访问控制列表 实验.docx
- 文档编号:27348263
- 上传时间:2023-06-29
- 格式:DOCX
- 页数:8
- 大小:381.42KB
访问控制列表 实验.docx
《访问控制列表 实验.docx》由会员分享,可在线阅读,更多相关《访问控制列表 实验.docx(8页珍藏版)》请在冰豆网上搜索。
访问控制列表实验
实验五:
访问控制列表实验
班级_________学号_________姓名___________
实验目的:
理解在路由器上配置访问控制列表的基本工作原理及配置方法。
实验原理:
访问控制列表基本原理。
实验环境:
软件:
仿真模拟软件packettracer5.0版本以上。
实验内容和步骤:
实验一:
标准访问控制列表
实验拓扑图:
(注:
本图中的R2的Lo0是为连接入ISP而暂设,不需要连接真实的线路)
Ip地址列表:
步骤1:
准备网络,根据拓扑图所示完成网络电缆连接。
步骤2:
配置标准ACL
由于标准ACL只能根据源IP地址过滤流量。
一般而言,最好将标准ACL配置在尽量靠近目的地址的位置。
在此,需要配置标准ACL,用于阻止来自192.168.11.0/24网络的流量访问R3上的任何本地网络。
此ACL将应用于R3串行接口的入站流量。
请记住,每个ACL都有一条隐式的“denyall”语句,这会导致不匹配ACL中任何语句的所有流量都受到阻止。
因此,请在该ACL末尾添加permitany语句。
在配置和应用此ACL之前,请务必测试从PC1(或R1的Fa0/1接口)到PC3(或R3的Fa0/1接口)
的连通性。
连通性测试成功后才能应用ACL。
步骤1:
在路由器R3上创建ACL。
在全局配置模式下,创建一标准访问控制列表,列表号为10。
在标准ACL中,拒绝源地址为192.168.11.0/24的任何数据包,并在控制台显示匹配该语句的每个数据包的日志消息。
(提示:
使用log参数来回显日志)
__________________________________________________
允许所有其它流量。
__________________________________________________
步骤2:
应用ACL。
应用已创建的ACL,过滤通过串行接口0/0/1进入R3的数据包。
R3(config)#____________________________
(注意ACL的方向)
R3(config-if)#____________________________
R3(config-if)#____________________________
R3#copyrunstart
步骤3:
测试ACL。
测试ACL之前,请确定可以看见R3的控制台。
这样才能在拒绝数据包时看到访问列表日志消息。
从PC2pingPC3,以此测试该ACL。
由于该ACL的目的是阻止源地址属于192.168.11.0/24网络的流
量,因此PC2(192.168.11.10)应该无法ping通PC3。
您也可以从R1的Fa0/1接口向R3的Fa0/1接口发出扩展ping命令。
R1#pingip
TargetIPaddress:
____________________________
Repeatcount[5]:
____________________________
Datagramsize[100]:
____________________________
Timeoutinseconds[2]:
____________________________
Extendedcommands[n]:
____________________________
Sourceaddressorinterface:
192.168.11.1
Typeofservice[0]:
SetDFbitinIPheader?
[no]:
Validatereplydata?
[no]:
Datapattern[0xABCD]:
Loose,Strict,Record,Timestamp,Verbose[none]:
Sweeprangeofsizes[n]:
Typeescapesequencetoabort.
Sending5,100-byteICMPEchosto192.168.30.1,timeoutis2seconds:
Packetsentwithasourceaddressof192.168.11.1
____________________________________________________________________________________(请记录你ping的结果)
R3控制台应显示下列消息:
____________________________________________________________________________________(请记录R3跳出的屏显)
在R3的特权执行模式下,发出showaccess-lists命令。
屏幕上显示的输出为:
____________________________________________________________________________________
当从R1上执行此ping则
R1#pingip
TargetIPaddress:
192.168.30.1
Repeatcount[5]:
Datagramsize[100]:
Timeoutinseconds[2]:
Extendedcommands[n]:
y
Sourceaddressorinterface:
192.168.10.1
Typeofservice[0]:
SetDFbitinIPheader?
