訪問控制列表實驗

或￥："^-1.實驗報告如有雷同，雷同各方當(dāng)次實驗成績均以0分計。玉警2.當(dāng)次小組成員成績只計學(xué)號、姓名登錄在下表中的。在規(guī)定時間內(nèi)未上交實驗報告的，不得以其他方式補(bǔ)交，當(dāng)次成績按0分計。實驗報告文件以PDF格式提交?！緦嶒烆}目】訪問控制列表（ACL）實驗?！緦嶒?zāi)康摹空莆諛?biāo)準(zhǔn)訪問列表規(guī)則及配置。掌握擴(kuò)展訪問列表規(guī)則及配置。了解標(biāo)準(zhǔn)訪問列表和擴(kuò)展訪問列表的區(qū)別?！緦嶒瀮?nèi)容】完成教材實例5-4（P190），請寫出步驟0安裝與建立FTP、WEB，的步驟，并完成P192?P193的測試要求?！緦嶒炓蟆恐匾畔⑿畔⑿杞o出截圖，注意實驗步驟的前后對比?！緦嶒炗涗洝浚ㄈ缬袑嶒炌?fù)湔堊孕挟嫵觯緦嶒炌負(fù)洹勘緦嶒灥耐負(fù)鋱D結(jié)構(gòu)如下圖：【實驗設(shè)備】路由器一臺，PC5臺（其中兩臺作為WWWServer和FTPServer）?！緦嶒炘怼炕跁r間的ACL是在各種ACL規(guī)則（標(biāo)準(zhǔn)ACL、擴(kuò)展ACL等）后面應(yīng)用時間段選項（time-range）以實現(xiàn)基于時間段的訪問控制。當(dāng)ACL規(guī)則應(yīng)用了時間段后，只有在此時間范圍內(nèi)規(guī)則才能生效。此外，只有配置了時間段的規(guī)則才會在指定的時間段內(nèi)生效，其他未引用時間段的規(guī)則將不受影響。要基于時間的ACL一生效，一般需要下面的配置步驟。（1）定義時間段及時間范圍。（2）ACL自身的配置，即將詳細(xì)的規(guī)則添加到ACL中。（3）應(yīng)用ACL，將設(shè)置好的ACL添加到相應(yīng)的端口中?！緦嶒灢襟E】步驟0：（1）配置3臺PC（PC1、PC2和Manager）的IP地址、掩碼、網(wǎng)關(guān)。（2）檢查PC與服務(wù)器的連通性如何？—-UD^O.l.l.lDO囹v=□

無法顯M此網(wǎng)頁4-UL2j*tp7^O11200司.=PC與服務(wù)器無法連通，因為還未安裝FTPServer和WWWServer和配置路由器。（3）在服務(wù)器上安裝FTPServer和WWWServer。FTPServer需至少創(chuàng)建一個用戶名和口令。FTPServer我們選擇Serv-U，下載安裝后見如下界面。0SrTiW忙#.西-主史?都里J3S：i^ltWff!?Mdi室IE甘-芷園目，:fcngc0SrTiW忙#.西-主史?都里J3S：i^ltWff!?Mdi室IE甘-芷園目，:fcngcfE&即rW卵假學(xué)做?色宓懂|0主眇⑥曳肯S4F^Li121CdMgri1WE-2D1S,Rnrrt如T—略he.上ii9享t:!Fnri0字節(jié)全I(xiàn)H戶".推.樞受胃用.*.d湖由-垠［佃峨剖峪物皿峭哇戶?mH正事urr^TRIE二.?電歸MS三疝U!11主小??？』Fl9幡許春語用一萱丙甘演迎麗I用戶?■金■崖耳宵左即計蜘和"?-迎己通尸汕|沌禎葉?4置■藤費(fèi)田曰王gi全映等曲I-即徂.樞重胃用尸曜，湖也-椒［斌整剖峪相na曲徑坷-目錄-s?n屆青胃|=?田曰辛訪問網(wǎng)--瀾1牛很扣ISSi即.戴］礎(chǔ)目利1.葉仙憧登:?逮『眼戲?。シ雌竺婧X廈與.電由片等，?.朝1■廊漁囪誠FTF;?含傳罟和計為*-即坦用皖SSLtl翳H證=HnlJM?SJijSfl3--訴耳白立夏亦■諼W+RhinoSoft‘*尸匕；I?!1?勵柘我|：斌?皿嘲11響。，痼l=?M王機(jī)色目^BElAF訥SM則--勺府的（戶fm凱職；5為皿尚偵舊?-HWL-胃戶,niarH^.iwEd5睥,晚上：n*p詳雄在故皿中BMfw??保度mnifavw舟由程還苦^?、臏御燧用戶口電?！龌?!:W4I*?淌1其■隹巾憤5目?-祁詢■樞上傾帷WrKkirt'.用戶tfdg?r聘*座宣技二I，&BI井堆揪用胡婭P?L>-ittl甘4設(shè)目，E*±.至瑚海能號「由坷丘博即FTF由冬俺日街竹再*FtilflM吉士SEL10^SHlilWISttSMI^S-，綢自秘HIM-ifE-暇（I，3E直肯甬函用四用.口?:?，萱首14會送書筒彖謎計?:?，董SI閑白和機(jī)詬赧計-，萱』日日定■：?■翊Iiq日如

