《实训三:访问控制列表.docx》由会员分享,可在线阅读,更多相关《实训三:访问控制列表.docx(12页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、实训二、网络控制列表一、实训说明:ACL(Access Control List,访问控制列表),简单说就是包过滤,在路由器上 读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等, 根据预先定义好的规那么对包进行过滤,从而到达访问控制的目的。ACL的主要 功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制 特定的用户节点所能具备的访问权限。ACL并不复杂,但在实际应用中的,要 想恰当地应用ACL,必需要制定合理的策略。配置ACL的基本原那么:在实施ACL的过程中,应当遵循如下两个基本原那么: 最小特权原那么:只给受控对象完成任务所必须的最小的权限。最靠近受
2、控对象原 那么:所有的网络层访问权限控制。具体规那么如下:1、入站访问控制列表:将到来的分组路由到出站接口之前对其进行处理。 因为如果根据过滤条件分组被丢弃,那么无需查找路由选择表;如果分组被允许通 过,那么对其做路由选择方面的处理。2、出站访问列表:到来的分组首先被路由到出站接口,并在将其传输出去 之前根据出站访问列表对其进行处理。3、访问控制列表的顺序决定被检验的顺序,最特殊的的规那么应该被刚到访 问控制列表的前面。4、任何访问列表都必须至少包含一条permit语句,否那么将禁止任何数据流 通过。5、同一个访问列表被用于多个接口,然而,在每个接口的每个方向上,针 对每种协议的访问列表只能有
3、一个。6、在每个接口的每个方向上,针对每种协议的访问列表只能有一个。同一 个接口上可以有多个访问列表,但必须是针对不同协议的。7、将具体的条件放在一般性条件的前面;将常发生的条件放在不常发生的条件前面。二者都可以实现去掉访问列表的目的。前者是从列表号角度删除,后者 是从端口和输入或输出的角度删除。可以通过show access-list命令查看删除情况,新的访问控制列表如下:RouterChen (config)#access-list 2 RouterChen (config)#access-list 2 permit anyRouterChen (config)#int s0/1Route
4、rChen (config-if)#ip access-group 2 outRouterChen (config-if)#endRouterChen#sh access-list这个访问控制列表比上一个访问控制列表有以下几点不同:先 deny 后 permit,(2)禁止的是一个网络(3)是输出的访问控制列表6、此时终端A BCD E之间互相PING测试,哪些终端可以实现通信? 为什么?7、扩展的访问控制列表扩展的访问控制列表,有源和目的两个ip,并且要指明应用的协议。实际 中可控制的协议有很多,本软件实际只支持icmp的echo操作,用以说明问题。例1.阻止PCA访问PCD:RouterC
5、hen (config)#access-list 101 deny icmp 10.65.1.1 0.0.0.0 10.70.1.1 0.0.0.0 echoRouterChen (config)#access-list 101 permit ip any anyRouterChen (config)#int s0/0RouterChen (config-if)#ip access-group 101 inRouterChen#sh access-list 101PCA #ping 10.70.1.1 (不通)(请求 echo 包被禁止)PCE #ping 10.70.1.1 (通)PCD #
6、ping 10.65.1.1 (通)例2.阻止网络访问10.70.1.1(PCD)。RouterChen (config)#access-list 102 deny icmp 10.65.1.1 0.0.0.255 1 0.70.1.1 0.0.0.0 echoRouterChen (config)#access-list 102 permit ip any anyRouterChen (config)#interface s0/1RouterChen (config-if)#ip access-group 102 (默认为 out)PCA #ping 10.70.1.1 (不通)(PCE:1
7、0.65.1.1 禁止)PCE #ping 10.70.1.1 (不通)(PCE:10.65.1 .3 禁止)8、新添的语句总是被放在访问列表的末尾,但位于隐式deny语句的前面。9、使用编号的访问列表时,不能有选择性的删除其中的语句;但使用名称 访问列表时可以。10、除非显式地在访问列表末尾添加一条permit any语句,否那么默认情况下, 访问列表将禁止所有不与任何访问列表条件匹配的数据流。11、访问控制列表应绑定到端口上,创立访问列表后再将其应用于接口,如 果应用于接口的访问列表未定义或不存在,该接口将允许所有数据流通过。12、访问列表只过滤经由当前路由器的数据流,而不能过滤当前路由器
8、发送 的数据流。13、应将扩展访问列表放在离禁止通过的数据流源尽可能近的地方。14、标准访问列表不能指定目标地址,应将其放在离目的地尽可能近的地方。ACL局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只 是第三层和第四层包头中的局部信息,这种技术具有一些固有的局限性,如无法 识别到具体的人,无法识别到应用内部的权限级别等。因此,要到达endtoend 的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。完本钱实验所需的基本操作技术:Packet Tracer仿真软件的使用本实验涉及的知识点:包过滤技术本实验中的技术点:配置访问控制列表的规那么本实验涉及的技能:路由器的配置
