收藏
下载资源

访问控制列表综合应用实验

上传人:精****档 文档编号:43960782 上传时间:2018-06-07 格式:DOC 页数:9 大小:78KB
返回 下载 相关 举报
访问控制列表综合应用实验_第1页
第1页 / 共9页
访问控制列表综合应用实验_第2页
第2页 / 共9页
访问控制列表综合应用实验_第3页
第3页 / 共9页
访问控制列表综合应用实验_第4页
第4页 / 共9页
访问控制列表综合应用实验_第5页
第5页 / 共9页
点击查看更多>>
资源描述

《访问控制列表综合应用实验》由会员分享,可在线阅读,更多相关《访问控制列表综合应用实验(9页珍藏版)》请在金锄头文库上搜索。

1、实验名称:访问控制列表综合应用实验实验环境:实验要求:1在 R2 上配置标准访问列表,拒绝所有来自 3.3.3.0 网络的数据包。2在 R2 上配置扩展访问列表,阻塞来自网络 23.1.1.0/24 发往 12.1.1.1 地址的 ICMP 包。3用命名的访问列表完成上述两个实验。4R1 路由器只允许 23.1.1.3 的 IP 地址能够 Telnet 到路由器上。5在第 4 步骤中,R1 路由器只允许 R3 在 2006 年 11 月 1 日至 2006 年 11 月 30 日的每周一到周五的 8:00 到 18:00 和周末的 9:00 到 21:00 才可以 Telnet 到R1。6只允

2、许 R1 能够主动发起连接 Telnet 到 R3,不允许 R3 主动发起连接到 R1 路由器(Established) 。7在 R2 上配置 Lock-and-key,R3 与 R1 建立连接前需要在 R2 上进行认证(Telnet) ,在 R2 上的认证方式为本地数据库(在 VTY 线路下面开启 Login local) ,R2 自动生成临时动态访问列表,并配置 绝对超时时间为 5 分钟,空闲时间为 3 分钟,自动生成的访问列表中的源地址必须用认证主机 IP 地址来进行替换。8在 R2 上配置自反列表,使 R1 可以 Ping 通 R3,R3 不能 Ping 通 R1。实验配置如下: 一、

3、基本配置:配置 R1:Routeren Router#conf tRouter(config)#hostname R1R1(config)#int S0R1(config-if)#ip add 12.1.1.1 255.255.255.0R1(config-if)#no shutR1(config-if)#router ripR1(config-router)#network 12.1.1.1R1(config-router)#end配置 R2:Routeren Router#conf tRouter(config)#hostname R2R2(config)#int S0R2(config-

4、if)#ip add 12.1.1.2 255.255.255.0R2(config-if)#no shutR2(config-if)#clock rate 64000R2(config-if)#int S1R2(config-if)#ip add 23.1.1.2 255.255.255.0R2(config-if)#no shutR2(config-if)#clock rate 64000R2(config-if)#router ripR2(config-router)#network 12.1.1.2R2(config-router)#network 23.1.1.2R2(config-

5、router)#end配置 R3:Routeren Router#conf tRouter(config)#ostname R3R3(config)#int S0R3(config-if)#ip add 23.1.1.3 255.255.255.0R3(config-if)no shutR3(config-if)#int loop0R3(config-if)#ip add 3.3.3.3 255.255.255.0R3(config-if)#no shutR3(config-if)#router ripR3(config-router)#network 3.3.3.3R3(config-rou

6、ter)#network 23.1.1.3R3(config-router)#endR3#sh run二、访问控制列表综合应用:1. 在 R2 上配置标准访问列表,拒绝所有来自 3.3.3.0 网络的数据包.R2#conf tR2(config)#access-list 10 deny 3.3.3.0 0.0.0.255R2(config)#access-list 10 permit anyR2(config)#int S1R2(config-if)#ip access-group 10 in2. 在 R2 上配置扩展访问列表,阻塞来自网络 23.1.1.0/24 发往 12.1.1.1 地址

7、的 ICMP 包. R2#conf tR2(config)#access-list 100 deny icmp 23.1.1.0 0.0.0.255 host 12.1.1.1R2(config)#access-list 100 permit ip any anyR2(config)#int S1R2(config-if)#ip access-group 100 in3.R1 路由器只允许 23.1.1.3 的 IP 地址能 Telnet 到路由器上. R1#conf tR1(config)#access-list 110 permit tcp host 23.1.1.3 host 12.1.

