06实验六 访问控制列表及地址转换.docx
- 文档编号:9337965
- 上传时间:2023-02-04
- 格式:DOCX
- 页数:22
- 大小:18.79KB
06实验六 访问控制列表及地址转换.docx
《06实验六 访问控制列表及地址转换.docx》由会员分享,可在线阅读,更多相关《06实验六 访问控制列表及地址转换.docx(22页珍藏版)》请在冰豆网上搜索。
06实验六访问控制列表及地址转换
实验六访问控制列表及地址转换
6.1实验目的
(1)理解访问控制列表的功能;
(2)掌握访问控制列表的配置;
(3)了解地址转换的作用;
(4)掌握地址转换的配置。
6.2实验内容
(1)标准访问控制列表;
(2)扩展访问控制列表;
(3)地址转换(NAT)。
6.3实验环境与分组
(1)QuidwayS3026C交换机2台,QuidwayR2611路由器2台,PC机4台,配置电缆2条,网线6条,V.35/V.24电缆一对;
(2)每4人一组,每2人作为一小组,每小组共同配置一台路由器;
(3)4人协同完成该实验。
6.4实验组网图
图6-1访问控制列表及地址转换组网图
6.5实验步骤
在实际的企业网或者校园网络中为了保证信息安全以及权限控制,都需要分别对待网内的用户群。
有的能够访问外部,有的则不能。
这些设置往往都是在整个网络的出口或是入口(一台路由器上)进行的。
所以在实验室我们用一台路由器(RouterA)模拟整个企业网,用另一台路由器(RouterB)模拟外部网。
具体实验组网图如图6-1所示。
6.5.1标准访问控制列表
标准访问控制列表只使用数据包的源地址来判断数据包,所以它只能以源地址来区分数据包,源相同而目的不同的数据包也只能采取同一种策略。
所以利用标准访问控制列表,我们只能粗略的区别对待网内的用户群。
下面我们通过实验只允许IP地址为172.18.1.2的主机PC1访问外部网络,则具体配置如下:
第一步:
按图6-1所示配置各路由器接口和各PC的IP地址和缺省网关,并在RouterA和RouterB上起用RIP协议。
参考配置命令如下:
//RouterA上的配置
[RouterA]interfacee0
[RouterA-Ethernet0]ipaddress172.18.1.124//设置e0的IP地址及子网掩码
[RouterA-Ethernet0]interfaces0
[RouterA-Serial0]ipaddress192.0.0.124//设置s0的IP地址及子网掩码
[RouterA-Serial0]shutdown//关闭s0端口
[RouterA-Serial0]undoshutdown//打开s0端口
[RouterA]rip//启动RouterA上的RIP协议
waiting...
RIPisrunning
[RouterA-rip]networkall//在RouterA的所有接口上使能RIP
//RouterB上的配置
[RouterB]interfacee0
[RouterB-Ethernet0]ipaddress202.0.1.824
[RouterB-Ethernet0]interfaces0
[RouterB-Serial0]ipaddress192.0.0.224
[RouterB-Serial0]shutdown
[RouterB-Serial0]undoshutdown
[RouterB]rip
waiting...
RIPisrunning
[RouterB-rip]networkall
第二步:
显示RouterA的当前配置信息如下:
[RouterA]displaycurrent-configuration
Nowcreateconfiguration...
Currentconfiguration
!
version1.74
sysnameRouterA
firewallenable
aaa-enable
aaaaccounting-schemeoptional
!
interfaceAux0
asyncmodeflow
link-protocolppp
!
interfaceEthernet0
ipaddress172.18.1.1255.255.255.0
!
interfaceEthernet1
!
interfaceSerial0
clockDTECLK1
link-protocolppp
ipaddress192.0.0.1255.255.255.0
!
interfaceAsync0
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync1
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync2
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync3
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync4
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync5
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync6
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync7
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
quit
rip
networkall
!
quit
!
