网络安全 当前位置:首页 > 计算机学习 > 网络知识 > 网络安全>正文

ACL实验详细过程讲解推荐

【网络安全】 2018-01-26本文已影响
原创作品,未经作者授权,严禁转载。? wsZ68学习网-学习教育资源分享平台
作者:网络白领????? 实验指导:鑫飘雪?
?实验拓扑图:点击在新窗口查看全图实验环境说明:wsZ68学习网-学习教育资源分享平台
1、将路由器R1的Fa0/0接口的ip设为:192.168.0.1/24;将S1/2接口的ip设为:192.168.1.1/24;wsZ68学习网-学习教育资源分享平台
2、将路由器R2的Fa0/0接口的ip设为:192.168.2.2/24;将S1/2接口的ip设为:192.168.1.2/24;wsZ68学习网-学习教育资源分享平台
3、将路由器R3的Fa0/0接口的ip设为:192.168.0.3/24;关闭其路由功能,模拟PC使用;?实验结果要求:wsZ68学习网-学习教育资源分享平台
1、在R2上做访问控制列表,使R3不能telnet到R2;wsZ68学习网-学习教育资源分享平台
2、在R1上做访问控制列表,使R1不能ping通R2 。?实验环境的基本配置:R1配置清单:wsZ68学习网-学习教育资源分享平台
1、为R1的Fa0/0接口配置IP,并设为全双工模式:wsZ68学习网-学习教育资源分享平台
R1(config)#int fa0/0wsZ68学习网-学习教育资源分享平台
R1(config-if)#speed 100wsZ68学习网-学习教育资源分享平台
R1(config-if)#duplex fullwsZ68学习网-学习教育资源分享平台
R1(config-if)#ip add 192.168.0.1 255.255.255.0wsZ68学习网-学习教育资源分享平台
R1(config-if)#no shutwsZ68学习网-学习教育资源分享平台
R1(config-if)#exitwsZ68学习网-学习教育资源分享平台
2、为R1的S1/2接口配置IP:wsZ68学习网-学习教育资源分享平台
R1(config)#int s1/2wsZ68学习网-学习教育资源分享平台
R1(config-if)#ip add 192.168.1.1 255.255.255.0wsZ68学习网-学习教育资源分享平台
R1(config-if)#no shutwsZ68学习网-学习教育资源分享平台
R1(config-if)#exit?R2的配置清单:wsZ68学习网-学习教育资源分享平台
1、为R2的Fa0/0接口配置IP,并设为全双工模式:wsZ68学习网-学习教育资源分享平台
R2(config)#int fa0/0wsZ68学习网-学习教育资源分享平台
R2(config-if)#speed 100wsZ68学习网-学习教育资源分享平台
R2(config-if)#duplex fullwsZ68学习网-学习教育资源分享平台
R2(config-if)#ip add 192.168.2.2 255.255.255.0wsZ68学习网-学习教育资源分享平台
R2(config-if)#no shutwsZ68学习网-学习教育资源分享平台
R2(config-if)#exitwsZ68学习网-学习教育资源分享平台
2、为R2的S1/2接口配置IP:wsZ68学习网-学习教育资源分享平台
R2(config)#int s1/2wsZ68学习网-学习教育资源分享平台
R2(config-if)#ip add 192.168.1.2 255.255.255.0wsZ68学习网-学习教育资源分享平台
R2(config-if)#no shutwsZ68学习网-学习教育资源分享平台
R2(config-if)#exitwsZ68学习网-学习教育资源分享平台
3、在R2上增加一条静态路由以实现和R3通信:wsZ68学习网-学习教育资源分享平台
R2(config)#ip route 192.168.0.0 255.255.255.0 192.168.1.1wsZ68学习网-学习教育资源分享平台
4、在R2上设置用户密码和线路密码,为下一步的telnet服务:wsZ68学习网-学习教育资源分享平台
R2(config)#enable password 123456wsZ68学习网-学习教育资源分享平台
R2(config)#line vty 0 4wsZ68学习网-学习教育资源分享平台
R2(config-line)#password 123456?R3的配置清单:wsZ68学习网-学习教育资源分享平台
R3(config)#no ip routing? //关闭路由功能,模拟PCwsZ68学习网-学习教育资源分享平台
R3(config)#int fa0/0wsZ68学习网-学习教育资源分享平台
R3(config-if)#speed 100wsZ68学习网-学习教育资源分享平台
R3(config-if)#duplex fullwsZ68学习网-学习教育资源分享平台
R3(config-if)#ip add 192.168.0.3 255.255.255.0wsZ68学习网-学习教育资源分享平台
R3(config-if)#no shutwsZ68学习网-学习教育资源分享平台
R3(config-if)#exit?SW1的配置清单:wsZ68学习网-学习教育资源分享平台
分别将fa1/13、fa1/14、fa1/15接口设为全双工模式:wsZ68学习网-学习教育资源分享平台
SW1(config)#int fa1/13wsZ68学习网-学习教育资源分享平台
SW1(config-if)#speed 100wsZ68学习网-学习教育资源分享平台
SW1(config-if)#duplex fullwsZ68学习网-学习教育资源分享平台
SW1(config-if)#exitSW1(config)#int fa1/14wsZ68学习网-学习教育资源分享平台
SW1(config-if)#speed 100wsZ68学习网-学习教育资源分享平台
SW1(config-if)#duplex fullwsZ68学习网-学习教育资源分享平台
SW1(config-if)#exitSW1(config)#int fa1/15wsZ68学习网-学习教育资源分享平台
