Packet Tracer - 使用CLI配置IOS入侵防御系统（IPS）

地址表

目标

• 启用IOS入侵防御系统（IPS）。

• 配置日志记录功能。

• 修改IPS签名规则。

• 验证IPS配置。

背景/场景

您的任务是在R1上启用IPS，扫描进入192.168.1.0网络的流量。

标记为“Syslog”的服务器用于接收和记录IPS消息。您需要配置路由器以识别该syslog服务器，并将日志消息发送到该服务器。在使用syslog监控网络时，在syslog消息中显示正确的时间和日期至关重要。因此，请设置时钟并为路由器上的日志记录功能配置时间戳服务。最后，启用IPS以产生警报并在线路上丢弃ICMP回显应答数据包。

服务器和PC已预先配置好。路由器也已经预先配置了以下内容：

o 启用密码：ciscoenpa55

o 控制台密码：ciscoconpa55

o SSH用户名和密码：SSHadmin / ciscosshpa55

o OSPF进程号101

第一部分：启用IOS入侵防御系统（IPS）

注意：在Packet Tracer中，路由器已经导入并安装了签名文件。它们是闪存中的默认xml文件。因此，不需要配置公钥和手动导入签名文件。

步骤1：启用安全技术包。

a. 在R1上，执行show version命令查看技术包许可证信息。

b. 如果尚未启用“Security Technology”包，请使用以下命令启用该包：

R1(config)# license boot module c1900 technology-package securityk9

c. 接受最终用户许可协议。

d. 保存运行配置，并重新加载路由器以启用安全许可证。

R1#write
Building configuration…
[OK]
R1#reload

e. 使用show version命令验证是否已启用“Security Technology”包。

步骤2：验证网络连接性。

a. 从PC-C向PC-A发送ping请求。应能成功ping通。

b. 从PC-A向PC-C发送ping请求。应能成功ping通。

步骤3：在闪存中创建一个IOS IPS配置目录。

在R1上，使用mkdir命令在闪存中创建一个目录。将目录命名为ipsdir。

R1#mkdir ipsdir
Create directory filename [ipsdir]?
Created dir flash:ipsdir

步骤4：配置IPS签名存储位置。

在R1上，将IPS签名存储位置配置为刚刚创建的目录。

R1(config)#ip ips config location flash:ipsdir

步骤5：创建一个IPS规则。

在R1的全局配置模式下，使用ip ips name "name"命令创建一个IPS规则名称。将IPS规则命名为iosips。

R1(config)#ip ips name iosips

步骤6：启用日志记录。

IOS IPS支持使用syslog发送事件通知。Syslog通知默认情况下是启用的。如果启用了logging console，则会显示IPS的syslog消息。

a. 如未启用syslog，则启用syslog。

R1(config)#ip ips notify log

b. 如有必要，从特权EXEC模式下使用clock set命令重置时钟。

R1#clock set 19:31:59 6 jan 2024

c. 使用show run命令验证路由器上的日志记录时间戳服务是否已启用。如果没有启用，则启用时间戳服务。

R1(config)#service timestamps log datetime msec

d. 将日志消息发送到位于IP地址192.168.1.50的syslog服务器。

R1(config)#logging host 192.168.1.50

步骤7：配置IOS IPS使用签名类别。

使用retired true命令退休所有签名类别（签名发布内的所有签名）。使用retired false命令取消退休IOS_IPS Basic类别。

R1(config)#ip ips signature-category
R1(config-ips-category)#category all
R1(config-ips-category-action)#retired true
R1(config-ips-category-action)#exit
R1(config-ips-category)#category ios_ips basic
R1(config-ips-category-action)#retired false
R1(config-ips-category-action)#exit
R1(config-ips-category)#exit

步骤8：将IPS规则应用于接口。

在接口配置模式下，使用ip ips name "direction"命令将IPS规则应用于接口。将规则应用于R1的G0/1接口的出站方向。启用IPS后，控制台行将收到一些日志消息，表明IPS引擎正在初始化。

R1(config)#int g0/1
R1(config-if)#ip ips iosips out

注：direction in表示IPS仅检查进入接口的流量。同样地，out表示IPS仅检查离开接口的流量。

第二部分：修改签名

步骤1：更改签名的事件动作。

取消退休echo request签名（签名ID 2004，子签名ID 0），启用它，并将签名动作更改为alert和drop。

R1(config)#ip ips signature-definition
R1(config-sigdef)#signature 2004 0
R1(config-sigdef-sig)#status
R1(config-sigdef-sig-status)#retired false
R1(config-sigdef-sig-status)#enabled true
R1(config-sigdef-sig-status)#exit
R1(config-sigdef-sig)#engine
R1(config-sigdef-sig-engine)#event-action produce-alert
R1(config-sigdef-sig-engine)#event-action deny-packet-inline
R1(config-sigdef-sig-engine)#exit
R1(config-sigdef-sig)#exit
R1(config-sigdef)#exit

步骤2：使用show命令验证IPS配置。

使用show ip ips all命令查看IPS配置状态摘要。

iosips规则应用于哪些接口以及什么方向？

步骤3：验证IPS是否正常工作。

a. 从PC-C尝试ping PC-A。这些ping请求成功了吗？请解释原因。

b. 从PC-A尝试ping PC-C。这些ping请求成功了吗？请解释原因。

步骤4：查看syslog消息。

a. 点击Syslog服务器。

b. 选择“服务”标签页。

c. 在左侧导航菜单中，选择SYSLOG以查看日志文件。

步骤5：检查结果。

您的完成百分比应为100%。点击“Check Results”查看反馈信息及已完成的必要组件验证。