return
第三步:
测试网络互通性,应该是全网互通的。
如果不是,请检查您的配置是否与上面的一致。
第四步:
在RouterA上进行标准访问控制的配置。
参考配置命令如下:
[RouterA]firewallenable
Firewallenabled
[RouterA]firewalldefaultpermit
Firewall'sdefaultfilteringmethodsetto'permit'
[RouterA]acl2001match-orderauto
[RouterA-acl-2001]rulepermitsource172.18.1.20.0.0.0
Rulehasbeenaddedtonormalpacket-filteringrules
[RouterA-acl-2001]ruledenysource172.18.1.00.0.0.255
Rulehasbeenaddedtonormalpacket-filteringrules
[RouterA-acl-2001]interfaces0
[RouterA-Serial0]firewallpacket-filter2001outbound
[RouterA-Serial0]shutdown
[RouterA-Serial0]undoshutdown
第五步:
显示RouterA的当前配置信息如下:
[RouterA]displaycurrent-configuration
Nowcreateconfiguration...
Currentconfiguration
!
version1.74
sysnameRouterA
firewallenable
aaa-enable
aaaaccounting-schemeoptional
!
acl2001match-orderauto
rulenormalpermitsource172.18.1.20.0.0.0
rulenormaldenysource172.18.1.00.0.0.255
!
interfaceAux0
asyncmodeflow
link-protocolppp
!
interfaceEthernet0
ipaddress172.18.1.1255.255.255.0
!
interfaceEthernet1
!
interfaceSerial0
clockDTECLK1
link-protocolppp
ipaddress192.0.0.1255.255.255.0
firewallpacket-filter2001outbound
!
interfaceAsync0
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync1
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync2
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync3
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync4
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync5
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync6
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync7
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
quit
rip
networkall
!
quit
!
return
第六步:
用ping命令测试PC1是不是真的能够访问外部网络,而PC2主机是不是不能访问外部网络?
若不是请检查您的配置是否与上面的一致。
第七步:
在设置防火墙时,一般选择在路由器的出口,可以使用firewallpacket-filter2001outbound来使防火墙生效。
如果我们在RouterA的e0口使用firewallpacket-filter2001inbound命令可以达到同样的效果。
参考配置命令如下:
[RouterA]interfaces0
[RouterA-Serial0]undofirewallpacket-filter2001outbound
[RouterA-Serial0]interfacee0
[RouterA-Ethernet0]firewallpacket-filter2001inbound
第八步:
显示RouterA的当前配置信息如下:
[RouterA]displaycurrent-configuration
Nowcreateconfiguration...
Currentconfiguration
!
version1.74
sysnameRouterA
firewallenable
aaa-enable
aaaaccounting-schemeoptional
!
acl2001match-orderauto
rulenormalpermitsource172.18.1.20.0.0.0
rulenormaldenysource172.18.1.00.0.0.255
!
interfaceAux0
asyncmodeflow
link-protocolppp
!
interfaceEthernet0
ipaddress172.18.1.1255.255.255.0
firewallpacket-filter2001inbound
!
interfaceEthernet1
!
interfaceSerial0
clockDTECLK1
link-protocolppp
ipaddress192.0.0.1255.255.255.0
!
interfaceAsync0
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync1
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync2
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync3
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync4
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync5
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync6
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync7
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
quit
rip
networkall
!
quit
!
return
第九步:
继续用ping命令测试PC1是不是真的能够访问外部网络,而PC2主机是不是不能访问外部网络?
是不是和在RouterA的s0口上使用firewallpacke-filter2001inbound的效果一样。
现在你是否也明白了inbound和outbound的意义了呢?
