实验 利用IP标准访问列表进行网络流量的控制.doc
7页
实验利用IP标准访问列表进行网络流量的控制【实验名称】编号的标准IP访问列表实验目的】掌握路由器上编号的标准IP访问列表规则及配置背景描述】你是一个公司的网络管理员公司的经理部、财务部门和销传部门分属不同的3个网段,各部 门之间用路由器进行信息传递,为了安全起见,公司领导要求销传部门不能对财务部门进行 访问,但经理部可以对财务部门进行访问PC1代表经理部的主机,PC2代表销仲部门的主机、PC3代表财务部门的主机技术原理】IP ACL(IP访问控制列表或IP访问列表)是实现对流经路由器或交换机的数据包根据一定的 规则进行过滤,从而提高网络可管理性和安全性IPACL分为两种:标准IP访问列表和扩展IP访问列表标准IP访问列表可以根据数据包的源IP地址定义规则进行数据包的过滤扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则, 进行数据包的过滤IP ACL基于接曰进行规则的应用,分为:入校应用和出校应用入校应用是指由外部经该接口进行路由器的数据包进行过滤出钱应用是指路由器从该接曰向外转发数据时进行数据包的过滤IPACL的配置有两种方式:按照编号的访问列表,按照命名的访问列表。
标准IP访问列表编号范围是1〜99、1300〜1999扩展IP访问列表编号范围是100〜199、2000〜2699实现功能】实现网段问互相访问的安全控制实验设备】R1762路由器(两台)、V.35线缆(1条)、直连线或交叉线(3条)V.35线缆连接两个路巾器【实验拓扑】PCI172.16. L51 72.1G.3.0/241 72.16.4.0/24172 J6.Z.0Z24./ Router 1R outer2 P C3172.16.2.8PC2[实验步骤]步骤31.基本配置Router I基木配置Red-Giant>enableRed-Giant#configure terminalRed-Giant(coniig)#hostname Router 1Router 1 (coniig)#interlace fastEthernet 1/0Routerl(config-if)#ip add 172.16.1.1 255.255.255.0Router 1 (config 一 if)#no shutdownRouter 1 (config-if)#interface fastEthernet 111Routerl(config-if)#ip add 172.16.2.1 255.255.255.0Router l(coniig-if)#no shutdownRouter 1 (config-if)#interface serial 1/2Routerl(config-if)#ip add 172.16.3.1 255.255.255.0Router 1 (coniig-if)#clock rate 64000Router I (coniig-if)#no shutdownRouter 1 (config-if)#end测试命令:show ip interfce briefRouterl#show ip int brief !观察接 口 状态InterfaceIP—Address(Pri)OK?Statusserial 1/2172.16.3.1/24YESUPserial 1/3no addressYESDOWNFastEthernet 1/0172.16.1.1/24YESUPFastEthernet 1/1172.16.2.1/24YESUPNull 0no addressYESUPRouter2基本配置Red-Giant>enableRed-Giant#configure terminal Red-Giant(coniig)#hostname Router2 Router2(config)#interface fastethernet 1/0 Router2(config-if)#ip add 172.16.4.1 255.255.255.0Router2(coni ig-if)#no shutdownRouter2(config-if)#exitRouter2(config-if)#interface serial 1/2Router2(config-if)#ip add 172.1 6.3.1 255.255.255.0Router2(config-if)#no shutdownRouter2(config-if)#end 测试命令:show ip interface briefRouter2#show ip int brief !观察接 口状态InterfaceIP—Address(Pri)OK?Statusserial 1/2172.16.3.2/24YESUPserial 1/3no addressYESDOWNEastEthernet 1/0172.16.4.1/24YESUPFastEthernet 1/1no addressYESDOWNNull 0no addressYESUP配置静态、路由Router 1 (contig)#ip route 172.16.4.0 255.255.255.0 serial 1/2Router2(config)#ip route 172.16.1.0 255.255.255.0 serial 112Router2(config)#ip route 172.16.2.0 255.255.255.0 serial 112 测试命令:show ip routeRouterl#show ip route查看路由表信息Codes: C — connected, S — static, R — RIP O — OSPF, 1A — OSPF inter area N1 一 OSPF NSSA external type 1, N2 — OSPF NSSAexternal type 2E 1 — OSPF external type 1. E2 — OSPF external type 2 ♦ — candidate defaultGateway of last resort is no set1 72.16.1.0/24 is directly connected, FastEthernet 1/0172.16.1.1/32is local host-172.16.2.0/24is directly connected^ Fast Ethernet1/1172.16.2.1/32is local host.172.16.3.0/24is directly connected, serial1/2172.16.3.1/32is local host.S 172.16.4.0/24 is directly connected, serial 1/2Router2#show ip routeCodes: C — connected, S — static, R — RIPO — OSPF, IA — OSPF inter areaN1 — OSPF NSSA external type 1, N2 — OSPF NSSA external type 2El — OSPF external type 1, E2 — OSPE external type 2* — candidate defaultGateway of last resort is no setS 172.16.1.0/24 is directly connected, serial 1/2S 172.16.2.0/24 is directly connected, serial 1/2C 172.16.3.0/24 is directly connected, serial 1/2C 172.16.3.2/32 is local host.C 1 72. 1 6.4.0/24 is directly connected^ Past Ethernet 1 /OC 172.16.4.1/32 is local host.少骤32.配置标准IP访问控制列表。
Router2(config)#access-list 1 deny 172.16.2.0 0.0.0.255拒绝来自172.16.2.0网段的流量通过Router2(config)#access-list 1 permit 172.16.1.0 0.0.0.255!允许来日172.16.1.0网段的流量通过验证测试:Router2#show access-lists 1Standard IP access list 1 includes 2 items:deny 172.16.2.0, wildcard bits 0.0.0.255permit 172.16.1.0, wildcard bits 0.0.0.255步骤33.把访问控制列表在接口下应用Router2(config)#interface fastEthernet 1/0Router2(config-if)#ip access-group 1 out !在接口下访问控制列表出栈流量调用验证测试:Router2#show ip interface fastEthernet 1/0Fast Kt hernt 1 /OIP interface state is: UP IP interface type is: BROADCAST IP interface MTU is: 1500IP address is:172.1 6.4.1/24 (primary)IP acldrejss nc^^otiato is: CFF* Forward direct—Boardoast is: ON ICMP mask reply is: ON Send ICMP redirect is: CN Send ICMP unreachuBlecJ is: ON DHCP relay is: OFF Fast switch is: ONRoute horizonta 1—split is: ON Help address is: 0.0.0.0 Proxy ARP is: ONOutgoing access list is 1 • ! 歹U 妾口 JtInbound access list is not sei.步骤34.验证测试。
ping(l 72.16.2.0网段的主机不能ping通172.1640网段的主机;172.16.1.0网段的主机能ping 通172.16.4.0网段的主机)注意事项】*1、注意在访问控制列表的网络掩码是反掩码2、标准控制列表要应用在尽量靠近目的地址的接口参考配置】RouterI#show running-config !查看路由器1的全部配置 Building configura。
