实验6 访问控制列表
6.1 标准访问控制列表
标准ACL 的表号取值范围是1~99。 标准ACL 语句格式为:
access-list 表号 {permit | deny} {地址 通配符掩码 | any | host 地址} 表号相同的语句组成一个ACL 。 把ACL 应用在设备接口上:
interface 接口
ip access-group 表号 {in | out} 本部分内容可以在Boson 模拟器上练习。 拓扑结构:
本网络模拟一个场景:
192.168.1.0子网是一个资源子网,它只允许来自工作场所的主机访问。 工作场所有多个子网,IP 地址使用172.16.#.#格式定义。其余格式的IP 地址均为休闲场所。
说明:在一般情况下,划分子网多使用三层交换机,但Boson 中的3550交换机不支持访问控制列表,所以此处使用路由器。
R3620路由器是一个模块化路由器,它的接口名为E0/0、E0/1、E0/2、E0/3。 1、配置R3620:各接口都配置IP 地址。(注:路由器接口IP 地址的最后一个数均为1。)
PC2 172.16.1.2/24
PC3 172.16.2.2/24
PC4 10.1.1.2/24
2、配置各计算机的IP地址、子网掩码、默认网关。(此时各PC机都可以通信。)
3、定义一个标准ACL:源地址为172.16.#.#格式的主机可以访问192.168.1.0/24网络中的主机,其它不能访问。
4、验证结果:PC2、PC3可以访问PC1,PC4不能访问PC1,但可以访问PC2和PC3。
常见问题:
(1) 如果配置ACL时把参数写错了,或语句顺序有错误,修改时需要删除整个ACL,再重新定义。删除ACL的方法是:
R3620(config)# no access-list 表号
说明:Boson不支持删除ACL,所以,在Boson中只能重装拓扑图,重新配置。
(2) 如果应用ACL时,选错了接口,需要删除它在接口上的定义,删除方法是:R3620(config)# interface 接口
R3620(config-if)# no ip access-group 表号{in | out}
6.2 扩展访问控制列表
扩展ACL的表号取值范围是100~199。
扩展ACL语句格式为:
access-list 表号{permit | deny} 协议源地址条件目的地址条件[运算符端口] 表号相同的语句组成一个ACL。
把ACL应用在设备接口上:
interface 接口
ip access-group 表号{in | out}
本部分内容可以在Boson模拟器上练习。
Boson模拟器对扩展ACL的支持存在问题,但对命名的扩展ACL支持较好,所以本实验采用命名的扩展ACL定义访问控制列表。
定义命名的扩展ACL语句格式为:
Router(config)#ip access-list extended 表名
Router(config-ext-nacl)#{permit | deny} 协议源地址条件目的地址条件[运算符端口]
拓扑结构:
PC1: .2 PC2: .3
本网络模拟一个场景:
PC1是管理员使用的计算机,基于安全的考虑,只有这台计算机可以用Telnet 登录R1601路由器,其它计算机都不能。
1、配置路由器R1601:特权口令为123,远程登录口令为123,配置E0口和S0口,并配置一条到172.16.0.0/16的静态路由。
2、配置路由器R1601-2:特权口令为123,远程登录口令为123,配置E0口和S0口,并配置一条到192.168.1.0/24的静态路由。
3、配置各计算机:IP地址、子网掩码、默认网关。(配置完成后,各计算机之间都能通信。)
此时,可以在任一台PC机用telnet命令登录R1601,应该都可以登录。
4、定义一个ACL:(使用命名的扩展ACL)
允许源地址192.168.1.2远程登录192.168.1.1,其它来源的远程登录都拒绝。
允许源地址192.168.1.2远程登录200.1.1.1,其它来源的远程登录都拒绝。
其它用途的通信不受影响。
注:远程登录使用的协议是TCP,端口号为23。
5、把上面的ACL应用到路由器的适当接口上,实现保护功能。
6、验证结果:用PC1可以远程登录R1601,其它PC机均不能。对R1601-2的远程登录以及各计算机之间的通信都不受影响。
由于本题较难,这里给出ACL的部分语句,其它的请自行补充完整:
Router(config)#ip access-list extended eACL1
Router(config-ext-nacl)#permit tcp host 192.168.1.2 host 192.168.1.1 eq 23
Router(config-ext-nacl)#deny tcp any host 192.168.1.1 eq 23
第1句:允许192.168.1.2远程登录192.168.1.1;
第2句:拒绝所有对192.168.1.1的远程登录。
两句的次序不能颠倒,不然任何主机都无法远程登录192.168.1.1了。
在整个ACL末尾,要用语句开放所有应用,否则会造成该路由器不能通信。
由于远程登录可以对路由器的任一个接口进行,所以应该把定义的ACL应用在路由器的各个接口上。
命令参考:
注:在Boson中配置计算机的IP地址使用“winipcfg”命令;查看IP地址使用“ipconfig”命令。
实验报告
实验题目:实验6 访问控制列表
班级: 09计算机 学号: 姓名: 实验时间: 2012.5.9 一、标准访问控制列表
场景:
192.168.1.0子网是一个资源子网,它只允许来自工作场所的主机访问。 工作场所有多个子网,IP 地址使用172.16.#.#格式定义。其余格式的IP 地址均为休闲场所。 实现:
在R3620中定义一个ACL ,并应用到e0/0接口上,对通往192.168.1.0/24网络的数据包进行过滤:
R3620(config)# access-list 1 permit 172.16.0.0 0.0.255.255 R3620(config)#interface e0/0
R3620(config-if)# ip access-group 1 out R3620(config-if)#end
配置完成后,PC2和PC3可以和PC1通信,PC4不能和PC1通信,但可以和其它PC 机通信。 二、扩展访问控制列表
PC2 172.16.1.2/24 PC3 172.16.2.2/24 PC4 10.1.1.2/24
PC1: .2 PC2: .3
场景:
PC1是管理员使用的计算机,基于安全的考虑,只有这台计算机可以用Telnet 登录R1601路由器,其它计算机都不能。
实现:
配置R1601的特权口令、远程登录口令、接口IP,使它可以被网络中的任意计算机远程登录。
1、配置特权口令为123:
R1601(config)# enable password 123
2、配置远程登录口令为123:
R1601(config)# line vty 0 4
R1601(config-line)# login
R1601(config-line)# password 123
R1601(config-line)#exit
3、配置E0口:
R1601(config)# interface e0
R1601(config-if)# ip address 192.168.1.1 255.255.255.0
R1601(config-if)# no shutdown
4、配置S0口:
R1601(config-if)# interface s0
R1601(config-if)# ip address 200.1.1.1 255.255.255.0
R1601(config-if)# no shutdown
R1601(config-if)#exit
5、配置到172.16.0.0/16的静态路由:
R1601(config)# ip route 172.16.0.0 255.255.0.0 200.1.1.2
其它设备的配置:略。
配置完成后,从各个设备都可以用telnet登录R1601。
6、定义一个ACL,只允许192.168.1.2的计算机远程登录R1601:
R1601(config)#ip access-list extended eACL1
R1601(config-ext-nacl)# permit tcp host 192.168.1.2 host 192.168.1.1 eq 23
R1601(config-ext-nacl)# deny tcp any any host 192.168.1.1 eq 23
R1601(config-ext-nacl)# permit tcp host 192.168.1.2 host 200.1.1.1 eq 23
R1601(config-ext-nacl)# deny tcp any any host 200.1.1.1 eq 23
R1601(config-ext-nacl)# exit
7、把ACL应用到R1601的E0口上和S0口上:
R1601(config)# interface s0
R1601(config-if)# ip access-group eACL1 in
R1601(config-if)# interface s0
R1601(config-if)# ip access-group eACL1 in
R1601(config-if)#end
配置完成后,只有通过PC1可以远程登录R1601,从其它设备都无法登录,但设备间的通信不受影响。
回答问题:
1、请解释语句的含义:access-list 20 deny 10.10.10.1 0.0.255.255
答:定义标准访问控制列表,拒绝10.10.0.0网段的数据包
2、请解释语句的含义:access-list 101 permit tcp 192.168.1.0 0.0.255.255 any equ 80
答:定义控制访问列表,允许源地址是192.168.1.0,目标地址任意的,端口号是80的TCP数据包。
3、在每个扩展访问控制列表的末尾都有一条隐含的语句,这条语句是什么?它表示什么意思?
答:access-list 表号deny any any,表示拒绝所有不符合条件的数据包。
一Sniffer 软件的安装和使用 一、实验目的 1. 学会在windows环境下安装Sniffer; 2. 熟练掌握Sniffer的使用; 3. 要求能够熟练运用sniffer捕获报文,结合以太网的相关知识,分析一个自己捕获的以太网的帧结构。 二、实验仪器与器材 装有Windows操作系统的PC机,能互相访问,组成局域网。 三、实验原理 Sniffer程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太同卡)置为杂乱模式状态的工具,一旦同卡设置为这种模式,它就能接收传输在网络上的每一个信息包。 四、实验过程与测试数据 1、软件安装 按照常规方法安装Sniffer pro 软件 在使用sniffer pro时需要将网卡的监听模式切换为混杂,按照提示操作即可。 2、使用sniffer查询流量信息: 第一步:默认情况下sniffer pro会自动选择网卡进行监听,手动方法是通过软件的file 菜单下的select settings来完成。 第二步:在settings窗口中我们选择准备监听的那块网卡,把右下角的“LOG ON”勾上,“确定”按钮即可。 第四步:在三个仪表盘下面是对网络流量,数据错误以及数据包大小情况的绘制图。 第五步:通过FTP来下载大量数据,通过sniffer pro来查看本地网络流量情况,FTP 下载速度接近4Mb/s。 第六步:网络传输速度提高后在sniffer pro中的显示也有了很大变化,utiliazation使用百分率一下到达了30%左右,由于我们100M网卡的理论最大传输速度为12.5Mb/s,所以4Mb/s刚好接近这个值的30%,实际结果和理论符合。 第七步:仪表上面的“set thresholds”按钮了,可以对所有参数的名称和最大显示上限进行设置。 第八步:仪表下的“Detail”按钮来查看具体详细信息。 第九步:在host table界面,我们可以看到本机和网络中其他地址的数据交换情况。
《网络互联技术》课程实验指导书 实验十一:标准访问控制列表配置 当网络管理员想要阻止某一网络的所有通信流量时,或者允许来自某一特定网络的所有通信流量时,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表实现这一目标。 标准ACL检查可以过滤被路由的数据包的源地址、从而允许或拒绝基于网络、子网或主机IP地址的某一协议簇通过路由器出口。 一、网络拓朴 二、实验内容 1、在路由器的E 0/0口添加“ACL 访问控制列表6”并对转出(从路由器端口出来转向交换机或主机)的数据包进行过滤,实现功能:禁止将HostC、HostD的数据包通过路由器E 0/0 口转发到HostA、HostB。其结果是:(对于TCP数据包来说,访问是双向的,只要A不能访问B,则B也将不能访问A) ●HostA和HostB之间可以通信,但无法访问HostC、HostD。 ●HostC和HostD之间可以通信,但无法访问HostA、HostB。 2、在路由器的E 0/1口添加“ACL 访问控制列表10”并对转出(从路由器端口出来转向
交换机或主机)的数据包进行过滤,实现功能:禁止HostA、HostC访问Server E服务器。 由于标准ACL访问控制列表只能根据数据包的源地址来过滤通信流量,因此,应该将ACL 访问控制列表放置离目标地址最近的地方。 三、实验目的 1、掌握标准访问控制列表的原理 2、掌握标准访问控制列表的配置 四、实验设备 1、一台台思科(Cisco)3620路由器 2、两台思科(Cisco)2950二层交换机 3、思科(Cisco)专用控制端口连接电缆 4、四台安装有windows 98/xp/2000操作系统的主机 5、一台提供WWW服务的WEB服务器 6、若干直通网线与交叉网线 五、实验过程(需要将相关命令写入实验报告) 1、根据上述图示进行交换机、路由器、主机的连接 2、设置主机的IP地址、子网掩码和默认网关 3、配置路由器接口 Router> enable Router# configure terminal Router(config)# interface ethernet 0/0 Router(config-if)# ip address 192.168.1.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)# exit Router(config)# interface ethernet 0/1 Router(config-if)# ip address 192.168.3.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)# exit Router(config)# interface ethernet 0/2 Router(config-if)# ip address 192.168.2.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)#exit 4、配置访问控制列表6并将之添加到Ethernet 0/0接口的out方向上 Router(config)# access-list 6 deny 192.168.2.0 0.0.0.255 Router(config)# access-list 6 permit any
第一章设置时间策略 time-range A8:30 to 12:00 daily \\设置时间策略C,时间范围08:30至12:00,每天设置时间策略,命名为随意,参数daily=每天 详细解析 [M65-HN-SW01]time-range A 8:00 to 9:00 ? <0-6> Day of the week(0 is Sunday) Fri Friday星期五 Mon Monday星期一 Sat Saturday星期六 Sun Sunday星期日 Thu Thursday星期四 Tue Tuesday星期二 Wed Wednesday星期三 daily Every day of the week每一天 off-day Saturday and Sunday休息日即星期六和星期日 working-day Monday to Friday工作日即星期一至星期五 第二章ACL设置访问策略并关联时间策略 acl number 3500 rule 5 permit ip time-range A 设置ACL 编号3500,明细内容为允许所有数据包通过,时间策略引用time-range A 第三章定义流类别 traffic classifier 50M if-match acl 3500 定义一个类别,traffic classifier 50M,其中50M为自定义名称,引用ACL 3500策略
第四章定义行为 traffic behavior 50M car cir 51200 pir 51200 cbs 51200 pbs 51200 green pass yellow pass red discard 定义一个行为,自定义名称为50M,流量设置为50M 第五章关联类别和行为 traffic policy 50M classifier 50M behavior 50M 定义一个策略,将类别和行为关联 第六章应用在端口下 interface GigabitEthernet0/0/5 traffic-policy 50M inbound traffic-policy 50M outbound 在接口下调用traffic-policy 50M,设置出入限制 总结: 1.设置限速时间策略 2.ACL与时间策略关联 3.traffic policy调用ACL时间策略、调用限速策略
计算机网络ACL配置实验报告 件)学院《计算机网络》综合性、设计性实验成绩单开设时间:xx学年第二学期专业班级学号姓名实验题目ACL自我评价本次ACL的实验,模拟实现了对ACL的配置。在实验中,理解ACL对某些数据流进行过滤,达到实现基本网络安全的目的的过程。我加深了对网络中安全的理解,如何控制非法地址访问自己的网络,以及为什么要进行数据过滤,对数据进行有效的过滤,可以使不良数据进入青少年中的视野,危害青少年的身心健康发展。该实验加深了我对网络的理解,同时加强了自身的动手能力,并将理论知识应用到实践当中。教师评语评价指标:l 题目内容完成情况优□ 良□ 中□ 差□l 对算法原理的理解程度优□ 良□ 中□ 差□l 程序设计水平优□ 良□ 中□ 差□l 实验报告结构清晰优□ 良□ 中□ 差□l 实验总结和分析详尽优□ 良□ 中□ 差□成绩教师签名目录 一、实验目的3 二、实验要求3 三、实验原理分析3 四、流程图5 五、配置过程 51、配置信息 52、配置路由器R
