CCNA实验手册之实验5访问控制列表及地址转换

saliwen
1 ℃
2020-01-11

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

实验五访问控制列表及地址转换5.1实验目的：1.熟悉路由器的包过滤的核心技术：访问控制列表；2.掌握访问控制列表的相关知识；3.掌握访问控制列表的应用，灵活设计防火墙；4.熟悉地址转换特性。5.2实验环境：在实际的企业网或者校园网络中为了保证信息安全以及权限控制，都需要分别对待网内的用户群。有的能够访问外部，有的则不能。这些设置往往都是在整个网络的出口或是入口（一台路由器上）进行的。所以在实验室我们用一台路由器（RTA）模拟整个企业网，用另一台路由器（RTB）模拟外部网。具体实验环境如下：PCAPCERTARTBS0S0E0E0SwitchSwitchPCBPCCPCD在实际完成实验时不一定需要两台交换机和多台主机，交换机可以共用一台，但最好划分在不同的VLAN下，主机至少两台，可以灵活改变IP地址来满足实验需求。5.3实验步骤：5.3.1实验准备按照上面的组网图建立实验环境，然后按照如下规则分配IP地址。路由器接口IP地址：RTARTBS0192.0.0.1/24192.0.0.2/24E0202.0.0.1/24202.0.1.1/24主机的地址和缺省网关：PCAPCBPCCPCDPCEIP/MASK202.0.0.2/24202.0.0.3/24202.0.0.4/24202.0.1.2/24202.0.1.3/24GATEWAY202.0.0.1202.0.0.1202.0.0.1202.0.1.1202.0.1.15.3.2标准访问控制列表标准访问控制列表只使用数据包的源地址来判断数据包，所以它只能以源地址来区分数据包，源相同而目的不同的数据包也只能采取同一种策略。所以利用标准访问控制列表，我们只能粗略的区别对待网内的用户群，那些主机能访问外部网，那些不能。我们来完成如下实验，看看标准访问控制列表是如何完成该功能的。在实验环境中，我们如果只允许IP地址为202.0.0.2的主机访问外部网络，则只需在路由器上进行如下配置即可：RTA#showrunning-configNowcreateconfiguration...Currentconfiguration!version1.5.6firewallenable//启动防火墙功能access-listnormal1permit202.0.0.20.0.0.0//允许特定主机访问外部网络access-listnormal1deny202.0.0.00.0.0.255//禁止其他主机访问外部网络hostnameRTA!interfaceAux0asyncmodeinteractiveencapsulationppp!interfaceEthernet0speedautoduplexautonoloopbackipaddress202.0.0.1255.255.255.0!interfaceSerial0clock-selectDTECLK1encapsulationpppipaddress192.0.0.1255.255.255.0ipaccess-group1out//使访问列表生效!interfaceSerial1encapsulationppp!exitrouterrip//启动路由协议networkall!endRTB#showrunning-configNowcreateconfiguration...Currentconfiguration!version1.5.6hostnameRTB!interfaceAux0asyncmodeinteractiveencapsulationppp!interfaceEthernet0speedautoduplexautonoloopbackipaddress202.0.1.1255.255.255.0!interfaceSerial0encapsulationpppipaddress192.0.0.2255.255.255.0!interfaceSerial1clock-selectDTECLK1encapsulationppp!exitrouterripnetworkall!end注意：在配置路由器时还需要配置防火墙的缺省工作过滤模式（firewalldefault{permit|deny}），因该命令配置与否在配置信息中没有显示，所以要特别注意。Quidway系列路由器防火墙默认过滤模式是允许。在此我们也设为允许。（您可以设为禁止，看看实验现象。此时有可能路由器不能发现动态路由，因为路由协议也是用IP包去发现路由的，禁止了所有IP包的传送当然不可能生成动态路由。）完成上述配置之后，用网络测试命令测试PCA是不是真的能够访问外部网络，PCB等主机是不是不能访问外部网络呢？在设置防火墙时，一般选择在路由器的出口，可以使用ipaccess-group101out来使防火墙生效，但是如果改为ipaccess-group101in呢？试试会是什么现象，是不是任何主机都可以访问外部网络呢？答案是肯定的。那么我们如果是在E0口使用ipaccess-group101in命令呢？现象就如同开始一样了。现在明白in和out的意义了吗？