实验任务7_IP访问控制列表的配置1

xyl5503988
4 ℃
2020-01-02

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

中北大学网络工程系专业实验室第1页共8页中北大学计算机与控制工程学院实验报告组号________学号_______姓名____实验时间__2014-_______课程名称：网络设备与集成辅导教师：韩慧妍【实验名称】IP访问控制列表的配置【实验任务】任务1：标准IP访问控制列表的配置实验任务2：配置PPP协议的CHAP单向认证实验任务3：命名的IP访问控制列表的配置实验任务1：标准IP访问控制列表的配置实验【实验目的】配置标准IPACL，理解ACL的原理、功能和相关注意事项；掌握对指定主机和指定网络规划安全策略的方法；掌握标准IPACL配置的相关命令。【实验设备和连接】实验设备和连接如图所示：两台R1762路由器的两个FastEthernet接口各连接一个PC，路由器之间串口相连。图1标准IPACL的配置实验【实验分组】每四名同学为一组，其中每两人一小组，每小组各自独立完成实验。【实验内容】步骤1：完成设备连接和路由器基本配置：R1762-1的配置为：router(config)#hostnameR1762-1！配置设备名中北大学网络工程系专业实验室第2页共8页R1762-1(config)#interfacefastEthernet1/0!配置fastethernet1/0接口R1762-1(config-if)#ipaddress172.16.10.1255.255.255.0R1762-1(config-if)#noshutdownR1762-1(config-if)#interfacefastEthernet1/1!配置fastethernet1/1接口R1762-1(config-if)#ipaddress172.16.11.1255.255.255.0R1762-1(config-if)#noshutdownR1762-1(config-if)#interfaceserial1/2!配置Serial1/2接口R1762-1(config-if)#ipaddress172.16.1.1255.255.255.0R1762-1(config-if)#noshutdownR1762-2的配置为：router(config)#hostnameR1762-2！配置设备名R1762-2(config)#interfacefastEthernet1/0!配置fastethernet1/0接口R1762-2(config-if)#ipaddress172.16.20.1255.255.255.0R1762-2(config-if)#noshutdownR1762-2(config-if)#interfacefastEthernet1/1!配置fastethernet1/1接口R1762-2(config-if)#ipaddress172.16.21.1255.255.255.0R1762-2(config-if)#noshutdownR1762-2(config-if)#interfaceserial1/2!配置Serial1/2接口R1762-2(config-if)#ipaddress172.16.1.2255.255.255.0R1762-2(config-if)#noshutdown配置完成后，可以使用showipinterface命令检查设备的接口配置，确定设备的接口配置完成，F1/0、F1/1和S1/2的状态为UP。步骤2：路由器的路由配置：可以通过前面实验中已经掌握的静态路由或动态路由RIP实现网络连通，这里就本实验而言，可以配置缺省路由：R1762-1(config)#iproute0.0.0.00.0.0.0172.16.1.2R1762-2(config)#iproute0.0.0.00.0.0.0172.16.1.1注意：两端都要配置完成后验证全网的连通性。步骤3：创建标准IPACL：首先，就实验要求进行分析。由于标准访问列表仅检测源地址，因此习惯上与靠近目的网络的接口建立关联。就配置要求而言，学校教学网络和分校教学网络没有设置过滤限制，任何站点都可以对它们进行访问；而学校管理网络和分校管理网络则要求对分组进行过滤：学校管理网络仅接收分校管理网络和学校教学网络中指定教师机的访问，分校管理网络则仅接收学校管理网络和分校教学网络中指定教师机的访问。因此访问列表应当在两台R1762的F1/1接口上建立。以R1762-1为例，F1/1接口只转发来自网络172.16.21.0/24和主机172.16.10.100的分组；同样，R1762-2的F1/1接口只转发来自网络172.16.11.0/24和主机172.16.20.100的分组。在R1762-1上创建标准IP访问控制列表的配置为：R1762-1(config)#access-list10permit172.16.21.00.0.0.255R1762-1(config)#access-list10permithost172.16.10.100R1762-1(config)#access-list10denyany由于访问列表最后隐含“拒绝所有”的语句，因此access-list10denyany可以不设。在R1762-2上创建标准IP访问控制列表的配置为：R1762-2(config)#access-list10permit172.16.11.00.0.0.255中北大学网络工程系专业实验室第3页共8页R1762-2(config)#access-list10permithost172.16.20.100步骤4：在设备接口上应用ACL：上一步骤对实验要求的分析已经说明：由于标准ACL只检测源地址，因而在应用时应当尽量靠近需要对源地址进行包过滤的目的网络。