1、R 2、R37(1)配置路由器R17(2)配置路由器R27(3)配置路由器R3 83、配置主机PC0、PC18(1)配置PC0的信息8(2)配置PC1的信息 94、配置路由器R2(R1)到路由器R1(R2)的静态路由10(1) 路由器R2到R1的静态路由10(2)路由器R1到R2的静态路由105、配置路由器R2(R3)到路由器R3(R2)的静态路由10(1) 路由器R2到R3的静态路由10(2) 路由器R3到R2的静态路由10六、测试与分析1 11、配置静态路由前1 12、配置好静态路由后1 23、结论13七、体会13实验报告 一、实验目的通过本实验,可以掌握如下技能: (1) ACL的概念(2) ACL的作用(3)根据网络的开放性,限制某些ip的访问(4)如何进行数据过滤 二、实验要求Result图本实验希望result图中PC2所在网段无法访问路由器R2,而只允许主机pc3访问路由器R2的tel 服务 三、实验原理分析ACL 大概可以分为标准,扩展以及命名ACL
实验5 标准ACL配置与调试 1.实验目标 在这个实验中,我们将在Cisco 2611XM路由器上配置标准ACL。通过该实验我们可以进一步了解ACL的定义和应用,并且掌握标准ACL的配置和调试。 2.实验拓扑 实验的拓扑结构如图1所示。 图1 ACL实验拓扑结构 3.实验要求 根据图1,设计标准ACL,首先使得PC1所在的网络不能通过路由器R1访问PC2所在的网络,然后使得PC2所在的网络不能通过路由器R2访问PC1所在的网络。本实验各设备的IP地址分配如下: ⑴路由器R1: s0/0:192.168.100.1/24 fa0/0:10.1.1.1/8 ⑵计算机PC1: IP:10.1.1.2/8 网关:10.1.1.1 ⑶路由器R2: s0/0:192.168.100.2/24
fa0/0:172.16.1.1/16 ⑷计算机PC2: IP:172.16.1.2/16 网关:172.16.1.1 4.实验步骤 在开始本实验之前,建议在删除各路由器的初始配置后再重新启动路由器。这样可以防止由残留的配置所带来的问题。在准备好硬件以及线缆之后,我们按照下面的步骤开始进行实验。 ⑴按照图1进行组建网络,经检查硬件连接没有问题之后,各设备上电。 ⑵按照拓扑结构的要求,给路由器各端口配置IP地址、子网掩码、时钟(DCE端),并且用“no shutdown”命令启动各端口,可以用“show interface”命令查看各端口的状态,保证端口正常工作。 ⑶设置主机A和主机B的 IP地址、子网掩码、网关,完成之后,分别ping自己的网关,应该是通的。 ⑷为保证整个网络畅通,分别在路由器R1和R2上配置rip路由协议:在R1和R2上查看路由表分别如下: ①R1#show ip route Gateway of last resort is not set R 172.16.0.0/16 [120/1] via 192.168.100.2, 00:00:08, Serial0/0 C 192.168.100.0/24 is directly connected, Serial0/0 C 10.0.0.0/8 is directly connected, FastEthernet0/0 ②R2#show ip route Gateway of last resort is not set C 192.168.100.0/24 is directly connected, Serial0/0 R 10.0.0.0/8 [120/1] via 192.168.100.1, 00:00:08, Serial0/0 C 172.16.0.0/16 is directly connected, FastEthernet0/0 ⑸ R1路由器上禁止PC2所在网段访问:
一、实验项目名称 访问控制列表ACL配置实验 二、实验目的 对路由器的访问控制列表ACL 进行配置。 三、实验设备 PC 3 台;Router-PT 3 台;交叉线;DCE 串口线;Server-PT 1 台; 四、实验步骤 标准IP访问控制列表配置: 新建Packet Tracer 拓扑图 (1)路由器之间通过V.35 电缆通过串口连接,DCE 端连接在R1 上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置路由器接口IP 地址。 (3)在路由器上配置静态路由协议,让三台PC 能够相互Ping 通,因为只有在互通的前提下才涉及到方控制列表。 (4)在R1 上编号的IP 标准访问控制。 (5)将标准IP 访问控制应用到接口上。 (6)验证主机之间的互通性。 扩展IP访问控制列表配置: 新建Packet Tracer 拓扑图 (1)分公司出口路由器与外路由器之间通过V.35 电缆串口连接,DCE 端连接在R2 上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置PC 机、服务器及路由器接口IP 地址。 (3)在各路由器上配置静态路由协议,让PC 间能相互ping 通,因为只有在互通的前提下才涉及到访问控制列表。 (4)在R2 上配置编号的IP 扩展访问控制列表。 (5)将扩展IP 访问列表应用到接口上。 (6)验证主机之间的互通性。 五、实验结果 标准IP访问控制列表配置: PC0: PC1:
PC2:
PC1ping:
PC0ping: PC1ping: 扩展IP 访问控制列表配置:PC0: Server0:
南京信息工程大学实验(实习)报告 实验(实习)名称ACL的配置实验(实习)日期得分指导教师刘生计算机专业计科年级 09 班次 03 姓名童忠恺学号 20092308916 1.实验目的 (1)了解路由器的ACL配置与使用过程,会运用标准、扩展ACL建立基于路由器的防火墙,保护网络边界。 (2)了解路由器的NA T配置与使用过程,会运用NA T保护网络边界。 2.实验内容 2.1 ACL配置 (1)实验资源、工具和准备工作。Catalyst2620路由器2台,Windows 2000客户机2台,Windows 2000 Server IIS服务器2台,集线器或交换机2台。制作好的UTP网络连接(双端均有RJ-45头)平行线若干条、交叉线(一端568A,另一端568B)1条。网络连接和子网地址分配可参考图8.39。 图8.39 ACL拓扑图 (2)实验内容。设置图8.39中各台路由器名称、IP地址、路由协议(可自选),保存配置文件;设置WWW服务器的IP地址;设置客户机的IP地址;分别对两台路由器设置扩展访问控制列表,调试网络,使子网1的客户机只能访问子网2的Web服务80端口,使子网2的客户机只能访问子网1的Web服务80端口。 3.实验步骤 按照图8.39给出的拓扑结构进行绘制,进行网络互连的配置。 ①配置路由器名称、IP地址、路由协议(可自选),保存配置文件。 ②设置WWW服务器的IP地址。设置客户机的IP地址。 ③设置路由器扩展访问控制列表,调试网络。使子网1的客户机只能访问子网2的Web服务80端口, 使子网2的客户机只能访问子网1的Web服务80端口。 ④写出各路由器的配置过程和配置命令。 按照图8.38给出的拓扑结构进行绘制,进行网络互连的配置。参考8.5.7节内容。写出各路由器的配置过程和配置命令。
