访问控制列表
实验01: 标准访问控制列表
实验目标: 标准访问控制列表只能根据数据包的源IP地址决定是否允许通过
实验环境:
指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,只能根据数据包的源IP地址决定是否允许通过,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定
实验拓扑图:
实验步骤:
一. 配置IP地址
1. 配置PC0 IP地址
2. 配置PC1 IP地址
3.配置PC2 IP地址
4.配置server服务器地址
二、标准访问控制列表配置
1.配置路由器IP地址
1) Router>en
2) Router#configure terminal
3) Router(config)#interface f0/0(端口0/0)
4) Router(config-if)#ip address 192.168.1.254 255.255.255.0(IP地址)
5) Router(config-if)#no shutdown
6) Router(config-if)#exit
7) Router(config)#interface f0/1(端口0/1)
8) Router(config-if)#ip address 192.168.2.1 255.255.255.0(IP地址)
9) Router(config-if)#no shut
10)Router(config-if)#no shutdown
2.测试主机到Web Server的连通性
1) PC>ping 192.168.2.1(服务器IP地址)
2) Pinging 192.168.2.1 with 32 bytes of data:
3) Reply from 192.168.2.1: bytes=32 time=0ms TTL=127
4) Reply from 192.168.2.1: bytes=32 time=0ms TTL=127
5) Reply from 192.168.2.1: bytes=32 time=0ms TTL=127
6) Reply from 192.168.2.1: bytes=32 time=0ms TTL=127
Ping statistics for 192.168.2.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0msRouter(config-if)#standby 2 ip 192.168.2.252
3.标准访问控制列表的配置拒绝PC1访问服务器
1) Router>en
2) Router#configure terminal
3) Router(config)#access-list 1 deny 192.168.1.1 0.0.0.0(拒绝PC1访问)
4) Router(config)#interface f0/0(开启端口)
5) Router(config-if)#ip access-group 1 in(将ACL应用于接口)
实验结果:
6) Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255(允许访问)
7) Router(config)#interface fastEthernet 0/0
8) Router(config-if)#ip access-group 1 in(将ACL应用于接口)
实验结果:
结构验证:
1.PC>ping 192.168.2.1(PC1上)
1) Pinging 192.168.2.1 with 32 bytes of data:
2) Reply from 192.168.1.254: Destination host unreachable.
3) Reply from 192.168.1.254: Destination host unreachable.
4) Reply from 192.168.1.254: Destination host unreachable.
5) Reply from 192.168.1.254: Destination host unreachable.
Ping statistics for 192.168.2.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
2. Router#show ip access-lists
Standard IP access list 1
permit any (4 match(es))
deny host 192.168.1.1
标准访问控制列表因为只能限制源IP地址,因此应该把ACL放到离目标最近的
端 口出方向上。
ACL的匹配规则中,最后有一条隐含拒绝全部。如果语句中全部是拒绝条
目,那么最后必须存在允许语句,否则所有数据通信都将被拒绝。
三、访问控制列表配置
1. 标准访问控制列表移除,其他配置保留
1) Router(config)#interface f0/0
2) Router(config-if)#no ip access-group 1 in
3) Router(config-if)#no access-list 1
2. 在PC1 Server的HTTP协议访问
3. 配置扩展访问控制列表,仅拒绝PC1到Server的访问
1) Router(config)#access-list 100 deny tcp host 192.168.1.1 host 192.168.2.1 eq 80
2) Router(config)#access-list 100 permit ip any any
3) Router(config)#interface fastEthernet 0/0
4) Router(config-if)#ip access-group 100 in
结构验证:
1. 在PCI上验证
5) PC>ping 192.168.2.1
6) Pinging 192.168.2.1 with 32 bytes of data:
8) Reply from 192.168.2.1: bytes=32 time=1ms TTL=127
9) Reply from 192.168.2.1: bytes=32 time=0ms TTL=127
10) Reply from 192.168.2.1: bytes=32 time=0ms TTL=127
11) Reply from 192.168.2.1: bytes=32 time=0ms TTL=127
13) Ping statistics for 192.168.2.1:
14) Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
15) Approximate round trip times in milli-seconds:
16) Minimum = 0ms, Maximum = 1ms, Average = 0ms
18) PC>ipconfig
20) FastEthernet0 Connection:(default port)
21) Link-local IPv6 Address.........: FE80::250:FFF:FE6C:6929
22) IP Address......................: 192.168.1.1
23) Subnet Mask.....................: 255.255.255.0
24) Default Gateway.................: 192.168.1.254
2.在服务器上验证
因为只限制了到Web Server的HTTP访问,所以WEB服务已经无法访问,但是仍然可以ping通
实验02: 命名访问控制列表
实验目标: 标准访问控制列表只能根据数据包的源IP地址决定是否允许通过
实验环境:指令列表用来告诉路由器哪能些数据包可以收、
哪能数据包需要拒绝。至于数据包是被接收还
是拒绝,只能根据数据包的源IP地址决定是否
允许通过,可以由类似于源地址、目的地址、
端口号等的特定指示条件来决定 。
PC1只允许访问192.168.4.1的web访问
不允许PC1访问192.168.4.1的其他服务
允许除PC1外其他主机访问所有
实验拓扑图:
实验步骤:
一、 配置IP地址
1.配置PC0 IP地址
2. 配置PC1 IP地址
3.配置PC2 IP地址
4.配置server服务器地址
二、命名访问控制列表配置
1.配置路由器1IP地址及动态路由
1) Router#configure terminal
2) Router(config)#interface fastEthernet 0/0
3) Router(config-if)#ip address 192.168.1.254 255.255.255.0
4) Router(config-if)#no shutdown
5) Router(config-if)#exit
6) Router(config)#interface fastEthernet 0/1
