公开翻译地址209.165.200.227。

1
2
3
4

CCNAS-ASA(config)# object network dmz-server
CCNAS-ASA(config-network-object)# host 192.168.2.3
CCNAS-ASA(config-network-object)# nat (dmz,outside) static 209.165.200.227
CCNAS-ASA(config-network-object)# exit

步骤3：配置ACL以允许从互联网访问DMZ服务器。

配置一个名为OUTSIDE-DMZ的命名访问列表，允许来自任何外部主机到DMZ服务器内部IP地址的TCP协议在端口80上进行通信。将访问列表应用到ASA的外部接口的“IN”方向。

1
2

CCNAS-ASA(config)# access-list OUTSIDE-DMZ permit tcp any host 192.168.2.3 eq 80
CCNAS-ASA(config)# access-group OUTSIDE-DMZ in interface outside

注：与IOS ACL不同，ASA ACL的permit语句必须允许对内部私有DMZ地址的访问。外部主机通过服务器的公共静态NAT地址访问服务器，ASA将其翻译成内部主机IP地址，然后应用ACL。

步骤4：测试对DMZ服务器的访问。

在创建Packet Tracer活动时，成功测试外部对DMZ Web服务器的访问功能并未实现；因此，不强制要求成功测试。

步骤5：检查结果。

完成百分比应为100%。点击“Check Results”查看反馈和已完成所需组件的验证。

实验脚本：

第一部分：验证连接和探索ASA设备

1
2
3
4

hostname CCNAS-ASA
domain-name ccnasecurity.com
enable password ciscoenpa55
clock set 10:38:00 22 dec 2020

第二部分：使用CLI配置ASA设置和接口安全

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19

interface vlan 1
nameif inside
ip address 192.168.1.1 255.255.255.0
security-level 100

interface vlan 2
nameif outside
ip address 209.165.200.226 255.255.255.248
security-level 0
interface Ethernet0/0
switchport access vlan 2

interface vlan 3
ip address 192.168.2.1 255.255.255.0
no forward interface vlan 1
nameif dmz
security-level 70
interface Ethernet0/2
switchport access vlan 3

第三部分：使用CLI配置路由、地址转换和检查策略

1
2
3
4
5
6
7
8
9

route outside 0.0.0.0 0.0.0.0 209.165.200.225
class-map inspection_default
match default-inspection-traffic
exit
policy-map global_policy
class inspection_default
inspect icmp
exit
service-policy global_policy global

第四部分：配置DHCP、AAA和SSH

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

dhcpd address 192.168.1.5-192.168.1.36 inside
dhcpd dns 209.165.201.2 interface inside
dhcpd enable inside

username admin password adminpa55
crypto key generate rsa modulus 1024 #no

aaa authentication ssh console LOCAL
ssh 192.168.1.0 255.255.255.0 inside
ssh 172.16.3.3 255.255.255.255 outside
ssh timeout 10

第五部分：配置DMZ、静态NAT和ACL

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11

object network dmz-server
host 192.168.2.3
nat (dmz,outside) static 209.165.200.227

object network inside-net
subnet 192.168.1.0 255.255.255.0
nat (inside,outside) dynamic interface

access-list OUTSIDE-DMZ permit icmp any host 192.168.2.3
access-list OUTSIDE-DMZ permit tcp any host 192.168.2.3 eq 80
access-group OUTSIDE-DMZ in interface outside

地址表

目标

• 在防火墙配置前验证设备之间的连通性。

• 在路由器R3上配置基于区域的策略（ZPF）防火墙。

• 使用ping、Telnet和网页浏览器验证ZPF防火墙功能。

背景/场景

基于区域的策略（Zone-Based Policy，ZPF）防火墙是Cisco防火墙技术发展的最新成果。在本活动中，您将在边缘路由器R3上配置一个基本的ZPF防火墙，允许内部主机访问外部资源，并阻止外部主机访问内部资源。然后，从内部和外部主机验证防火墙的功能。