仲恺农业工程学院实验报告纸 计算机科学与工程(院、系)网络工程专业081 班网络安全实验课学号200810224128 姓名张丽丽实验日期2011/11/06 教师评定 实验一 Windows访问控制与安全配置 一、开发语言及实现平台或实验环境 Windows XP操作系统的计算机 二、实验目的 (1)通过实验掌握安全策略与安全模板的使用 三、实验要求 (1)掌握安全模板的管理和设置 (2)按照模板配置各项安全属性 四、实验原理 “安全模板”是一种可以定义安全策略的文件表示方式,它能够配置账户和本地策略、事件日志、受限组、文件系统、注册表以及系统服务等项目的安全设置。安全模板都以.inf 格式的文本文件存在,用户可以方便地复制、粘贴、导入或导出某些模板。此外,安全模板并不引入新的安全参数,而只是将所有现有的安全属性组织到一个位置以简化安全性管理,并且提供了一种快速批量修改安全选项的方法。 系统已经预定义了几个安全模板以帮助加强系统安全,在默认情况下,这些模板存储在"%Systemroot%\Security\Templates"目录下。它们分别是: https://www.doczj.com/doc/e015091896.html,patws.inf 提供基本的安全策略,执行具有较低级别的安全性但兼容性更好的环境。放松用户组的默认文件和注册表权限,使之与多数没有验证的应用程序的要求一致。"Power Users"组通常用于运行没有验证的应用程序。 2.Hisec*.inf 提供高安全的客户端策略模板,执行高级安全的环境,是对加密和签名作进一步限制的安全模板的扩展集,这些加密和签名是进行身份认证和保证数据通过安全通道以及在SMB客户机和服务器之间进行安全传输所必需的。 3.Rootsec.inf 确保系统根的安全,可以指定由Windows XP Professional所引入的新的根目录权限。默认情况下,Rootsec.inf为系统驱动器根目录定义这些权限。如果不小心更改了根目录权限,则可
第六章 Windows2003网络管理 [填空选择题] 一、本地用户和组管理P152-156 1、在Windows Server2003环境中,有两种用户:本地用户和域。P152 2 3 各种资源信息。通过活动目录,可以迅速定位网络资源,还可对企业网络进行中央管理。P152 4、“组类型”栏有两个选项:1)“安全组”是列在随机访问控制列表中的组,用于为共享资源 分配权限;2)“通讯组”是仅用于分发电子邮件且没有启用安全 性的组。P157 二、活动目录和管理域P159-163 1在Windows Server 2003, 、P160。 2 3、P159 ●集中的管理。使资源更易于定位和管理信息 ●具有高伸缩性。 ●整合DNS。活动目录使用DNS命名,还提供了DNS安全动态更新功能。 ●委派授权。防止了管理员有意或无意超越自己的责任范围。 三、终端服务P163-165 1、终端服务:提供了通过作为终端仿真器工作的“瘦客户机”软件远程访问服务器桌面的功能。P163 。 对从客户端传输到服务器的数据进行加密。 4、运行Linux操作系统的计算机不能使用远程桌面连接。 四、远程管理P168-171 1、Windows Server 2003远程管理功能改进:管理远程桌面功能属于改进型的远程管理功能, 它在原来的Windows 2000 Server系统“远程管理”模式中称为“终端服务”。P169 2 3、在WindowsNT中,SNMP包括两个应用程序。其中,陷入服务程序为snmptrap.exe。【历年真题】 一、选择题 1、在Windows Server 2003环境中,仅用于分发电子邮件且没有 ..启用安全性的组类型是( )
实验六交换机的基本配置 6.1 交换机简介 1. 基础知识 交换机是一种具有简化、低价、高性能和高端口密集特点的交换产品,体现了桥接技术中复杂交换技术在OSI参考模型的第二层操作。与桥接器一样,交换机按每一个包中的MAC 地址相对简单地决定信息转发,而这种转发决定一般不考虑包中隐藏的更深的其它信息。与桥接器不同的是,交换机转发延迟很小,操作接近单个局域网性能,远远超过了使用普通桥接器时的转发性能。 类似传统的桥接器,交换机提供了许多网络互联功能。交换机能经济地将网络分成小的冲突网域,为每个工作站提供更高的带宽。协议的透明性使得交换机在软件配置简单的情况下直接安装在多协议网络中;交换机使用现有的电缆、中继器、集线器和工作站的网卡、不必作高层的硬件升级;交换机对工作站是透明的,这样管理成本低廉,简化了网络节点的增加、移动和网络发生变化时的操作。 下面我们从不同的方面对交换机和集线器进行比较: 从OSI体系结构来看,集线器属于OSI的第一层(物理层)设备,而交换机属于OSI 的第二层(数据链路层)设备。这就意味着集线器只是对数据的传输起到同步、放大和整形的作用,对数据传输中的短帧、碎片等无法进行有效处理,不能保证数据传输的完整性和正确性;而交换机不但可以对数据的传输做到同步、放大和整形,而且可以过滤帧、碎片等。 从工作方式来看,集线器采用的是一种广播模式,也就是说集线器的某个端口在工作的时候,其它所有端口都能收听到信息,容易产生广播风暴,当网络较大时,网络性能会受到很大的影响;然而当交换机工作的时候,只有发出请求的端口之间互相响应而不影响其它端口,因此交换机就能够隔离冲突域和有效地抑制广播风暴的产生。 从带宽来看,集线器不管有多少个端口,所有端口都是共享带宽,在同一时刻只能有两个端口传送数据,其它端口只能等待,同时集线器只能工作在半双工模式下;而对于交换机而言,每个端口都有独占的带宽,当两个端口工作时并不影响其它端口的工作,另外交换机不但可以工作在半双工模式下而且可以工作在全双工模式下。 交换机的工作状态可以通过指示灯来判断,如表6-1所示。
课设5:访问控制列表ACL的配置 【实验目的】: 1.熟悉掌握网络的基本配置连接 2.对网络的访问性进行配置 【实验说明】: 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL定义的。访问控制列表是偶permit/deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。 【实验设备】: 【实验过程记录】:
