实验36、标准访问控制列表的配置
- 格式:pdf
- 大小:340.57 KB
- 文档页数:13


网络配置教程(22)——锐捷、华为IP标准访问控制列表实验
网络配置教程(22)——锐捷、华为IP标准访问控制列表实验
【实现目的】
掌握路由器上标号的标准IP访问列表规则及配置。
【实训背景描述】
你是公司的网络管理员,公司的经理部、财务部门和销售部分别属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部进行访问,但经理部可以对财务部进行访问;
PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机
【实训设备】
R1700(2台),PC(3台)、直连线(3条)、V.35线(1条)
【实训内容】
(1)按照拓扑进行网络连接
(2)配置路由器接口IP地址
(3)配置路由器静态路由
(4)配置编号的IP标准访问控制列表
(5)将访问列表应用到接口
【实训拓扑图】
【实训步骤】
(1)配置路由器R1、R2接口IP地址;
记得给R1路由器的S1/2接口配置时钟。
(2)配置R1、R2静态路由;
R1(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2
R2(config)#ip route 172.16.1.0 255.255.255.0 172.16.3.1
R2(config)#ip route 172.16.2.0 255.255.255.0 172.16.3.1
(3)R1配置编号的IP标准访问控制列表
R1(config)#access-list 1 deny 172.16.2.0 .255 !拒绝来自172.16.2.0网段的流量通过
R1(config)#access-list 1 permit 172.16.1.0 .255 !允许来自172.16.1.0网段的流量通过
验证测试
R1#show access-lists 1
Standard IP access list 1 1 deny 172.16.2.0 .255 (0 matches)
本文中的所有信息归中兴通讯股份有限公司所有,未经允许,不得外传 -1- 第1章 ACL简介
1.1 ACL概述
网络设备为了过滤数据,需要设置一系列匹配规则,以识别需要过滤的对象。在识别出特定的对象之后,根据预先设定的策略允许或禁止相应的数据包通过。ACL(Access Control List)可用于实现这些功能。
ACL(访问控制列表)是一种对经过网络设备的数据流进行判断、分类和过滤的方法。通常我们使用ACL实现对数据报文的过滤、策略路由以及特殊流量的控制。一个ACL中可以包含一条或多条针对特定类型数据包的规则,这些规则告诉网络设备,对于与规则中规定的选择标准相匹配的数据包是允许还是拒绝通过。
由ACL定义的数据包匹配规则,还可以被其它需要对流量进行区分的场合引用,如防火墙、QOS与队列技术、策略路由、数据速率限制、路由策略、NAT等。
1.2 ACL分类
访问控制列表分为多种类型:
1. 基本ACL:只对源IP地址进行匹配。
2. 扩展ACL:对源IP地址、目的IP地址、IP协议类型、TCP源端口号、TCP目的端口号、UDP源端口号、UDP目的端口号、ICMP类型、ICMP Code、DSCP(DiffServ Code
Point)、ToS、Precedence进行匹配。
3. 二层ACL:对源MAC地址、目的MAC地址、源VLAN ID、二层以太网协议类型、802.1p优先级值进行匹配。
4. 混合ACL:对源MAC地址、目的MAC地址、源VLAN ID、源IP地址、目的IP地址、TCP源端口号、TCP目的端口号、UDP源端口号、UDP目的端口号进行匹配。
5. 用户自定义ACL:对VLAN TAG的个数和偏移字节进行匹配。
1.3 ACL工作流程
下面以路由器为例说明ACL的基本工作过程。 错误!文档中没有指定样式的文字。
ACL实训一
绑定端口:
R0:
Router>en Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#int f0/1
Router(config-if)#ip ad 172.16.2.1 255.255.255.0
Router(config-if)#no sh
Router(config)#int f0/0
Router(config-if)#ip ad 200.10.10.1 255.255.255.0
Router(config-if)#no sh
R1:
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z. Router(config)#int f0/0
Router(config-if)#ip ad 200.10.10.2 255.255.255.0
Router(config-if)#no sh
Router(config-if)#ex
单臂路由:
Router(config)#int f0/1.1
Router(config-subif)#en do 2
Router(config-subif)#ip ad 192.168.2.1 255.255.255.0
Router(config-subif)#no sh
Router(config-subif)#ex
Router(config)#int f0/1.2
Router(config-subif)#en do 3 Router(config-subif)#ip ad 192.168.3.1 255.255.255.0
Router(config-subif)#no sh
Router(config-subif)#ex
1. 实验报告如有雷同,雷同各方当次实验成绩均以0分计。
2. 当次小组成员成绩只计学号、姓名登录在下表中的。
3. 在规定时间内未上交实验报告的,不得以其他方式补交,当次成绩按0分计。
4. 实验报告文件以PDF格式提交。
【实验题目】访问控制列表(ACL)实验。
【实验目的】
1. 掌握标准访问列表规则及配置。
2. 掌握扩展访问列表规则及配置。
3. 了解标准访问列表和扩展访问列表的区别。
【实验内容】
完成教材实例5-4(P190),请写出步骤0安装与建立,的步骤,并完成P192~P193的测试要求。
【实验要求】
重要信息信息需给出截图, 注意实验步骤的前后对比。
【实验记录】(如有实验拓扑请自行画出)
【实验拓扑】
本实验的拓扑图结构如下图:
【实验设备】
路由器一台,PC 5台(其中两台作为 和)。
【实验原理】
基于时间的ACL是在各种ACL规则(标准ACL、扩展ACL等)后面应用时间段选项(time-range)以实现基于时间段的访问控制。当ACL规则应用了时间段后,只有在此时间范围内规则才能生效。此外,只有配置了时间段的规则才会在指定的时间段内生效,其他未引用时间段的规则将不受影响。
要基于时间的ACL一生效,一般需要下面的配置步骤。
(1)定义时间段及时间范围。
(2)ACL自身的配置,即将详细的规则添加到ACL中。
(3)应用ACL,将设置好的ACL添加到相应的端口中。
【实验步骤】 警示 步骤0:
(1)配置3台PC(PC1、PC2和Manager)的IP地址、掩码、网关。
(2)检查PC与服务器的连通性如何?
PC与服务器无法连通,因为还未安装和和配置路由器。
(3)在服务器上安装和。需至少创建一个用户名和口令。
我们选择Serv-U,下载安装后见如下界面。
先新建域:
再创建用户,设置用户名和密码,选择根目录。
我们选择Apache。下载,命令行下进入bin目录,使用httpd -k install命令安装。