数据层面的控制答案.docx

数据层面的控制答案.docx

《数据层面的控制答案.docx》由会员分享，可在线阅读，更多相关《数据层面的控制答案.docx（45页珍藏版）》请在冰豆网上搜索。

数据层面的控制答案

使用标准ACL控制数据流量

1．实验拓扑：

2.实验需求：

上述拓扑模拟一个公司以及互联网，最终决定，内网运行OSPF1，外网运行OSPF100，在合适的地方配置静态路由。

要求使用标准ACL阻止172.16.1.1/32和172.16.2.1/32这两台PC机访问公网的R3和R5。

R3地址是202.13.0.3，R5地址是202.15.0.5

3.实验步骤：

（1）配置基本的IP地址信息

R4（config）#interfaceserial1

R4（config-if）#ipaddress24.0.0.4255.255.255.0

R4（config-if）#noshutdown

R4（config）#interfaceloopback0

R4（config-if）#ipaddress172.16.0.1255.255.255.255

R4（config）#interfaceloopback1

R4（config-if）#ipaddress172.16.1.1255.255.255.255

R4（config）#interfaceloopback2

R4（config-if）#ipaddress172.16.2.1255.255.255.255

R2（config）#interfaceserial1

R2（config-if）#ipaddress24.0.0.2255.255.255.0

R2（config-if）#noshutdown

R2（config-if）#clockrate64000

R2（config）#intserial0

R2（config-if）#ipaddress202.12.0.2255.255.255.0

R2（config-if）#noshutdown

R2（config-if）#clockrate64000

既然R2是内网和公网的边界路由器，所以我们必须使用NAT技术。

R2（config）#interfaceserial1

R2（config-if）#ipnatinside//配置内网接口

R2（config）#interfaceserial0

R2（config-if）#ipnatoutside//配置外网接口

R2（config）#ipnatinsidesourcelist1interfaceserial0overload//匹配ACL1的数据使用PAT技术，IP地址转换成S0口的公网IP地址

R2（config）#access-list1permitany//定义ACL

R1（config）#interfaceserial0

R1（config-if）#ipaddress202.12.0.1255.255.255.0

R1（config-if）#noshutdown

R1（config）#interfaceserial1

R1（config-if）#ipaddress203.13.0.1255.255.255.0

R1（config-if）#noshutdown

R1（config）#interfaceethernet0

R1（config-if）#ipaddress204.15.0.1255.255.255.0

R1（config-if）#noshutdown

R3（config）#intserial1

R3（config-if）#ipaddress203.13.0.3255.255.255.0

R3（config-if）#noshutdown

R3（config-if）#clockrate64000

R5（config）#interfaceethernet0

R5（config-if）#ipaddress205.15.0.5255.255.255.0

R5（config-if）#noshutdown

（2）配置合理的路由协议或者静态路由，使得内网用户能够访问外网

最终决定，内网运行OSPF1，外网运行OSPF100

R4（config）#routerospf1

R4（config-router）#router-id4.4.4.4

R4（config-router）#network0.0.0.0255.255.255.255area0

R2（config）#routerospf1

R2（config-router）#router-id2.2.2.2

R2（config-router）#network24.0.0.00.0.0.255area0

R2（config-router）#default-informationoriginatealway2s

这样内网用户将可以访问到公司边界路由器了。

我们在公司边界路由器上面使用默认路由指向ISP给我们分配的网关。

R2（config）#iproute0.0.0.00.0.0.0202.12.0.1

下面配置公网的路由协议OSPF100

R1（config）#routerospf100

R1（config-router）#router-id1.1.1.1有错？

错误的宣告了全部网段将下面分段宣告就可以R4pingR3R5的R1段ip，如果将剩下的一起宣告就可以ping通全部

R1（config-router）#network0.0.0.0255.255.255.255area0

R3（config）#routerospf100

R3（config-router）#router-id3.3.3.3

R3（config-router）#network203.13.0.00.0.0.255area0

R5（config）#routerospf100

R5（config-router）#router-id5.5.5.5

R5（config-router）#network204.15.0.00.0.0.255area0

我们查看内网以及公网的路由信息情况看看是不是公司内部用户可以访问公网了。

R4#shiproute

172.16.0.0/32issubnetted,3subnets

C172.16.1.1isdirectlyconnected,Loopback1

C172.16.0.1isdirectlyconnected,Loopback0

C172.16.2.1isdirectlyconnected,Loopback2

24.0.0.0/24issubnetted,1subnets

C24.0.0.0isdirectlyconnected,Serial1

O*E20.0.0.0/0[110/1]via24.0.0.2,00:

07:

33,Serial1

公司内网路由器使用OSPF1下发的默认路由把数据包传递给公司的边界路由器。

R2#shiproute

C202.12.0.0/24isdirectlyconnected,Serial0

172.16.0.0/32issubnetted,3subnets

O172.16.1.1[110/65]via24.0.0.4,00:

