GNS3中实现IP访问控制列表配置实验

实验内容:

公司的经理部(C3)、财务部(C1)和销售部(C2)分别属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部不能对财务部进行访问,但经理部可以对财务部和销售部进行访问。

1.构建实验网络拓扑,并标注端口及配置信息。

2.对路由器R1R2进行配置,并查看记录接口状态、路由信息。

3.通过VPCS虚拟机,为每个PC机配置IP地址和子网掩码,检查各主机的连通性。

4.在R1上配置标准ACL,测试各主机之间的连通性,并记录结果。

5.R1上的ACL去掉,再测试各主机之间的连通性,并记录结果。

6.R2上配置标准ACL,测试各主机之间的连通性,并记录结果。

7.R2上的ACL去掉,再测试各主机之间的连通性,并记录结果。


实验结果:

在各端口配置IPACL后,PC2不能访问PC1,即销售部不能对财务部进行访问,达到实验要求,在去掉IPACL后,各主机之间的通信恢复正常。

【注意事项】

1注意在访问控制列表中的网络掩码是反掩码。

2.标准访问列表要应用在尽量靠近目标的地址的接口。

3.标准ACL的编号范围是1-991300-1999,扩展访问列表的编号范围是100-1992000-2999

4.IPACL基于接口应用时,分为入栈和出栈两个方向,命令分别为inout

图片

R1的基本配置:
R1>en
R1#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
R1(config)#inters0/0
R1(config-if)#ipadd10.1.2.1255.255.255.0
R1(config-if)#noshut
R1(config-if)#clockrate64000
*Mar100:01:16.087:%LINK-3-UPDOWN:InterfaceSerial0/0,changedstatetoup
*Mar100:01:17.087:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/0,changedstatetoup
R1(config-if)#interf1/0
R1(config-if)#ipadd192.168.1.2255.255.255.0
*Mar100:01:42.579:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/0,changedstatetodown
R1(config-if)#ipadd192.168.1.2255.255.255.0
R1(config-if)#noshut
R1(config-if)#
R1(config-if)#inte
*Mar100:01:49.399:%LINK-3-UPDOWN:InterfaceFastEthernet1/0,changedstatetoup
*Mar100:01:50.399:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet1/0,changedstatetoup
R1(config-if)#interf2/0

R1(config-if)#ipadd192.168.3.2255.255.255.0
R1(config-if)#noshut
R1(config-if)#
*Mar100:02:15.315:%LINK-3-UPDOWN:InterfaceFastEthernet2/0,changedstatetoup
*Mar100:02:16.315:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet2/0,changedstatetoup
R1(config-if)#exit
R1(config)#iproute192.168.2.0255.255.255.010.1.2.2~~~~~~~~~~~~~~~~~~~~~配置静态路由
R1(config)#exit
查看R2接口状态和路由信息
R1#showipinterbrief
InterfaceIP-AddressOK?MethodStatusProtocol
Serial0/010.1.2.1YESmanualupdown
Serial0/1unassignedYESunsetadministrativelydowndown
Serial0/2unassignedYESunsetadministrativelydowndown
Serial0/3unassignedYESunsetadministrativelydowndown
FastEthernet1/0192.168.1.2YESmanualupup
FastEthernet2/0192.168.3.2YESmanualupup

R1#
R1#showiproute
Codes:C-connected,S-static,R-RIP,M-mobile,B-BGP
D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterarea
N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2
E1-OSPFexternaltype1,E2-OSPFexternaltype2
i-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-2
ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticroute
o-ODR,P-periodicdownloadedstaticroute

Gatewayoflastresortisnotset

C192.168.1.0/24isdirectlyconnected,FastEthernet1/0
C192.168.3.0/24isdirectlyconnected,FastEthernet2/0
R1#

^

R2的基本配置:
R2>en
R2#
R2#
R2#
R2#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
R2(config)#
R2(config)#
R2(config)#
R2(config)#
R2(config)#
R2(config)#
R2(config)#interf1/0
R2(config-if)#ipadd192.168.2.2255.255.255.0
R2(config-if)#noshut
R2(config-if)#inters
*Mar100:35:25.047:%LINK-3-UPDOWN:InterfaceFastEthernet1/0,changedstatetoup
*Mar100:35:26.047:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet1/0,changedstatetoup
R2(config-if)#inters0/0
R2(config-if)#ipadd10.1.2.2255.255.255.0
R2(config-if)#noshut
R2(config-if)#
*Mar100:35:49.267:%LINK-3-UPDOWN:InterfaceSerial0/0,changedstatetoup
*Mar100:35:50.267:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/0,changedstatetoup
R2(config-if)#exit
R2(config)#iproute192.168.1.0255.255.255.010.1.2.1
R2(config)#iproute192.168.3.0255.255.255.010.1.2.1
R2(config)#exit
R2#


查看R2接口状态和路由信息
R2#showiproute
Codes:C-connected,S-static,R-RIP,M-mobile,B-BGP
D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterarea
N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2
E1-OSPFexternaltype1,E2-OSPFexternaltype2
i-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-2
ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticroute
o-ODR,P-periodicdownloadedstaticroute

Gatewayoflastresortisnotset

10.0.0.0/24issubnetted,1subnets
C10.1.2.0isdirectlyconnected,Serial0/0
S192.168.1.0/24[1/0]via10.1.2.1
C192.168.2.0/24isdirectlyconnected,FastEthernet1/0
S192.168.3.0/24[1/0]via10.1.2.1
R2#showipinterbrief
InterfaceIP-AddressOK?MethodStatusProtocol
Serial0/010.1.2.2YESmanualupup
Serial0/1unassignedYESunsetadministrativelydowndown
Serial0/2unassignedYESunsetadministrativelydowndown
Serial0/3unassignedYESunsetadministrativelydowndown
FastEthernet1/0192.168.2.2YESmanualupup
FastEthernet2/0unassignedYESunsetadministrativelydowndown
R2#
R2#

配置PC



图片

图片

(1)R1上配置标准ACL,并将ACL应用到R1接口s0/0出栈方向,查看和记录访问列表的详细信息,如下图所示:

R1#conft

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

R1(config)#access-list1deny192.168.1.00.0.0.255

R1(config)#access-list1permit192.168.3.00.0.0.255

R1(config)#ints0/0

R1(config-if)#ipaccess-group1out

R1(config-if)#end

R1#showaccess-lists1
图片



(2)
通过VPCS虚拟机,测试三台主机的连通性,测试得知PC1PC3能相互ping通,PC1PC2不能相互ping通,PC2PC3能相互ping通,如下图所示:


图片图片



(1)R1上的s0/0接口下的ACL去掉,如下所示:

R1(config)#ints0/0

R1(config-if)#noipaccess-group1out

(2)通过VPCS虚拟机,再次测试三台主机的连通性,测试得知他们之间能够相互访问,如下图所示:图片



(1)
R2上配置标准ACL,并将ACL应用到RouteB接口s0/0入栈方向,查看和记录访问列表的详细信息,如下图所示:

R2#conft

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

R2(config)#access-list1deny192.168.1.00.0.0.255

R2(config)#access-list1permit192.168.3.00.0.0.255

R2(config)#ints0/0

R2(config-if)#ipaccess-group1in

R2(config-if)#end

R2#showaccess-lists1
图片



(2)
通过VPCS虚拟机,测试三台主机的连通性,测试得知PC1PC3能相互ping通,PC1PC2不能相互ping通,PC2PC3能相互ping通,如下图所示:



图片

图片



(1)
R2上的s0/0接口下的ACL去掉,如下所示:

R2#conft

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

R2(config)#ints0/0

R2(config-if)#noipaccess-group1in

R2(config-if)#end


(2)
通过VPCS虚拟机,再次测试三台主机的连通性,测试得知PC1PC2之间恢复正常,彼此之间能够相互访问,如下图所示:


图片


(1)
RouteB上配置标准ACL,并将ACL应用到RouteB接口f1/0出栈方向,查看和记录访问列表的详细信息,如下图所示:

R2#conft

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

R2(config)#access-list1deny192.168.1.00.0.0.255

R2(config)#access-list1permit192.168.3.00.0.0.255

R2(config)#intf1/0

R2(config-if)#ipaccess-group1out

R2(config-if)#end

R2#showaccess-lists1

图片



(2)
通过VPCS虚拟机,测试三台主机的连通性,测试得知PC1PC3能相互ping通,PC1PC2不能相互ping通,PC2PC3能相互ping通,如下图所示:
图片


(1
R2上的f1/0接口下的ACL去掉,如下所示:


R2#conft

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

R2(config)#intf1/0

R2(config-if)#noipaccess-group1out

(2)通过VPCS虚拟机,再次测试三台主机的连通性,测试得知PC1PC2之间恢复正常,彼此之间能够相互访问,如下图所示:
图片


实验分析

在路由器RouteAs0/0端口出栈方向应用ip访问控制时,由于PC1和PC3连接在同一个路由器RouteA上,接入的端口没有任何限制,因此可以相互ping通;在PC1和PC2之间RouteAs0/0端口出栈方向应用了ip访问控制,限制了与PC1的地址相符合的网段的包从该端口出去,但PC2送的包能到达PC1,因此不能相互ping通;而s0/0端口所应用的ip访问控制,允许了PC3所在网段的包通过,所以PC2和PC3能相互ping通。

在路由器RouteBs0/0端口入栈方向应用ip访问控制时,由于PC1和PC3连接在同一个路由器RouteA上,接入的端口没有任何限制,因此可以相互ping通;在PC1和PC2之间RouteBs0/0端口入栈方向应用了ip访问控制,限制了与PC1的地址相符合的网段的包从该端口进去,但PC2送的包能到达PC1,因此不能相互ping通;而s0/0端口所应用的ip访问控制,允许了PC3所在网段的包通过,所以PC2和PC3能相互ping通。

在路由器RouteBf1/0端口出栈方向应用ip访问控制时,由于PC1和PC3连接在同一个路由器RouteA上,接入的端口没有任何限制,因此可以相互ping通;在PC1和PC2之间RouteBf1/0端口出栈方向应用了ip访问控制,限制了与PC1的地址相符合的网段的包从该端口出去,但PC2送的包能到达PC1,因此不能相互ping通;而s0/0端口所应用的ip访问控制,允许了PC3所在网段的包通过,所以PC2和PC3能相互ping通。

当ip访问控制从各端口去掉后,一切恢复正常,就能够相互ping通了。

你可能感兴趣的:(实现,实验,GNS3,IP访问控制列表)