《实验十二 标准ip访问控制列表的配置和应用》由会员分享,可在线阅读,更多相关《实验十二 标准ip访问控制列表的配置和应用(5页珍藏版)》请在金锄头文库上搜索。
1、实验十二实验十二 标准标准 IP 访问控制列表的配置和应用访问控制列表的配置和应用12.1 实验概述实验概述 1实验目的实验目的 掌握访问控制列表的功能及应用特点,在此基础上学习在路由器等三层设 备上标准 IP 访问控制列表的配置方法,为本章后续知识的学习奠定理论和实 践基础。 2实验原理实验原理 访问控制列表(ACL)实际上是一系列允许(Permit)和拒绝(Deny)匹 配准则的集合。图 12-1 显示了路由器对数据包的处理情况。 图 12-1 路由器使用访问控制列表处理数据包的过程 IP 访问控制列表可以分为两大类: 标准 IP 访问控制列表:只对数据包的源 IP 地址进行检查。其列表
2、号为 199 或 13001999。 扩展 IP 访问控制列表:对数据包的源和目标 IP 地址、源和目标端 口号等进行检查,因此扩展 IP 访问控制列表可以允许或拒绝部分协议,例如 FTP、Telnet、SNMP 等。其列表号为 100199 或 20002699。 标准 IP 访问控制列表只检查数据包的源 IP 地址,从而允许或拒绝某个 IP 网络、子网或主机的所有通信流量通过路由器的接口。定义标准 IP 访问控 制列表需要使用 access-list 命令来完成。在定义标准 IP 访问控制列表时应给 其加上相应的编号(199)或 20002699,命令格式如下: access-list a
3、ccess-list-number deny|permit source-address source-wildcard 其中,表 12-1 是对 acess-list 命令相关参数的说明。 表 12-1 对 access-list 命令相关参数的说明命令参数说明 access-list-number访问控制列表的号码,标准 IP 访问控 制列表的编号为 199 或 20002699 deny|permit对符合匹配语句的数据包所采取的动 作,其中 permit 代表允许数据包通过,deny 代表拒绝数据包通过 source-address数据包的源地址,它可以是某个网络、 某个子网或者某台主
4、机 source-wildcard数据包源地址的通配符掩码3实验内容和要求实验内容和要求 (1) 了解访问控制列表在网络安全中的功能和应用 (2) 了解访问控制列表的分类和特点 (3) 掌握标准 IP 访问控制列表的功能 (4) 掌握标准 IP 访问控制列表的配置方法 4.2.2 实验规划实验规划 1实验设备实验设备 (1) 路由器或三层交换机 (2 台) (2) 测试和配置用 PC(3 台) (3) Console 配置电缆(1 根) (4) PC 与路由器之间的连接线 (3 根) 2实验拓扑实验拓扑 为了让本实验尽可能地贴近实际应用,现假设某单位的办公室、人事处和 财务处分别属于不同的网段
5、,分别为 172.16.1.0/24、172.16.2.0/24 和 172.16.3.0/24,如图 12-2 所示。其中,这三个部门之间通过路由实现数据的交 换,但出于安全考虑,单位要求办公室的网络可以访问财务处的网络,而人事 处无法访问财务处的网络,其他网络之间都可以实现互访。在路由器 Router-A 与 Router-B 之间配置静态路由协议。 图 12-2 标准 IP 访问控制列表的规则拓扑4.2.3 实验步骤实验步骤 (1)路由器 Router-A 的基本配置。 Router #configure terminal (进入“全局配置”模式) Router(config)# (已进
6、入“全局配置”模式) Router(config)# hostname Router-A (使用 hostname 命令将路由器的名 称更改为“Router-A”) Router-A(config)#interface fastethernet 0/1 (进入路由器 fastethernet0/1 端口的配置模式) Router-A(config-if)#ip address 192.168.0.1 255.255.255.252 (将路由器 fastethernet 0/0 端口的地址配置为 192.168.0.1,子网掩码为 255.255.255.252, 本网段只有两个合法的 IP 地
7、址) Router-A(config-if)#no shutdown (开启路由器的 fastethernet 0/0 端口)Router-A(config-if)#exit (返回全局配置模式) Router-A(config)# interface fastethernet 0/0(进入路由器 fastethernet0/0 端口的配置模式) Router-A(config-if)#ip address 172.16.1.1 255.255.255.0 (将路由器 fastethernet0/1 端口的地址配置为 172.16.1.1,子网掩码为 255.255.255.0) Router
8、-A(config-if)#no shutdown (开启路由器的 fastethernet0/1 端口)Router-A(config-if)#exit Router-A(config)# interface fastethernet 0/2 Router-A(config-if)#ip address 172.16.2.1 255.255.255.0 Router-A(config-if)#no shutdown Router-A(config-if)#exit (2) 路由器 Router-B 的基本配置。 Router #configure terminal (进入“全局配置”模式)
9、Router(config)# (已进入“全局配置”模式) Router(config)# hostname Router-B (使用 hostname 命令将路由器的名 称更改为“Router-B”) Router-B(config)#interface fastethernet 0/0 (进入路由器 fastethernet0/0 端口的配置模式) Router-B(config-if)#ip address 192.168.0.2 255.255.255.252 Router-B(config-if)#no shutdown Router-B(config-if)#exit Router
10、-B(config)# interface fastethernet 0/1 Router-B(config-if)#ip address 172.16.3.1 255.255.255.0 Router-B(config-if)#no shutdown Router-B(config-if)#exit (3)路由器 Router-A 和 Router-B 上静态路由的配置。 Router-A(config)#ip route 172.16.3.0 255.255.255.0 192.168.0.2 Router-B(config)#ip route 172.16.1.0 255.255.255
11、.0 192.168.0.1 (4) 在路由器 Router-B 上配置标准访问控制列表,名称为 access-list 10。 Router-B(config)#access-list 10 deny hsot 172.16. 1.3(拒绝来自 172.16. 1.3 的流量通过) Router-B(config)#access-list 10 permit host 172.16.1.2 (允许来自 172.16.1.2 的流量通过) (5) 将访问控制列表应用到路由器 Router-B 的端口上。 Router-B(config)#interface fastethernet0/1 Ro
12、uter-B(config-if)#ip access-group 10 out (在 fastethernet0/1 的出站 端口上调用访问控制列表) Router-B(config-if)#end Router-B#write memory 4.2.4 结果验证结果验证 (1) 在办公室所属的 PC1(网关为所连接路由器的端口的 IP 地址 172.16.1.1)上 ping 财务处的 PC3,应该是连通的;而在人事处所属的 PC2 上 ping 财务处的 PC3,则不通。说明路由器 Router-B 允许 172.16.1.0/24 网 段的数据通过,而拒绝 172.16.2.0/24
13、网段的数据。 (2) 在路由器 Router-B 上利用 show access-list 10 命令查看标准 IP 访问控制 列表 access-list 10 的配置情况。 (3) 在路由器 Router-B 上运行 show configure 命令,其中将会显示以下的部分内容: interface FastEthernet0/1 description money ip address 172.16.3.1 255.255.255.0 ip access-group 10 out (访问控制列表 access-list 10 已应用在 FastEthernet0/1 端口上) duplex auto speed auto
