ACLIP訪問控制列表配置實(shí)驗(yàn)_第1頁
ACLIP訪問控制列表配置實(shí)驗(yàn)_第2頁
已閱讀5頁,還剩8頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、ACL IP訪問控制列表配置實(shí)驗(yàn) IP 訪問控制列表配置 目錄: 第一個(gè)任務(wù)的:驗(yàn)證測試 . 5 第二個(gè)任務(wù)的:交換機(jī)的驗(yàn)證測試 . 9 第三個(gè)任務(wù)的:擴(kuò)展訪問驗(yàn)證測試 . 14 最后總結(jié): . 15 表示重要的 一、IP標(biāo)準(zhǔn)訪問控制列表的建立及應(yīng)用 工作任務(wù) 你是學(xué)校網(wǎng)絡(luò)管理員,學(xué)校的財(cái)務(wù)處、教師辦公室和校辦企業(yè)財(cái)務(wù)科分屬不 同的3個(gè)網(wǎng)段,三個(gè)部門之間通過路曲器進(jìn)行信息傳遞,為了安全起見,學(xué)校領(lǐng) 導(dǎo)要求你對網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行控制,實(shí)現(xiàn)校辦企業(yè)財(cái)務(wù)科的主機(jī)可以訪問財(cái)務(wù) 處的主機(jī),但是教師辦公室主機(jī)不能訪問財(cái)務(wù)處主機(jī)。 首先對兩路山器進(jìn)行基本配置,實(shí)現(xiàn)三個(gè)網(wǎng)段可以相互訪問;然后對距離 控制U的地

2、址較近的路山器RouterB配置IP標(biāo)準(zhǔn)訪問控制列表, 允許 網(wǎng)段(校辦企業(yè)財(cái)務(wù)科)主機(jī)發(fā)出的數(shù)據(jù)包通過,不允許網(wǎng)段(教 師/24 fa 1Z.Z 財(cái)習(xí)處 枝企 192. 168. 1.2 fal 1Z.1 e0/3/0 1 2311 RouterA lffi. 168.1.0/24 192. 168.3.0/24 2811 RouterB FaO=J / / PCP- PC2 ACL IP訪問控制列表配置實(shí)驗(yàn) 辦公室)主機(jī)發(fā)出的數(shù)據(jù)包通過,最后將這一策略加到路山器RouterB的FaACL IP訪問控制列表配置實(shí)驗(yàn) 0端口,

3、如圖所示。 路由器 Router A : R enable R #configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 VTY是路由器的遠(yuǎn)程登陸的虔擬端口,0 4表示可以同時(shí)打開5個(gè)會(huì)話,line vty 0 4是進(jìn)入VTY端口,對VTY端口進(jìn)行配置,比如說配置密碼, RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable

4、password 100 RouterA (config)#interface fastethcrnet 0/0 RouterA (config-if)#ip address 192.168.1 RouterA (config-if)frno shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address RouterA (config-if)#no shutdown RouterA

5、 (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address RouterA (config-if)friio shutdown RouterA (config-if)#Exit RouterA (config)#ip route 路由器 RouterB: R enable R #configure terminal R(config)#hostname Rout

6、erB RouterB (config)# line vty 0 4 RouterB (config-line)#login RouterB (config-line)#password 100 RouterB (config-line)#exit RouterB (config)# enable password 100 RouterB (config)#interface fastethcrnet 0/0 RouterB (config-if)#ip address RouterB (config-if)frno shutdown Rou

7、terB (config-if)#Exit RouterB (config)#interface s0/3/l RouterB (config-if)#ip address 192.16&12.2 第1步: 基本配置 ACL IP訪問控制列表配置實(shí)驗(yàn) RouterB (config-if)friio shutdown RouterB (config-if)#Exit RouterB (config)#ip route RouterB (config)#ip route 192.168

8、.2.0 第 2 步:在路由器 RouterB 配置 IP 標(biāo)準(zhǔn)訪問控制列表 RouterB (config)#access-list 1 deny 55 RouterB (config)#access-Iist 1 permit 192.168.L0 55 RouterB #show access-list 1 第 3 步:應(yīng)用在路由器 RouterB 的 Fa 0/0 接口輸出方向上 RouterB (config)#interface fastethernet 0/0 RouterB

9、 (config-if)#ip access-group 1 out 驗(yàn)證測試驗(yàn)證測試 RouterB #show ip interface fastethernet ()/0 第 4 步:驗(yàn)證測試 在校企主機(jī)的命令提示符下 Ping 0,能 Ping通。 TTL=126 TTL=12 TTL=126 在老師辦公室主機(jī)的命令提示符下 Ping 192.168.3J0,不能 Ping 通。 af dara: tiffie=lTns timG=7ins tiine=3ins ACL IP訪問控制列表配置實(shí)驗(yàn) 第二:任務(wù)如圖所示, 首先對交換機(jī)進(jìn)行基本配置, 實(shí)現(xiàn)三個(gè)網(wǎng)段可以相