另外,我们甚至还可以在RouterB上进行配置来完成相同的功能。
学生们实验时可以自己进行配置、测试。
实际进行配置时应该选择最佳接口,最简单的配置完成最完善的功能。
6.5.2扩展访问控制列表
扩展访问控制列表不仅使用数据包的源地址作为判断条件,还使用目的地址、协议号为判断条件。
所以它可以更加详细的区分数据包,更好的控制用户访问。
下面我们通过实验只允许IP地址为172.18.1.2的主机PC1访问外部网络的IP地址为202.0.1.1的主机PC3。
具体步骤如下:
第一步:
将上面实验中在RouterA上配置的标准访问控制列表删除,并删除应用在e0口上的标准访问控制列表。
参考命令如下:
[RouterA]undoacl2001
Access-list2001hasbeendeleted
[RouterA]interfacee0
[RouterA-Ethernet0]undofirewallpacket-filter2001inbound
第二步:
根据功能要求定义扩展访问控制列表,并应用到RouterA的s0口。
参考配置命令如下:
[RouterA]acl3001match-orderauto
[RouterA-acl-3001]rulepermitipsource172.18.1.20.0.0.0destination202.0.1.1
0.0.0.0
Rulehasbeenaddedtonormalpacket-filteringrules
[RouterA-acl-3001]ruledenyipsource172.18.1.00.0.0.255destination202.0.1.0
0.0.0.255
Rulehasbeenaddedtonormalpacket-filteringrules
[RouterA-acl-3001]interfaces0
[RouterA-Serial0]firewallpacket-filter3001outbound
[RouterA-Serial0]shutdown
[RouterA-Serial0]undoshutdown
第三步:
显示RouterA的当前配置信息如下:
[RouterA]displaycurrent-configuration
Nowcreateconfiguration...
Currentconfiguration
!
version1.74
sysnameRouterA
firewallenable
aaa-enable
aaaaccounting-schemeoptional
!
acl3001match-orderauto
rulenormalpermitipsource172.18.1.20.0.0.0destination202.0.1.10.0.0.
0
rulenormaldenyipsource172.18.1.00.0.0.255destination202.0.1.00.0.0.
255
!
interfaceAux0
asyncmodeflow
link-protocolppp
!
interfaceEthernet0
ipaddress172.18.1.1255.255.255.0
!
interfaceEthernet1
!
interfaceSerial0
clockDTECLK1
link-protocolppp
ipaddress192.0.0.1255.255.255.0
firewallpacket-filter3001outbound
!
interfaceAsync0
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync1
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync2
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync3
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync4
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync5
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync6
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
interfaceAsync7
physical-modeasync
asyncmodeprotocol
link-protocolppp
!
quit
rip
networkall
!
quit
!
return
第四步:
用ping命令测试PC1是不是真的能够访问外部网络中的PC3主机,而PC2主机是不是不能访问外部网络的?
若不是请检查您的配置是否与上面的一致。
6.5.3地址转换(NAT)
由于IP地址紧缺,企业网常常使用的都是私有地址,这给访问外部网络带来了麻烦。
因为和可能存在两个IP地址一样的主机访问同一网络而产生冲突,无法正常完成数据传输。
所以我们企业网内部主机访问外部网络时,需要进行地址转换,在公网上使用公有地址进行数据传输。
地址转换有两种方式,一种是通过与接口关联,使用物理接口的IP地址作为转换后的公有地址。
另一种是通过地址池来完成地址转换,转换时可以任意从地址池中选取一个地址进行转换。
我们实验主要进行第一种方式的地址转换。
使用RouterA的s0口的IP地址作为公有地址。
在主机PC2上安装FTP服务器,并设置允许所有内网的主机和服务器访问外网,但只允许外网的主机PC3能够访问内网的FTP服务器。
具体实验步骤如下:
第一步:
将上面实验中在RouterA上配置的扩展访问控制列表删除,并删除应用在s0口上的扩展访问控制列表。
参考命令如下:
[RouterA]undoacl3001
[RouterA]interfaces0
[RouterA-Serial0]undofirewallpacket-filter3001outbound
第二步:
在RouterA上配置访问控制列表及地址转换。
参考配置命令如下:
[RouterA]acl3001match-orderauto
[RouterA-acl-3001]rulepermitipsource202.0.1.10destination192.0.0.10
Rulehasbeenaddedtonormalpacket-filteringrules
[RouterA-acl-3001]ruledenyipsource202.0.1.00.0.0.255destination192.0.0.1
0
Rulehasbeenaddedtonormalpacket-filteringrules
[RouterA-acl-3001]quit
[RouterA]acl3002match-order
[RouterA-acl-3002]acl3002match-orderauto
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 06实验六 访问控制列表及地址转换 06 实验 访问 控制 列表 地址 转换