扩展ACL实验

zerowing1
0 ℃
2019-11-06

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

配置实现访问控制列表ACL学号：院系：姓名：完成日期：2014/4/26目录一、实验目的...........................................................................3二、实验环境/实验拓扑..........................................................3三、实验内容...........................................................................3四、实验步骤...........................................................................4五、思考题.............................................................................31六、总结.................................................................................31一、实验目的1.熟练掌握2种访问控制列表的配置实现技术，特别掌握扩展ACL的配置方法；2.掌握使用showaccess-list、showaccess-lists、showipinterface[接口名]等命令对路由器ACL列表是否创建及其内容的各种查看与跟踪方法；3.能按要求利用CiscoPacketTracerV5.00模拟配置工具绘制出本实验的网络拓扑图，并能实现拓扑的物理连接；4.熟悉2种ACL的配置方法及其基本操作步骤；掌握在存根网络中利用ACL将路由器配置为包过滤放火墙的方法。二、实验环境/实验拓扑1.每人一机，安装并配置CiscoPacketTracerV5.00模拟配置工具；2.在CiscoPacketTracerV5.00模拟配置中通过添加和连接设备构建出本实验的相应拓扑；本实验的网络拓扑示意图如图1所示：图1本实验网络拓扑示意图三、实验内容1.每人一机，安装并配置CiscoPacketTracerV5.00模拟配置工具；2.用CiscoPacketTracerV5.00模拟配置工具绘制出本实验的相应网络拓扑图；3.逐个单击网络拓扑图中的每台设备，进入该设备的命令行交互操作，分别配置实现标准ACL及扩展ACL；4.利用showaccess-list、showaccess-lists、showipinterface[接口名]等相关查看及跟踪命令检查设备的ACL相关配置信息；5.利用Ping，traceroute，telnet，debug等相关命令，进行网络连通性检查和配置结果测试。四、实验步骤1.配置PC0的IP、子网掩码、默认网关、DNS4项基本参数；(PC0:1.1.1.100255.255.255.0GW:1.1.1.3DNS:2.2.2.200)2.配置PC1的IP、子网掩码、默认网关、DNS4项基本参数；(PC1:1.1.1.200255.255.255.0GW:1.1.1.3DNS:2.2.2.200)3.配置PC2的IP、子网掩码、默认网关、DNS4项基本参数；(PC2:2.2.2.100255.255.255.0GW:2.2.2.1DNS:2.2.2.200)4.配置Server-PTServer0的IP、子网掩码、默认网关3项基本参数；(Server0:2.2.2.200255.255.255.0GW:2.2.2.1)5.配置Server-PTServer1的IP、子网掩码、默认网关3项基本参数；(Server0:4.4.4.100255.255.255.0GW:4.4.4.1)6.配置R1的Fastethernet0/0端口；（IP地址、子网掩码、激活端口）（提示：IP地址:1.1.1.3、子网掩码:255.255.255.0、激活端口:noshutdown）7.:配置R1的Fastethernet0/1端口；（IP地址、子网掩码、激活端口）（提示：IP地址:2.2.2.1、子网掩码:255.255.255.0、激活端口:noshutdown）8.配置R1的Serial0/0端口；（IP地址、子网掩码、封装WAN协议帧格式、激活端口）（IP地址：3.3.3.1、子网掩码：255.255.255.252、封装WAN协议帧格式：encapPPP、激活端口：noshut）9.配置R2的Serial0/0端口；（时钟频率、IP地址、子网掩码、封装WAN协议帧格式、激活端口）（时钟频率：clockrate64000、IP地址：3.3.3.2、子网掩码：255.255.255.252、封装WAN协议帧格式：encapPPP、激活端口：noshut）10.配置R2的Fastethernet0/0端口；（IP地址、子网掩码、激活端口）（提示：IP地址:4.4.4.1、子网掩码:255.255.255.0、激活端口:noshutdown）11.配置R1的RIPv2路由表项；(提示：用routerip命令为R1配置动态路由条目，注意版本及掩码)12.配置R2的RIPv2路由表项；(提示：用routerip命令为R1配置动态路由条目，注意版本及掩码)13.测试当前各PC设备至各节点的连通性并记录下来。（提示：在PC0上pingR1、R2路由器设备的各端口；在PC0上pingPC2、DNSServer、WebServer在PC2上pingR1、R2路由器设备的各端口；在PC2上pingPC1、DNSServer、WebServer）Pc0可以ping通4.4.4.100Pc0可以ping通2.2.2.100Pc2可以ping通1.1.1.100DNSserver可以ping通1.1.1.100Webserver可以ping通1.1.1.10014．配置R1的ACL，使PC0可以访问2.2.2.0网段上的全部节点（即PC2和DNSServer均可被PC0访问）。(提示：用access-list命令，注意标准ACL与扩展ACL的区别，尤其是通配符掩码WildcardMask的表示法)将上一步骤中配置的ACL绑定到R1的Fastethernet0/0端口，使之生效。(提示：进入接口子模式用ipaccess-group命令，注意方向性)15.保存R1的配置，用showaccess-list命令、showaccess-lists命令、showipintfa0/0命令测试ACL是否创建生效，并记录下来。16.测试当前PC0、PC1是否可访问PC2和DNSServer，并记录下来。（提示：在PC0上pingPC2、DNSServer，在PC1上pingPC2、DNSServer）17.将R1端口fa0/0上绑定的ACL清除使之不再生效。（提示：用noipaccess-group命令）开启DNSServer服务器的DNS服务，添加域名解析记录使ns.shzu.edu.cn域名指向2.2.2.200。在DNSServer服务器上添加第二条域名解析记录使ftp.shzu.edu.cn域名指向2.2.2.100（PC2）。18.配置R1的ACL，使PC0所在的1.1.1.0网段上的节点（即PC0和PC1）只能访问DNSServer服务器而不能访问ftp.shzu.edu.cn。(提示：即PC0和PC1都可ping通ns.shzu.edu.cn，但都不可ping通ftp.shzu.edu.cn，且DNS域名解析服务都可用)由于要使4.4.4.100Ping通2.2.2.0的网络所以要加上最后一条。将上一步骤中配置的ACL绑定到R1的Fastethernet0/1端口，并使之生效。(提示：进入接口子模式用ipaccess-group命令，注意方向性)再次保存R1的配置，用showaccess-list命令、showaccess-lists命令、showipintfa0/1命令测试ACL是否创建生效，并记录下来。19.:测试当前PC0和PC1是否还可同时访问PC2和DNSServer，记录结果。（提示：在PC0上分别pingftp.shzu.edu.cn、ns.shzu.edu.cn，在PC1上分别pingftp.shzu.edu.cn、ns.shzu.edu.cn）同时测试当前在PC2和DNSServer上是否可同时访问R2后面的WebServer服务器，并记录结果。（提示：在PC2上、DNSServer上分别ping4.4.4.100即R2后面的WebServer服务器地址）20.配置R1的ACL，使2.2.2.0网段上的节点（即PC2和DNSServer）不能访问Internet（即R2后面的WebServer服务器）。(提示：用access-list命令，注意标准ACL与扩展ACL的区别，尤其是通配符掩码WildcardMask的表示法)将上一步骤中配置的ACL绑定到R1的Serial0/0端口，使之也生效。(提示：进入接口子模式用ipaccess-group命令，注意方向性)21.再次保存R1的配置，用showaccess-list命令、showaccess-lists命令、showipints0/0命令测试ACL是否创建生效，并记录下来。22.测试在PC2和DNSServer上是否可访问WebServer，记录结果。（提示：在PC2上分别pingR2、WebServer，在DNSServer上pingR2、WebServer）23.你能否将步骤34中配置的R1的ACL清除，然后将它配置到R2上并使之生效？配在R1上和R2上有什么不同？哪个更好些？去除r1上的访问控制列表access-list103此时pc2和DNSserver都可以ping通4.4.4.100在r2上增加访问控制列表并绑定在f0/0此时pc2和dnsserver都ping不通4.4.4.100即r2上的访问控制列表已经生效在r1上配置该访问控制列表较在r2上配置性能方面比较差。R1上已经有了两个访问控制列表，在增加会对路由器的系统开销增加负担，降低性能，速度变慢。而在r2上配置则分担了r1的工作量，能够提高整个网络的性能速度及带宽。所以在r2上配好。五、思考题1.如何判定ACL与端口绑定时的方向？答：首先要明确要阻止或允许的源报文是从哪个网络来的以及要到达的目的网络，明确之后再，如果将访问控制列表绑定在源报文进入路由器的端口就是进入in，如果是绑定在出路由器的端口就是out。六、总结本次实验让我学到了很多，特别是对访问控制列表的理解，他能够限制一些网络的主机访问另一个网络的主机，能够起到放火墙的作用，注意在增加一条访问控制列表时系统默认添加一条denyanyany所以要想阻止特定的网络主机访问另一个网络时，添加了阻止条后，要让其他的网络主机访问，则要交一条permitanyany。访问控制列表的设定有技巧可循，掌握了技巧那么就能提高整个网络的性能，增加网络吞吐量，这里面的技巧还是有很多要学习的，在以后的学习中要注意认真总结积累。