10、互訪問; 然后對交換機(jī) 配置IP標(biāo)準(zhǔn)訪問控制列表,允許網(wǎng)段(校企財(cái)務(wù)科)主機(jī)發(fā)出的數(shù) 據(jù)包通過,不允許網(wǎng)段(教師辦公室)主機(jī)發(fā)出的數(shù)據(jù)包通過,最 后將這一策略加到交換機(jī)VLAN30的SVI端口輸出方向上。 根據(jù)拓?fù)鋱D: 第 1 步:交換機(jī)的基本配置 Switch#configure terminal Switch(config)#hostname s3550 Switch(conifg)#ip routing Switch(conifg)#vian 10 Switch(config-vian)#exit Switch(conifg)#vian 20

11、Switch(config-vlan)#exit Switch(conifg)#interface fastethernet 0/1 Switch(conifg-if)#switchport mode access Switch(conifg-if)#switchport access vlan 10 Switch(conifg-if)#exit Switch(conifg)# interface fastethernet 0/6 Switch(conifg-if)#switchport mode access Switch(conifg-if)#switchport access vlan

12、20 Switch(config-vlan)#exit Switch(conifg)# interface fastethernet 0/20 Switch(conifg-if)#switchport mode access Switch(conifg-if)#switchport access vlan 30 Packet Tracer PC Command. Line 1-0 PCping Pinging 192.1G8.3.3 with 32 bytes of data: Reply- Reply Reply Reply from from from 19218.

13、12,2: 192.1S.12,2: 192.168.12,2: from 192.168.12,2: Deatinauion Destination Deatination Destination h.OSD host host h-QSZ unreachable. unzeachable. unreachable. unreachable. Ping statistics for : ACL IP訪問控制列表配置實(shí)驗(yàn) Switch(config-vian)#exlt Switch(conifg)# Switch(config)#interface vlan 10 Swi

14、tch(conifg-iD#ip address Switch(conifg-if)#no shutdown Switch(conifg-if)#exit Switch(config)#interface vlan 20 Switch(conifg-if)#ip address 192.16&2.1 Switch(conifg-if)#no shutdown Switch(conifg-if)#exit Switch(config)#interface vlan 30 Switch(conifg-if)#i

15、p address 192.16&3.1 Switch(conifg-if)#no shutdown Switch(conifg-if)#end Switch# 査看三層交換機(jī)的路由表 Switch#show ip route 第 2 步:配置命名 IP 標(biāo)準(zhǔn)訪問控制列表 Switch(config)#ip access-list standard ABC Lntec configucation comnan-d, one per line End with CNTL/乙. SExchl config) acuesspist 2 expended Sxven

16、-ded Access 3 2114zd S匸auidaHd Auue 自自 3 con ig)ip access-lisx 1 Svitchcon ig xp access-list mtandard ? Standard. IP aeeess-list number WORD Accesg-list name Switcrh( uonfig)莒:Lp s匸呂ndard | 既可以列表好,也可以直接需字就可以了 Switch(config-std-nacl)#deny 55 Switch(config-st( (l-nacl)#permit 192.16

17、8.1.0 55 Switch(config-std-nacl)#exit Switch(config)#interface vlan 30 Swltch(config-if)# ip access-group ABC out 驗(yàn)證測試驗(yàn)證測試 Switch#show ip interface vlan 30ACL IP訪問控制列表配置實(shí)驗(yàn) 第 3 步:驗(yàn)證測試 在 PC1 主機(jī)的命令提示符下 Ping 0,能 Ping 通。 - 1 Physical Config Desktop Software/Service Pinging L鄉(xiāng)2168,3.3 wi

18、rh 32 bytes of daxa: Ping 3tatistic5 for 192.1G8.3.3: Packets: Sen匸 = 4. Received = 3, Lost = 1 (25% lass) Approximate round trip times in znilli-seconds: Minimum = 0 ms r Majcimum = Oznsr Ave r age = 0 ms 在 PC2 主機(jī)的命令提示符下 Ping 0,不能 Ping 通。 Recpiest 七xmed out. Reply from 192.1G8.3.3: Reply

