实验二 访问控制列表(ACL)实验
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验2 访问控制列表(ACL)
1. 实验目的
•编写和应用路由器的访问控制列表。
•掌握利用ACL构筑简单的包过虑防火墙的原理。
2. 实验要求
1.独立完成实验内容;
2.实验报告;(简单要求如下)
1)各实验操作步骤;
2)回答实验中提出的问题
3)实验结论及分析
3. 实验内容
实验环境:路由器两台,交叉线一条,交换机两台,学生实验主机
在上面的实验环境中,,配置适当的ACL ,实现对特定主机和特定服务的访问控制。
实验环境说明:
1.两个路由器用f0/1 口进行互连
2.两个路由器用f0/0口连接实验主机
3.R1 和R2 均配置静态路由(动态路由也行)
4.两边主机能互相连通
3.1按实验图连接线路
3.2标准访问控制列表的配置
3.2.1 限制特定主机(网络)的访问
在全局配置模式下对R1 进行以下配置
R1(config)#ip access-list standard 10
R1(config)#permit 192.168.3.1 255.255.255.255
R1(config)#interface f0/0
R1(config-if)#ip access-group 10 out
效果:此时只有192.168.3.1 一台主机能访问192.168.1.0 的网络。
其他非192.168.1.0 网络的主机均无法访问192.168.1.0 网络。
3.2.2 自我测验:
设计标准ACL,只允许192.168.3.1 和192.168.1.1 这两个IP 能互相访问
___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________
3.3 扩展访问控制列表的配置
3.3.1 限制对特定服务的访问
在R1上配置telnet服务
R1(config)# username abc password abc //用户名密码 R1(config)# aaa authentication login login_fortelnet local //配置aaa认证 R1(config)# line vty 0 4 //配置 vty
R1(config_line)# login authentication login_fortelnet
R1(config_line)# exit
在全局配置模式下对R1 进行以下配置
R1(config)#ip access-list extended 101
R1(config)#permit tcp 192.168.1.2 255.255.255.255 any eq telnet
R1(config)#interface f0/0
R1(config-if)#ip access-group 101 in
(R2可参照R1的配置方法来配置)
想想看:
这个ACL 起了什么作用?如何进行验证?
___________________________________________________________________________ ___________________________________________________________________________
3.3.2 自我测验:
如果两个路由器的f0/0 端口的ACL 配置如下:
R1(config)#ip access-list extended 10
R1(config)#permit 192.168.1.1 255.255.255.255
R1(config)#interface f0/0
R1(config-if)#ip access-group 10 in
R2(config)# ip access-list extended 10
R2(config)#permit 192.168.1.1 255.255.255.255
R2(config)#interface f0/0
R2(config-if)#ip access-group 10 out
请问192.168.1.1 的机器能够ping 通192.168.3 网段内的机器吗?为什么?
___________________________________________________________________________ ___________________________________________________________________________
学一招:
可以通过show ip access-list 命令列出所定义的访问控制列表的情况,并且还可以看到有多少个符合ACL 命令条件的匹配包被接收或拒绝。
可以通过clear access-list counters 命令清空访问控制列表计数器。
3.4 命名访问控制列表的配置
3.4.1 删除特定某一项
命名访问控制列表的好处在于它可以任意的删除列表中的某一项。
下面的实验显示如何在列表中添加和删除特定的某一项:
R1(config)#ip access-list standard access
R1(config-std-nacl)#permit 192.168.3.1 255.255.255.255
R1(config-std-nacl)#permit 192.168.3.2 255.255.255.255
R1(config-std-nacl)#permit 192.168.3.3 255.255.255.255
假设我们要删除permit 192.168.3.2 255.255.255.255 这一项,如果不是命名访问控制列表,我们需要删除整个访问列表,然后重新输入配置。
在命名访问控制列表中,我们可以只删除其中一项:
R1(config)#ip access-list standard access
R1(config-std-nacl)#no permit 192.168.3.2 255.255.255.255
评分标准
a)A——独立完成必做内容,实验报告叙述清晰完整,有详尽的分析和总结;
b)B——独立完成必做内容,实验报告叙述清晰完整;
c)C——完成必做内容,实验报告良好;
d)D——能完成必做内容;
e)E——未按时完成必做内容,或者抄袭。