8、1.1 eq 23R1(config)#int S0R1(config-if)#ip access-gup 110 in4. 在第 3 步骤中,R1 路由器只允许 R3 在 2006 年 11 月 1 日至 2006 年 11 月 30 日的每周一到周五的 8:00 到 18:00 和周末的 9:00 到 21:00 才可以 Telnet 到 R1. R1#conf tR1(config)#time-range telnettime /建立允许访问的时间范围R1(config-time-range)#absolute start 00:00 1 nov 2006 end 00:00 1 dec

9、 2006R1(config-time-range)#periodic weekday 08:00 to 18:00R1(config-time-range)#periodic weekend 09:00 to 21:00R1(config-time-range)#exitR1(config)#access-list 110 permit tcp host 23.1.1.3 host 12.1.1.1 eq 23 time-range telnettime/建立访问控制列表只允许 R3 telnet 登入到 R1,将允许时间范围应用上R1(config)#int S0R1(config-if)

10、#ip access-group 110 in5. 只允许 R1 能够主动发起连接 Telnet 到 R3,不允许 R3 主动发起连接到 R1 路由器(Established).R1#conf tR1(config)#access-list 110 permit tcp host 23.1.1.3 host 12.1.1.1 eq 23 time-range telnettime established/建立 Established 列表,只允许 R1 主动发起连接 Telnet 到 R3,这里的源地址指的是 R3 的接口地址 23.1.1.3,因为要检查的是 R3 回应的数据流,只有回应的数

11、据流中 TCP 的 ACK 或 RST 比特才会被设置成 1,主动发起连接的设备 R1 数据流中的 TCP的 ACK 为 0。R1(config)#int S0R1(config-if)#ip access-group 110 in6. 在 R2 上配置 Lock-and-key,R3 与 R1 建立连接前需要在 R2 上进行认证(Telnet) ,在 R2 上的认证方式为本地数据库(在 VTY 线路下面开启 Login local) ,R2 自动生成临时动态访问列表,并配置绝对超时时间为 5 分钟,空闲时间为 3 分钟,自动生成的访问列表中的源地址必须用认证主机 IP 地址来进行替换.R2#

12、conf tR2(config)#access-list 120 dynamic spoto timeout 5 permit tcp any host 12.1.1.1/绝对超时 5 分钟R2(config)#access-list 120 permit tcp host 23.1.1.3 host 23.1.1.2 /允许 R3 通过 tcp 协议访问 R2R2(config)#int S1R2(config-if)#ip access-group 120 inR2(config-if)#endR2#access-enable host timeout 3/配置 Lock-and-key

13、特性的最后步骤是让路由器能在一个动态访问控制列表中创建一个临时性的访问控 制列表条目,缺省情况下,路由器是不这么做的,可以使用下面此命令来进行启用.Cisco 强烈推荐用户使用该命令的关键字 Host,其源地址总是用认证主机的 IP 地址来替换,所以我们在 定义动态访问列表的源地址中总是指定 any;Timeout 规定了空闲超时值,指示连接在被切断之前允许保 持的空闲时间。R2#conf tR2(config)#username spoto password spoto /建立本地用户和口令R2(config)#lin vty 0 4R2(config-line)#login local /

14、登入使用本地认证R2(config-line)#autocommand access-enable host timeout 10 /触发 access-enable 的命令7. 在 R2 上配置自反列表,使 R1 可以 Ping 通 R3,R3 不能 Ping 通 R1.R2#conf tR2(config)#ip access-list extended outbound /建立命名扩展列表,允许从 S1 接口转发所有的外出路由包R2(config-ext-ncl)#permit icmp any any reflect icmp_traffic /自反列表,允许 R1 所有网段能 PIN

15、G 通 R3R2(config-ext-ncl)#exitR2(config)#ip access-list extended inboundR2(config-ext-ncl)#evaluate icmp_traffic /检查从外网进来的流量,如果这个流量确实是从内网发起的对外访问的返回流量,那么允许这个流量进来R2(config-ext-ncl)#exitR2(config)#int S1R2(config-if)#ip access-group outbound out /应用控制列表R2(config-if)#ip access-group inbound in实验总结:1.基于时间

16、的访问控制列表:使用方法这种基于时间的访问列表就是在原来的标准访问列表和扩展访问列表中加入有效的时间范围来更合 理有效的控制网络。它需要先定义一个时间范围,然后在原来的各种访问列表的基础上应用它。并且, 对于编号访问表和名称访问表都适用。使用规则用 time-range 命令来指定时间范围的名称,然后用 absolute 命令或者一个或多个 periodic 命令来具体定义时间范围。IOS 命令格式为:time-range time-range-name 用来标识时间范围的名称absolute start time date end time date 指定绝对时间范围periodic days-of-the week hh:mm to days-of-the week hh:mm 以星期为单位来定义时间范围的一个参数2.动态访问控制列表:动态访问控制列表使指定的用户能获得对受保护资源的临时访问权,而不管他们是通过什么 I

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号