ta^a［強(qiáng)雷岳哮薯苴電「女廈康折J!『諂堿?hJKSSerHjR^?-司主酬尸對部股遷:曙巨估間節(jié)!立。-liJHE--旺日證時日牙值目H在有瞄?寶US嘗-肉HN55內(nèi)閉肓用戶尊!5口3：訪問根E??，il?ff?flilPJfii±y.Mra#.H?Lj.M明我-先新建域:再創(chuàng)建用戶，設(shè)置用戶名和密碼，選擇根目錄?？褪质|試登錄文件服務(wù)器時逋過登錄ID標(biāo)識苴賬戶『登錄ID:test全名；〔可迷）電子郵件地址：河選）下一步*職消使用httpd-kinstallwwwServer我們選擇Apache。下載，命令行下進(jìn)入bin目錄，命令安裝。使用httpd-kinstall破管理員:C:\ywnm52\cnncI.eKe-MicrosoftWindowst.i.7600]F爐權(quán)JF看tc2009Hicnns-oPtCorpoi^at;iona麻留所有砂.利nC=\JIe\D403>cdCi\Pi*<ig,i'-AnFdlasvJlpac'hE24<bLnC-s*ProgranFLles\ApaGhe24\bin^httpdl-kiiiatALLrThmDec10L4：4^：33-2S?14320151rnpn.winnt：erv-or1tpid5936：tid1361AHB@43）：Apachc2j4■Serv±l;cIsalreadyiiisLaLled.C=^FrogranFi.Le&^flpacheSl'Jb發(fā)現(xiàn)Apache無法正常啟動，查看:麗管理員：C:\windows\system32\cmd.exe[ThuDec1014：46：33.2871432015J[mpin_winnt:error]Cpid5936：tid136]AH00433：ftpache2.4：Serviceisalreadyinstalled.C：\ProgramFilesXfipache24\bin>netstat-aon'findstr"80"TCP:80:0TCP:18432:80TCP:1687514:80TCP:173130:80TCP:173200:80TCP:1732278:80TCP:173241:80TCP:1732537:80TCP:176812：80TCP:1770237:80TCP:17703120.263.230.137:80TCP:1770437:80TCP:177058：80TCP:177060:80TCPTCP[fe80:：189：e5a2：86fe=e3a0xl?1：1031[fe80：ESTABLISHED608TCP[fe80:：189：e5a2：86fe=e3a0xl7J：17191[fe80ESTABLISHED1204P：xProgramFiles\fipache24\bin>LISTENING6764ESTABLISHED4040ESTABLISHED6936CLOSE_WAIT1064CLOSE_WfiIT1064CLOSE.WfilT1064CLOSE_WAIT1064CLOSE.WfilT1064ESTABLISHED6936ESTABLISHED5700ESTABLISHED5700ESTABLISHED5700ESTABLISHED5700CLOSE_WAIT5700LISTENING6764：189：e5a2=86fe：e3a0xl7]：17191:=189：e5a2：86fe：e3a0x!7J：1031發(fā)現(xiàn)80端口被占用，所以修改conf文件夾下的httpd.conf文件，找到Listen80一行，把80改為8080（可以設(shè)為其它的，最好大于1024,而且必須小于等于65535），保存，然后重新啟動Apache服務(wù)。步驟1：路由器基本配置。