R1()#10
R1(-)# aes 256
R1(-)# pre-share
R1(-)#hash sha
R1(-)#group 5
R1(-)# 3600
R1(-)#exit
R1()#key10.20.20.1
R1()# ipsec -set VPN-SET esp-aes 256 esp-sha-hmac
R1()# map CMAP 10 ipsec-
% NOTE: This newmap willuntil a peer
and a validlist have been .
R1(--map)#set peer 10.20.20.1
R1(--map)#set pfs
R1(--map)#set -set VPN-SET
R1(--map)#match101
R1(--map)#exit
R1()# S0/0/0
R1(-if)# map CMAP
*Jan 3 07:16:26.785: %-6-:is ON
R1(-if)#exit
R1()#end
R3>en
R3#conf t
Enter, one per line. End with CNTL/Z.
R3()#-list 101ip 172.30.3.0 0.0.0.255 172.20.1.0 0.0.0.255
R3()#10
R3(-)# aes 256
R3(-)# pre-share
R3(-)#hash sha
R3(-)#group 5
R3(-)# 3600
R3(-)#exit
R3()#key10.10.10.1
R3()# ipsec -set VPN-SET esp-aes 256 esp-sha-hmac
R3()# map CMAP 10 ipsec-
% NOTE: This newmap willuntil a peer
and a validlist have been .
R3(--map)#set peer 10.10.10.1
R3(--map)#set -set VPN-SET
R3(--map)#match101
R3(--map)#exit
R3()# S0/0/1
R3(-if)# map CMAP
*Jan 3 07:16:26.785: %-6-:is ON
R3(-if)#end
配置防火墙和 IPS 设置
·使用以下要求在 R3 上配置 ZPF:
o创建名为 IN-ZONE和OUT-ZONE的区域 。
o创建 用于定义内部流量的 ACL 编号 110,允许从172.30.3.0/24源网络传送到 任何目的地的所有 IP协议 。
·创建名为-CLASS-MAP的类映射,使用match-all选项和。
·创建名为IN-2-OUT-PMAP的策略映射,使用 类映射-CLASS-MAP来检查所有匹配的流量 。
·创建名为IN-2-OUT-ZPAIR的区域对,将IN-ZONE指定为源区域,将OUT-ZONE指定为目的区域 。
o指定 IN-2-OUT-PMAP策略映射用于检查两个区域之间的流量 。
o将 G0/1 指定为 IN-ZONE成员,将 S0/0/1 指定为OUT-ZONE成员 。
R3()#zoneIN-ZONE
R3(-sec-zone)#zoneOUT-ZONE
R3(-sec-zone)#exit
R3()#zoneOUT-ZONE
R3(-sec-zone)#exit
R3()#-list 110ip 172.30.3.0 0.0.0.255 any
R3()#-list 110 deny ip any any
R3()#class-map typematch-all -CLASS-MAP
R3(-cmap)#match -group 110
R3(-cmap)#exit
R3()#-map typeIN-2-OUT-PMAP
R3(-pmap)#class type-CLASS-MAP
R3(-pmap-c)#
%Noin class -CLASS-MAP for . Allwill be
R3(-pmap-c)#exit
R3(-pmap)#-map typeIN-2-OUT-PMAP
class-class
type type of the class-map
R3(-pmap)#exit
R3()#zone-pairIN-2-OUT-ZPAIRIN-ZONEOUT-ZONE
文章插图
R3(-sec-zone-pair)#- typeIN-2-OUT-PMAP
R3(-sec-zone-pair)#exit
R3()# g0/1
R3(-if)#zone-IN-ZONE
R3(-if)#exit
R3()# s0/0/1
R3(-if)#zone-OUT-ZONE
R3(-if)#exit
R3()#end
·使用以下要求在 R3 上配置 IPS:
注意:在中,路由器已导入并实施了签名文件 。它们是闪存 中的默认 XML 文件 。出于此原因,不需要配置加密 公钥和完成签名文件的手动导入 。
o在名为 的闪存中创建目录并将其设置为存储 IPS 签名的位置 。
o创建名为 IPS-RULE的IPS 规则 。
o使用true命令停用全部签名类别(签名版本中的所有 签名) 。
o使用false命令取消停用 Basic类别 。
o在 S0/0/1 接口的入站方向应用 该规则 。
R3#mkdir
[]?
dir flash:
R3#conf t
Enter, one per line. End with CNTL/Z.
R3()#ip ipsflash:
R3()#ip ips name IPS-RULE
R3()#ip ips -
R3(-ips-)# all
R3(-ips--)# true
R3(-ips--)#exit
R3(-ips-)#basic
R3(-ips--)# false
R3(-ips--)#exit
R3(-ips-)#exit
Do you want tothese ? []
to...
%IPS-6-: -ip - 288- 6 of 13
%IPS-6-: -ip - build time 30 ms -for thiswill be
- 眼综合手术 眼综合手术前后对比
- 23西安电子科技大学 西电 833计算机专业基础综合 834 数据结构 计算机组
- 模糊综合评价法用什么软件实现_采用先进算法技术 实现低效资产评估智能化...
- TS流packet header 分析
- 丽格美容
- 歌舞表演
- 网站如何做好seo优化工作,SEO综合查询工具能检测优化效果吗?
- 19个指标评比世界综合实力十大强国:美国第一,中国远超俄罗斯! 世界十大人口大国
- 中国最值得尊敬的高中,综合实力全国百强,每年清华北大超20个 历史上20个中国之最
- 1.2亿成都市城市安全风险综合监测预警平台建设项目