步骤1:搭建拓扑结构,进行配置 (1)搭建网络拓扑图: (2 虚拟机名IP地址Gateway PC0 PC1 PC2 PC3 PC4 上节课的实验已经展示了如何配置网关和IP地址,所以本次实验将不再展示,其配置对应数据见上表。 (3)设置路由信息并测试rip是否连通
三个路由器均做route操作。 对rip结果进行测试,测试结果为连通。
(4)连通后对访问控制列表ACL进行配置 代码如下: Route(config)#route rip Route(config-route)#net Route(config-route)#net Route(config-route)#exit Route(config)#access-list 1 deny Route(config)#access-list 1 permit any Route(config)#int s3/0 Route(config-if)#ip access-group 1 in Route(config-if)#end
步骤2:检验线路是否通畅 将访问控制列表ACL配置完成后点开PC0进行ping操作,ping 。 检验结果:结果显示目的主机不可达,访问控制列表ACL配置成功。
IP访问控制列表配置 目录: 第一个任务的:验证测试 (3) 第二个任务的:交换机的验证测试 (6) 第三个任务的:扩展访问验证测试 (10) 最后---总结: (12) ▲表示重要的 一、IP标准访问控制列表的建立及应用 工作任务 你是学校网络管理员,学校的财务处、教师办公室和校办企业财务科分属不同的3个网段,三个部门之间通过路由器进行信息传递,为了安全起见,学校领导要求你对网络的数据流量进行控制,实现校办企业财务科的主机可以访问财务处的主机,但是教师办公室主机不能访问财务处主机。 首先对两路由器进行基本配置,实现三个网段可以相互访问;然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表,允许192.168.1.0网段(校办企业财务科)主机发出的数据包通过,不允许192.168.2.0网段(教师办公室)主机发出的数据包通过,最后将这一策略加到路由器RouterB的Fa
0端口,如图所示。 第1步:基本配置 路由器RouterA: R >enable R #configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 VTY是路由器的远程登陆的虚拟端口,04表示可以同时打开5个会话,line vty 04是进入VTY端口,对VTY端口进行配置,比如说配置密码, RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethernet 0/0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2 路由器RouterB: R >enable R #configure terminal R(config)#hostname RouterB RouterB (config)# line vty 0 4 RouterB (config-line)#login RouterB (config-line)#password 100 RouterB (config-line)#exit RouterB (config)# enable password 100 RouterB (config)#interface fastethernet 0/0 RouterB (config-if)#ip address 192.168.3.1 255.255.255.0 RouterB (config-if)#no shutdown RouterB (config-if)#Exit RouterB (config)#interface s0/3/1 RouterB (config-if)#ip address 192.168.12.2 255.255.255.0
实验六 利用IP 扩展访问列表实现应用服务的访问限制 【实验名称】 利用IP 扩展访问列表实现应用服务的访问限制。 【实验目的】 掌握在交换机上编号的扩展IP 访问列表规则及配置。 【背景描述】 你是学校的网络管理员,在3750-24交换机上连着学校的提供WWW 和FTP 的服务器,另外还连接着学生宿舍楼和教工宿舍楼,学校规定学生只能对服务器进行FTP 访问,不能进行WWW 访问,教工则没有此限制。 【需求分析】 不允许VLAN30(连接R3)的主机去访问VLAN10(连接R1)的网络中的web 服务,其它的不受限制。 【实验拓扑】 R1192.168.20.1 f0/0 f0/1f0/3 f0/2f0/0f0/0 R3 R2192.168.30.1192.168.20.2 192.168.30.2 192.168.10.2192.168.10.1 【实验设备】 S3750交换机 1台 PC 3台 直连线 3条 【预备知识】 路由器基本配置知识、访问控制列表知识。 【实验原理】 IP ACL (IP 访问控制列表或IP 访问列表)是实现对流经路由器或交换机的数据包根据一定的规则进行过滤。从而提高网络可管理性和安全性。 IP ACL 分为两种:标准IP 访问列表和扩展IP 访问列表。标准IP 访问列表可以根据数据包的源IP 地址定义规则,进行数据包的过滤。扩展IP 访问列表可以根据数据包的源IP 、目的IP 、源端口、目的端口、协议来定义规则,进行数据包的过滤。
IP ACL基于接口进行规则的应用,分为入栈应用和出栈应用。入栈应用是指由外部经该接口进行路由器的数据包进行过滤。出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。IP ACL的配置有两种方式:按照编号的访问列表,按照命名的访问列表。标准IP访问列表编号范围是1~99、1300~1999,扩展IP访问列表编号范围是100~199、2000~2699。 【实验步骤】 注意打reload命令 !打出此命令后等60秒再按两次回车键 步骤1 设计拓扑结构 根据拓扑结构图绘制拓扑结构。 参考配置: 步骤2 三个路由器的基本配置 R1: R1: Ruijie>en Ruijie# configure terminal Ruijie (config)#hostname R1 R1(config)#int f0/0 R1(config-if)# ip add 192.168.10.2 255.255.255.0 R1(config-if)#no shut R1(config-if)#exit R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.10.1 R1(config)#en pass ruijie !设置路由器R3 进入特权模式的密码 R1 (config)#line vty 0 4 !最大允许5个人同时telnet登陆 vty为虚拟线路 R1 (config-line)#password ruijie !远程登录密码 R1 (config-line)#exit R1(config)# R2: Ruijie>en Ruijie# configure terminal Ruijie (config)#hostname R2 R2(config)#int f0/0 R2 (config-if)# ip add 192.168.20.2 255.255.255.0
第六章路由策略 6.1路由策略简介 6.1.1路由策略与策略路由 路由策略(Routing Policy)是为了改变网络流量所经过的途径而修改路由信息的技术,主要通过改变路由属性(包括可达性)来实现。 策略路由(Policy Routing)是一种依据用户制定的策略进行路由选择的机制。有关策略路由的详细介绍请参见“策略路由”章节。 路由器在发布与接收路由信息时,可能需要实施一些策略,以便对路由信息进行过滤,例如只接收或发布满足一定条件的路由信息。一种路由协议可能需要引入其它的路由协议发现的路由信息,路由器在引入其它路由协议的路由信息时,可能只需要引入一部分满足条件的路由信息,并控制所引入的路由信息的某些属性,以使其满足本协议的要求。 为实现路由策略,首先要定义将要实施路由策略的路由信息的特征,即定义一组匹配规则。可以以路由信息中的不同属性作为匹配依据进行设置,如目的地址、发布路由信息的路由器地址等。匹配规则可以预先设置好,然后再将它们应用于路由的发布、接收和引入等过程的路由策略中。 6.1.2过滤器 路由协议可以引用访问控制列表、地址前缀列表、AS 路径访问列表、团体属性列表、扩展团体属性列表和Route-policy 几种过滤器。下面对各种过滤器逐一进行介绍。 1. 访问控制列表 访问控制列表包括针对IPv4 报文的ACL 和针对IPv6 报文的ACL。用户在定义ACL 时可以指定IP(v6)地址和子网范围,用于匹配路由信息的目的网段地址或下一跳地址。ACL 的有关配置请参见“安全分册”中的“ACL 配置”。 2. 地址前缀列表 地址前缀列表包括IPv4 地址前缀列表和IPv6 地址前缀列表。 地址前缀列表的作用类似于ACL,但比它更为灵活,且更易于用户理解。使用地址前缀列表过滤路由信息时,其匹配对象为路由信息的目的地址信息域;另外,用户可以指定gateway 选项,指明只接收某些路由器发布的路由信息。关于gateway选项的设置请参见“IP 路由分册”中的“RIP 命令”和“OSPF 命令”。 一个地址前缀列表由前缀列表名标识。每个前缀列表可以包含多个表项,每个表项可以独立指定一个网络前缀形式的匹配范围,并用一个索引号来标识,索引号指明了在地址前缀列表中进行匹配检查的顺序。 每个表项之间是“或”的关系,在匹配的过程中,路由器按升序依次检查由索引号标识的各个表项,只要有某一表项满足条件,就意味着通过该地址前缀列表的过滤(不再进入下一个表项的测试)。
0分计。 4. 实验报告文件以PDF 格式提交。 【实验题目】访问控制列表(ACL )实验。 【实验目的】 1. 掌握标准访问列表规则及配置。 2. 掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4(P190),请写出步骤0安装与建立FTP 、WEB ,的步骤,并完成P192~P193的测试要求。 【实验要求】 重要信息信息需给出截图, 注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图: 【实验设备】 路由器一台,PC 5台(其中两台作为WWW Server 和FTP Server )。 【实验原理】 基于时间的ACL 是在各种ACL 规则(标准ACL 、扩展ACL 等)后面应用时间段选项(time-range )以实现基于时间段的访问控制。当ACL 规则应用了时间段后,只有在此时间范围内规则才能生效。此外,只有配置了时间段的规则才会在指定的时间段内生效,其他未引用时间段的规则将不受影响。 要基于时间的ACL 一生效,一般需要下面的配置步骤。
(1)定义时间段及时间范围。 (2)ACL自身的配置,即将详细的规则添加到ACL中。 (3)应用ACL,将设置好的ACL添加到相应的端口中。 【实验步骤】 步骤0: (1)配置3台PC(PC1、PC2和Manager)的IP地址、掩码、网关。 (2)检查PC与服务器的连通性如何? PC与服务器无法连通,因为还未安装FTP Server和WWW Server和配置路由器。 (3)在服务器上安装FTP Server和WWW Server。FTP Server需至少创建一个用户名和口令。 FTP Server我们选择Serv-U,下载安装后见如下界面。
HUNAN UNIVERSITY 操作系统实验报告 题目:实验二文件与目录操作 实验三权限学生姓名: 学生学号: 专业班级: 同组成员: 上课老师:
一、内容 (2) 二、目的 (2) 三、实验设计思想和流程 (2) 四、实验结果 (3) 五、实验体会和思考题 (7)
一、内容 A. linux系统下的文件与目录操作 显示当前目录的目录名 改变当前目录 使用ls命令的不同命令选项,来查看文件与目录的属性 创建和删除目录 创建0长度的文件 拷贝、移动、重命名、链接及删除文件 查看文件的内容 B. linux系统下的权限: 使用长列表命令来查看文件与目录的信息 能够解释文件与目录权限中各位的含义 能够对普通文件与目录的权限进行操作 二、目的 A、使用户熟悉目录与文件的操作 B、给学生一个操作文件与目录权限的机会。作完这些练习之后,使学生能够对LINUX中文件所有者的概念和权限的概念有基本的理解。 三、实验设计思想和流程 A. 1.首先我们应该了解一下实验的背景:什么是文件;什么是目录;文件的命名规则;文件系统的层 次结构;Linux的标准目录。 2.根据实验书的步骤熟悉linux的相关指令: a)检查你现在所处的环境: 登录进入系统;
