《《CCIE Ramp;S 理论逐个击破—Security》》.pdf

Security （提示：由于内容较多，阅读时，建议开启 文档结构图.） 目录 Log 和log-input 作用1 remark4 Autocommand 6 Privilege Levels 9 基于时间的ACL 16 Reflexive ACL 19 Context-Based Access Control （CBAC ）24 Port to Application Mapping （PAM）30 Lock-and-Key Security (Dynamic ACL) 34 TCP Intercept 39 Unicast Reverse Path Forwarding (uRPF)42 AAA50 IP Source Tracker 56 Secure Shell (SSH)57 Intrusion Prevention System (IPS) 61 Zone-Based Policy Firewall 66 Control Plane Policing (CoPP) 80 Log 和log-input 作用 概述 当路由器为用户转发了数据之后，如果管理员想查看路由器曾经为哪些用户转 发过数据，在正常情况下，这是无法查证的。但是，可以通过接口配置 ACL ，并且 强制ACL 记录下曾经转发过的用户记录，这样，就能从路由器得知哪些用户是发起 第1 页共82 页 过数据的，并且发送了多少数据，但是用户发出的数据内容，是无法记录的。 要达到以上目的，那在配置ACL 时，使用Log 和log-input 的功能，并且将配置 好的ACL 用于接口上。 Log 和log-input 的区别是： Log 只能记录数据包通过时的源IP 和目的IP， 而log-input 除了记录源IP 和目的IP 之外，还会记录源的MAC 地址。 配置 1.配置ACL 中的Log 说明：配置路由器R1，让其允许R2 发来的数据包通过，但拒绝R3 的数据包通 过，并且记录下它们数据量。 （1）配置ACL 说明：配置ACL ，允许R2，拒绝R3，分别使用log 关键字 r1(config)#access-list 100 permit ip host any log r1(config)#access-list 100 deny ip host any log 第2 页共82 页 （2）应用ACL r1(config)#int f0/0 r1(config-if)#ip access-group 100 in （3）测试结果 说明：从R2 和R3 分别ping R4，查看R1 上的log Oct 1 14:15:26: %SEC-6-IPACCESSLOGDP: list 100 permitted icmp - (0/0), 5 packets Oct 1 14:16:46: %SEC-6-IPACCESSLOGDP: list 100 denied icmp - (0/0), 5 packet 说明：从R1 上弹出的日志可以看出，R2 到R4 的数据包是被放行了的，而R3 到R4 的数据包被丢弃了。 （4 ）查看ACL 记录 r1#sh ip access-lists Extended IP access list 100 10 permit ip host any log (25 matches) 20 deny ip host any