2022年访问控制ACL配置实验 .pdf
《2022年访问控制ACL配置实验 .pdf》由会员分享,可在线阅读,更多相关《2022年访问控制ACL配置实验 .pdf(11页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、1 实验 路由器访问控制列表ACL配置实验目的及要求:理解路由器中重要的安全控制技术访问控制列表的工作原理,对路由器 IP 访问控制列表 ACL 进行配置与监测, 掌握配置使用编号的标准IP 访问控制列表与扩展IP 访问控制列表。实验设备:1. 带 Cisco IOS 10.0以上版本的 Cisco 路由器 2 台;2. RJ45-to-RJ45 rollover cable (反转线) 2 根、RJ45-DB9 Adapter (转换头)2 个,用于将路由器console口与 PC 机 COM 口相连;3. RJ45-to-RJ45 crossover cable (RJ45交叉线) 2 根
2、,用于将路由器以太接口与 PC机以太接口相连;4. V.35(一种同步串行传输标准)DTE 线缆、V.35 DCE 线缆各 1 根,用于将 2 台路由器异步 /同步 serial串行接口相连;5. 带 9 针 COM 口的 PC机 2 台。实验方法:1. 实验前预先阅读实验讲义课文,理解访问控制列表ACL 的工作原理与配置及监测的方法;2阅读后附的技术背景文档,熟悉使用访问控制列表的三个步骤及每个步骤使用的命令用法、 掌握标准 IP 访问控制列表与扩展IP 访问控制列表各自对报文的过滤能力;3. 按照实验内容给出的步骤,完成对IP 访问控制列表的配置和监测,并将获取的信息和配置及监测结果在实验
3、报告中给出;验证所做配置是否能正常工作。实验内容:1、配置和引用标准IP 访问控制列表如下图,先连接好实验设备,使用erase startup-config命令清除以前配置。并配置好各设备的基本IP 地址及静态路由,实现整个拓扑的IP 连通性,在此基础上进行 IP 访问控制列表的配置和监测。下图中,如实际实验设备的网络端口为100M 快速以太网端口,则须改用fa0/0、fa0/1 表示,图中的 lo 为 loopback自回环网络端口。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第
4、1 页,共 11 页 - - - - - - - - - 2 配置访问控制列表:在Router_A 上,我们允许从网络139.1.1.0来的数据通过,拒绝其他的数据。Router_A# conf t Enter configuration commands, one per line. End with CNTL/Z. Router_A(config)# access-list 1 permit 139.1.1.0 0.0.0.255 /设定访问控制列表;Router_A(config)# interface s0/0 Router_A(config-if)# ip access-group
5、1 in /应用到端口,这一步总在上一步设定访问表之后。去除访问表时则相反;Router_A(config-if)# end Router_A# 以下为显示的左边路由器A 及右边路由器 B 的配置:Router_A ,interface Serial0/0 ip address 192.168.1.1 255.255.255.0 ip access-group 1 in /所有从 s0/0进入的数据包都经过这个表的过滤;! interface Ethernet0/0 ip address 138.1.1.1 255.255.255.0 ip classless !access-list 1 p
6、ermit 139.1.1.0 0.0.0.255 !/定义访问表规则,此处只允许一个网络通过;/注意:这儿紧跟着隐含有一个省略的语句:deny any any ;,Router_B ,名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 11 页 - - - - - - - - - 3 interface Loopback0 ip address 140.1.1.1 255.255.255.0 ! interface Serial0/0 no switchport ip ad
7、dress 192.168.1.2 255.255.255.0 ! interface Ethernet0/0 no switchport ip address 139.1.1.1 255.255.255.0 no keepalive /使该端口在不接设备时,也被激活;接着,监测标准访问控制列表,使用路由器上扩展的ping 命令:Router_B# ping Protocol ip: /回车确认默认值;Target IP address: 192.168.1.1 /输入目标地址;Repeat count 5: Datagram size 100: Timeout in seconds 2: /
8、回车确认以上三项;Extended commands n: y /输入 yes,使用扩展 ping 命令;Source address or interface: 140.1.1.1 /指定数据包发出的地方;Type of service 0: Set DF bit in IP header? no: Validate reply data? no: Data pattern 0 xABCD: Loose, Strict, Record, Timestamp, Verbosenone: Sweep range of sizes n: /回车确认以上个项;Type escape sequence
9、 to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: . Success rate is 0 percent (0/5) 此时,观察到的结果为不通。重新使用扩展的ping 命令,将源地址改成139.1.1.1;此时,观察到的结名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 11 页 - - - - - - - - - 4 果是通的。两者比较,说明标准访问控制列表在工作
10、、已经起作用了。2、配置和引用扩展IP访问控制列表使用扩展访问控制列表进行报文过滤。如上图连接好设备并按图配置好地址,此处用二级IP 地址来替代多台PC机。我们希望做到路由器A 允许所有从 PC-C 到 PC-A 的数据通过,而拒绝从PC-C 到 PC-B 的数据通过。 这里对源 IP 和目的 IP 地址都要过滤, 因此使用扩展访问控制列表。两个路由器的最后配置如下:Router_A ! hostname Router_A ! ip subnet-zero ! interface Serial0/0 ip address 192.168.1.1 255.255.255.0 ip access-
11、group 101 in ! interface Ethernet0/0 ip address 198.1.1.2 255.255.255.0 secondary /使用二级地址;ip address 198.1.1.3 255.255.255.0 secondary /使用二级地址;ip address 198.1.1.1 255.255.255.0 no keepalive /使该端口在不接设备时,也被激活;! ip route 0.0.0.0 0.0.0.0 192.168.1.2 /缺省路由;名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - -
12、- - - - - 名师精心整理 - - - - - - - 第 4 页,共 11 页 - - - - - - - - - 5 ! access-list 101 permit ip host 199.1.1.2 host 198.1.1.2 log /访问表项;access-list 101 deny ip host 199.1.1.2 host 198.1.1.3 log /前面提到,新添表项时,总添在表的末尾,而由于访问表中表项的顺序至关重要,所以,脱机编辑表项不失为一个好方法;! line con 0 line aux 0 line vty 0 4 login ! end Router
13、_B ,interface Loopback0 ip address 197.1.1.1 255.255.255.0 ! Interface Serial0/0 no switchport ip address 192.168.1.2 255.255.255.0 ! interface Ethernet0/0 no switchport ip address 199.1.1.2 255.255.255.0 secondary ip address 199.1.1.1 255.255.255.0 no keepalive ! ip route 0.0.0.0 0.0.0.0 192.168.1.
14、1 ,然后,监测所作的配置。在路由器B 上,使用扩展的ping 命令:Router_B# ping Protocol ip: 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 11 页 - - - - - - - - - 6 Target IP address: 198.1.1.2 Repeat count 5: Datagram size 100: Timeout in seconds 2: Extended commands n: y Source address or
15、 interface: 199.1.1.2 Type of service 0: Set DF bit in IP header? no: Validate reply data? no: Data pattern 0 xABCD: Loose, Strict, Record, Timestamp, Verbosenone: Sweep range of sizes n: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 198.1.1.2, timeout is 2 seconds: ! Success rate
16、 is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms 将目的地址换成 198.1.1.3,结果是 U.U.U,就是目标不可达。在路由器 A 上:Router_A# sh ip access-lists Extended IP access list 101 permit ip host 199.1.1.2 host 198.1.1.2 log (901 matches) /允许的报文,已有901 次;deny ip host 199.1.1.2 host 198.1.1.3 log (5 matches) /被拒绝的报文,已有5 次;
17、可以看出路由器 A 上被拒绝的和通过的报文的次数。在路由器 A 上作 debug监测:Router_A# debug ip packet IP packet debugging is on Router_A# 01:43:07: IP: s=199.1.1.2 (FastEthernet0/0), d=198.1.1.3, len 100, access denied 01:43:07: IP: s=199.1.1.2 (FastEthernet0/0), d=198.1.1.3, len 100, access denied 01:43:09: IP: s=199.1.1.2 (FastEt
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022年访问控制ACL配置实验 2022 访问 控制 ACL 配置 实验
限制150内