思科模拟器:网络安全实验

一、实验目的

• 掌握访问列表顺序配置的重要性
• 理解标准访问控制列表的作用
• 掌握扩展访问列表的配置
• 理解扩展访问列表丰富的过滤条件

二、应用环境

• 某些安全性要求比较高的主机或网络需要进行访问控制
• 其它的很多应用都可以使用访问控制列表提供操作条件
• 可以针对目标IP地址进行控制
• 针对某些服务进行控制
• 可以针对某些协议进行控制

三、实验设备

• Cisco 路由器 2 台
• PC 机 2 台
• 交叉线 3 条

四、实验拓扑

思科模拟器:网络安全实验_第1张图片

五、实验要求

思科模拟器:网络安全实验_第2张图片

六、实验步骤

配置访问控制器列表

第一步:设置各个设备的名称及 IP 地址并测试连接情况

首先设置 PCA 的 IP 地址并检查:
思科模拟器:网络安全实验_第3张图片
思科模拟器:网络安全实验_第4张图片
然后设置路由器 A 的 IP 地址并检查:
思科模拟器:网络安全实验_第5张图片
思科模拟器:网络安全实验_第6张图片
设置完接口的 IP 地址不要忘记执行 no shutdown 命令。

在我们还没有执行该命令的时候,此时线路的连接状态是这样的:
思科模拟器:网络安全实验_第7张图片
当我们执行了该命令之后就可以发现变绿了。

接下来设置路由器 B 的 IP 地址:
思科模拟器:网络安全实验_第8张图片
思科模拟器:网络安全实验_第9张图片
最后设置 PCB 的 IP 地址:
思科模拟器:网络安全实验_第10张图片
思科模拟器:网络安全实验_第11张图片
然后分别用 PCA ping 其它各个设备并记录结果。

首先是 ping 路由器 A 的两个接口:
思科模拟器:网络安全实验_第12张图片
结果是都可以 ping 通。

然后 ping 路由器 B :
思科模拟器:网络安全实验_第13张图片
结果是都 ping 不通,ping PCB 也是 ping 不通。

原因是什么?

因为路由器只能连接相邻的两个网络,它的路由表中只有和它相邻的两个网络的路由信息,所以一旦跨越两个网络以上就不可达了,可以先看一下现在的路由表:
思科模拟器:网络安全实验_第14张图片
发现只有两个直连路由信息,接下来看看路由器 B 的路由表:
思科模拟器:网络安全实验_第15张图片
我们可以通过设置静态路由或者动态路由(RIP,OSPF)的方式使他们失效,这里配置一下静态路由信息。

第二步:配置静态路由

首先设置路由器 A 的路由信息:
思科模拟器:网络安全实验_第16张图片
检查一下:
思科模拟器:网络安全实验_第17张图片
然后配置路由器 B 的路由信息:
思科模拟器:网络安全实验_第18张图片
检查一下:
思科模拟器:网络安全实验_第19张图片
发现路由器 A 和 B 都多了一条静态路由记录信息。

第三步:PC-A能与PC-B通讯

这个时候再用 PCA 去 ping PCB,发现是可以 ping 通的:
思科模拟器:网络安全实验_第20张图片

第四步:配置访问控制器列表禁止PC-A所在的网段对PC-B的访问

思科模拟器:网络安全实验_第21张图片
然后我们来验证一下配置,可以使用两种分发:

show run
或者
show ip access-list 1

思科模拟器:网络安全实验_第22张图片
思科模拟器:网络安全实验_第23张图片
然后这个时候再去 ping 还是可以 ping 通的,为什么?
思科模拟器:网络安全实验_第24张图片
因为我们仅仅是配置了访问控制列表,但是并没有指定给哪一个端口,接下来指定一下:
思科模拟器:网络安全实验_第25张图片
这个时候再去 ping 就可以发现已经不行了。
思科模拟器:网络安全实验_第26张图片

配置扩展访问列表

配置该列表可以控制仅仅允许某些特殊的流量通过。

首先在路由器 B 上执行:

no ip access-group 1 out

思科模拟器:网络安全实验_第27张图片
代表取消掉之前的访问权限控制的配置。

这个时候再用 PCA 去 ping 一下 PC2 :
思科模拟器:网络安全实验_第28张图片
发现又可以 ping 通了,因为我们取消掉了访问权限控制。

切换到 RouterA,执行一下命令设置扩展访问权限列表:

ip access-list extended 192
deny tcp 192.168.0.0 0.0.0.255 host 192.168.2.2 eq 23
permit icmp any any
int f0/0
ip access-group 192 in
end
extended 后面数字的标识可以是 100-199 之间的数字;
192.168.0.0 是源 IP 地址;
192.168.2.2 是目的地址;
23 是端口号;
permit icmp any any 表示任何使用 ICMP 协议的分组都允许

他的原则是离源最近的原则,所以应该设置为 in
思科模拟器:网络安全实验_第29张图片
然后再去检查一下配置,在 PCA 去 ping PCB:
思科模拟器:网络安全实验_第30张图片
发现是可以的,因为我们设置了可以访问,下面使用 telnet 访问一下:
思科模拟器:网络安全实验_第31张图片
结果是就是访问不了,因为根本就没有流量可以进来。

你可能感兴趣的:(计算机网络)