9、二、实训目的:掌握访问控制列表的设置规那么,提升对于网络的应用能力。三、实训硬件环境:计算机,思科交换机等设备,网络仿真软件。四、实训任务(1) ACL配置实例1、网络拓扑图图一、网络拓扑图2、因为路由器选择的是2620XM。没有串口,所以在画拓扑图之前,先为路 由器增加串口,如下列图。图二、26二XM增加串口3、路由器配置图三、R1的IP地址和时钟配置Routeri13回冈Physical Config CLIIOS Command Line InterfaceJ 11 l y - i j u h; 工(config-router)#1(config-router)#Rl(config-ro
10、uter)#exit图四、Rl的动态路由配置(RIP)-通过命令行, Router013回冈Physical Config CLIIOS Command Line Interfaceouter entouter#conf 匕nter configuration comiaandsz one per line. End with CNTL/Z. tout er (config) #hostnane RO.0 (config) #int s0/0图五、RO配置图六、RO的动态路由配置(RIP) -通过图形界面4、PC配置以及测试连通性图七、PC配置争pc。13回区IPhysical Config
11、Desktop图八、网络连通性配置此时,网络中所有设备能够实现通信。5、路由器1上设置访问控制列表并进行网络连通性测试Routeri匕21 叵区 |Physical Config CLIIOS Command Line Interfacejkx vuxxi.xy / 4)Rl(config)J RI(config) Rl(config)J Rl(config-: Rl(config-:access-list 10 deny 192.168.1.2 0.0.0.0 access-list. 10 permit any int s0/0 f)$ip access-group 10 out f)#e
12、xitRl(config)#图九、设置访问控制列表Command PromptPinging 172.168.1.2 with 32 bytes of dat.a:Reply fromReply fromReply fromReply from172.168.1.2:172.168.1.2:172.168.1.2:172.168.1.2:bytes=32 bytes=32 byt.es = 32 byt.es = 32tiiae = 94ias 七ime=94m$ CiitLe = 93ias time = 94iasTTL = 254TTL = 2S4TTL = 2S4TTL = 254Pi
13、ng statistics for 172.168.1.2:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss)z Approximate round trip times in milli-seconds:Minimum = 93m$, Maximum = 94ms, Average = 93msPCPCPCPinging 172.168.1.2 with 32 bytes of dat.a:ReplyReplyReplyReplyfrom from from from192.168.1.1:192.168.1.1:192.168.1.1:1
14、92.168.1.1:Destination host unreachable.Destination host unreachable.Destination host unreachable.Destination host unreachable.Ping statistics for 172.168.1.2:Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)PCPC图十、网络连通性测试总结:本来能够实现通信的双方,此时PING的结果是100%k)st。表示访问 控制列表设置成功。(2)、ACL配置测试1、网络拓扑结构图十一、网络拓
15、扑结构说明:路由器“陈”:S0/0 的 IP 地址: S0/1 的 1P 地址:路由器“晓”:fa0/0 的 IP 地址: faO/1 的 IP 地址: S0/1 的 IP 地址:路由器“丹”:faO/O 的 IP 地址: 10.69.L2 255.255.255.0 faO/1 的 IP 地址: 10.70.1.2 255.255.255.0 S0/0 的 IP 地址:终端A的IP地址:10.65.1.1 终端B的IP地址:10.66.1.1 终端C的IP地址:10.69.L1 终端D的IP地址:1Q70.1.1 终端E的IP地址:终端A的IP地址:10.65.1.1 终端B的IP地址:10
16、.66.1.1 终端C的IP地址:10.69.L1 终端D的IP地址:1Q70.1.1 终端E的IP地址:网关 10.65.L2 网关 10.66.1.2 网关 10.69.1.2 网关 10.70.1.2 网关 2、测试终端A能否PING通终端D。3、在路由器“陈”上做如下配置:RouterChen(config)#access-list 1 RouterChen(config)#access-list 1 deny anyRouterChen(config)#int s0/0RouterChen(config-if)#ip access-group 1 inRouterChen(config-if)#endRouterChen#sh access-list 14、此时终端A BCD E之间互相PING测试,哪些终端可以实现通信? 为什么?5、在路由器“陈”上做如下配置:下面再写一个访问控制列表,先删除原访问控制列表:RouterChen (config)#no access-list 1RouterChen (config-if)#no ip access-group 1 in