08:

38,Serial1

O172.16.0.1[110/65]via24.0.0.4,00:

08:

38,Serial1

O172.16.2.1[110/65]via24.0.0.4,00:

08:

38,Serial1

24.0.0.0/24issubnetted,1subnets

C24.0.0.0isdirectlyconnected,Serial1

S*0.0.0.0/0[1/0]via202.12.0.1

公司的边界路由器使用ISP指定的网关为默认路由的下一跳IP地址，这样整个公司的数据包全部交给ISP的网关边界路由器了。

R1#shiproute

C205.15.0.0/24isdirectlyconnected,Ethernet0

C202.12.0.0/24isdirectlyconnected,Serial0

C203.13.0.0/24isdirectlyconnected,Serial1

R3#shiproute

O205.15.0.0/24[110/74]via203.13.0.1,00:

05:

19,Serial1

O202.12.0.0/24[110/128]via203.13.0.1,00:

05:

19,Serial1

C203.13.0.0/24isdirectlyconnected,Serial1

R5#shiproute

C205.15.0.0/24isdirectlyconnected,Ethernet0

O202.12.0.0/24[110/74]via205.15.0.1,00:

05:

46,Ethernet0

O203.13.0.0/24[110/74]via205.15.0.1,00:

05:

46,Ethernet0

ISP中运行OSPF100可以使得相互路由器之间PING通。

这样，数据包就能够通信了。

（3）用标准ACL来限制某些用户的流量。

要求组织172.16.1.1/32和172.16.2.1/32去访问R3和R5

假设我们在R4上作用ACL看看：

R4（config）#access-list1denyhost172.16.1.1

R4（config）#access-list1deny172.16.2.10.0.0.0

R4（config）#access-list1permitany

R4（config）#interfaceserial1

R4（config-if）#ipaccess-group1out

标准ACL的编号为1-99，1300-1999，语句是这样的access-list编号permit/debyIP地址反掩码，标准ACL只匹配源IP地址。

下面比较子网掩码、反掩码和通配符掩码的区别：

子网掩码，顾名思义，就是在配置IP地址后面加的掩码信息，假设是/24，在路由器就表示为255.255.255.0，假设是25，就表示为255.255.255.128，“1”表示网络位，“0”则表示主机位。

反掩码，是用在路由协议的发布，“1”表示任意匹配，“0”表示精确匹配，但是必须是连续的。

通配符掩码。

用在ACL内，“1”表示任意匹配，“0”表示精确匹配，不需要是连续的。

例如：

子网掩码，192.168.1.0255.255.255.0

反掩码：

network10.1.1.00.0.0.255

通配符掩码，access-list1permit172.16.1.00.0.255.0

我们测试效果：

R4#ping203.13.0.3source172.16.0.1

Typeescapesequencetoabort.

Sending5,100-byteICMPEchosto203.13.0.3,timeoutis2seconds:

Packetsentwithasourceaddressof172.16.0.1

!

!

!

!

!

Successrateis100percent（5/5）,round-tripmin/avg/max=92/95/104ms

R4#ping203.13.0.3source172.16.1.1

Typeescapesequencetoabort.

Sending5,100-byteICMPEchosto203.13.0.3,timeoutis2seconds:

Packetsentwithasourceaddressof172.16.1.1

!

!

!

!

!

Successrateis100percent（5/5）,round-tripmin/avg/max=92/92/96ms

R4#ping203.13.0.3source172.16.2.1

Typeescapesequencetoabort.

Sending5,100-byteICMPEchosto203.13.0.3,timeoutis2seconds:

Packetsentwithasourceaddressof172.16.2.1

!

!

!

!

!

Successrateis100percent（5/5）,round-tripmin/avg/max=92/92/92ms

我们发现在本地路由器上作用ACL是不起效果的，所以我们得到了一个结论：

在本地路由器上作用ACL是没有效果的，路由器不能够匹配始发的数据流，只能够匹配穿越的数据流和抵达的数据流

。

模拟器也有效？

还是无效注意检查R2上的AC1主要是nat转换也用到了accesslist1

标准的ACL最好作用在靠近目的地的方向，但是由于使用了PAT技术，数据包在R2上就被转换成202.12.0.2这个源地址了，所以我们要在R2的S1口的IN方向上作用ACL

R2（config）#interfaceserial1

R2（config-if）#ipaccess-group2in

R2（config）#access-list2deny172.16.1.1

R2（config）#access-list2deny172.16.2.1

R2（config）#access-list2permitany

我们使用PING命令来测试ACL效果

R4#ping203.13.0.3source172.16.0.1

Typeescapesequencetoabort.

Sending5,100-byteICMPEchosto203.13.0.3,timeoutis2seconds:

Packetsentwithasourceaddressof172.16.0.1

!

!

!

!

!

