《实验十三 扩展IP访问控制列表的配置和应用》由会员分享,可在线阅读,更多相关《实验十三 扩展IP访问控制列表的配置和应用(3页珍藏版)》请在金锄头文库上搜索。
1、实验十三 扩展IP访问控制列表的配置和应用=113.1实验概述1 .实验目的在已掌握了标准ip访问控制列表工作原理、配置方法和应用特点的基础上,了解扩展 ip访问控制列表与标准ip访问控制列表之间的区别,重点掌握扩展ip访问控制列表的功能 特点。同时,结合实际应用,掌握扩展ip访问控制列表的配置和使用方法。2 .实验原理例如,在图13-1所示的网络中,企业内部有一台服务器,它可以同时提供Web服务 和FTP服务,但是我们想让外部用户只能访问Web服务而不能访问FTP服务,而内部用 户不受限制,如何实现呢?图13-1扩展IP访问控制列表的应用很显然,标准IP访问控制列表是不能实现上述要求的,它只
2、能对数据包的源地址进行 识别,如果用标准IP访问控制列表允许了外部到服务器的访问,那么到服务器的所有流量 都会被允许通过,包括Web和FTP。因此标准IP访问控制列表的控制能力很小,无法实 现本例的要求,而只能使用扩展IP访问控制列表。扩展IP访问控制列表的定义方法类似 于标准IP访问列表,它的编号范围为100199或20002699,命令格式如下: access-list access-list-number permitldeny protocolsource-address source-wildcard operator portdestination-address destinat
3、ion-wildcard operator port established log例如:access-list 110 deny tcp 172.16.3.0 0.0.0.255 host 172.16.1.2 eq 21,此命令拒绝了网 络地址为172.16.3.0的主机访问172.16.1.2并且使用21端口的所有数据包,该命令还可以写 为:access-list 110 deny tcp 172.16.3.0 0.0.0.255 host 172.16.1.2 eq ftp-data表13-1对扩展IP访问控制列表命令中相关参数的说明命令参数说明access-list-number访问
4、控制列表的编号,扩展IP访问控制列表的编号为100199或 20002699denylpermit对符合匹配语句的数据包所米取的动作,其中permit代表允许数据包 通过,deny代表拒绝数据包通过Protocol数据包所米用的协议,它可以是IP、TCP、UDP、IGMP等等source-address数据包的源地址,它可以是某个网络、某个子网或者某台主机source-wildcard数据包源地址的通配符掩码Operator指定逻辑操作,白可以是eq (等于)、neq (不等于)、gt (大于)、lt(小于)或者是一个range (范围)Port指明被匹配的应用层端口号,例如:telnet为2
5、3、FTP为20和21。destination-address数据包的目标地址,它可以是某个网络、某个子网或者某台主机destination-wildcard数据包目标地址的通配符掩码established仅用于入站TCP连接,如果TCP数据包头部的ACK位被设置了, 则匹配发生。(应用场合:假如要实现一个访问控制列表,它可以阻止 源端口向目标端口发起的TCP连接,但是又不想影响目标端口向源端 口发起的TCP连接。这时候就需要检测TCP头部的ACK位是否被设 置,如果没有,表示源端口正在向目标端口发起连接,这个时候匹配 就不会发生)Log将日志消息发送给控制台3.实验内容和要求(1)继续学习路
6、由器的基本配置方法(2)了解标准IP访问控制列表与扩展IP访问控制列表之间的区别(3)掌握扩展IP访问控制列表的功能和应用特点(4)掌握扩展IP访问控制列表的配置方法13.2实验规划1.实验设备(1)三层交换机(1台)(2)测试和配置用PC (3台)(3)直连双绞线 (1根)(4)配置用Console电缆 (1根)2 .实验拓扑扩展ip访问控制列表一般放置在各类应用服务器的前端,为服务器上的各种应用起到 安全保护作用,为此,本实验设计了如图13-2所示的网络结构。IF: 172. 16.0.2Mask:255.255.0.0Gateway: 172. 16.0. 1IF:192.168.0.3
7、 MaSk:255. 255. 255.0 Gateway: 192. 168.0. 1IF:172. 16.0.3MaSk:255.255.0.0Gateway: 172. 16. 0. 1IP:192.168.0.1Mask: 255. 255. 255.0IF: 192. 168.0.2Mask: 255. 255. 255.0GateWav: 192. 168. 0. 1faJO/1:IP:10.0.0. 1Mask: 255. 0. 0. 0Router 2 IP: 172. 16.0. 1MaSk:255.255.0.0PC 1图13-2扩展IP访问控制列表的规则拓扑其中交换机1上连接着Ftp服务器,交换机2上连接着Web服务器,实验要求分别在 路由器1和2上配置扩展的IP控制列表,使得最终PC1可以访问Web服务器但不可以访问 Ftp服务器,而PC2则刚好相反,可以访问Ftp但不可以访问Web服务器,同时要求PC1、 PC2能够互相访问。13.3实验步骤1. 路由器及pc基本配置。2. Web和Ftp服务器配置。3. 路由器配置路由及扩展IP控制列表,实现实验要求。4. 将控制列表应用到相应端口。13.4结果验证分别用PC1和PC2访问Web和Ftp,看是否满足实验要求。
