實驗五 訪問控制列表_第1頁
實驗五 訪問控制列表_第2頁
實驗五 訪問控制列表_第3頁
實驗五 訪問控制列表_第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、實驗五、訪問控制列表5.1實驗?zāi)康?1熟悉路由器的包過濾的核心技術(shù):訪問控制列表。2. 掌握訪問控制列表的相關(guān)知識。3. 掌握訪問控制列表的應(yīng)用,靈活設(shè)計防火墻。5.2 設(shè)備需求(1) 2臺路由器。(2) 12臺交換機(可選)。(2) 25臺PC機。(3) 2根Console控制臺電纜(一端接交換機Console端口,一端接PC機串口)。(4) 2根V.35電纜。5.3 實驗環(huán)境圖5-1 訪問控制列表配置實驗5.4實驗內(nèi)容和步驟1. 基本訪問控制列表(序號為20002999)基本訪問控制列表只使用數(shù)據(jù)包的源地址來判斷數(shù)據(jù)包,所以它只能以源地址來區(qū)分數(shù)據(jù)包,源相同而目的不同的數(shù)據(jù)包也只能采取同一

2、種策略。所以利用標準訪問控制列表,我們只能粗略的區(qū)別對待網(wǎng)內(nèi)的用戶群,那些主機能訪問外部網(wǎng),那些不能。在實驗環(huán)境中,我們?nèi)绻辉试SIP地址為的主機PCA訪問外部網(wǎng)絡(luò),則只需在路由器上進行如下配置即可。(1) 配置訪問控制列表 在路由器RTA上配置:進入超級終端,進入路由器的系統(tǒng)視圖。RTA firewall enableRTA interface GigabitEthernet0/0RTA-GigabitEthernet0/0 ip address 202.0.0.1 24RTA-GigabitEthernet0/0 interface Serial5/0RTA-Serial5/0 ip ad

3、dress 192.0.0.1 24RTA-Serial5/0 quitRTA ripRTA-rip-1 RTA-rip-1 network 202.0.0.0RTA-rip-1 quit允許IP地址是的特定主機訪問外部網(wǎng)絡(luò),而禁止該網(wǎng)段的其他主機訪問外部網(wǎng)絡(luò)。RTA acl number 2001RTA-acl-basic-2001 rule permit source 202.0.0.2 .0RTA-acl-basic-2001 rule deny source 202.0.0.2 .255RTA-acl-basic-2001 quitRTA interface Serial5/0RTA-

4、Serial5/0 firewall packet-filter 2001 outboundRTA display ip routing-tableRouting Tables: Public Destinations : 8 Routes : 8Destination/Mask Proto Pre Cost NextHop Interface 在路由器RTB上配置:RTA interface GigabitEthernet0/0RTA-GigabitEthernet0/0 ip address 202.0.1.1 24RTA-GigabitEthernet0/0 interface Seri

5、al5/0RTA-Serial5/0 ip address 192.0.0.2 24RTA-Serial5/0 quitRTA rip / 啟動路由協(xié)議RTA-rip-1 RTA-rip-1 network 202.0.1.0RTA-rip-1 quit(2) 驗證訪問控制列表的作用在PCA主機(IP地址是:)的命令窗口,Ping PCD主機(IP地址是:202.0.1.2):Ping 202.0.1.2 應(yīng)該能Ping 通,而在主機PCB(IP地址是:202.0.0.3,若實驗中僅有2臺PC機,則需將PCA主機的IP地址改為202.0.0.3)的命令窗口,Ping PCD主機,則不能Ping

6、 通。2. 擴展訪問控制列表 (序號為30003999)擴展訪問控制列表不僅使用數(shù)據(jù)包的源地址作為判斷條件,還使用目的地址、協(xié)議號為判斷條件。所以它可以更加詳細的區(qū)分數(shù)據(jù)包,更好的控制用戶訪問。下面我們先應(yīng)用擴展訪問控制列表來完成前面標準訪問控制列表完成的功能,以便比較。在路由器上的具體配置如下: (1) 配置訪問控制列表在路由器RTA上配置:RTA firewall enableRTAacl number 3000 match configRTA-acl-adv-3000 rule 1 permit ip source 202.0.0.2 .0 destination 202.0.1.0 .

7、255RTA-acl-adv-3000 rule deny ip source 202.0.0.0 RTA-acl-adv-3000quitRTA int Serial5/0RTA-Serial5/0 firewall packet-filter 3000 outbound / 使訪問列表在S0口生效RTA-Serial5/0 quitRTA RTA rip在路由器RTB上配置: 與標準訪問控制列表的RTB的配置相同,即只需配置E0口和S0口的IP地址,以及啟動動態(tài)路由RIPRTA rip 啟動路由協(xié)議Router-rip network 192.0.0.0Router-rip network 202.0.1.0(2) 驗證訪問控制列表的作用在PCA主機 (IP地址是:)的命令窗口,Ping PCD主機(IP地址是:202.0.1.2):Ping 202.0.1.2 應(yīng)該能Ping 通,而在主機PCB(IP地址是:202.0.0.3

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論