Packet Tracer - 使用 CLI 配置 IOS 入侵防御系统 (IPS)
拓扑图
地址分配表
| 设备 | 接口 | IP 地址 | 子网掩码 | 默认网关 | 交换机端口 |
| R1 | G0/1 | 192.168.1.1 | 255.255.255.0 | 不适用 | S1 F0/1 |
| S0/0/0 | 10.1.1.1 | 255.255.255.252 | 不适用 | 不适用 | |
| R2 | S0/0/0 (DCE) | 10.1.1.2 | 255.255.255.252 | 不适用 | 不适用 |
| S0/0/1 (DCE) | 10.2.2.2 | 255.255.255.252 | 不适用 | 不适用 | |
| R3 | G0/1 | 192.168.3.1 | 255.255.255.0 | 不适用 | S3 F0/1 |
| S0/0/0 | 10.2.2.1 | 255.255.255.252 | 不适用 | 不适用 | |
| 系统日志 | NIC | 192.168.1.50 | 255.255.255.0 | 192.168.1.1 | S1 F0/2 |
| PC-A | NIC | 192.168.1.2 | 255.255.255.0 | 192.168.1.1 | S1 F0/3 |
| PC-C | NIC | 192.168.3.2 | 255.255.255.0 | 192.168.3.1 | S3 F0/2 |
目标
· 启用 IOS IPS。
· 配置日志记录。
· 修改 IPS 签名。
· 验证 IPS。
背景/ 场景
您的任务是在 R1 上启用 IPS 以扫描进入 192.168.1.0 网络的流量。
标记为“syslog”(系统日志)的服务器用于记录 IPS 消息。您 必须配置路由器,以确定将接收日志记录 消息的系统日志服务器。使用系统日志 (syslog) 监控网络时 ,在系统日志 (syslog) 消息中显示正确的时间和日期至关重要。设置时钟并配置时间戳 服务,以登录路由器。最后,启用 IPS 以生成警报并 以内联方式丢弃 ICMP 回应应答数据包。
已预配置服务器和 PC。已使用 以下信息对路由器进行了预配置:
o 启用 密码:ciscoenpa55
o 控制台 密码:ciscoconpa55
o SSH 用户名和密码:SSHadmin/ciscosshpa55
o OSPF 101
第 1 部分:启用 IOS IPS
注意:在 Packet Tracer 中,路由器已 导入并实施了签名文件。它们是闪存 中的默认 XML 文件。出于此原因,不需要配置加密 公钥和完成签名文件的手动导入。
步骤 1:启用 安全技术包。
a. 在 R1 上,发出 show version 命令以查看 安全技术包许可证信息。
b. 如果安全技术包尚未启用,请使用 以下命令启用技术包。
c. 接受最终用户许可协议。
d. 保存运行配置并重新加载该路由器以启用安全 许可证。
e. 使用 show version 命令验证是否启用了安全技术包。
步骤 2:验证 网络连接。
- 从 PC-C 对 PC-A 执行 ping 操作。该 ping 操作应该能够成功。
- 从 PC-A 对 PC-C 执行 ping 操作。该 ping 操作应该能够成功。
步骤 3:在闪存中创建 IOS IPS 配置目录。
在 R1 上,使用 mkdir 命令在闪存中创建一个目录。将目录命名为 ipsdir。
R1#
步骤 4:配置 IPS 签名存储位置。
在 R1 上,将 IPS 签名存储位置配置为 你刚刚创建的目录。
步骤 5:创建 IPS 规则。
在 R1 上,在全局配置模式下使用 ip ips name name 命令创建 IPS 规则名称。将 IPS 规则命名为 iosips。
步骤 6:启用日志记录。
IOS IPS 支持使用系统日志发送事件 通知。默认情况下,启用系统日志通知。如果启用了日志记录控制台 ,会显示 IPS 系统日志消息。
- 启用系统日志(如果未启用)。
- 如有必要,在特权 EXEC 模式 下使用 clock set 命令重置时钟。
- 使用 show run 命令验证是否在路由器 上启用了日志记录的时间戳服务。启用时间戳服务(如果 未启用)。
d. 将日志消息发送到 IP 地址为 192.168.1.50 的系统日志服务器。
步骤 7: 配置 IOS IPS 以使用签名类别。
使用 retired true 命令停用全部签名 类别(签名 版本中的所有签名)。使用 retired false 命令取消停用 IOS_IPS Basic 类别。
步骤 8:向接口应用 IPS 规则。
在接口配置模式下使用 ip ips name direction 命令向接口应用 IPS 规则。将 R1 上的 G0/1 接口应用出站规则 。启用 IPS 后,部分日志消息 将被发送到控制台线路,表明 IPS 引擎已被 初始化。
注意:方向 in 表示 IPS 只检查进入该接口的流量。同样地,out 表示 IPS 只检查从该接口传出的流量。
第 2 部分:修改 签名
步骤 1:更改签名的 事件操作。
取消停用回应请求签名(签名 2004, 子签名 ID 为 0),启用它,然后将签名操作更改为报警和丢弃。
步骤 2:使用 show 命令验证 IPS。
使用 show ip ips all 命令 查看 IPS 配置状态摘要。
向哪些接口应用 iosips 规则,沿什么方向应用该规则?
