《2022年[借 .pdf》由会员分享,可在线阅读,更多相关《2022年[借 .pdf(6页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、实验利用访问列表进行VTY 访问限制【实验名称】利用访问列表进行VTY 访问限制【实验目的】掌握在路由器上使用ACL 进行 VTY 访问控制,增强路由器的安全性。【背景描述】你是一家大公司的IT 管理员,公司有很分公司在全国各地,你需要在路由器上配置VTY进行远程登录,但由于远程登录的不安全性,为加强其安全性能,所以需要指定某个IP 地址可以访问。【需求分析】指定只有 IP 地址为 172.16.1.10和 172.16.1.11的地址才可以远程登录路由器。【实验拓扑】图 10-4 实验拓扑图 【预备知识】路由器基本配置知识、访问控制列表知识【实验设备】路由器2 台PC 3 台直连线3 条【实
2、验原理】IP ACL(IP 访问控制列表或IP 访问列表)是实现对流经路由器或交换机的数据包根据一定的规则进行过滤。从而提高网络可管理性和安全性。IP ACL 分为两种:标准IP 访问列表和扩展IP 访问列表。标准IP 访问列表可以根据数据包的源 IP 地址定义规则,进行数据包的过滤。扩展IP 访问列表可以根据数据包的源IP、目的 IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。IP ACL基于接口进行规则的应用,分为入栈应用和出栈应用。入栈应用是指由外部经该接口进行路由器的数据包进行过滤。出栈应用是指路由器从该接口向外转发数据时进行数名师资料总结 - - -精品资料欢迎下载 - -
3、 - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 6 页 - - - - - - - - - 据包的过滤。 IP ACL的配置有两种方式:按照编号的访问列表,按照命名的访问列表。标准 IP 访问列表编号范围是199 、13001999 ,扩展IP 访问列表编号范围是100199 、20002699 。访问控制列表总的说起来有下面三个作用,我们来具体讨论一下:安全控制:允许一些分合匹配规则的数据包通过访问的同时而拒绝另一部分不符合匹配规则的数据包。举个例子说一下财务部的数据库服务器,上面的数据应该来说是比较机密的,不是说谁
4、都可以访问上面的数据的,这个时候就需要用到访问控制列表,在此列表中定义那些主机可以访问财务部数据库服务器,当此列表外的主机访问此服务器的时候,就会被路由器过滤掉。流量过滤:此功能是防止一些不必要的数据包通过路由器,来提高网络的带宽的利用率,数据流量标识: 此功能是对公司有两条或两条以上的网络链路时,访问控制列表与路由策略等来实现分工,让不同的数据包选择不同的链路,【实验步骤】第一步:路由器基本配置R1 (config)#interface FastEthernet 0/0 R1 (config-if)#ip address 172.16.3.1 255.255.255.0 R2 (config
5、)#interface FastEthernet 0/0 R2 (config-if)#ip address 172.16.3.2 255.255.255.0 R2 (config)#interface FastEthernet 0/1 R2 (config-if)#ip address 172.16.1.1 255.255.255.0 第二步:配置远程登录R1 (config)#enable password ruijie R1 (config)#line vty 0 4 R1(config-line)#password ruijie R1(config-line)#login 第三步:配置
6、路由R1 (config)#ip route 0.0.0.0 0.0.0.0 172.16.3.2 R2 (config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1 第四步:配置访问控制列表R1 (config)#access-list 10 permit host 172.16.1.10 R1 (config)#access-list 10 permit host 172.16.1.11 R1 (config)#access-list 10 deny any R1 (config)#line vty 0 4 R1(config-line)#access-clas
7、s 10 in 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 6 页 - - - - - - - - - 第五步:验证测试将接口 fa0/1 接口 IP 地址设置为172.16.1.1 , 使用此地址为原地址登录远程路由器R1,如下所示:R2(config)#interface fastEthernet 0/1 R2(config-if)#ip address 172.16.1.1 255.255.255.0 R2(config-if)#no shutdown R2(c
8、onfig-if)#end R2#Aug 21 06:32:10 R2 %5:Configured from console by console R2#telnet 172.16.3.1 /source-interface fastEthernet 0/1 Trying 172.16.3.1, 23. % Destination unreachable; gateway or host down 将接口fa0/1 接口 IP 地址设置为172.16.1.10 ,使用此地址为原地址登录远程路由器R1,如下所示:R2#configure terminal Enter configuration
9、commands, one per line. End with CNTL/Z. R2(config)#interface fastEthernet 0/1 R2(config-if)#ip address 172.16.1.10 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#end R2#Aug 21 06:33:49 R2 %5:Configured from console by console R2#telnet 172.16.3.1 /source-interface fastEthernet 0/1 Trying 172
10、.16.3.1, 23. User Access Verification Password: R1en R1enable Password: R1# R1# 将接口fa0/1 接口 IP 地址设置为172.16.1.11 ,使用此地址为原地址登录远程路由器R1 ,如下所示:R2#configure terminal Enter configuration commands, one per line. End with CNTL/Z. R2(config)#interface fastEthernet 0/1 R2(config-if)#ip address 172.16.1.11 255.
11、255.255.0 R2(config-if)#no shutdown 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页,共 6 页 - - - - - - - - - R2(config-if)#end R2#Aug 21 06:34:55 R2 %5:Configured from console by console R2#telnet 172.16.3.1 /source-interface fastEthernet 0/1 Trying 172.16.3.1, 23.
12、 User Access Verification Password: R1enable Password: R1# R1# R1#show access-lists ip access-list standard 10 10 permit host 172.16.1.10 20 permit host 172.16.1.11 30 deny any 【注意事项】1、访问控制列表要在接口下应用;2、要注意deny 某个网段后要peimit 其他网段。【参考配置】R1#show running-config Building configuration. Current configuratio
13、n : 657 bytes ! version RGNOS 10.1.00(4), Release(18443)(Tue Jul 17 20:50:30 CST 2007 -ubu1server) hostname R1 ! ip access-list standard 10 10 permit host 172.16.1.10 20 permit host 172.16.1.11 30 deny any ! enable password 7 13170743072817 ! 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - -
14、名师精心整理 - - - - - - - 第 4 页,共 6 页 - - - - - - - - - interface FastEthernet 0/0 ip address 172.16.3.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet 0/1 duplex auto speed auto ! ip route 0.0.0.0 0.0.0.0 172.16.3.2 ! line con 0 line aux 0 line vty 0 4 access-class 10 in login password 7
15、035122110c3706 ! end R2#show running-config Building configuration. Current configuration : 503 bytes ! version RGNOS 10.1.00(4), Release(18443)(Tue Jul 17 20:50:30 CST 2007 -ubu1server) hostname R2 ! interface FastEthernet 0/0 ip address 172.16.3.2 255.255.255.0 duplex auto speed auto ! interface F
16、astEthernet 0/1 ip address 172.16.1.11 255.255.255.0 duplex auto speed auto ! ip route 0.0.0.0 0.0.0.0 172.16.3.1 ! line con 0 line aux 0 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页,共 6 页 - - - - - - - - - line vty 0 4 login ! end 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 6 页 - - - - - - - - -