7) Router(config-if)#ip address 192.168.2.1 255.255.255.0
8) Router(config-if)#no shutdown
9) Router(config)#router rip
10) Router(config-router)#version 2
11) Router(config-router)#no auto-summary
12) Router(config-router)#network 192.168.1.0
13) Router(config-router)#network 192.168.2.0
2.配置路由器2IP地址及动态路由
1) Router#configure terminal
2) Router(config)#interface fastEthernet 0/1
3) Router(config-if)#ip add
4) Router(config-if)#ip address 192.168.2.2 255.255.255.0
5) Router(config-if)#no shutdown
6) Router(config-if)#exit
7) Router(config)#interface fastEthernet 0/0
8) Router(config-if)#ip address 192.168.3.1 255.255.255.0
9) Router(config-if)#no shutdown
10) Router(config-if)#exit
11) Router(config)#router rip (开启动态路由)
12) Router(config-router)#version 2
13) Router(config-router)#no auto-summary (关闭路由汇总)
14) Router(config-router)#network 192.168.2.0
15) Router(config-router)#network 192.168.3.0
3.配置路由器3IP地址及动态路由
1) Router(config)#interface fastEthernet 0/0
2) Router(config-if)#ip address 192.168.3.2 255.255.255.0
3) Router(config-if)#no shutdown
4) Router(config-if)#exit
5) Router(config)#int
6) Router(config)#interface fastEthernet 0/1
7) Router(config-if)#ip address 192.168.4.254 255.255.255.0
8) Router(config-if)#no shutdown
9) Router(config-if)#exit
10) Router(config)#router rip
11) Router(config-router)#version 2
12) Router(config-router)#no auto-summary
13) Router(config-router)#network 192.168.4.0
14) Router(config-router)#network 192.168.3.0
4.测试主机到Web Server的连通性
1) PC>ping 192.168.4.1
2) Pinging 192.168.4.1 with 32 bytes of data:
3) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125
4) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125
5) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125
6) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125
7) Ping statistics for 192.168.4.1:
8) Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
9) Approximate round trip times in milli-seconds:
10) Minimum = 0ms, Maximum = 0ms, Average = 0ms
5标准访问控制列表的配置拒绝PC1访问服务器
1) Router(config)#no access-list 100
2) Router#configure terminal
3) Router(config)#ip access-list extended nsd1407(名字)
PC1只允许访问192.168.4.1的web访问
4) Router(config-ext-nacl)#permit tcp host 192.168.1.1 host 192.168.4.1 eq 80
不允许PC1访问192.168.4.1的其他服务
5) Router(config-ext-nacl)#deny ip host 192.168.1.1 host 192.168.4.1
允许除PC1外其他主机访问所有
6) Router(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.4.1 0.0.0.0
7) Router(config-ext-nacl)#exit
8) Router(config)#interface f0/0
9) Router(config-if)#ip access-group nsd1407 in(在nsd1407这个端口上执行)
三、命名标准访问控制列表配置
1) Router(config)#ip access-list standard nsd(建立名字nsd)
2) Router(config-std-nacl)#deny host 192.168.1.1(拒绝)
3) RRouter(config-std-nacl)#permit 192.168.1.0 0.0.0.255(允许)
4) Router(config-std-nacl)#exit
5) Router(config)#interface fastEthernet 0/0
Router(config-if)#ip access-group nsd
结构验证:
1. 在PC1上验证
1) PC>ping 192.168.4.1
2) Pinging 192.168.4.1 with 32 bytes of data:
3) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125
4) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125
5) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125
6) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125
7) Ping statistics for 192.168.4.1:
8) Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
9) Approximate round trip times in milli-seconds:
10) Minimum = 0ms, Maximum = 0ms, Average = 0ms
2.在PC3上验证
11) PC>ping 192.168.4.1
12) Pinging 192.168.4.1 with 32 bytes of data:
13) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125
14) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125
15) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125
16) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125
17) Ping statistics for 192.168.4.1:
18) Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
19) Approximate round trip times in milli-seconds:
20) Minimum = 0ms, Maximum = 0ms, Average = 0ms
21) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125
22) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125