51 ACL访问控制列表实验一.docx

51 ACL访问控制列表实验一5.1 标准ACL访问控制列表实验一(编号方式) 假设你是某公司的网络管理员，公司的销售部，经理部，财务部分别属于3个不同的网段，为了安全起见，公司领导要求销售部不能对财务部进和访问，但经理部可以对财务部进行访问。要求使用编号方式进行标准ACL的制定和应用。 1.了解标准访问控制列表进行网络流量的控制原理和方法。 2.掌握编号方式标准访问控制列表的制定规则与配置方法，记忆编号的范围。 3.掌握网段和主机在制定规则时的命令区别。 4.掌握访问控制列表的在不同端口上进行应用的区别和应用原则。 路由器两台、V.35线缆一对、PC机3台、交叉线3根。 1.如上图搭建网络环境，并对两个路由器关闭电源，分别扩展一个同异步高速串口模块(WIC-2T)。两个路由器之间使用V.35的同步线缆连接，RouterA的S0/1口连接的是DCE端，RouterB的S0/1口连接的是DTE端。配置RouterA和RouterB的S0/1口地址，在RouterA的S0/1口上配置同步时钟为64000。配置其他端口及设备的地址，PC- 1 - 机要配置默认网关。 2.在RouterA上配置缺省路由为172.16.3.2；在RouterB上配置缺省路由为172.16.3.1。测试所有设备之间的联通性(应该全通)。 3.设置标准IP访问控制列表，使得172.16.2.0/24网段可以访问172.16.4.0/24网段，但是172.16.1.0/24网段不可以访问172.16.4.0/24网段。查看配置和端口的状态，并测试结果(PC1 ping PC3不通，但PC1 ping PC2通，PC2 ping PC3通)。把PC1的地址改成172.16.1.3，ping PC3也不通。 4.删除上述ACL，再重新设置标准IP访问控制列表，使得PC2可以访问PC3，但是PC1不可以访问PC3。注意与上一步定义ACL规则时的区别，源IP使用主机方式指定，不是网段。查看配置和端口的状态，并测试结果。把PC1的地址改成172.16.1.3，ping PC3可以通。 5.最后把配置以及ping的结果截图打包，以“学号姓名”为文件名，提交作业。 6.使用锐捷设备完成上面的步骤。 1.在RouterA上配置缺少路由为172.16.3.2；在RouterB上配置缺少路由为172.16.3.1。 R1(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.2 R2(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1 2.设置标准IP访问控制列表，使得172.16.2.0/24网段可以访问172.16.4.0/24网段，但是172.16.1.0/24网段不可以访问172.16.4.0/24网段。源IP使用网段方式指定，注意命令中的反掩码。 (1)定义规则： R2(config)#access-list 10 deny 172.16.1.0 0.0.0.255 R2(config)#access-list 10 permit 172.16.2.0 0.0.0.255 R2(config)#access-list 10 permit any (2)应用端口： R2(config)#interface fastethernet 0/0 R2(config-if)#ip access-group 10 out 3.查看ACL配置和端口的状态 R2#show access-lists 或R2#show ip access-lists - 2 - R2#show ip interface fastethernet 0/0 或R2#show running-config 4.删除指定的标准ACL(编号方式) R2(config)#no access-list 10 5.设置标准IP访问控制列表(编号方式)，使得PC2可以访问PC3，但是PC1不可以访问PC3。定义ACL规则时源IP使用主机方式指定，不是网段，注意host的使用，不需要反掩码。 (1)定义规则： R2(config)#access-list 10 deny host 172.16.1.2 R2(config)#access-list 10 permit host 172.16.2.2 R2(config)#access-list 10 permit any (2)应用端口： R2(config)#interface fastethernet 0/0 R2(config)#ip access-group 10 out 1.定义规则时，每条规则的顺序不同，其结果大不一样。所以要注意每条规则的前后顺序，有不符合自己的设计或要求时，要将某条规则先no掉，再重新设置。 2.按从头到尾，至顶向下的方式进行匹配：匹配成功马上停止，立刻使用该规则的“允许、拒绝”。 3.一切未被允许的就是禁止的：路由器或三层交换机缺省允许所有的信息流通过；而防火墙缺省封锁所有的信息流，然后对希望提供的服务逐项开放。 4.定义规则时选择的路由器(或三层交换机)与应用规则时选择的端口要以保护对象最近为原则，应用的时候是入栈还是出栈要看信息是从路由器(或三层交换机)流入还是流出为判断标准。 1.RouterB#show access-lists (源IP使用网段方式指定) Standard IP access list 10 deny 172.16.1.0 0.0.0.255 permit 172.16.2.0 0.0.0.255 permit any 2.RouterB#show access-lists (源IP使用主机方式指定) Standard IP access list 10 - 3 - deny host 172.16.1.2 (3 match(es) permit host 172.16.2.2 (4 match(es) permit any (4 match(es) 3.RouterB#show running-config Building configuration. Current configuration : 607 bytes version 12.2 no service password-encryption hostname RouterB ip ssh version 1 interface FastEthernet0/0 ip address 172.16.4.1 255.255.255.0 ip access-group 10 out duplex auto speed auto interface FastEthernet0/1 no ip address duplex auto speed auto shutdown interface Serial0/0 no ip address shutdown interface Serial0/1 ip address 172.16.3.2 255.255.255.0 ip classless ip route 0.0.0.0 0.0.0.0 172.16.3.1 access-list 10 deny host 172.16.1.2 access-list 10 permit host 172.16.2.2 access-list 10 permit any no cdp run line con 0 line vty 0 4 login end - 4 -