实验十六访问控制列表综合实验
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
访问控制列表综合实验
一实验目的: 首先对路由器配置动态路由协议,使整个网络互相连通.然后,建立访问控制列表,测试访问控制列表的应用.
二、实验任务
1.标准访问列表允许源网络地址为17
2.16.0.0的通信量通过
2.利用扩展访问控制列表, 禁止主机A远程登录路由器B
3.利用扩展访问控制列表, 只允许主机A远程登录路由器B
三.实验设备:路由器Cisco 2621两台,交换机Cisco 2950三台,带有网卡的工作站 PC 至少三台,直通双绞线缆六条,DCE或DTC线缆一条
四.实验环境:
五.实验步骤:
1.对图中设备规划并按以下要求配置IP地址:
routeA: f0/0 :172.16.16.1 255.255.255.0
f0/1: 172.16.19.1 255.255.255.0
s0/0 :172.16.18.1 255.2555.255.0 routeB: f0/0: 172.16.17.1 255.255.255.0
s0/0: 172.16.18.2 255.255.255.0 pc1: 172.16.16.2 255.255.255.0
gw:172.16.16.1
pc2: 172.16.17.2 255.255.255.0
gw :172.16.17.1
pc3: 172.16.19.2 255.255.255.0
gw: 172.16.19.1
2.在路由器routeA(DCE端)上配置如下:
routeA(config)#int f0/0
routeA(config-if)#ip add 172.16.16.1 255.255.255.0
routeA(config-if)#no sh
routeA(config)#int s0/0
routeA(config-if)#ip add 172.16.18.1 255.255.255.0
routeA(config-if)#encapsulation hdlc HDLC 是CISCO 路由器使用的缺省协议routeA(config-if)#clock rate 64000
routeA(config-if)#no sh
routeA(config-if)#exit
3.在路由器routeB(DTE端)配置如下:
routerB(config)#int f0/0
routeB(config-if)#ip add 172.16.17.1 255.255.255.0
routeB(config-if)#no sh
routeB(config)#int s0/0
routeB(config-if)#ip add 172.16.18.2 255.255.255.0
routeB(config-if)#encapsulation hdlc
routeB(config-if)#no sh
routeB(config-if)#exit
4.在两台路由器上分别启用动态路由协议
在路由器A上:
routeA(config)#route rip
routeA(config-router)#version 2
routeA(config-router)#network 172.16.0.0
在路由器B上:
routeB(config)#route rip
routeB(config-router)#version 2
routeB(config-router)#network 172.16.0.0
测试连通情况:
PC1 :PING 172.16.17.2 (通,则成功)
5.创建访问控制列表:
(1)标准访问列表
允许源网络地址为172.16.16.0的所有流量可以通过S0/0访问外部网络
拒绝特定主机地址172.16.19.2的流量通过F0/0访问所有网络
routeA(config)#access list 1 permit 172.16.0.0 0.0.255.255
routeA(config)#access list 2 deny host 172.16.19.2
将访问列表1应用于接口S0/0上
routeA(config)#int s0/0
routeA(config-if)#ip access-group 1 out
将访问列表2应用于接口F0/0上
routeA(config)#int f0/0
routeA(config-if)#ip access-group 2 out
测试结果:
PC1:PING 172.16.17.2(通,允许通过)
PC3:PING 172.16.17.2(不通,拒绝特定主机通过)
注意:在每个端口、每个协议、每个方向上只能有一个访问控制列表
routerA(config)#no access-list 1 (删除一个访问列表)
或者使用:r outerA(config-if)#no ip access-group 1 in
二者都可能实现去掉访问列表的目的。前者是从列表号角度删除,后者是从接口的输入和输出角度删除。
(2)利用扩展访问控制列表, 禁止主机PC1远程登录路由器B
对ROUTEB配置远程Telnet如下:
Router(config)#line vty 0 4
Router(config-line)#login
% Login disabled on line 66, until 'password' is set
% Login disabled on line 67, until 'password' is set
% Login disabled on line 68, until 'password' is set
% Login disabled on line 69, until 'password' is set
% Login disabled on line 70, until 'password' is set
Router(config-line)#password route
Router(config-line)#exit
Router(config)#enable password 2621
%SYS-5-CONFIG_I: Configured from console by console
结果:在pc1下:telnet 172.16.17.1 (通,主机PC1远程登录路由器B成功)