路由器实验五：IP访问控制列表配置

实验五：IP访问控制列表配置

                                    网  程学长 159074...

内容一：标准 IP访问控制列表配置

1.实验目标

l 理解标准IP访问控制列表的原理及功能；

l 掌握编号的标准 IP访问控制列表的配置方法；

2.实验背景

   你是公司的网络管理员，公司的经理部、财务部们和销售部门分属于不同的 3 个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部进行访问，但经理部可以对财务部进行访问。

PC0 代表经理部的主机、PC1 代表销售部的主机、PC2 代表财务部的主机。

3.技术原理

   ACLs 的全称为接入控制列表（Access Control Lists），也称访问控制列表（Access Lists），俗称防火墙，在有的文档中还称包过滤。ACLs通过定义一些规则对网络设备接口上的数据包文进行 控制；允许通过或丢弃，从而提高网络可管理型和安全性；

   IP ACL分为两种：标准 IP访问列表和扩展IP访问列表，编号范围为1～99、1300～1999、100～199、2000～2699； 标准 IP访问控制列表可以根据数据包的源 IP地址定义规则，进行数据包的过滤； 扩展 IP访问列表可以根据数据包的原 IP、目的 IP、源端口、目的端口、协议来定义规则，进行数据包的过滤；

  IP ACL基于接口进行规则的应用，分为：入栈应用和出栈应用；

4.实验步骤

  新建 Packet Tracer 拓扑图

 

  （1）路由器之间通过 V.35 电缆通过串口连接，DCE 端连接在 R1 上，配置其时钟频率 64000；主机与路由器通过交叉线连接。

  （2）配置路由器接口 IP地址。

  （3）在路由器上配置静态路由协议，让三台 PC 能够相互 Ping通，因为只有在互通的前提下才涉及到方控制列表。

（4）在 R1 上编号的 IP标准访问控制

  （5）将标准IP访问控制应用到接口上。

  （6）验证主机之间的互通性。

5.实验设备

PC 3 台；Router-PT 2 台；交叉线；DCE串口线；

PC0

  IP:     172.16.1.2

  Submask:   255.255.255.0

  Gageway:  172.16.1.1

PC1

  IP:     172.16.2.2

  Submask:   255.255.255.0

  Gageway:  172.16.2.1

PC2

  IP:     172.16.4.2

  Submask:   255.255.255.0

  Gageway:  172.16.4.1

 

Router0

  en

  conf t

  host R0

  int fa 0/0

  ip address 172.16.1.1 255.255.255.0

  no shutdown

  int fa 1/0

  ip address 172.16.2.1 255.255.255.0

  no shutdown

  int s 2/0

  ip address 172.16.3.1 255.255.255.0

  no shutdown

  clock rate 64000

Router1

  en

  conf t

  host R1

  int s 2/0

  ip address 172.16.3.2 255.255.255.0

  no shutdown

  int fa 0/0

  ip address 172.16.4.1 255.255.255.0

  no shutdown

Router0

  exit

          Ip route 172.16.4.0 255.255.255.255 172.16.3.2      （要求填写非直连网段的一条静态路由，补全下划线下命令并理解含义） 

Router1

  exit

         Ip route 0.0.0.0 0.0.0.0 172.16.3.1    （要求填写非直连网段的一条默认静态路由，补全下划线下命令并理解含义） 

  end

  show ip route

PC0

  ping 172.16.4.2 (success)

PC1

  ping 172.16.4.2 (success)

Router0

  access-list 1 permit   172.16.1.0  0.0.0.255         （要求补充规则，补全下划线下命令并理解含义） 

  access-list 1 deny       172.16.2.0  0.0.0.255    （要求补充规则，补全下划线下命令并理解含义） 

(如果有上面的permit 默认跟一个 deny，所以此命令可不写)

  conf t

  int s 2/0

        Ip access-group 1out         （填写访问控制规则名称的进出方向，补全下划线下命令并理解含义） 

end

PC0

  ping 172.16.4.2 (success)

PC1

  ping 172.16.4.2    失败，禁止连接到PC2       （要求填写实验结果并解释结果原因） 

 

实验截图：

 

 内容二：扩展 IP访问控制列表配置

1.实验目标 

l 理解标准IP访问控制列表的原理及功能；

l 掌握编号的标准 IP访问控制列表的配置方法；

2.实验背景

  你是公司的网络管理员，公司的经理部、财务部们和销售部门分属于不同的 3 个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求某台机器可以正常访问制定的www服务，但是对于ping命令不允许执行。  

3.技术原理

  访问列表中定义的典型规则主要有以下：源地址、目标地址、上层协议、时间区域；

  扩展 IP访问列表（编号 100-199、2000、2699）使用以上四种组合来进行转发或阻断分组；可以根据数据包的源 IP、目的 IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。

  扩展 IP访问列表的配置包括以下两部：

    定义扩展 IP访问列表

将扩展 IP访问列表应用于特定接口上

4.实验步骤

新建 Packet Tracer 拓扑图

 

（1）分公司出口路由器与外路由器之间通过 V.35 电缆串口连接，DCE 端连接在 R2 上，配置其时钟频率64000；主机与路由器通过交叉线连接。

（2）配置 PC机、服务器及路由器接口 IP地址。

（3）在各路由器上配置静态路由协议，让 PC 间能相互 ping 通，因为只有在互通的前提下才涉及到访问控制列表。

（4）在 R2 上配置编号的 IP扩展访问控制列表。

（5）将扩展IP访问列表应用到接口上。

（6）验证主机之间的互通性。

5.实验设备

PC 1 台；Server-PT 1 台；  Router-PT 3 台；交叉线；DCE串口线

PC0

  IP:     172.16.1.2

  Submask:   255.255.255.0

  Gateway:   172.16.1.1

Server0

  IP:     172.16.4.2

  Submask:   255.255.255.0

  Gateway:   172.16.4.1

Router0

  en

  conf t

  host R0

  int fa 0/0

  ip address 172.16.1.1 255.255.255.0

  no shutdown

  int fa 1/0

  ip address 172.16.2.1 255.255.255.0

  no shutdown

  exit

Router1

  en

  conf t

  host R1

  int fa 1/0

  ip address 172.16.2.2 255.255.255.0

  no shutdown

  int s 2/0

  ip address 172.16.3.1 255.255.255.0

  no shutdown

  clock rate 64000

Router2

  en

  conf t

  host R2

  int s 2/0

  ip address 172.16.3.2 255.255.255.0

  no shutdown

  int fa 0/0

  ip address 172.16.4.1 255.255.255.0

  no shutdown

Router0

          Ip route 0.0.0.0  0.0.0.0  172.16.2.2   （要求填写非直连网段的一条默认静态路由，补全下划线下命令并理解含义） 

Router2

  exit

            Ip route 0.0.0.0  0.0.0.0  172.16.3.1 （要求填写非直连网段的一条默认静态路由，补全下划线下命令并理解含义） 

Router1

  exit

            Ip route 172.16.1.0  255.255.255.0  172.16.2.1 （要求填写非直连网段的一条静态路由，补全下划线下命令并理解含义） 

      Ip route 172.16.4.0  255.255.255.0  172.16.3.2        （要求填写非直连网段的另一条静态路由，补全下划线下命令并理解含义） 

  end

  show ip route

PC0

  ping 172.16.4.2(success)

   

  Web 浏览器：http://172.16.4.2(success)

Router1

  conf t

  access-list 100 permit tcp host 172.16.1.2 host 172.16.4.2 eq www

  access-list 100 deny icmp host 172.16.1.2 host 172.16.4.2   echo

  int s 2/0

        ip access-group 100 out          （填写访问控制规则名称的进出方向，补全下划线下命令并理解含义） 

  end

PC0

  Web 浏览器：http://172.16.4.2    成功 （要求填写实验结果并解释结果原因）  

  ping 172.16.4.2     失败 应为禁止连接  （要求填写实验结果并解释结果原因）

6.思考问题：

（1） 标准访问控制列表和扩展访问控制列表配置命令有什么区别？

 

标准的只能对ip地址进行限制，编号为1~99和1300~1999。命令格式为：

access-list access-list-number {permit|deny} source [mask]

 

扩展的可以对协议对端口进行限制，编号为100~199和2000~2699。命令格式为：

access-list access-list-number  { permit | deny } protocol source
source-wildcard [operator port] destination destination-wildcard
[ operator port ]  [ established ] [log]

（2） 实验内容二具体限制了网络通讯中的什么访问？

限制了icmp访问，即无法ping通

（3） 实验内容一和内容二所做的访问控制限制分别在哪台路由器的什么接口？

 内容一是在R0的serial2/0接口，内容二也是在R1的serial2/0接口。

 

（4） 简单解释访问控制命令

    access-list 100 permit tcp host 172.16.1.2 host 172.16.4.2 eq www 的含义。

 

上述为扩展访问控制列表的配置命令，编号为100，允许子网172.16.1.0中主机172.16.1.2通过tcp协议以web形式向子网172.16.4.0的服务器172.16.4.2发送数据。

 

 

实验截图

 

 

 

实验心得：

通过本次实验对静态路由和默认路由的命令和概念有了更深的认识，对ACL 有了基本的认识。