Successrateis100percent（5/5）,round-tripmin/avg/max=92/94/100ms

R4#ping203.13.0.3source172.16.1.1

Typeescapesequencetoabort.

Sending5,100-byteICMPEchosto203.13.0.3,timeoutis2seconds:

Packetsentwithasourceaddressof172.16.1.1

.....

Successrateis0percent（0/5）

R4#ping203.13.0.3source172.16.2.1

Typeescapesequencetoabort.

Sending5,100-byteICMPEchosto203.13.0.3,timeoutis2seconds:

Packetsentwithasourceaddressof172.16.2.1

.....

Successrateis0percent（0/5）

R4#ping205.15.0.5source172.16.0.1

Typeescapesequencetoabort.

Sending5,100-byteICMPEchosto205.15.0.5,timeoutis2seconds:

Packetsentwithasourceaddressof172.16.0.1

!

!

!

!

!

Successrateis100percent（5/5）,round-tripmin/avg/max=64/64/64ms

R4#ping205.15.0.5source172.16.1.1

Typeescapesequencetoabort.

Sending5,100-byteICMPEchosto205.15.0.5,timeoutis2seconds:

Packetsentwithasourceaddressof172.16.1.1

.....

Successrateis0percent（0/5）

R4#ping205.15.0.5source172.16.2.1

Typeescapesequencetoabort.

Sending5,100-byteICMPEchosto205.15.0.5,timeoutis2seconds:

Packetsentwithasourceaddressof172.16.2.1

.....

Successrateis0percent（0/5）

4.实验结论：

使用扩展ACL控制数据流量

1．实验拓扑：

2．实验需求：

按照上述拓扑配置，要求阻止172.16.0.1/32telnetR3和R5的流量。

阻止172.16.1.1/32PINGR3和R5的流量，其他所有允许。

3．实验步骤：

（1）配置基本的IP地址信息

R4（config）#interfaceserial1

R4（config-if）#ipaddress24.0.0.4255.255.255.0

R4（config-if）#noshutdown

R4（config）#interfaceloopback0

R4（config-if）#ipaddress172.16.0.1255.255.255.255

R4（config）#interfaceloopback1

R4（config-if）#ipaddress172.16.1.1255.255.255.255

R4（config）#interfaceloopback2

R4（config-if）#ipaddress172.16.2.1255.255.255.255

R2（config）#interfaceserial1

R2（config-if）#ipaddress24.0.0.2255.255.255.0

R2（config-if）#noshutdown

R2（config-if）#clockrate64000

R2（config）#intserial0

R2（config-if）#ipaddress202.12.0.2255.255.255.0

R2（config-if）#noshutdown

R2（config-if）#clockrate64000

既然R2是内网和公网的边界路由器，所以我们必须使用NAT技术。

R2（config）#interfaceserial1

R2（config-if）#ipnatinside//配置内网接口

R2（config）#interfaceserial0

R2（config-if）#ipnatoutside//配置外网接口

R2（config）#ipnatinsidesourcelist1interfaceserial0overload//匹配ACL1的数据使用PAT技术，IP地址转换成S0口的公网IP地址

R2（config）#access-list1permitany//定义ACL

R1（config）#interfaceserial0

R1（config-if）#ipaddress202.12.0.1255.255.255.0

R1（config-if）#noshutdown

R1（config）#interfaceserial1

R1（config-if）#ipaddress203.13.0.1255.255.255.0

R1（config-if）#noshutdown

R1（config）#interfaceethernet0

R1（config-if）#ipaddress204.15.0.1255.255.255.0

R1（config-if）#noshutdown

R3（config）#intserial1

R3（config-if）#ipaddress203.13.0.3255.255.255.0

R3（config-if）#noshutdown

R3（config-if）#clockrate64000

R5（config）#interfaceethernet0

R5（config-if）#ipaddress205.15.0.5255.255.255.0

R5（config-if）#noshutdown

（2）配置合理的路由协议或者静态路由，使得内网用户能够访问外网

最终决定，内网运行OSPF1，外网运行OSPF100

R4（config）#routerospf1

R4（config-router）#router-id4.4.4.4

R4（config-router）#network0.0.0.0255.255.255.255area0

R2（config）#routerospf1

R2（config-router）#router-id2.2.2.2

R2（config-router）#network24.0.0.00.0.0.255area0

R2（config-router）#default-informationoriginatealways

这样内网用户将可以访问到公司边界路由器了。

我们在公司边界路由器上面使用默认路由指向ISP给我们分配的网关。

R2（config）#iproute0.0.0.00.0.0.0202.12.0.1

下面配置公网的路由协议OSPF100

R1（config）#routerospf100

R1（config-router）#router-id1.1.1.1

R1（config-router）#network0.0.0.0255.255.255.255area0

R3（config）#routerospf100

R3（config-router）#router-id3.3.3.3

R3（config-router）#network203.13.0.00.0.0.255area0

R5（config）#ro