[no]:
Validatereplydata?
[no]:
Datapattern[0xABCD]:
Loose,Strict,Record,Timestamp,Verbose[none]:
Sweeprangeofsizes[n]:
____________________________________________________________________________________
请问ping通的成功率有多少,试解释之。
____________________________________________________________________________________
实验二:
扩展访问控制列表
同上拓扑及地址,(ACL配置应该清除)当访问控制需要更高的精度时,应该使用扩展ACL。
扩展ACL过滤流量的依据不仅仅限于源地址。
扩展ACL可以根据协议、源IP地址和目的IP地址以及源端口号和目的端口号过滤流量。
此网络的另一条策略规定,只允许192.168.10.0/24LAN中的设备访问内部网络,而不允许此LAN中的计算机访问Internet。
因此,必须阻止这些用户访问IP地址209.165.200.225。
由于此要求的实施涉及源地址和目的地址,因此需要使用扩展ACL。
在此需要在R1上配置扩展ACL,阻止192.168.10.0/24网络中任何设备发出的流量访问209.165.200.255主机(模拟的ISP)。
此ACL将应用于R1Serial0/0/0接口的出站流量。
一般而言,最好将扩展ACL应用于尽量靠近源地址的位置。
开始之前,请确认从PC1可以ping通209.165.200.225。
步骤1:
配置扩展ACL。
在全局配置模式下阻止从192.168.10.0/24到该主机的流量。
定义目的地址时可要使用关键字host。
______________________________________________________________________________________________________
如果没有permit语句,隐式“denyall”语句会阻止所有其它流量。
因此,应添加permit语句,确保其它流量不会受到阻止。
______________________________________________________________________________________________________
步骤2:
应用ACL。
如果是标准ACL,最好将其应用于尽量靠近目的地址的位置。
而扩展ACL则通常应用于靠近源地址的位置。
这里需要将应用于串行接口并过滤出站流量。
具体应用语句应为:
______________________________________________________________________________________________________
___________________________________________________
从PC1pingR2的环回接口结果是:
______________________________________________________________________________________________________
从PC1pingR2的fastethernet0/1接口,则结果是:
______________________________________________________________________________________________________
那要是从192.168.10.0/24网络的设备pingR3呢?
______________________________________________________________________________________________________
实验三:
使用访问控制列表控制telnet方式连接路由。
限制对路由器VTY线路的访问是远程管理的良好做法。
ACL可应用于VTY线路,从而限制对特定主机或网络的访问。
本任务将配置标准ACL,允许两个网络中的主机访问VTY线路。
拒绝所有其它主机。
步骤1:
检查是否可从R1和R3telnet至R2。
注:
要使得路由的telnet方式可连接,则需要键入以下命令
R2(config)#enablepasswordclass
即为:
设置特权模式的密码(非加密)
R2(config)#linevty04
即为:
进入VTY方式的控制
R2(config-line)#passwordclass
即为:
设置VTY方式的密码
R2(config-line)#login
即为:
设置VTY方式可否登录
步骤2:
配置ACL。
在R2上配置标准ACL,允许来自10.2.2.0/30和192.168.30.0/24的流量,拒绝所有其它流量。
__________________________________________________
__________________________________________________
步骤3:
应用ACL。
进入VTY线路0–4的线路配置模式。
R2(config)#linevty04
使用access-class命令将该ACL应用于这些vty线路的入站方向。
请注意,此命令与将ACL应用于其它
接口的命令不同。
R2(config-line)#access-class_____________
R2(config-line)#end
R2#copyrunstart
步骤3:
测试ACL
从R1telnet至R2。
请注意,R1的地址不在permit语句中列出的地址范围内。
因此,连接尝试应失败。
实测结果为:
__________________________________________________
__________________________________________________
从R3telnet至R2。
屏幕上将显示要求输入VTY线路口令的提示。
__________________________________________________
__________________________________________________
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 访问控制列表 实验 访问 控制 列表
![提示](https://static.bdocx.com/images/bang_tan.gif)