5.1 標(biāo)準(zhǔn)ACL訪問控制列表實驗一(編號方式).doc

5.1 標(biāo)準(zhǔn)ACL訪問控制列表實驗一(編號方式)【項目情境】 假設(shè)你是某公司的網(wǎng)絡(luò)管理員，公司的銷售部（172.16.1.0網(wǎng)段），經(jīng)理部（172.16.2.0網(wǎng)段），財務(wù)部（172.16.4.0網(wǎng)段）分別屬于3個不同的網(wǎng)段，為了安全起見，公司領(lǐng)導(dǎo)要求銷售部不能對財務(wù)部進(jìn)和訪問，但經(jīng)理部可以對財務(wù)部進(jìn)行訪問。要求使用編號方式進(jìn)行標(biāo)準(zhǔn)ACL的制定和應(yīng)用?！卷椖磕康摹?.了解標(biāo)準(zhǔn)訪問控制列表進(jìn)行網(wǎng)絡(luò)流量的控制原理和方法。2.掌握編號方式標(biāo)準(zhǔn)訪問控制列表的制定規(guī)則與配置方法，記憶編號的范圍。3.掌握網(wǎng)段和主機(jī)在制定規(guī)則時的命令區(qū)別。4.掌握訪問控制列表的在不同端口上進(jìn)行應(yīng)用的區(qū)別和應(yīng)用原則。【相關(guān)設(shè)備】 路由器兩臺、V.35線纜一對、PC機(jī)3臺、交叉線3根?！卷椖客?fù)洹俊卷椖咳蝿?wù)】1.如上圖搭建網(wǎng)絡(luò)環(huán)境，并對兩個路由器關(guān)閉電源，分別擴(kuò)展一個同異步高速串口模塊(WIC-2T)。兩個路由器之間使用V.35的同步線纜連接，RouterA的S0/1口連接的是DCE端，RouterB的S0/1口連接的是DTE端。配置RouterA和RouterB的S0/1口地址，在RouterA的S0/1口上配置同步時鐘為64000。配置其他端口及設(shè)備的地址，PC機(jī)要配置默認(rèn)網(wǎng)關(guān)。2.在RouterA上配置缺省路由為172.16.3.2；在RouterB上配置缺省路由為172.16.3.1。測試所有設(shè)備之間的聯(lián)通性(應(yīng)該全通)。3.設(shè)置標(biāo)準(zhǔn)IP訪問控制列表（編號方式），使得172.16.2.0/24網(wǎng)段可以訪問172.16.4.0/24網(wǎng)段，但是172.16.1.0/24網(wǎng)段不可以訪問172.16.4.0/24網(wǎng)段。查看配置和端口的狀態(tài)，并測試結(jié)果(PC1 ping PC3不通，但PC1 ping PC2通，PC2 ping PC3通)。把PC1的地址改成172.16.1.3，ping PC3也不通。4.刪除上述ACL，再重新設(shè)置標(biāo)準(zhǔn)IP訪問控制列表（編號方式），使得PC2可以訪問PC3，但是PC1不可以訪問PC3。注意與上一步定義ACL規(guī)則時的區(qū)別，源IP使用主機(jī)方式指定，不是網(wǎng)段。查看配置和端口的狀態(tài)，并測試結(jié)果。把PC1的地址改成172.16.1.3，ping PC3可以通。5.最后把配置以及ping的結(jié)果截圖打包，以“學(xué)號姓名”為文件名，提交作業(yè)。6.使用銳捷設(shè)備（2、3人一組）完成上面的步驟?！緦嶒灻睢?.在RouterA上配置缺少路由為172.16.3.2；在RouterB上配置缺少路由為172.16.3.1。R1(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.2R2(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.12.設(shè)置標(biāo)準(zhǔn)IP訪問控制列表（編號方式），使得172.16.2.0/24網(wǎng)段可以訪問172.16.4.0/24網(wǎng)段，但是172.16.1.0/24網(wǎng)段不可以訪問172.16.4.0/24網(wǎng)段。源IP使用網(wǎng)段方式指定，注意命令中的反掩碼。(1)定義規(guī)則：R2(config)#access-list 10 deny 172.16.1.0 0.0.0.255R2(config)#access-list 10 permit 172.16.2.0 0.0.0.255R2(config)#access-list 10 permit any(2)應(yīng)用端口：R2(config)#interface fastethernet 0/0R2(config-if)#ip access-group 10 out3.查看ACL配置和端口的狀態(tài)R2#show access-lists 或R2#show ip access-listsR2#show ip interface fastethernet 0/0 或R2#show running-config4.刪除指定的標(biāo)準(zhǔn)ACL(編號方式)R2(config)#no access-list 105.設(shè)置標(biāo)準(zhǔn)IP訪問控制列表(編號方式)，使得PC2可以訪問PC3，但是PC1不可以訪問PC3。定義ACL規(guī)則時源IP使用主機(jī)方式指定，不是網(wǎng)段，注意host的使用，不需要反掩碼。(1)定義規(guī)則：R2(config)#access-list 10 deny host 172.16.1.2R2(config)#access-list 10 permit host 172.16.2.2R2(config)#access-list 10 permit any(2)應(yīng)用端口：R2(config)#interface fastethernet 0/0R2(config)#ip access-group 10 out【注意事項】 1.定義規(guī)則時，每條規(guī)則的順序不同，其結(jié)果大不一樣。所以要注意每條規(guī)則的前后順序，有不符合自己的設(shè)計或要求時，要將某條規(guī)則先no掉，再重新設(shè)置。2.按從頭到尾，至頂向下的方式進(jìn)行匹配：匹配成功馬上停止，立刻使用該規(guī)則的“允許、拒絕”。3.一切未被允許的就是禁止的：路由器或三層交換機(jī)缺省允許所有的信息流通過；而防火墻缺省封鎖所有的信息流，然后對希望提供的服務(wù)逐項開放。 4.定義規(guī)則時選擇的路由器(或三層交換機(jī))與應(yīng)用規(guī)則時選擇的端口要以保護(hù)對象最近為原則，應(yīng)用的時候是入棧還是出棧要看信息是從路由器(或三層交換機(jī))流入還是流出為判斷標(biāo)準(zhǔn)?！九渲媒Y(jié)果】 1.RouterB#show access-lists (源IP使用網(wǎng)段方式指定)Standard IP access list 10 deny 172.16.1.0 0.0.0.255 permit 172.16.2.0 0.0.0.255permit any2.RouterB#show access-lists (源IP使用主機(jī)方式指定)Standard IP access list 10 deny host 172.16.1.2 (3 match(es) permit host 172.16.2.2 (4 match(es) permit any (4 match(es)3.RouterB#show running-config Building configuration.Current configuration : 607 bytesversion 12.2no service password-encryptionhostname RouterBip ssh version 1interface FastEthernet0/0 ip address 172.16.4.1 255.255.255.0 ip access-group 10 out duplex auto speed autointerface FastEthernet0/1 no ip address duplex auto speed auto shutdowninterface Serial0/0 no ip address shutdowninterface Serial0/1 ip address 172.16.3.2 255.255.255.0ip classlessip route 0.0.0.0 0.0.