使用pwd命令,确认你现在正处在自己的主目录/home/用户名中(即学会pwd指令的使用)。 b)查看目录: 把你的当前目录改变为根目录:cd命令的使用。 使用pwd命令确认你的当前目录是根目录,并且使用简单列表命令和长列表命令来列出本目录中的文件:命令ls的使用。 调用使用-a或-R命令选项的ls命令。 回到你的用户主目录,并列出所有的文件(包括隐藏文件) 在你的用户主目录中创建一个名为mydir的新目录。然后调用长列表命令来查看/home/用户名mydir目录和/home/用户名目录(只查看目录文件的信息):mkdir命令的使用 把目录/home/用户名/mydir变为自己的当前目录。使用touch命令在mydir目录创建名为myfile1,myfile2的两个文件:命令touch的使用。 使用长列表命令来查看mydir目录中的文件的信息。 返回到你的用户主目录,调用ls –R命令来查看你的用户主目录中的目录树结构。 使用listat命令来查看mydir目录的索引结点信息。 使用rmdir命令删除mydir目录,请注意rmdir命令不能删除一个非空的目录。为了删除这个目录,需要调用命令rm –r。 c)对文件进行操作 查看/etc/motd和/etc/passwd文件的内容。使用命令cat和more来分别查看每一个命令的输出方式(提示:/etc/motd文件包括了日期信息及用户初次登录后所见到的信息。 拷贝文件/usr/bin/cal到你的用户主目录中。(cp命令的使用) 列出你的用户主目录中的文件,你会发现上面这个文件已经被拷贝过来了。 在你的用户主目录中创建一个名为myscript的目录 d)对目录进行操作 返回到你的用户主目录中。 在你的用户主目录中创建另一个子目录goodstuff 拷贝文件/etc/profile到这个新建的目录中,并将拷贝过来的文件更名为newprofile。 使用cat命令来查看文件的内容。(cat指令和more指令的区别) 文件名newprofile真的是太长了,不方便输入。请把文件名改为np。在改名完成后,请查看
实验七标准IP访问控制列表配置 一、实验目的 1.理解标准IP访问控制列表的原理及功能。 2.掌握编号的标准IP访问控制列表的配置方法。 二、实验环境 R2600(2台)、主机(3台)、交叉线(3条)、DCE线(1条)。 三、实验背景 你是公司的网络管理员,公司的经理部、财务部和销售部分属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部不能对财务部进行访问,但经理部可以对财务部进行访问 PC1代表经理部的主机,PC2代表销售部的主机,PC3代表财务部的主机。四、技术原理 ACLs的全称为接入控制列表;也称为访问列表,俗称为防火墙,在有的文档中还称之为包过滤。ACLs通过定义一些规则对网络设备接口上的数据报文进行控制:允许通过或丢弃,从而提高网络可管理性和安全性。 IP ACLs分为两种:标准IP访问列表和扩展IP访问列表,标号范围分别为1~99、100~199。 标准IP访问列表可以根据数据包的源IP地址定义规则,进行数据包的过滤。 扩展IP访问列表可以数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。 IP ACL基于接口进行规则的应用,分为:入栈应用和出栈应用。 五、实验步骤 1、新建拓扑图 2、路由器R1、R2之间通过V.35线缆通过串口连接,DCE端连接在R1上,
配置其时钟频率64000;主机与路由器通过交叉线连接。 3、配置路由器接口IP地址。 4、在路由器R1、R2上配置静态路由协议或动态路由协议,让三台PC能互相 ping通,因为只有在互通的前提下才能涉及到访问控制列表。 5、在R1上配置编号的IP标准访问列表。 6、将标准IP访问控制列表应用到接口上。 7、验证主机之间的互通性。 六、实验过程中需要的相关知识点 1、进入指定的接口配置模式 配置每个接口,首先必须进入这个接口的配置模式模式,首先进入全局配置模式,然后输入进入指定接口配置模式,命令格式如下 例如:进入快速以太网口的第0个端口,步骤是: Router#config terminal Router(config)#interface FastEthernet 1/0 2、配置IP地址 除了NULL接口,每个接口都有其IP地址,IP地址的配置是使用接口必须考虑的,命令如下: Router#config terminal
1 哪两项功能描述了访问控制列表的用途?(请选择两项。) 正确 响应 您的 响应 ACL 可以根据路由器上的始发 MAC 地址来允许或拒绝流量。 ACL 可以控制主机能够访问网络中的哪些区域。 ACL 可以帮助路由器确定到目的地的最佳路径。 标准 ACL 可限制对特定应用程序和端口的访问。 ACL 提供基本的网络安全性。 2 访问控制列表在企业网络中的可能用途是下列哪两项?(选择两项。)正确 响应 您的 响应 控制路由器接口的物理状态 控制调试输出 允许通过路由器过滤第 2 层流量 降低路由器上的处理负载 控制虚拟终端对路由器的访问 3 哪两个特征是标准 ACL 和扩展 ACL 共有的特征?(请选择两项。)正确 响应 您的 响应
两者都可以通过使用描述性名称或号码创建。 两类ACL 都可以根据协议类型进行过滤。 两者都包含隐式 deny 作为最终 ACE。 两者都可以通过端口号允许或拒绝特定服务。 两者都可为特定目的主机 IP 地址过滤数据包。 4 下列哪项描述了标准 IPv4 ACL 的特点? 正确 响应 您的 响应 创建它们时可以使用数字,但不可以使用名称。 它们是在接口配置模式下配置的。 可以根据源 IP 地址和源端口对过滤流量进行配置。 它们仅根据源 IP 地址过滤流量。 5 网络管理员需要配置标准 ACL,使得只有 IP 地址为 192.168.15.23 的管理员工作站能够访问主要路由器 的虚拟终端。哪两个配置命令可以完成该任务?(请选择两项。) 正确 响应 您的 响应 Router1(config)# access-list 10 permit 192.168.15.23 255.255.255.255 Router1(config)# access-list 10 permit 192.168.15.23 0.0.0.0 Router1(config)# access-list 10 permit 192.168.15.23 255.255.255.0