19、 from : Reply from 192 =6833; bytes=32 byces=32 bytes=32 time=0ms Bime=0ms txme=Qxns TTL=127 TTL=127 TIL=127 ACL IP訪問控制列表配置實(shí)驗(yàn) 二、IP【擴(kuò)展訪問控制列表】的建立及應(yīng) 工作任務(wù) 你是學(xué)校網(wǎng)絡(luò)管理員, 學(xué)校的網(wǎng)管中心分別架設(shè)FTP、Web服務(wù)器, 其中 FTP服務(wù)器供教師專用,學(xué)生不可使用; Web服務(wù)器教師和學(xué)生都可訪問。 FTP及Web服務(wù)器、教師辦公室和學(xué)生宿舍分屬不同的3個(gè)網(wǎng)段,三個(gè)網(wǎng)段之 間通過路山器進(jìn)行信息傳遞,要求你對路山器進(jìn)行適當(dāng)設(shè)置實(shí)

20、現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流量控 制。 首先對兩路山器進(jìn)行基本配置,實(shí)現(xiàn)三個(gè)網(wǎng)段相互訪問;然后對離控制源地 址較近的路山器RouterA配置IP擴(kuò)展訪問控制列表,不允許網(wǎng)段 (學(xué) 生宿舍)主機(jī)發(fā)出的去網(wǎng)段的FTP數(shù)據(jù)包通過,允許192.16&1.0網(wǎng) 段主機(jī)發(fā)岀的其它服務(wù)數(shù)據(jù)包通過, 最后將這一策略加到路由器RouterA的Fa 0端口,如圖所示。 ACL IP訪問控制列表配置實(shí)驗(yàn) 根據(jù)相應(yīng)的圖畫出拓?fù)鋱D: 第1步:基本配置 路由器 Router A : R enable R #configure terminal R(config)#hostname Ro

21、uterA RouterA (config)# line vty 0 4 RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethcrnet 0/0 RouterA (config-if)#ip address RouterA (config-if)#no shutdown Ro

22、uterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address RouterA (config-if)frno shutdown RouterA (config-if)#Exit RouterA (config)#interface fastethcrnet 0/1 RouterA (config-if)#ip address 192.16&2.1 RouterA (config-if)frno

23、 shutdown RouterA (config-if)#Exit RouterA (config)#ip route ACL IP訪問控制列表配置實(shí)驗(yàn) 路由器 RouterB: R cnable R #configure terminal R(config)#hostname RouterB RouterB (config)# line vty 0 4 RouterB (config-line)#login RouterB (config-line)#password 100 RouterB (config-li

24、ne)#exit RouterB (config)# enable password 100 RouterB (config)#interface f 0/0 RouterB (config-if)#ip address RouterB (config-if)#iio shutdown RouterB (config-if)#Exit RouterB (configinterface s0/l RouterB (config-if)#ip address 192.16&12.2 RouterB (confi

25、g-if)frno shutdown RouterB (config-if)#Exit RouterB (config)#ip route RouterB (config)#ip route 第2步:在路由器RouterA上配置IP擴(kuò)展訪問控制列表 拒絕來自 網(wǎng)段去 網(wǎng)段的 FTP 流量通過 RouterA (config)#access-list 101 deny TCP 192.168.1

26、.0 55 55 eq FTP Rou101 deny tcp 55 0.0.0. 255 eq ? Port number ftp File Transfer Protocol (21) pop3 Post Office Protocol v3 (110) smvp Single Mail Transport PLQZQQQI (2S) telnet Telnet (23) WWW World Wide Web (HTTP, 80) 還 可 以 控 制 某 一 些 端 口 的 出

27、 入 允 許 其 它 服 務(wù) 的 流 量 通 過 RouterA (config)#access-list 101 permit IP any any 驗(yàn)證測試 RouterA #show access-list 101 第3步: 把訪問控制列表應(yīng)用在路由器 RouterA 的 Fa 0/0 接口輸入方向上。 RouterA(config)#interface fastethernet ()/0 RouterA (config-if)#ip access-group 101 in 第4步:分別配置FTP和Web服務(wù)器 FTP 服務(wù)器ACL IP訪問控制列表配置實(shí)驗(yàn) Web 服務(wù)器 第 5 步:

28、驗(yàn)證測試 在 PC1 主機(jī)的命令提示符下 Ping 192.1683.10,能 Ping 通。 ACL IP訪問控制列表配置實(shí)驗(yàn) PC2 Simulation Panel Event Li st Vis. Time(sec) Last Device At Device Ty 0.012 . unp(老i師專用 A FT 0.013 FTP (老師專用SwitchO / FT 0.014 Switch 0 RouterB / FT 0.015 RouterB RouterA F FT 0.016 RouterA FT 192. 16& 1.2 oimliati on ranel Evant L:st Vis. Time(secl Last Device At Device 0.001 RouterA 0.002 RouterA PCI 0.301 RouterA 0.302 RouterA PCI Type Info ICMP ICMP ICMP I

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論