路由器已预先配置了以下内容：

• 控制台密码： ciscoconpa55

• vty线路密码： ciscovtypa55

• 启用密码： ciscoenpa55

• 主机名和IP地址配置

• 静态路由配置

第一部分：验证基本网络连通性

在配置基于区域的策略防火墙之前，验证网络连通性。

步骤1：从PC-A命令提示符，ping PC-C的192.168.3.3地址。

步骤2：从PC-C命令提示符，通过telnet连接到Router R2 S0/0/1接口的10.2.2.2地址。退出Telnet会话。

步骤3：从PC-C打开一个网页浏览器访问PC-A服务器。

a. 点击桌面标签页并点击Web浏览器应用程序。将PC-A的IP地址 192.168.1.3 作为URL输入。此时应显示来自Web服务器的Packet Tracer欢迎页面。

b. 关闭PC-C上的浏览器。

第二部分：在路由器R3上创建防火墙区域

注意：对于所有配置任务，请确保使用指定的确切名称。

步骤1：创建内部区域。

使用 zone security 命令创建名为 IN-ZONE 的区域。

1

R3(config)# zone security IN-ZONE

步骤2：创建外部区域。

使用 zone security 命令创建名为 OUT-ZONE 的区域，并退出区域安全配置模式。

1
2

R3(config)# zone security OUT-ZONE
R3(config-sec-zone)# exit

第三部分：定义流量类别和访问列表

步骤1：创建定义内部流量的ACL。

使用 access-list 命令创建扩展ACL 101，允许来自192.168.3.0/24源网络的所有IP协议到任何目的地。

1

R3(config)# access-list 101 permit ip 192.168.3.0 0.0.0.255 any

步骤2：创建引用内部流量ACL的类映射。

使用带有match-all选项的 class-map type inspect 命令创建名为 IN-NET-CLASS-MAP 的类映射。使用 match access-group 命令匹配ACL 101。

1
2
3

R3(config)# class-map type inspect match-all IN-NET-CLASS-MAP
R3(config-cmap)# match access-group 101
R3(config-cmap)# exit

注：虽然在本Packet Tracer练习中不支持，但可以通过match-any选项指定具体的协议（如HTTP、FTP等），以便对需要检查的流量类型提供更精确的控制。

第四部分：指定防火墙策略

步骤1：创建策略映射以确定如何处理匹配的流量。

使用 policy-map type inspect 命令并创建一个名为IN-2-OUT-PMAP的策略映射。

1

R3(config)# policy-map type inspect IN-2-OUT-PMAP

步骤2：指定inspect类型的类，并引用类映射IN-NET-CLASS-MAP。

1

R3(config-pmap)# class type inspect IN-NET-CLASS-MAP

步骤3：为该策略映射指定inspect操作。

使用inspect命令会调用基于上下文的访问控制（其他选项包括pass和drop）。

1
2
3

R3(config-pmap-c)# inspect

%No specific protocol configured in class IN-NET-CLASS-MAP for inspection. All protocols will be inspected.

提示信息表示IN-NET-CLASS-MAP类没有配置特定协议进行检查，因此所有协议都将被检查。

连续两次发出exit命令，退出config-pmap-c模式并返回到config模式。

1
2

R3(config-pmap-c)# exit
R3(config-pmap)# exit

第五部分：应用防火墙策略

步骤1：创建一对区域。

使用 zone-pair security 命令，创建一个名为 IN-2-OUT-ZPAIR 的区域对。指定在任务1中创建的源和目标区域。

1

R3(config)# zone-pair security IN-2-OUT-ZPAIR source IN-ZONE destination OUT-ZONE

步骤2：为两个区域之间的流量指定策略映射。

通过 service-policy type inspect 命令将策略映射及其关联操作附加到区域对，并引用之前创建的策略映射IN-2-OUT-PMAP。

1
2
3

R3(config-sec-zone-pair)# service-policy type inspect IN-2-OUT-PMAP
R3(config-sec-zone-pair)# exit
R3(config)#

步骤3：将接口分配给相应的安全区域。

在接口配置模式下，使用 zone-member security 命令将Fa0/1分配给IN-ZONE，将S0/0/1分配给OUT-ZONE。

1
2
3
4
5
6
7

R3(config)# interface fa0/1
R3(config-if)# zone-member security IN-ZONE
R3(config-if)# exit

R3(config)# interface s0/0/1
R3(config-if)# zone-member security OUT-ZONE
R3(config-if)# exit

步骤4：将运行配置复制到启动配置。

第六部分：从IN-ZONE到OUT-ZONE测试防火墙功能

验证配置基于区域的策略防火墙后，内部主机仍能访问外部资源。

步骤1：从内部PC-C，ping外部PC-A服务器。

从PC-C命令提示符，ping PC-A的192.168.1.3地址。ping操作应成功。

步骤2：从内部PC-C，telnet到路由器R2 S0/0/1接口。

a. 从PC-C命令提示符，telnet到R2的10.2.2.2，并提供vty密码 ciscovtypa55 。Telnet会话应成功。

b. 在活动的Telnet会话中，在R3上执行命令 show policy-map type inspect zone-pair sessions 以查看已建立的会话。

