1、桂林理工大学组网工程实验IP访问控制列表配置实验何天从 网络11班 3110757101实验:IP访问控制列表配置实验一、 实验目的1. 配置标准IP 访问控制列表;2. 配置扩展IP 访问控制列表;3. 配置命名的标准IP访问控制列表;4. 配置命名的扩展IP访问控制列表;5. 在网络接口上引用IP访问控制列表;6. 查看和监测IP访问控制列表。二、 实验原理网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。只 不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交
2、换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于Cisco IOS的ACL进行编写。1、基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。2、功能:网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。3、配置ACL的基本原则:在实施ACL的过程中,应当遵循如下两个基本原则
3、:最小特权原则:只给受控对象完成任务所必须的最小的权限最靠近受控对象原则:所有的网络层访问权限控制 4、局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体 的人,无法识别到应用内部的权限级别等。因此,要达到end to end的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。三、 实验步骤实验1实现校办企业财务科的主机可以访问财务处的主机,但是教师办公室主机不能访问财务处主机。第1步:基本配置路由器RouterA:设置远程登陆、控制台、特权模式的密码:路由器RouterB:第2步:在路由器Ro
4、uterB上配置IP标准访问控制列表验证测试:第3步:应用在路由器RouterB的Fa 0/0接口输出方向上验证测试:第4步:验证测试在校办企业财务科PC0主机的命令提示符下Ping 192.168.3.10,能Ping通: 在教师办公室PC1主机的命令提示符下Ping 192.168.3.10,不能Ping通:实验2允许192.168.1.0网段(校企财务科)主机发出的数据包通过,不允许192.168.2.0网段(教师办公室)主机发出的数据包通过,最后将这一策略加到交换机VLAN30的f0/3端口输出方向上。1、 交换机的基本配置启动三层交换机的路由功能,并创建vlan10、20、30:给每
5、一个vlan设置IP地址:2、查看三层交换机的路由表3、配置命名IP标准访问控制列表4、验证测试查看ACL表: 在校企财务科PC0主机的命令提示符下Ping 192.168.3.10,能Ping通:在教师办公室PC1主机的命令提示符下Ping 192.168.3.10,不能Ping通:如果ping 三层交换机的f0/3端口是可以ping通,说明:被限制的的是从f0/3到3.10.即ACL生效:实验3不允许192.168.1.0网段(学生宿舍)主机发出的去192.168.3.0网段的FTP数据包通过,允许192.168.1.0网段主机发出的其它服务数据包通过,最后将这一策略加到路由器Router
6、A的Fa 0端口。1、基本配置RouterA的三个端口的IP地址配置和静态路由:RouterB的三个端口的IP地址配置和静态路由:2、在路由器RouterA上配置IP扩展访问控制列表3、验证测试4、把访问控制列表应用在路由器RouterA的Fa 0/0接口输入方向上5、分别配置FTP和Web服务器配置ftp:配置www:6、验证测试在PC1主机的命令提示符下Ping 192.168.3.10,能Ping通: 在PC2主机的命令提示符下Ping 192.168.3.10,不能Ping通:为了进一步证明acl作用于ftp,而对http没影响,创建了一个HTTP PDU:数据包成功发送到web服务端:数据包转发过程: