访问控制.docx
《访问控制.docx》由会员分享,可在线阅读,更多相关《访问控制.docx(16页珍藏版)》请在冰豆网上搜索。
访问控制
实验A、(标准ACL与扩展ACL的应用)PacketTracert搭建拓扑如下:
配置R1:
Router>en
Router#conft
Router(config)#hostR1
R1(config)#intfa0/1
R1(config-if)#ipadd192.168.1.254255.255.255.0
R1(config-if)#nosh
R1(config-if)#exit
R1(config)#intfa0/0
R1(config-if)#ipadd192.168.0.254255.255.255.0
R1(config-if)#nosh
R1(config-if)#exit
R1(config)#inte1/0
R1(config-if)#ipadd192.168.3.254255.255.255.0
R1(config-if)#nosh
R1(config-if)#exit
R1(config)#access-list1deny192.168.0.00.0.0.255 //配置一条标准的ACL1拒绝网络192.168.0.0上的所有主机
R1(config)#access-list1permitany //配置标准ACL1除拒绝的网段外其他都允许
R1(config)#access-list2permithost192.168.0.1 //配置标准ACL2只允许主机192.168.0.1
R1(config)#access-list100permittcp192.168.1.00.0.0.255host192.168.3.80eqwww //配置扩展的ACL100只允许192.168.1.0网络的TCPWEB服务流量通往192.168.3.80主机
R1(config)#inte1/0//进入e1/0接口
R1(config-if)#ipaccess-group1out//把标准ACL1应用在e1/0的出方向
R1(config-if)#exit
R1(config)#intfa0/1//进入fa0/1接口
R1(config-if)#ipaccess-group100in//把扩展ACL应用在fa0/1的入方向
R1(config-if)#exit
R1(config)#linevty04//进入虚拟终端
R1(config-line)#access-class2in//把标准ACL2应用在虚拟终端的入方向,即是登录时
R1(config-line)#passwordcisco//设置虚拟终端的登录密码
R1(config-line)#login//启用密码登录
R1(config-line)#exit
测试ACL效果:
1、PC0telnet到R1(成功)
2、PC0浏览WWW服务器(失败)
3、PC1浏览WWW服务器(成功)
实验B、(标准命名式ACL和扩展命名式ACL)PacketTracert搭建拓扑如下:
配置R1:
Router>en
Router#conft
Router(config)#hostR2
R2(config)#inte1/0
R2(config-if)#ipadd192.168.0.254255.255.255.0
R2(config-if)#nosh
R2(config-if)#exit
R2(config)#inte1/1
R2(config-if)#ipadd192.168.1.254255.255.255.0
R2(config-if)#nosh
R2(config-if)#exit
R2(config)#inte1/3
R2(config-if)#ipadd192.168.3.254255.255.255.0
R2(config-if)#nosh
R2(config-if)#exit
R2(config)#ipaccess-liststandarddenyftp//创建一条命名式标准ACLdenyftp
R2(config-std-nacl)#deny192.168.0.00.0.0.255 //拒绝所有来自192.168.0.0/24网络的流量
R2(config-std-nacl)#permitany//允许其他所有网络
R2(config-std-nacl)#exit //退出命名式ACL
R2(config)#ipaccess-listextendedallowftp//创建一条命名式扩展ACLallowftp
R2(config-ext-nacl)#permittcp192.168.1.00.0.0.255host192.168.3.21eqftp//允许网络192.168.1.0/24向主机192.168.3.21发出的ftp流量
R2(config-ext-nacl)#denyipanyany//拒绝其他所有的流量
R2(config-ext-nacl)#exit//退出命名式ACL
R2(config)#inte1/1 //进入接口e1/1
R2(config-if)#ipaccess-groupallowftpin//把命名式allowftpACL应用到e1/1的入方向
R2(config-if)#exit//退出接口模式
R2(config)#inte1/3//进入e1/3接口
R2(config-if)#ipaccess-groupdenyftpout//把命名式denyftpACL应用到e1/3的出方向
R2(config-if)#exit//退出接口模式
测试ACL效果:
1、PC0访问FTP服务器(失败)
2、PC1访问FTP服务器(成功)
实验C、(基于时间的ACL)GNS创建拓扑如下:
配置R1:
Router>en
Router#conft
Router(config)#hostR1
R1(config)#enablepasscisco
R1(config)#inte0/0
R1(config-if)#ipadd192.168.12.1255.255.255.0
R1(config-if)#nosh
R1(config-if)#exit
R1(config)#linevty04//进入虚拟终端模式
R1(config-line)#passwordcisco//设置虚拟终端登录密码
R1(config-line)#login//启用密码登录
R1(config-line)#exit
R1(config)#time-rangetime_to_telnet //创建一个时间范围名为time_to_telnet
R1(config-time-range)#periodicweekdays12:
00to14:
00//设置工作日时间为每天12点到14点
R1(config-time-range)#periodicweekdays18:
00to19:
00//设置工作日时间为每天18点到19点
R1(config-time-range)#periodicweekend00:
00to23:
59//设置周末时间为全天
R1(config-time-range)#exit//退出时间设置模式
R1(config)#access-list100permittcphost192.168.12.2host192.168.12.1eqtelnettime-rangetime_to_telnet//创建扩展ACL100只允许主机192.168.12.2在范围时间内telnet到路由192.168.12.1
R1(config)#inte0/0//进入接口e0/0