源IP地址和端口号是什么？

目标IP地址和端口号是什么？

步骤3：从PC-C退出R2上的Telnet会话并关闭命令提示符窗口。

步骤4：从内部PC-C，打开一个网页浏览器访问PC-A服务器的网页。

在浏览器URL字段中输入服务器IP地址192.168.1.3，并点击“Go”。HTTP会话应成功。在HTTP会话活动期间，在R3上执行命令 show policy-map type inspect zone-pair sessions 以查看已建立的会话。

注：如果在您在R3上执行命令之前HTTP会话超时，您需要在PC-C上点击“Go”按钮来生成PC-C与PC-A之间的会话。

源IP地址和端口号是什么？

目标IP地址和端口号是什么？

步骤5：关闭PC-C上的浏览器。

第七部分：从OUT-ZONE到IN-ZONE测试防火墙功能

验证配置基于区域的策略防火墙后，外部主机无法访问内部资源。

步骤1：从PC-A服务器命令提示符，ping PC-C。

从PC-A命令提示符，ping PC-C的192.168.3.3地址。ping操作应失败。

步骤2：从路由器R2，ping PC-C。

从R2，ping PC-C的192.168.3.3地址。ping操作应失败。

步骤3：检查结果。

您的完成百分比应为100%。点击“CheckResults”查看反馈和已完成的必要组件验证。

BUUCTF: https://buuoj.cn/challenges

相关阅读 CTF Wiki Hello CTF NewStar CTF

题目描述：

得到的 flag 请包上 flag{} 提交。

密文：

下载附件，得到一个没有后缀的文件。

解题思路：

1、文件没有后缀，用010Editor看一下文件类型，是PDF文件。

1

Adobe Acrobat (pdf)， 文件头：25 50 44 46 2D 31 2E

修改文件后缀为.pdf，打开如下图所示。

2、提示flag在图片的后面，但PDF文件是无法修改的。使用电脑上的Word打开PDF文件，转换为word文件进行编辑。

删除图片，得到一串十六进制的数据图片。

1

0x77637466323032307b746831735f31735f405f7064665f616e645f7930755f63616e5f7573655f70686f7430736830707d

3、将这串十六进制数据转换为ASCII字符串，得到flag。

flag：

1

flag{th1s_1s_@_pdf_and_y0u_can_use_phot0sh0p}

BUUCTF: https://buuoj.cn/challenges

相关阅读 CTF Wiki Hello CTF NewStar CTF

题目描述：

小明有一个保险箱，里面珍藏了小明的日记本，他记录了什么秘密呢？。。。告诉你，其实保险箱的密码四位纯数字密码。

密文：

下载附件，得到一张.jpg图片。

解题思路：

1、读完题目，感觉这是一道图片隐藏文件的题目，另外还需要用到压缩包密码破解的知识。先使用010 Editor查看图片，没有找到PK（zip文件的标志），反而被一个域名和一些HTML源代码扰乱方向，StegSolve上也没有什么帮助。转换方向，使用Kali的binwalk工具，看到图片中隐藏了一个rar压缩包，确定目标。 Windows平台参考思路

