桂林理工大学组网工程实验IP访问控制列表配置实验何天从 网络11班 3110757101.docx
- 文档编号:14245812
- 上传时间:2023-06-21
- 格式:DOCX
- 页数:19
- 大小:680.59KB
桂林理工大学组网工程实验IP访问控制列表配置实验何天从 网络11班 3110757101.docx
《桂林理工大学组网工程实验IP访问控制列表配置实验何天从 网络11班 3110757101.docx》由会员分享,可在线阅读,更多相关《桂林理工大学组网工程实验IP访问控制列表配置实验何天从 网络11班 3110757101.docx(19页珍藏版)》请在冰点文库上搜索。
桂林理工大学组网工程实验IP访问控制列表配置实验何天从网络11班3110757101
实验:
IP访问控制列表配置实验
一、实验目的
1.配置标准IP访问控制列表;
2.配置扩展IP访问控制列表;
3.配置命名的标准IP访问控制列表;
4.配置命名的扩展IP访问控制列表;
5.在网络接口上引用IP访问控制列表;
6.查看和监测IP访问控制列表。
二、实验原理
网络中常说的ACL是CiscoIOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。
只不过支持的特性不是那么完善而已。
在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。
本文所有的配置实例均基于CiscoIOS的ACL进行编写。
1、基本原理:
ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
2、功能:
网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。
ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。
3、配置ACL的基本原则:
在实施ACL的过程中,应当遵循如下两个基本原则:
最小特权原则:
只给受控对象完成任务所必须的最小的权限
最靠近受控对象原则:
所有的网络层访问权限控制
4、局限性:
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。
因此,要达到endtoend的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
三、实验步骤
实验1
实现校办企业财务科的主机可以访问财务处的主机,但是教师办公室主机不能访问财务处主机。
第1步:
基本配置
路由器RouterA:
设置远程登陆、控制台、特权模式的密码:
路由器RouterB:
第2步:
在路由器RouterB上配置IP标准访问控制列表
验证测试:
第3步:
应用在路由器RouterB的Fa0/0接口输出方向上
验证测试:
第4步:
验证测试
在校办企业财务科PC0主机的命令提示符下Ping192.168.3.10,
能Ping通:
在教师办公室PC1主机的命令提示符下Ping192.168.3.10,
不能Ping通:
实验2
允许192.168.1.0网段(校企财务科)主机发出的数据包通过,不允许192.168.2.0网段(教师办公室)主机发出的数据包通过,最后将这一策略加到交换机VLAN30的f0/3端口输出方向上。
1、交换机的基本配置
启动三层交换机的路由功能,并创建vlan10、20、30:
给每一个vlan设置IP地址:
2、查看三层交换机的路由表
3、配置命名IP标准访问控制列表
4、验证测试
查看ACL表:
在校企财务科PC0主机的命令提示符下Ping192.168.3.10,能Ping通:
在教师办公室PC1主机的命令提示符下Ping192.168.3.10,
不能Ping通:
如果ping三层交换机的f0/3端口是可以ping通,说明:
被限制的的是从f0/3到3.10.
即ACL生效:
实验3
不允许192.168.1.0网段(学生宿舍)主机发出的去192.168.3.0网段的FTP数据包通过,允许192.168.1.0网段主机发出的其它服务数据包通过,最后将这一策略加到路由器RouterA的Fa0端口。
1、基本配置
RouterA的三个端口的IP地址配置和静态路由:
RouterB的三个端口的IP地址配置和静态路由:
2、在路由器RouterA上配置IP扩展访问控制列表
3、验证测试
4、把访问控制列表应用在路由器RouterA的Fa0/0接口输入方向上
5、分别配置FTP和Web服务器
配置ftp:
配置www:
6、验证测试
在PC1主机的命令提示符下Ping192.168.3.10,能Ping通:
在PC2主机的命令提示符下Ping192.168.3.10,不能Ping通:
为了进一步证明acl作用于ftp,而对http没影响,创建了一个HTTPPDU:
数据包成功发送到web服务端:
数据包转发过程:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 桂林理工大学组网工程实验IP访问控制列表配置实验何天从 网络11班 3110757101 桂林 理工大学 组网 工程 实验 IP 访问 控制 列表 配置 网络 11
![提示](https://static.bingdoc.com/images/bang_tan.gif)