SW1(config-if)#speed 100wsZ68学习网-学习教育资源分享平台
SW1(config-if)#duplex fullwsZ68学习网-学习教育资源分享平台
SW1(config-if)#exit?所有的基本配置完成后,我们测试从R3tenlnet到R2,结果如下:wsZ68学习网-学习教育资源分享平台
R3#telnet 192.168.1.2wsZ68学习网-学习教育资源分享平台
Trying 192.168.1.2 ... OpenwsZ68学习网-学习教育资源分享平台
User Access VerificationPassword: wsZ68学习网-学习教育资源分享平台
R2>enwsZ68学习网-学习教育资源分享平台
Password: wsZ68学习网-学习教育资源分享平台
R2#exit[Connection to 192.168.1.2 closed by foreign host]?上面的结果说明我们的配置是正确的,现在我们就来在R2上配置访问控制列表,以实现“R3 不能telnet到R2”的实验要求。因为我们的拓扑中只用一台路由器模拟PC,所以我们的访问控制列表就设置为:拒绝R3这个源地址而允许其他主机可以访问R2 。?实验结果要求1的实现:?1、在R2上配置访问控制列表,拒绝R3这个源地址的访问:wsZ68学习网-学习教育资源分享平台
R2(config)#access-list 50 deny host 192.168.0.3wsZ68学习网-学习教育资源分享平台
R2(config)#access-list?50 permit anywsZ68学习网-学习教育资源分享平台
2、将访问控制列表应用到VTY虚拟终端线路上:wsZ68学习网-学习教育资源分享平台
R2(config)#line vty 0 4wsZ68学习网-学习教育资源分享平台
R2(config-line)#access-class 50 in wsZ68学习网-学习教育资源分享平台
R2(config-line)#exit?配置完访问控制列表后,我们来验证一下:wsZ68学习网-学习教育资源分享平台
R3#telnet 192.168.1.2wsZ68学习网-学习教育资源分享平台
Trying 192.168.1.2 ... wsZ68学习网-学习教育资源分享平台
% Connection refused by remote host?从上面的结果中我们可以看到,R3根本找不到R2这台主机,说明R3的访问被R2拒绝了,下面我们来看看在R2上的访问控制列表中是否有拒绝R3访问的匹配数据:wsZ68学习网-学习教育资源分享平台
R2#show access-lists wsZ68学习网-学习教育资源分享平台
Standard IP access list 50wsZ68学习网-学习教育资源分享平台
??? 10 deny?? 192.168.0.3 (1 match)wsZ68学习网-学习教育资源分享平台
??? 20 permit anywsZ68学习网-学习教育资源分享平台
看到了吧,来自R3(192.168.0.3)的访问被拒绝了!如果我们把R3的IP改为192.168.0.4,那么它就可以telnet到R2,这就印证了我们访问控制列表中的第二条语句:permit any?实验结果要求2的实现:?我们都知道,访问控制列表只能过滤流经路由器的流量,而对路由器自身发出的数据包不起作用。而ping命令就是路由器自身所发出的数据包,所以我们就要改变思路,既然无法过滤发出的数据包,那么我们就来拒绝返回的数据包,这样也就实现了R1不能ping通R2的要求,因为涉及到对协议的检查,所以我们要使用扩展访问控制列表:wsZ68学习网-学习教育资源分享平台
1、在R1上配置访问控制列表:wsZ68学习网-学习教育资源分享平台
R1(config)#access-list 105 deny icmp host 192.168.1.2 host 192.168.1.1 echo-replywsZ68学习网-学习教育资源分享平台
R1(config)#access-list 105 permit ip any anywsZ68学习网-学习教育资源分享平台
2、将访问控制列表应用到R1的S1/2接口:wsZ68学习网-学习教育资源分享平台
R1(config)#int s1/2wsZ68学习网-学习教育资源分享平台
R1(config-if)#ip access-group 105 in?下面我们验证一下,先从R1上ping R2,结果如下:wsZ68学习网-学习教育资源分享平台
R1#ping 192.168.1.2Type escape sequence to abort.wsZ68学习网-学习教育资源分享平台
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:wsZ68学习网-学习教育资源分享平台
.....wsZ68学习网-学习教育资源分享平台
Success rate is 0 percent (0/5)wsZ68学习网-学习教育资源分享平台
上面的结果显示,R1是ping不通R2的,现在我们再来看看R1上的访问控制列表是否有拒绝的匹配数据:wsZ68学习网-学习教育资源分享平台
R1#show access-listwsZ68学习网-学习教育资源分享平台
Extended IP access list 105wsZ68学习网-学习教育资源分享平台
??? 10 deny icmp host 192.168.1.2 host 192.168.1.1 echo-reply (15 matches)wsZ68学习网-学习教育资源分享平台
??? 20 permit ip any anywsZ68学习网-学习教育资源分享平台
看到了吧,实验完成!版权声明:原创作品,如需转载,请与作者联系。否则将追究法律责任

本站所有资源均来自于68学习网蜘蛛爬取结果,如您发现侵权、违法、存在不和谐内容,告知本站一律删除

本站不以盈利为目的,全站资源仅供学习爱好使用。本站站长邮箱:luo689up@foxmail.com

备案号:闽ICP备15018334号-2

©68学习网  2016-2017版权所有     站点地图

回到顶部