cisco配置實例.doc

ACL配置實例 本實驗對IP訪問控制列表進行配置和監(jiān)測，包括標準、擴展和命名的IP訪問控制列表。& 0 S: m. e# a e ?0 Y) 8 k) a! S( 3 | N; c1.實驗目的. b) l$ V5 H - 6 K( u4 S) M# % _ 7 A$ n: b. P: v通過本實驗，讀者可以掌握以下技能:5 I4 O: E9 g# n6 F! W I& j配置標準IP訪問控制列表;0 $ : : i5 F配置擴展IP訪問控制列表;- D7 N% U4 n1 z R$ Z配置命名的標準IP訪問控制列表;$ F |- P* _7 y8 Z配置命名的擴展IP訪問控制列表;1 n4 |2 h: U- . O* G% P, x在網(wǎng)絡接口上引用IP訪問控制列表;$ ? s6 g; f7 N在VTY上引用IP訪問控制列表;) H$ h: R# c# Q# C4 X4 f查看和監(jiān)測IP訪問控制列表。: O: G6 T/ l2 d3 S6 J$ 5 * d$ p# f+ 2.設備需求5 H0 E7 b7 J3 x( V/ s4 V# i4 x7 f) 本實驗需要以下設備:; X2 T* F) G f( eCisco路由器3臺，分別命名為R1、R2和R3。要求R1具有1個以太網(wǎng)接口，R2具有1個以太網(wǎng)接口和1個串行接口，R3具有1個串行接口;- $ c7 N; Y/ I1條交叉線序的雙絞線，或2條正常線序雙絞線和1個Hub;/ M. , j+ v: 6 1條DCE電纜和1條DTE電纜，或1條DCE轉(zhuǎn)DTE電纜;+ d7 W) H- Y/ b5 ( O. C1臺終端服務器，如Cisco 2509路由器，及用于反問Telnet的相應電纜;/ J; z. v+ W6 _ 6 q1臺帶有超級終端程序的PC機，以及Console電纜及轉(zhuǎn)接器。2 9 W x V1 f4 _2 Y4 w. z9 f( g / $ w( S, / v3 G( ?9 3.拓撲結構及配置說明& l! D7 d5 M( A4 u5 P+ _- d8 ?/ M# O A本實驗拓撲結構如圖10-1所示，R1的E0接口與R2的E0接口通過以太網(wǎng)連接起來，R2的S0接口與R3的S0接口通過串行電纜連接起來。, 0 : T6 R2 E8 k各路由器相關接口的IP地址分配如圖10-1中的標注。- H) v! |$ R6 j$ u( k: ! c; R J y - I# Y4 N( v$ 1 K U* x% U: g* q R) + U8 R4 s4.實驗配置及監(jiān)測結果* H: T/ o4 H- B# X( X& k & D# x+ Z# B/ p首先配置各路由器，并且通過路由選擇協(xié)議的配置實現(xiàn)了整個拓撲的IP連通性，在此基礎上進行IP訪問控制列表的配置和監(jiān)測。9 M8 S9 U r p在R1上設置enable口令為cisco，VTY口令為ciscol，用于Telnet測試。 p4 A V$ s# e6 b% O0 G4 Q* e以上配置在以前章節(jié)中已進行過實驗，在本實驗中不再給出配置清單。2 I6 M% O# n3 K9 h* . r6 D我們主要在R2路由器上配置訪問控制列表，R1和R3用于測試目的。# U2 + l2 b _! z- w- 8 $ f4 ?; g Q第1部分:配置和引用標準IP訪問控制列表/ Z- i1 O: G2 p9 Q4 Q/ P; D, / R+ Z配置清單10-1列出了在R2路由器上配置和引用標準IP訪問控制列表的操作。/ W8 |& h0 a; y6 / d: _1 t5 _3 d K/ W% X! v# j配置清單10-1 配置和引用標準IP訪問控制列表$ r; O W M% K& U: 9 I% p1 Q7 U; P; m. L z z# z6 L4 ?5 f9 lR2#conf t+ N$ y9 o* S# a3 v- q0 f/ fEnter configuration commands, one per line. End with CNTL/Z.: |. c+ Y1 r+ I, j/ Z h, xR2(config)#access-list 1 deny 30.1.1.0 0.0.0.255( N9 N+ H6 t& p3 s! KR2(config)#access-Ust 1 permit any, 3 S! M8 I. z$ p1 d! l: N1 BR2(config)#int s08 / ?# m; kR2(config-if)#ip access-group 1 in. o( e% j. u2 n, O% d; D AR2(config-if)#Z1 U; ?( 2 l+ FR2#sh5 z) l8 Y& t% Q5 t* p. _& X% R14:34:20: %SYS-5-CONFIG_1: Configured from console by console( b$ ?& w5 2 T k# SR2#sh ip access-list 12 |+ k* I; j0 R/ Q4 U9 S- bStandard IP access list 11 o/ H7 | G, l/ Z; 0 T3 f) f: Ldeny 30.1.1.0,wukdcard buts 0.0.0.255 check=2- H0 c! z& O; + B4 d$ kpermit any(2 matches)5 i f3 N9 M8 H Y$ KR2#sh ip int s07 q# c+ $ 4 0 P. w3 gSerial0 is up, line protocol is up& Q0 L9 w# L( n, i# wInternet address is 20.1.1.2/240 H/ I: I) q6 c& HBroadcast address is 255.255.255.255- z9 Y P1 T6 B |Address determined by setup command; L9 V& J; C6 k4 R( L) q& f( QMTU is 1500 bytes# t6 K; % u+ l5 l7 w, R/ mHelper address is not set7 4 J- N K8 P) jDirected broadcast forwarding is disabled. a3 b# W/ * |. b& HMulticast reserved groups joined: 224.0.0.95 b* g. ; / Q ; c4 bOutgoing access list is not set8 y4 E N5 H9 & H/ r9 _Inbound access list is 12 R( c: W9 e, N# CProxy ARP is enabled& I. , g& a q s% ) X0 K9 mSecurity level is default c 2 U) j. ?, x- q. (輸出省略), O, J; j+ f2 G. * E9 |R2#clear access-list counters: P, p2 I) J A: g0 L4 j% r# ?& t6 N6 J: x4 y4 g$ H9 _$ KR2#sh ip access-1 1 z# K4 c, r, xStandard IP access list 19 A4 ?, g& O6 v) j& , u, $ |1 ?deny30.1 .IA wildcard bits 0.0.0.255) ? r$ D 0 s3 3 A) permit any7 i/ Z4 M& K, ?: F9 ZR2#/ b1 A! Q0 x- E/ STerm_Server#35 _! 3 z R( k( e, a1 M; Resuming connection 3 to R3 . / i1 Q4 ( c+ Z- D; O Y6 / Q2 n- K/ ) V+ xR3#ping 10.1.1.18 1 9 g( W1 8 _6 t# y& AType escape sequence to abort.+ 8 n. / c5 L- v9 + mSending 5, 100-byte ICMP Echosto 10.1.1.1, timeout is 2 seconds:9 K6 a8 S2 R# 1 O$ X! I9 I5 - / g! N; v7 q! d) B5 F( h- g) D# r3 HSuccess rate is 100 percent (5/5). round-tri/min/avg/max=:32/37/48 ms/ 9 Y2 X 3 I- q) wR3#ping+ j, c* ( v: t) Protocol ip:! ?3 p8 M7 ! , m- U7 k8 uTarget IP address: 10.1.1.12 N& v0 d; k6 J# e) L3 H2 a) Repeat count 5:* a7 c% B2 o. N3 J! 7 x$ N# k iDatagram size 100:9 % 2 c) P# C7 |# R% Y- D$ NTimeout in seconds 2: Z9 B ; V) m/ E) vExtended commands n: y+ t! _7 y- w; USource address or interface: 30.1.1.3$ Y7 f% d: e$ _( l( y7 o/ S( UType of service 0:5 |! l- h4 d7 O% OSet DF bit in IP header? no:# $ 5 e. s/ O a5 i4 K6 y/ Validate reply data? no:4 O+ . B! D: T! U l: Data pattern 0xABCD:1 g- U) P6 H, CLoose, Strict, Record, Timestamp, Verbosenone:1 h: D1 j% H$ h, * Sweep range of sizes n: h) W5 % u6 m4 v7 NType escape sequence to abort.% T1 ) s. . B ! f/ |; LSending 5,100-byte ICMP Echos to 10.1.1.1,timeout is 2 seconds:$ E4 a! O% _6 v8 TU.U.U3 t( 6 z2 h& P6 S9 eSuccess rate is 0 percent (0/5), Q/ F7 f8 x1 V+ u3 u( w) HR3#Z2 1 P8 , - l( i6 |Term_Server#22 O4 N: 5 L4 ?4 iResuming connection 3 to R2 . * D& U. W: r( c) v0 h, JR2#sh ip access-1 18 S5 B& Z1 K5 yStandard IP access list 1- H; y* t6 U$ O2 d# w# R# l# / Pdeny 30.1.1.0, wildcard bits 0.0.0.255 (5 matches) checks 15$ C$ h1 M* Z* f- J0 s) N9 Q4 permit any (5 matches)% ; j! F: V; 2 n* p+ U; I G4 O* C& y(1)在定義訪問控制列表時，要特別注意語句輸入的先后順序，因為路由器在執(zhí)行該列表時的順序是自上而下的。8 T4 C; ?( g5 s) z. 另一個應注意的問題是路由器不對由自身產(chǎn)生的IP進行過濾，在實驗時應由其他的設備發(fā)包進行測試。( i4 B& n) 1 4 v A% F I(2)配置標準IP訪問控制列表1時，定義了除30.1.1.0/24網(wǎng)段外的所有網(wǎng)段都被接受。