19【工程实验室】【利用IP标准ACL进行网络流量的控制】

实验利用IP标准访问列表进行网络流量的控制【实验名称】利用IP标准访问列表进行网络流量的控制【实验目的】掌握路由器上编号的标准IP访问列表规则及配置【背景描述】你是一个公司的网络管理员，公司的经理部、财务部门和销售部门分属不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部门进行访问，但经理部可以对财务部门进行访问。经理部的网段为172.16.2.0，销售部门的网段为172.16.1.0、财务部门的网段为172.16.4.0。【需求分析】只允许网段172.16.2.0与172.16.4.0的主机进行通信，不允许172.16.1.0去访问172.16.4.0网段的主机。【实验拓扑】图10-2实验拓扑图【预备知识】路由器基本配置知识、访问控制列表知识【实验设备】路由器（两台）、V.35线缆（1条）、直连线或交叉线（3条）【实验原理】IPACL（IP访问控制列表或IP访问列表）是实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性。IPACL分为两种：标准IP访问列表和扩展IP访问列表。标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤。扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。IPACL基于接口进行规则的应用，分为：入栈应用和出栈应用。入栈应用是指由外部经该接口进行路由器的数据包进行过滤。出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。IPACL的配置有两种方式：按照编号的访问列表，按照命名的访问列表。标准IP访问列表编号范围是1~99、1300~1999，扩展IP访问列表编号范围是100~199、2000~2699。【实验步骤】第一步：路由器基本配置R1(config)#R1(config)#interfaceloopback0R1(config-if)#ipadd172.16.1.1255.255.255.0R1(config-if)#noshutdownR1(config-if)#interfaceloopback1R1(config-if)#ipadd172.16.2.1255.255.255.0R1(config-if)#noshutdownR1(config-if)#interfaceFastEthernet0/0R1(config-if)#ipadd172.16.3.1255.255.255.0R1(config-if)#noshutdownR1(config-if)#endR2(config)#interfaceFastEthernet0/0R2(config-if)#ipadd172.16.3.1255.255.255.0R2(config-if)#noshutdownR2(config-if)#exitR2(config-if)#interfaceFastEthernet0/1R2(config-if)#ipadd172.16.4.1255.255.255.0R2(config-if)#noshutdownR2(config-if)#end第二步：配置路由R1(config)#iproute0.0.0.00.0.0.0172.16.3.2R2(config)#iproute0.0.0.00.0.0.0172.16.3.1第三步：配置标准IP访问控制列表R2(config)#access-list10deny172.16.1.00.0.0.255R2(config)#access-list10permit172.16.2.00.0.0.255R2(config)#interfaceFastEthernet0/1R2(config-if)#ipaccess-group10out第三步：验证测试在没有配置ACL时，可以使用原地址为172.16.1.1，目标地址为172.16.4.10（此为连接到R2接口fa0/1的一台主机），进行ping通信，如下所示。R1#pingProtocol[ip]:TargetIPaddress:172.16.4.1Repeatcount[5]:Datagramsize[100]:Timeoutinseconds[2]:Extendedcommands[n]:ySourceaddress:172.16.1.1TimetoLive[1,64]:Typeofservice[0,31]:DataPattern[0xABCD]:0xabcdSending5,100-byteICMPEchoesto172.16.4.1,timeoutis2seconds:pressCtrl+Ctobreak!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=1/1/1ms配置ACL后的测试，如下所示R1#pingProtocol[ip]:TargetIPaddress:172.16.4.10Repeatcount[5]:Datagramsize[100]:Timeoutinseconds[2]:Extendedcommands[n]:ySourceaddress:172.16.1.1TimetoLive[1,64]:Typeofservice[0,31]:DataPattern[0xABCD]:0xabcdSending5,100-byteICMPEchoesto172.16.4.10,timeoutis2seconds:pressCtrl+Ctobreak.....Successrateis0percent(0/5)R1#pingProtocol[ip]:TargetIPaddress:172.16.4.10Repeatcount[5]:Datagramsize[100]:Timeoutinseconds[2]:Extendedcommands[n]:ySourceaddress:172.16.2.1TimetoLive[1,64]:Typeofservice[0,31]:DataPattern[0xABCD]:0xabcdSending5,100-byteICMPEchoesto172.16.4.10,timeoutis2seconds:pressCtrl+Ctobreak!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=1/2/10msping（172.16.2.0网段的主机不能ping通172.16.4.0网段的主机；172.16.1.0网段的主机能ping通172.16.4.0网段的主机）。R2#showaccess-listsipaccess-liststandard1010deny172.16.1.00.0.0.25520permit172.16.2.00.0.0.25535packetsfilteredR2#shipaccess-groupinterfacefa0/1ipaccess-group10outAppliedOninterfaceFastEthernet0/1【注意事项】1、注意在访问控制列表的网络掩码是反掩码。2、标准控制列表要应用在尽量靠近目的地址的接口。【参考配置】R1#showrunning-configBuildingconfiguration...Currentconfiguration:590bytes!versionRGNOS10.1.00(4),Release(18443)(TueJul1720:50:30CST2007-ubu1server)hostnameR1!interfaceFastEthernet0/0ipaddress172.16.3.1255.255.255.0duplexautospeedauto!interfaceFastEthernet0/1duplexautospeedauto!interfaceLoopback0ipaddress172.16.1.1255.255.255.0!interfaceLoopback1ipaddress172.16.2.1255.255.255.0!iproute0.0.0.00.0.0.0172.16.3.2!linecon0lineaux0linevty04login!endR2#showrunning-configBuildingconfiguration...Currentconfiguration:627bytes!versionRGNOS10.1.00(4),Release(18443)(TueJul1720:50:30CST2007-ubu1server)hostnameR2!ipaccess-liststandard1010deny172.16.1.00.0.0.25520permit172.16.2.00.0.0.255!interfaceFastEthernet0/0ipaddress172.16.3.2255.255.255.0duplexautospeedauto!interfaceFastEthernet0/1ipaccess-group10outipaddress172.16.4.1255.255.255.0duplexautospeedauto!iproute0.0.0.00.0.0.0172.16.3.1!linecon0lineaux0linevty04login!end