R1(config-if)#ipaccess-group100in//把扩展ACL应用到e0/0的入接口方向
R1(config-if)#exit//退出接口
配置PC
Router>en
Router#conft
Router(config)#hostPC
PC(config)#noiprouting //关闭路由功能,配置成PC
PC(config)#ipdefault-gateway192.168.12.1//设置网关为R1
PC(config)#inte0/0//进入接口e0/0
PC(config-if)#ipadd192.168.12.2255.255.255.0//配置IP
PC(config-if)#nosh //开启端口
PC(config-if)#exit
测试ACL效果:
1、PC尝试telnet到R1(当前时间不在允许范围内失败)
2、在R1上修改系统时间:
R1#clockset18:
30:
0017november2010//修改成允许范围内的时间
PC再尝试telnetR1:
(成功)
实验D、(动态ACL)GNS创建如下拓扑:
配置R1:
Router>en
Router#conft
Router(config)#hostR1
R1(config)#usernamekkfloatpasswordkkfloat
R1(config)#linevty02
R1(config-line)#loginlocal
R1(config-line)#autocommandaccess-enabletimeout30
R1(config-line)#exit
R1(config)#linevty34
R1(config-line)#loginlocal
R1(config-line)#rotary1
R1(config-line)#exit
R1(config)#access-list100permittcphost192.168.12.1host192.168.12.254eqtelnet
R1(config)#access-list100permiticmpanyhost192.168.12.254echo-reply
R1(config)#access-list100dynamicallowtimeout60permitipanyanylog
R1(config)#exit
R1(config)#inte0/0
R1(config-if)#ipadd192.168.12.254255.255.255.0
R1(config-if)#ipaccess-group100in
R1(config-if)#nosh
R1(config-if)#exit
配置PC1
Router>en
Router#conft
Router(config)#hostPC1
PC1(config)#noiprouting
PC1(config)#ipdefault-gateway192.168.12.254
PC1(config)#inte0/0
PC1(config-if)#ipadd192.168.12.1255.255.255.0
PC1(config-if)#nosh
PC1(config-if)#exit
PC1(config)#
配置PC2:
Router>
Router>en
Router#conft
Router(config)#hostPC2
PC2(config)#noiprouting
PC2(config)#ipdefault-gateway192.168.12.254
PC2(config)#inte0/0
PC2(config-if)#ipadd192.168.12.2255.255
PC2(config-if)#nosh
PC2(config-if)#exit
测试ACL效果:
1、PC2尝试使用ping与telnet连接R1(失败)
2、PC1telnet到R1(成功)
3、再用PC2尝试PingR1(成功)
实验E、(自反ACL)GNS创建如下拓扑:
配置R1:
Router>en
Router#conft
Router(config)#hostR1
R1(config)#enablepasswordcisco
R1(config)#intloopback0
R1(config-if)#ipadd192.168.1.1255.255.255.0
R1(config-if)#exit
R1(config)#inte0/1
R1(config-if)#ipadd172.16.12.1255.255.255.0
R1(config-if)#nosh
R1(config-if)#exit
R1(config)#linevty04
R1(config-line)#passwordcisco
R1(config-line)#login
R1(config)#iproute0.0.0.00.0.0.0172.16.12.2
配置R2:
Router>en
Router#conft
Router(config)#hostR2
R2(config)#inte0/1
R2(config-if)#ipadd172.16.12.2255.255.255.0
R2(config-if)#nosh
R2(config-if)#exit
R2(config)#inte0/3
R2(config-if)#ipadd192.168.23.1255.255.255.0
R2(config-if)#nosh
R2(config-if)#exit
R2(config)#ipaccess-listextendedoutside
R2(config-ext-nacl)#permittcpanyanyreflectref
R2(config-ext-nacl)#permitudpanyanyreflectref
R2(config-ext-nacl)#exit
R2(config)#ipaccess-listextendedinside
R2(config-ext-nacl)#evaluateref
R2(config-ext-nacl)#exit
R2(config)#inte0/3
R2(config-if)#ipaccess-groupoutsideout
R2(config-if)#ipaccess-groupinsidein
R2(config-if)#exit
R2(config)#iproute0.0.0.00.0.0.0192.168.23.2
配置R3:
Router>en
Router#conft
Router(config)#hostR3
R3(config)#enablepasswordcisco
R3(config)#intloopback0
R3(config-if)#ipadd192.168.2.1255.255.255.0
R3(config-if)#exit
R3(config)#inte0/3
R3(config-if)#ipadd192.168.23.2255.255.255.0
R3(config-if)#nosh
R3(config-if)#exit
R3(config)#linevty04
R3(config-line)#passwordcisco
R3(config-line)#login
R3(config-line)#exit
R3(config)#iproute0.0.0.00.0.0.0192.168.23.1
测试ACL效果:
1、R3使用ping与telnet连接R1(失败)
2、R1使用telnet连接R3(成功)
分享到: