Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
Sécurité - Configuration d'un
Routeur avec deux interfaces avec CBAC et sans NAT ccnp_cch
2
Sommaire - Introduction - Prérequis - Composants utilisés
- Configurer Schéma du réseau Configurations ccnp_cch
3
Introduction Cet exemple de configuration est fait pour une petite structure connectée directement à Internet en supposant que les services Web, DNS et SMTP sont fournis par un systè- me distant situé chez un opérateur Internet. Il n'y a pas de services sur le réseau in- terne par conséquent c'est une configuration simple de pare-feu et il n'y a que deux interfaces. Il n'y a pas de log car il n'y a pas de host disponible pour fournir les servi- ces de log. Comme cette configuration utilise uniquement des listes d'accès en entrée, elle permet le filtrage de trafic et l'anti-spoofing avec la même liste d'accès. Cette configuration fonctionne uniquement pour un routeur avec deux interfaces. L'interface Ethernet0 est le réseau "inside". L'interface serial0 est la liaison Frame Relay vers le fournisseur de service Internet. Prérequis Versions de Matériel et de Logiciel utilisées: Cette configuration a été réalisée et testée en utilisant les versions suivantes: • Cisco IOS Release T • Cisco Routeur Configurer Dans cette section sont présentées les informations pour nécessaires pour configurer les fonctionnalités décrites dans ce document. Schéma du Réseau E0 S0 Internet Réseau Interne Réseau Externe ccnp_cch
4
Configurations ccnp_cch RT-FAI Current configuration:
! version T ! no service udp-small-servers no service tcp-small-servers service password encryption no cdp run ! hostname RT-FAI ! no ip source-route ! enable secret 5 $1$Rtuvw$3F9TdY/q3S0vu1 ! username cisco password D F2036 ! ip domain-name cisco.com ip name-server ! !-- Configuration de l'inspection ! ip inspect name MyFw cuseeme timeout 3600 ip inspect name MyFw ftp timeout 3600 ip inspect name MyFw http timeout 3600 ip inspect name MyFw rcmd timeout 3600 ip inspect name MyFw realaudio timeout 3600 ip inspect name MyFw smtp timeout 3600 ip inspect name MyFw tftp timeout 30 ip inspect name MyFw udp timeout 15 ip inspect name MyFw tcp timeout 3600 ! interface Ethernet0 description Reseau Interne ip address ! !-- Applique la liste d'accès pour permettre le trafic légitime !-- issu du réseau interne ! ip access-group 101 in ! !-- Applique la liste d'inspection en entrée. !-- Quand des connexions sont initiées depuis le réseau interne !-- vers le réseau externe, cette inspection autorisera le !-- trafic retour de manière temporaire dans la liste d'accès ! de l'interface Serial0. ! ip inspect MyFw in no ip directed-broadcast no cdp enable ! ccnp_cch
5
interface Serial0 description Interface Frame relay ip address 199. 99
encapsulation frame-relay IETF no ip route-cache no arp frame-relay bandwidth 56 service-module 56 clock source line service-module 56k network-type dds frame-relay lmi-type ansi ! !-- La liste d'accès 111 permet du trafic ICMP et Telnet. !-- Elle fait également fonction d'anti-spoofing. ! ip access-group 111 in no ip directed-broadcast bandwidth 56 no cdp enable frame-relay interface-dlci 16 ! ip classless ip route Serial0 ! !-- La liste d'accès 20 est utilisée pour autoriser l'accès SNMP !-- par la station de gestion de réseau ! access-list 20 permit ! !-- La liste d'accès 101 permet le trafic légitime issu du réseau !-- interne et empêche le spoofing. ! access-list 101 permit icmp any access-list 101 permit tcp any access-list 101 permit udp any access-list 101 deny ip any any ! !-- La liste d'accès 111 contrôle ce qui vient du réseau externe !-- et empêche le spoofing. ! access-list 111 deny ip any access-list 111 deny ip any ! !-- Contrôle du trafic ICMP ! access-list 115 permit icmp any time-exceeded access-list 115 permit icmp any traceroute access-list 115 permit icmp any administratively-prohibited access-list 115 permit icmp any echo access-list 115 permit icmp any unreachable access-list 115 permit icmp any echo-reply access-list 115 permit icmp any packet-to-big ! ccnp_cch
6
-- Autorisation du trafic Telnet depuis une station
! !-- Autorisation du trafic Telnet depuis une station !-- d'administration ! access-list 111 permit tcp host eq telnet ! access-list 111 deny ip any any ! !-- Liste d'accès 20 appliquée au processus SNMP ! snmp-server community secret RO 20 ! line cons 0 login local password D185023F2036 transport input none line aux 0 line vty 0 4 login local paswword D185023F2036 ! end ccnp_cch
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.