我们甚至可以在RTB上来完成该项功能，完成如下配置即可达到同样的效果：RTA#showrunning-configNowcreateconfiguration...Currentconfiguration!version1.5.6hostnameRTA!interfaceAux0asyncmodeinteractiveencapsulationppp!interfaceEthernet0speedautoduplexautonoloopbackipaddress202.0.0.1255.255.255.0!interfaceSerial0clock-selectDTECLK1encapsulationpppipaddress192.0.0.1255.255.255.0!interfaceSerial1encapsulationppp!exitrouterripnetworkall!endRTB#showrunning-configNowcreateconfiguration...Currentconfiguration!version1.5.6firewallenableaccess-listnormal1permit202.0.0.20.0.0.0access-listnormal1deny202.0.0.00.0.0.255hostnameRTB!interfaceAux0asyncmodeinteractiveencapsulationppp!interfaceEthernet0speedautoduplexautonoloopbackipaddress202.0.1.1255.255.255.0!interfaceSerial0encapsulationpppipaddress192.0.0.2255.255.255.0ipaccess-group1in!interfaceSerial1clock-selectDTECLK1encapsulationppp!exitrouterripnetworkall!end从上面的实验可以看出in和out两个方向不同作用以及使用不同接口的配置差异了，所以在设置防火墙时，我们需要仔细分析，灵活运用，选择最佳接口，最简单的配置完成最完善的功能。5.3.3扩展访问控制列表扩展访问控制列表不仅使用数据包的源地址作为判断条件，还使用目的地址、协议号为判断条件。所以它可以更加详细的区分数据包，更好的控制用户访问。下面我们先应用扩张访问控制列表来完成前面标准访问控制列表完成的功能，以便比较。在路由器上的具体配置如下：RTA(config)#showrunning-configNowcreateconfiguration...Currentconfiguration!version1.5.6firewallenableaccess-listnormal101permitip202.0.0.20.0.0.0202.0.1.00.0.0.255access-listnormal101denyip202.0.0.00.0.0.255202.0.1.00.0.0.255hostnameRTA!interfaceAux0asyncmodeinteractiveencapsulationppp!interfaceEthernet0speedautoduplexautonoloopbackipaddress202.0.0.1255.255.255.0!interfaceSerial0clock-selectDTECLK1encapsulationpppipaddress192.0.0.1255.255.255.0ipaccess-group101out!interfaceSerial1encapsulationppp!exitrouterripnetworkall!endRTB#showrunning-configNowcreateconfiguration...Currentconfiguration!version1.5.6hostnameRTB!interfaceAux0asyncmodeinteractiveencapsulationppp!interfaceEthernet0speedautoduplexautonoloopbackipaddress202.0.1.1255.255.255.0!interfaceSerial0encapsulationpppipaddress192.0.0.2255.255.255.0!interfaceSerial1clock-selectDTECLK1encapsulationppp!exitrouterripnetworkall!end此时用网络测试命令ping测试主机的通信状况，应该和前面一样。刚才提到的扩展访问控制列表可以更加详细的控制访问，那么究竟怎样才能实现这项要求呢？在此我们只需要把access-listnormal101permitip202.0.0.20.0.0.0202.0.1.00.0.0.255换成access-listnormalpermitip202.0.0.20.0.0.0202.0.1.20.0.0.0既可以控制主机PCA只能访问主机PCD，而使用标准访问控制列表是不能实现的。在访问控制列表命令中还有normal字段，这是区别于special的，即我们可以分时间段进行不同的访问控制策略。此时需要允许时间段控制（timerangeenable）和设定特定时间段（settrbegin-timeend-time）。在此不再详细阐述，学员可以自行完成。上面的实验都是只有一条列表，在同一列表中有多条规则，多条规则之间采用深度优先的原则，即描述的地址范围越小，优先级越高，越先考虑。但是有时候需要在一个接口上使用多条列表，以完成更丰富的功能。但是列表之间有时什么样的规则呢？还是深度优先吗？让我们看看下面的实验，RTB不作任何改动，RTA配置如下：RTA(config-if-Serial0)#showrunning-configNowcreateconfiguration...Currentconfiguration!version1.5.6firewallenableaccess-listnormal101permitip202.0.0.20.0.0.0202.0.1.00.0.0.255access-listnormal101denyip202.0.0.00.0.0.255202.0.1.00.0.0.255access-listnormal102permitip202.0.0.30.0.0.0202.0.1.00.0.0.255access-listnormal102denyip202.0.0.00.0.0.