实验利用IP标准访问列表进行网络流量的控制

answering3
1 ℃
2020-01-03

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

广东科学技术职业学院锐捷网络安全实验室1实验二十一利用IP标准访问列表进行网络流量的控制试验目的：掌握路由器上编号的标准IP访问列表规则及配置。背景描述：你是一个公司的网络管理员，公司的经理部、财务部门和销售部门分属不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部门进行访问，但经理部可以对财务部门进行访问。R1、R2运行ospf路由协议。PC1代表经理部的主机，PC2代表销售部门的主机、PC3代表财务部门的主机。技术原理：IPACL（IP访问控制列表或IP访问列表）是实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性。IPACL分为两种：标准IP访问列表和扩展IP访问列表。标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤。扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。IPACL基于接口进行规则的应用，分为：入栈应用和出栈应用。入栈应用是指由外部经该接口进行路由器的数据包进行过滤。出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。IPACL的配置有两种方式：按照编号的访问列表，按照命名的访问列表。标准IP访问列表编号范围是1~99、1300~1999，扩展IP访问列表编号范围是100~199、2000~2699。试验设备：RG-RSR20二台、PC3台、V35DCE（1根）、V35DTE（1根）、网线若干试验拓扑图：广东科学技术职业学院锐捷网络安全实验室2实验步骤及要求：1、配置各路由器用户名和接口IP地址，并使用ping命令确认各路由器的直连口的互通性。2、路由器R1、R2上配置OSPF路由协议R1(config)#routerospf100R1(config-router)#router-id1.1.1.1Changerouter-idandupdateOSPFprocess![yes/no]:yR1(config-router)#network12.1.1.00.0.0.255area0R1(config-router)#network172.16.1.00.0.0.255area0R1(config-router)#network172.16.2.00.0.0.255area0R2(config)#routerospf100R2(config-router)#router-id2.2.2.2Changerouter-idandupdateOSPFprocess![yes/no]:yR2(config-router)#network12.1.1.00.0.0.255area0R2(config-router)#network172.16.3.00.0.0.255area03、在R1、R2上严重ospfR1#showiprouteC12.1.1.0/24isdirectlyconnected,Serial3/0C12.1.1.1/32islocalhost.C172.16.1.0/24isdirectlyconnected,FastEthernet0/1C172.16.1.1/32islocalhost.C172.16.2.0/24isdirectlyconnected,FastEthernet0/0广东科学技术职业学院锐捷网络安全实验室3C172.16.2.1/32islocalhost.O172.16.3.0/24[110/51]via12.1.1.2,00:00:41,Serial3/0R2#showiprouteC12.1.1.0/24isdirectlyconnected,Serial3/0C12.1.1.2/32islocalhost.O172.16.1.0/24[110/51]via12.1.1.1,00:00:30,Serial3/0O172.16.2.0/24[110/51]via12.1.1.1,00:00:30,Serial3/0C172.16.3.0/24isdirectlyconnected,FastEthernet0/0C172.16.3.1/32islocalhost.4、在PC1、PC2上pingPC3，因为没有做标准ACL，所以PC1、PC2可以ping通PC35、在R2上配置标准IP访问控制列表R2(config)#access-list1deny172.16.2.00.0.0.255R2(config)#access-list1permit172.16.1.00.0.0.255广东科学技术职业学院锐捷网络安全实验室4R2(config)#interf0/0R2(config-if)#ipaccess-group1out6、测试R2#showaccess-lists1ipaccess-liststandard110deny172.16.2.00.0.0.25520permit172.16.1.00.0.0.255244packetsfiltered7、试验完成【注意事项】注意在访问控制列表的网络掩码是反掩码。标准控制列表要应用在尽量靠近目的地址的接口。