在R1762-1上应用ACL的接口为fastEthernet1/1，出站方式，具体配置为：R1762-1(config)#interfacefastEthernet1/1R1762-1(config-if)#ipaccess-group10out！在接口出站方向上应用ACLR1762-2的配置与之相同。步骤5：基本检测使用showaccess-lists或showipaccess-lists命令查看访问列表，以R1762-1为例：R1762-1#showaccess-lists！显示所有的ACLStandardIPaccesslist10includes3items:permit172.16.21.0,wildcardbits0.0.0.255permithost172.16.10.100denyanyR1762-1#showipaccess-lists！显示IPACLStandardIPaccesslist10includes3items:permit172.16.21.0,wildcardbits0.0.0.255permithost172.16.10.100denyany由于R1762仅配置了一个IP访问控制列表，表号为10，因此上面两个命令的执行结果没有区别。此外，可以使用showipinterface命令查看设备接口的ACL绑定情况，以查看R1762-1的fastEthernet1/1为例：R1762-1#showipinterfacefastEthernet1/1！显示F1/1接口的IP状态FastEthernet1/1IPinterfacestateis:UP……Outgoingaccesslistis10.！接口出站应用ACL：10Inboundaccesslistisnotset.！接口入站未应用ACL步骤6：综合验证按照表1完成对实验PC机的IP配置：表1标准IPACL实验PC机的IP配置实验机PC1PC2PC3PC4IP地址172.16.10.100172.16.11.100172.16.20.100172.16.21.100网关172.16.10.1172.16.11.1172.16.20.1172.16.21.1根据刚才实验配置，自己判断4台PC之间的连通关系；然后实际ping一下，看你的判断是否正确？之后，将PC1的IP地址改为172.16.10.10，PC2的IP地址改为172.16.20.10，再判断一下PC间的连通关系。如果两次都验证正确，则证明你已经理解了IP标准访问控制列表的基本概念。任务2：扩展IP访问控制列表的配置实验【实验目的】配置扩展IPACL，理解TCP/IP协议体系，全面掌握对网络流量实现控制和安全策略规划的方法；掌握扩展IPACL配置的相关命令。中北大学网络工程系专业实验室第4页共8页【实验设备和连接实验】实验设备和连接如图所示：一台R1762路由器的两个FastEthernet接口分别连接172.16.10.0/24和172.16.20.0/24网络（实验中用PC直连），Serial接口连接172.17.0.0/16网络（实验中与另一台路由器连通即可）。172.17.0.0/16172.16.10.1/24F1/0172.16.20.1/24F1/1PC1PC2S1/2R1762图2扩展IPACL的配置实验【实验分组】每人配置一台路由器，各自独立完成实验。【实验内容】步骤1：完成设备连接和路由器基本配置：router(config)#hostnameR1762！配置设备名R1762(config)#interfacefastEthernet1/0!配置fastethernet1/0接口R1762(config-if)#ipaddress172.16.10.1255.255.255.0R1762(config-if)#noshutdownR1762(config-if)#interfacefastEthernet1/1!配置fastethernet1/1接口R1762(config-if)#ipaddress172.16.20.1255.255.255.0R1762(config-if)#noshutdown配置完成后，使用showipinterfacebrief命令检查设备的接口配置，确定F1/0和F1/1的状态为UP。步骤2：创建扩展IPACL：R1762(config)#access-list110denytcp172.16.2.00.0.0.255172.16.1.00.0.0.255eq21R1762(config)#access-list110permittcp172.16.2.00.0.0.255172.16.1.00.0.0.255eq80R1762(config)#access-list110denyipanyany步骤3：在设备接口上应用ACL：R1762(config)#interfacefastEthernet1/1R1762-1(config-if)#ipaccess-group110in！在接口入站方向上应用ACL步骤4：综合验证：使用showaccess-lists、showipaccess-lists和showipinterface命令查看访问列表及其与接口的关联，确定上面的配置均已完成。思考：110列表中有3条控制语句：第一条拒绝172.16.2.0对172.16.1.0进行FTP下载；第二条允许172.16.2.0对172.16.1.0进行访问；第三条拒绝所有IP流量。根据你对扩展访问列表的理解，回答下列问题：1）在完成上面的实验配置后，假如172.17.0.0网络已经连通，且除了110没有其它ACL，判断表2中列举的网络通信是否可以。中北大学网络工程系专业实验室第5页共8页表2扩展IPACL实验分析一网络通信结果172.16.2.0对172.16.1.0的FTP服务器访问□可以□不可以172.16.2.0对172.16.1.0主机TELNET□可以□不可以172.16.2.0对172.16.1.0的服务器访问□可以□不可以172.16.2.0对172.17.0.0的FTP服务器访问□可以□不可以172