步骤 3:验证 IPS 是否正常工作。
- 从 PC-C 尝试对 PC-A 执行 ping 操作。ping 操作是否成功?说明原因。
- 从 PC-A 尝试对 PC-C 执行 ping 操作。ping 操作是否成功?说明原因。
步骤 4:查看系统日志 消息。
- 点击 Syslog(系统日志)服务器。
- 选择 Services(服务)选项卡。
- 在左侧的导航菜单中,选择 SYSLOG(系统日志)以查看该日志文件。
步骤 5:检查 结果。
完成比例应为 100%。点击 Check Results(检查结果)以查看反馈并验证已 完成的所需组件。
实验具体步骤:
R1:
R1#mkdir ipsdir
Create directory filename [ipsdir]?
Created dir flash:ipsdirR1(config)#ip ips config location flash:ipsdir
R1(config)#ip ips name iosips
R1(config)#ip ips notify log
R1(config)#endR1#clock set 10:20:00 10 May 2023R1(config)#service timestamps log datetime msec
R1(config)#logging host 192.168.1.50
R1(config)#ip ips signature-category
R1(config-ips-category)#category all
R1(config-ips-category-action)#retired true
R1(config-ips-category-action)#exit
R1(config-ips-category)#category ios_ips basic
R1(config-ips-category-action)#retired false
R1(config-ips-category-action)#exit
R1(config-ips-category)#exit
Do you want to accept these changes? [confirm]R1(config)#interface g0/1
R1(config-if)#ip ips iosips out
R1(config-if)#
R1(config-if)#exit
R1(config)#ip ips signature-definition
R1(config-sigdef)#signature 2004 0
R1(config-sigdef-sig)#status
R1(config-sigdef-sig-status)#retired false
R1(config-sigdef-sig-status)#enabled true
R1(config-sigdef-sig-status)#exit
R1(config-sigdef-sig)#engine
R1(config-sigdef-sig-engine)#event-action produce-alert
R1(config-sigdef-sig-engine)#event-action deny-packet-inline
R1(config-sigdef-sig-engine)#exit
R1(config-sigdef-sig)#exit
R1(config-sigdef)#exit
Do you want to accept these changes? [confirm]
R1(config)#end
R1#wr
Building configuration...
[OK]
R1#实验脚本:
R1:
en
conf t
license boot module c1900 technology-package securityk9
yes
end
write
reloadenable
mkdir ipsdir
conf t
ip ips config location flash:ipsdir
ip ips name iosips
ip ips notify log
end
clock set 10:20:00 10 May 2023
conf t
service timestamps log datetime msec
logging host 192.168.1.50
ip ips signature-category
category all
retired true
exit
category ios_ips basic
retired false
exit
exit
interface g0/1
ip ips iosips out
exit
ip ips signature-definition
signature 2004 0
status
retired false
enabled true
exit
engine
event-action produce-alert
event-action deny-packet-inline
exit
exit
exit
end
wr实验链接:https://pan.baidu.com/s/1MQZjgTCbnCLoGRzQ6z_Xow?pwd=5412
提取码:5412
--来自百度网盘超级会员V2的分享