Router#configureterminalRouter(config)#interfacegigabitethernet0/0Router(config-if)#ipaddressRouter(config-if)#exitRouter(config)#interfacegigabitethernet0/1Router(config-if)#ipaddressRouter(config-if)#exit步驟2：驗證當(dāng)前配置。（1）驗證PC與服務(wù)器的連通性。（2）經(jīng)理機(jī)和員工機(jī)可否登錄FTPServer？通過00可否訪問WWWServer？判斷目前結(jié)果是否達(dá)到預(yù)期目標(biāo)，說明原因。可以登錄。通過00可以訪問到WWWServer，結(jié)果達(dá)到預(yù)期目標(biāo)，因為已經(jīng)安裝好FTPServer和WWWServer，路由器輸入鏈路和輸入鏈路配置好網(wǎng)關(guān)和掩碼，而且路由器上并沒有訪問控制的限制。|TD0QI80EOfc□gmoQ.海0[t.works!步驟3:配置時間段。定義正常上班時間段。Rjouter(ccmfLjob-tangaitfork-timeReutera.-tinks-r^se)iodl4we&kdsys0^:00to18:00Reuter(centLg-time-rangs)(feiit步驟4:配置ACL配置ACL,并應(yīng)用時間段，以實現(xiàn)需求中基于時間段的訪問控制。Router(config)flipaccccc-lictextendedacccccctriRouter(config-ext-nacl)^permitiphost192.16E.1.2540.C.0.255Eouter(.config-ext-mcDflpermit-cp132.168.1.C55host0C日iftptinE-rar.gework-timeRoLiter(<onfi3-￡vt-nic-l)fl]>ermit-cp1?2.168.1.CSShost0Cftpdata■:ime-rangEwork-timeRouter(config-ext-mcl)fldenytep55host00eqtime-Idtlgh!VUlk--ilLJh!Roi.iter(<onfi3-￡xt-ni.c-l)#]>exinit1?2.168.1.C0.0.0.host0Cvw*Router(config-Ext-mcl)flexit步驟5：應(yīng)用ACL。將ACL應(yīng)用到F0/0接口的入方向。Router（config）#interfacegigabitethernet0/0Router（config-if）#ipaccess-groupaccessctrlinRouter（config-if）#end步驟6：驗證測試。在使用基于時間的ACL時，要保證設(shè)備（路由器或交換機(jī)）的系統(tǒng)時間的準(zhǔn)確性，因為設(shè)備是根據(jù)自己的系統(tǒng)時間（而不是PC時間）來判斷當(dāng)前時間是否在時間范圍內(nèi)。這個可以在特權(quán)模式下使用showclock命令來查看當(dāng)前系統(tǒng)時間，并使用clockset命令調(diào)整系統(tǒng)時間。通過調(diào)整設(shè)備的系統(tǒng)時間來實現(xiàn)不同時間段測試ACL是否生效。本例分別作下列測試。（1）查看路由器的系統(tǒng)時間：showclock判斷當(dāng)前時間段。

;?計算機(jī)網(wǎng)絡(luò)實驗報告ERUNTVEB-STTIll-R￡R10-l#showclockI00;Q5;44UTJThu,Jan1,1970(2)經(jīng)理的主機(jī)Manager用步驟0建立的用戶名登錄FTPServer,并通過00訪問WWWServer,在設(shè)定時間段內(nèi)是否能登錄和訪問？改變路由器系統(tǒng)時間段為正常上班時間：10-S5750-L#clockset10:00:001210201510-s5750-L#*Dec1010:00:00:%svs-6-cLOCKUPdate:Systemclockhasbeenupdatedt□10：00：00UTCThuD^C102015.'