访问控制列表

 

实验01: 标准访问控制列表

实验目标: 标准访问控制列表只能根据数据包的源IP地址决定是否允许通过


实验环境:

指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,只能根据数据包的源IP地址决定是否允许通过,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定 




实验拓扑图:

访问控制列表_第1张图片

 

 

实验步骤:

  一. 配置IP地址

   1. 配置PC0 IP地址

访问控制列表_第2张图片

 

       2. 配置PC1 IP地址

访问控制列表_第3张图片

 

       3.配置PC2 IP地址

访问控制列表_第4张图片

 

        4.配置server服务器地址

访问控制列表_第5张图片

 

  二、标准访问控制列表配置

  1.配置路由器IP地址

1) Router>en

2) Router#configure terminal 

3) Router(config)#interface f0/0(端口0/0

4) Router(config-if)#ip address 192.168.1.254 255.255.255.0IP地址)

5) Router(config-if)#no shutdown 

6) Router(config-if)#exit

7) Router(config)#interface f0/1(端口0/1

8) Router(config-if)#ip address 192.168.2.1 255.255.255.0IP地址)

9) Router(config-if)#no shut

   10Router(config-if)#no shutdown 

  2.测试主机到Web Server的连通性

1) PC>ping 192.168.2.1(服务器IP地址)

2) Pinging 192.168.2.1 with 32 bytes of data:

3) Reply from 192.168.2.1: bytes=32 time=0ms TTL=127

4) Reply from 192.168.2.1: bytes=32 time=0ms TTL=127

5) Reply from 192.168.2.1: bytes=32 time=0ms TTL=127

6) Reply from 192.168.2.1: bytes=32 time=0ms TTL=127

       Ping statistics for 192.168.2.1:

       Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

      Approximate round trip times in milli-seconds:

     Minimum = 0ms, Maximum = 0ms, Average = 0msRouter(config-if)#standby 2 ip 192.168.2.252

3.标准访问控制列表的配置拒绝PC1访问服务器

1) Router>en

2) Router#configure terminal 

3) Router(config)#access-list 1 deny 192.168.1.1 0.0.0.0(拒绝PC1访问)

4) Router(config)#interface f0/0(开启端口)

5) Router(config-if)#ip access-group 1 in(将ACL应用于接口)

实验结果:

访问控制列表_第6张图片

 

 6) Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255(允许访问)

 7) Router(config)#interface fastEthernet 0/0

 8) Router(config-if)#ip access-group 1 inACL应用于接口

实验结果:

访问控制列表_第7张图片

 

  结构验证:

      1.PC>ping 192.168.2.1PC1上)

1) Pinging 192.168.2.1 with 32 bytes of data:

2) Reply from 192.168.1.254: Destination host unreachable.

3) Reply from 192.168.1.254: Destination host unreachable.

4) Reply from 192.168.1.254: Destination host unreachable.

5) Reply from 192.168.1.254: Destination host unreachable.

                 Ping statistics for 192.168.2.1:

                 Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),  

2. Router#show ip access-lists 

           Standard IP access list 1

                    permit any (4 match(es))

                     deny host 192.168.1.1

   标准访问控制列表因为只能限制源IP地址,因此应该把ACL放到离目标最近的

   端  口出方向上。

    ACL的匹配规则中,最后有一条隐含拒绝全部。如果语句中全部是拒绝条

    目,那么最后必须存在允许语句,否则所有数据通信都将被拒绝。


   三、访问控制列表配置

   1. 标准访问控制列表移除,其他配置保留

1) Router(config)#interface f0/0

2) Router(config-if)#no ip access-group 1 in

3) Router(config-if)#no access-list 1

   2. 在PC1 Server的HTTP协议访问

  

访问控制列表_第8张图片


 3. 配置扩展访问控制列表,仅拒绝PC1到Server的访问

1) Router(config)#access-list 100 deny tcp host 192.168.1.1 host 192.168.2.1 eq 80

2) Router(config)#access-list 100 permit ip any any 

3) Router(config)#interface fastEthernet 0/0

4) Router(config-if)#ip access-group 100 in

  结构验证:

1. PCI上验证

5)  PC>ping 192.168.2.1

6) Pinging 192.168.2.1 with 32 bytes of data:

8) Reply from 192.168.2.1: bytes=32 time=1ms TTL=127

9) Reply from 192.168.2.1: bytes=32 time=0ms TTL=127

10) Reply from 192.168.2.1: bytes=32 time=0ms TTL=127

11) Reply from 192.168.2.1: bytes=32 time=0ms TTL=127

13) Ping statistics for 192.168.2.1:

14)     Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

15) Approximate round trip times in milli-seconds:

16)     Minimum = 0ms, Maximum = 1ms, Average = 0ms

18) PC>ipconfig

20) FastEthernet0 Connection:(default port)

21) Link-local IPv6 Address.........: FE80::250:FFF:FE6C:6929

22) IP Address......................: 192.168.1.1

23) Subnet Mask.....................: 255.255.255.0

24) Default Gateway.................: 192.168.1.254

 2.在服务器上验证

 

访问控制列表_第9张图片


因为只限制了到Web Server的HTTP访问,所以WEB服务已经无法访问,但是仍然可以ping通

 