( 2 Z# j+ I q& 0 V4 e$ 9 j(3)在R2路由器S0接口的進入方向引用了訪問控制列表1,目的是過濾來自30.1.1.0/24網(wǎng)段的數(shù)據(jù)包，允許其他所有網(wǎng)段的數(shù)據(jù)包通過。& I4 C: m- C2 u3 L# A D在接口上引用訪問控制列表時，使用in或out子命令。這里的in和out是指以路由器本身為參考點，數(shù)據(jù)包是進入 (in)還是離開(out)路由器。/ s: E1 N/ q! 3 U8 d(4)show ip access-list命令列出了所定義的訪問控制列表的情況，可以看到permit any一行有2個匹配包的報告，表示已經(jīng)有2個匹配此行條件的數(shù)據(jù)包被S0接口接收。7 j# H3 F+ D9 U, m! z d7 j& (5)show ip int sO命令列出的信息中加陰影的2行是關于訪問控制列表引用情況的信息，表明在進入路由器的方向(而)引用了訪問控制列表1。3 V) O ) A8 L9 # - o(6)接下來用clear access-list counters指令清空了訪問控制列表的計數(shù)器。以便觀察實驗結果。所謂清空計數(shù)器，就是把訪問控制列表各行的匹配數(shù)清空。8 u/ T, t2 N6 Q% X! t4 t再次使用show ip access-list命令查看顯示了我們想得到的結果。( t0 |1 s$ P( H: 2 S% B x(7)使用ping和擴展的ping命令測試訪問控制列表1的定義和引用情況，結果為:3 w- b8 v7 N; V從20.1.1.3發(fā)往10.1.1.1的IP包被R2接收和路由;3 q% U, O6 c( y e C從30.1.1.3發(fā)往10.1.1.1的IP包被R2過濾掉。1 J* f0 D3 o& I2 / z測試結果符合訪問控制列表的設置。# # l0 j* B( |. E# y& D% (8)再次查看訪問控制列表的匹配情況，可以看到，在訪問控制列表1中，2條語句各有5個相匹配的包，即5個ICMP Echo包。, L( O8 F5 | c2 u- & p 9 i- r b9 U( s第2部分:配置和引用擴展IP訪問控制列表: Z- H% o8 Z6 X3 Q: # & C F6 x& x. 9 P- ?接下來是有關擴展IP訪問控制列表的實驗。 q0 p, F$ a K9 u0 配置清單10-2列出了在R2路由器上配置和引用擴展IP訪問控制列表的操作。# I3 U( u9 X6 N4 z6 j5 m6 y: L0 M& S( % d3 X$ u配置清單10-2配置和引用擴展IP訪問控制列表6 d. W# q& q. ?6 z7 & G5 j7 b! V$ z) e4 R2#conft5 n( y# z8 o4 ! h( jEnter configuration commands, one per line. End with CNTL/Z.# I/ N+ C/ B w3 X ?R2(config)#access-list 101 deny icmp 20.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255 echo B; O- a0 E6 ( L) a YR2(config)#access-list 101 permit ip any any G Q; I* n, D4 5 b# & D0 E; T) lR2(config)#int e0 O9 W8 h0 T& s% pR2(config-if)#ip access-g 101 out2 u7 v2 Z2 B& _* A: p2 7 AR2(config-if)#int s0& F2 y- ?6 O7 t6 S: X JR2(config-if)#no ipaccess-g 1 in5 i# V3 p8 O! f; S O0 T9 r8 $ q0 a! QR2(config-if)#Z) g! K8 u/ d: X0 H8 s g; j% _R2#4 b3 x2 3 E9 |R2#sh ip access-list8 d( W( 5 9 _$ M5 f* t1 xStandard IP access list 16 Q! T5 v1 ! / L J1 x# deny 30.1.1.0, wildcard bits 0.0.0.255 (8 matches) check=207 z/ p. Z! - A) Kpermit any (20 matches)3 r( w9 F4 p; N, * mpermit ip any any : * i k) q, : W5 W, R4 I e7 n. R- f hR2#2 x/ r/ . z1 DTerm_Server#39 f5 p* h) Z8 o Resuming connection 3 to R3 .! E) n. m t6 Q3 C. _4 yR3#ping 10.1.1.1 9 k: d6 g5 tType escape sequence to abort.) P8 ?# . X C! A; d$ s/ JSending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:. K+ t p% J7 : R* |U.U.U) S7 H3 H a4 I2 rSuccess rate is 0 percent(0/5): k6 x! l( Z Z0 J( f+ |. |9 dR3#telnet 10.1.1.1! Q& T% L1 q) h1 I$ , sTrying 10.1.1.1. Open: o$ _ K7 q4 f! d. W ( l. _0 c, K7 y& 9 1 - cUser Access Verification# U6 |0 X3 Q& |* 1 _- e j. y0 T) F! B% Password:(鍵入 cisc