能登陸和訪問FTPServer：文#（FJ槳源E〕蕓懸T^.TJ舞曲（H〕蛆織-蹤母下城文#（FJ槳源E〕蕓懸T^.TJ舞曲（H〕蛆織-蹤母下城■■最E訪目的位置5聿曳圖.寸國M.??吉樂step6_EchcReply,PNGstep6_EchoReques^.PNGstep6_Ech□RequeistAndReply.PNstep0_TimeStamp.PNGE±?pS_EchoRequdReply.PN?計算機(jī)luSYSTEM(C;)—.尋i&as(0：)能訪問WWWServer：FQlD.1.1.10D；aDB0<-GDio-.i.i_iao：8O8o[tworks1（3）普通員工主機(jī)A、B分別用步驟0建立的用戶名登錄FTPServer，并通過00訪問WWWServer，在設(shè)定時間內(nèi)能登錄和訪問？能登陸FTPServer，但不能訪問FTPServer上的文件夾：P—ntFrnmrk10.1.L.20D1O.LL200立也目瞄由舊辭3工巨E幫頗E訝收酢A下裁E殼叵邕愈宙問科靖.車國州片13P—ntFrnmrk10.1.L.20D1O.LL200立也目瞄由舊辭3工巨E幫頗E訝收酢A下裁E殼叵邕愈宙問科靖.車國州片13游Jf=Sr―睫■機(jī),“SYSTEM(C:)■j本培戲(D-.)維網(wǎng)洋不能訪問wwwServero■iD.l.l.lDOy.GKO無法顯疔此網(wǎng)r(4)改變路由器系統(tǒng)時間段：clockset，在其他時間段執(zhí)行(2)~(3)的測試。改變路由器系統(tǒng)時間段為正常下班時間：經(jīng)理的主機(jī)Manager能登陸和訪問FTPServer，也能訪問WWWServer:卜Internet?10.2.12CO京n閂混知E)苴■荏(V)工wen球功時收凝柬串下我■點(diǎn)瓦二晶g方間的位古-庫H￥購1—1圄片』吉茨step&_EchoRsply.PNG■step6_E匚hnRequestAncdRe-ply.PNstep&_Time-Stamp.PNGstep&_EchoR.squ0st.PNGstepB_Ech口RequestArdRe-ply.PNl_y.曰」：?計茸機(jī)…SYSTEM(C:)b本電棗坦(D：)中山大擘計算機(jī)網(wǎng)絡(luò)實驗報告SUWVAI3-SEKITMIVHIlgmr/、卬，1，1」網(wǎng);go時4CE10.1.1,ltW:SCMItworks!普通員工主機(jī)能訪問WWWServer,但不能登陸和訪問FTP:Idu=jjg宙0雪~IPI立伸舊場狷舊辭31工司(I.荏fj『)但或一>?■■QKEt^卒下會以最近詁叵打位言:L計百機(jī)jSYSTEM(C)W(D：i4CB1O,1.1,1M):8CWItworks!(5)抓取主機(jī)訪問服務(wù)器時的數(shù)據(jù)包，并進(jìn)行分析。EFraneEFranei?:7iisytesonn1reC544bits]B73tricesc^arured(5-64b1rs：ion1nc-erfateD￡iCth^neiII,Src：FuJ1an5t_4Q:5i:5?e(DO:lasa?50:53：5e}HDstiGig3-Byt_8b:flE：at)(5-D：B5E4^^Sb:flE：ab)FIntarnetProtDcalVenim4BSrc:DDCLO.l.1.2M).Dit:ia2.lfia.l-3l：l^-2.l&S.1.3}feTrareiniiissiancckitt-oIpr^acol,srcPon::ftp(JI),ds匚pori：:2001(2(XML),seq:.^k:7,Len:L9i±.PileTransfarPracDtalfFlFP)報文20~22為三次握手過程:報文24~27可看出登錄名為lab，密碼為lab:13.106359010.1.1.J000.^049910L9A拓艮3FTPFTP913.106359010.1.1.J000.^049910L9A拓艮3FTPFTP9。麻田wponse：391。5€「「日何陪u