实验02: 命名访问控制列表

实验目标: 标准访问控制列表只能根据数据包的源IP地址决定是否允许通过

实验环境:指令列表用来告诉路由器哪能些数据包可以收、

           哪能数据包需要拒绝。至于数据包是被接收还 

           是拒绝,只能根据数据包的源IP地址决定是否 

           允许通过,可以由类似于源地址、目的地址、

           端口号等的特定指示条件来决定 

           PC1只允许访问192.168.4.1web访问

           不允许PC1访问192.168.4.1的其他服务

           允许除PC1外其他主机访问所有

实验拓扑图:

访问控制列表_第10张图片

 

 

实验步骤:

一、 配置IP地址

1.配置PC0 IP地址

访问控制列表_第11张图片

 

2. 配置PC1 IP地址

访问控制列表_第12张图片

 

3.配置PC2 IP地址

访问控制列表_第13张图片

 

4.配置server服务器地址

访问控制列表_第14张图片

 

二、命名访问控制列表配置

1.配置路由器1IP地址及动态路由

1) Router#configure terminal 

2) Router(config)#interface fastEthernet 0/0

3) Router(config-if)#ip address 192.168.1.254 255.255.255.0

4) Router(config-if)#no shutdown 

5) Router(config-if)#exit

6) Router(config)#interface fastEthernet 0/1

7) Router(config-if)#ip address 192.168.2.1 255.255.255.0

8) Router(config-if)#no shutdown 

9) Router(config)#router rip 

10) Router(config-router)#version 2

11) Router(config-router)#no auto-summary 

12) Router(config-router)#network 192.168.1.0

13) Router(config-router)#network 192.168.2.0

 

2.配置路由器2IP地址及动态路由

 

1) Router#configure terminal 

2) Router(config)#interface fastEthernet 0/1

3) Router(config-if)#ip add

4) Router(config-if)#ip address 192.168.2.2 255.255.255.0

5) Router(config-if)#no shutdown 

6) Router(config-if)#exit

7) Router(config)#interface fastEthernet 0/0

8) Router(config-if)#ip address 192.168.3.1 255.255.255.0

9) Router(config-if)#no shutdown 

10) Router(config-if)#exit

11) Router(config)#router rip (开启动态路由)

12) Router(config-router)#version 2

13) Router(config-router)#no auto-summary (关闭路由汇总)

14) Router(config-router)#network 192.168.2.0

15) Router(config-router)#network 192.168.3.0

3.配置路由器3IP地址及动态路由

1) Router(config)#interface fastEthernet 0/0

2) Router(config-if)#ip address 192.168.3.2 255.255.255.0

3) Router(config-if)#no shutdown 

4) Router(config-if)#exit

5) Router(config)#int

6) Router(config)#interface fastEthernet 0/1

7) Router(config-if)#ip address 192.168.4.254 255.255.255.0

8) Router(config-if)#no shutdown 

9) Router(config-if)#exit

10) Router(config)#router rip 

11) Router(config-router)#version 2

12) Router(config-router)#no auto-summary 

13) Router(config-router)#network 192.168.4.0

14) Router(config-router)#network 192.168.3.0

4.测试主机到Web Server的连通性

1) PC>ping 192.168.4.1

2) Pinging 192.168.4.1 with 32 bytes of data:

3) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125

4) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125

5) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125

6) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125

7) Ping statistics for 192.168.4.1:

8)     Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

9) Approximate round trip times in milli-seconds:

10)     Minimum = 0ms, Maximum = 0ms, Average = 0ms

5标准访问控制列表的配置拒绝PC1访问服务器

1) Router(config)#no access-list 100 

2) Router#configure terminal 

3) Router(config)#ip access-list extended nsd1407(名字)

PC1只允许访问192.168.4.1web访问

4) Router(config-ext-nacl)#permit tcp host 192.168.1.1 host 192.168.4.1 eq 80

不允许PC1访问192.168.4.1的其他服务

5) Router(config-ext-nacl)#deny ip host 192.168.1.1 host 192.168.4.1

允许除PC1外其他主机访问所有

6) Router(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.4.1 0.0.0.0

7) Router(config-ext-nacl)#exit

8) Router(config)#interface f0/0

9) Router(config-if)#ip access-group nsd1407 innsd1407这个端口上执行

三、命名标准访问控制列表配置

1) Router(config)#ip access-list standard nsd(建立名字nsd

2) Router(config-std-nacl)#deny host 192.168.1.1(拒绝)

3) RRouter(config-std-nacl)#permit 192.168.1.0 0.0.0.255(允许)

4) Router(config-std-nacl)#exit

5) Router(config)#interface fastEthernet 0/0

         Router(config-if)#ip access-group nsd

结构验证:

1. 在PC1上验证

访问控制列表_第15张图片

 

1) PC>ping 192.168.4.1

2) Pinging 192.168.4.1 with 32 bytes of data:

3) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125

4) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125

5) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125

6) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125

7) Ping statistics for 192.168.4.1:

8)     Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

9) Approximate round trip times in milli-seconds:

10)     Minimum = 0ms, Maximum = 0ms, Average = 0ms

2.在PC3上验证

访问控制列表_第16张图片

 

 

11) PC>ping 192.168.4.1

12) Pinging 192.168.4.1 with 32 bytes of data:

13) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125

14) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125

15) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125

16) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125

17) Ping statistics for 192.168.4.1:

18)     Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

19) Approximate round trip times in milli-seconds:

20)     Minimum = 0ms, Maximum = 0ms, Average = 0ms

21) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125

22) Reply from 192.168.4.1: bytes=32 time=0ms TTL=125