2、我没有直接在Kali平台下直接分离文件，而是在Windows下，通过修改图片文件后缀名为.rar来实现。解压压缩包果然需要密码。

3、根据题目的提示，密码为四位纯数字。使用RARP工具暴力破解密码，选定合适的约束条件可以大幅减少破解所需要的时间。破解得到的密码为7869。

3、使用密码来解压压缩包，得到2.txt文件，打开得到flag。

flag：

1

flag{75a3d68bf071ee188c418ea6cf0bb043}

BUUCTF: https://buuoj.cn/challenges

相关阅读 CTF Wiki

题目描述：

某黑客潜入到某公司内网通过嗅探抓取了一段文件传输的数据，该数据也被该公司截获，你能帮该公司分析他抓取的到底是什么文件的数据吗？

密文：

下载附件，解压得到一个.pcapng文件。

解题思路：

1、双击.pcapng文件，在Wireshark中打开，开始分析流量。我首先大致浏览了一下流量，发现HTTP协议的流量有上传文件的痕迹。（upload上传）

2、通过在顶部过滤器输入“http”语句，将HTTP流量过滤出来。（也可以使用“http.request.method==POST”语句实现更精确的过滤）

3、我是将每一条上传的流量都追踪HTTP流，最后找到有flag的报文。其实，可以查看流量的提示信息更快的定位目标流量。

4、在这条流量的提示信息中，我们看到包含JPEG图像，追踪这条流量的HTTP流，看到很多的数据，在数据的最下面找到flag。

flag：

1

flag{da73d88936010da1eeeb36e945ec4b97}

BUUCTF: https://buuoj.cn/challenges

相关阅读 CTF Wiki

题目描述：

下载附件后有一张图片。

密文：

解题思路：

有两种解题方法

方法一：

1、使用StegSolve打开图片。

2、打开FileFormat（文件格式）

3、拉到最下面，找到flag。（注意要消除所有的空格）

方法二：

1、使用WinHex打开图片，找到flag。

flag：

1

flag{stego_is_s0_bor1ing}

BUUCTF: https://buuoj.cn/challenges

相关阅读 CTF Wiki

题目描述：

只有一个附件，下载下来有一张GIF图片。

解题思路：

本题一共有2种解法（本人找到的）

方法一：

1、打开这张GIF图片，观察到不正常闪动，似乎有东西藏在图片中。 2、使用StegSolve工具，对图片进行逐帧查看。

在StegSolve中打开GIF图片

打开逐帧查看

在这里可以逐帧查看图片（理论上可以在这里看到逐帧的图片，但我这显示不出来）

3、找到三张带有flag的图片，拼在一起得到flag。(中间的那张图片“he11o”，中间是两个数字1)

方法二：

1、使用Photoshop打开GIF图片，也可以逐帧查看图片。

flag：

1

flag{he11ohongke}

相关阅读 CTF Wiki

题目描述：

图片似乎经过了什么处理，你能否将其复原呢？

密文：

下载附件，解压得到一张.jpg图片。

解题思路：

1、一张图片，典型的图片隐写。放到Kali中，使用binwalk检测，确认图片中隐藏zip压缩包。

使用foremost分离图片中的压缩包，在output目录中找到隐藏的zip压缩包。

2、尝试解压得到的压缩包，需要密码。

因为没有关于密码的提示，尝试用4位纯数字进行爆破，出现提示“no usable files found”（未找到可用文件）。

zip伪加密原理 猜测该zip压缩包为伪加密，通过010Editor修改压缩源文件数据区和目录区的全局方式位标记（下图红色标识），将伪压缩文件恢复到未加密的状态。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19

未加密：

文件头中的全局方式位标记为00 00

目录中源文件的全局方式位标记为00 00

伪加密：

文件头中的全局方式位标记为00 00

目录中源文件的全局方式位标记为09 00

真加密：

文件头中的全局方式位标记为09 00

目录中源文件的全局方式位标记为09 00

ps:也不一定要09 00或00 00，只要是奇数都视为加密，而偶数则视为未加密

3、修改后，解压压缩包不需要密码，解压成功，得到一张.png图片。

从这里也可以看出图片经过修改，无法正常显示。在010 Editor中打开，提示CRC校验错误，结合题目提示“图片似乎经过了什么处理”，认为图片被修改了宽高。

通过爆破宽高，得到正确的宽高，然后修改图片的宽高数据，得到正确的图片。爆破所用代码如下。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13

import os
import binascii
import struct

crcbp = open("repair.png", "rb").read()    #打开图片（修改图片路径）
for i in range(2000):
    for j in range(2000):
        data = crcbp[12:16] + \
            struct.pack('>i', i)+struct.pack('>i', j)+crcbp[24:29]
        crc32 = binascii.crc32(data) & 0xffffffff
        if(crc32 == 0x9BF1293B):    #图片当前CRC（修改CRC）
            print(i, j)
            print('hex:', hex(i), hex(j))

得到正确的宽高值。

修改图片中的宽高参数，然后保存图片查看。

获得flag。

flag：

1

flag{bdbace45-506b-f530-aa4d-57884b2025e}(”-“可能为“_“)

相关阅读 CTF Wiki

题目描述：

明文经过仿射函数y=3x+9加密之后变为JYYHWVPIDCOZ，请对其进行解密，flag的格式为flag{明文的大写形式}。

密文：

1

JYYHWVPIDCOZ

解题思路：

1、使用在线网站直接破解或手工计算破解，获得flag。（参数a=3，b=9，对应仿射函数y=3x+9） 仿射密码加密_仿射密码解密

手工计算使用解密函数为D(x) = a^-1(x - b) (mod m)，也可以获得flag。

flag：

1

AFFINECRYPTO

仿射密码简介：

单码加密法的另一种形式称为仿射加密法（affinecipher）。在仿射加密法中，字母表的字母被赋予一个数字。例如a=0，b=1，c=2…z=25。仿射加密法的密钥为0-25直接的数字对。