收藏
下载资源下载资源 加入VIP,免费下载

访问控制.docx

上传人:b****5 文档编号:7659210 上传时间:2023-01-25 格式:DOCX 页数:16 大小:231.96KB
下载 相关 举报
访问控制.docx_第1页
第1页 / 共16页
访问控制.docx_第2页
第2页 / 共16页
访问控制.docx_第3页
第3页 / 共16页
访问控制.docx_第4页
第4页 / 共16页
访问控制.docx_第5页
第5页 / 共16页
点击查看更多>>
下载资源
资源描述

访问控制.docx

《访问控制.docx》由会员分享,可在线阅读,更多相关《访问控制.docx(16页珍藏版)》请在冰豆网上搜索。

访问控制.docx

访问控制

  

实验A、(标准ACL与扩展ACL的应用)PacketTracert搭建拓扑如下:

 

配置R1:

Router>en

Router#conft

Router(config)#hostR1

R1(config)#intfa0/1

R1(config-if)#ipadd192.168.1.254255.255.255.0

R1(config-if)#nosh

R1(config-if)#exit

R1(config)#intfa0/0

R1(config-if)#ipadd192.168.0.254255.255.255.0

R1(config-if)#nosh

R1(config-if)#exit

R1(config)#inte1/0

R1(config-if)#ipadd192.168.3.254255.255.255.0

R1(config-if)#nosh

R1(config-if)#exit

R1(config)#access-list1deny192.168.0.00.0.0.255 //配置一条标准的ACL1拒绝网络192.168.0.0上的所有主机

R1(config)#access-list1permitany //配置标准ACL1除拒绝的网段外其他都允许

R1(config)#access-list2permithost192.168.0.1 //配置标准ACL2只允许主机192.168.0.1

R1(config)#access-list100permittcp192.168.1.00.0.0.255host192.168.3.80eqwww //配置扩展的ACL100只允许192.168.1.0网络的TCPWEB服务流量通往192.168.3.80主机

R1(config)#inte1/0//进入e1/0接口

R1(config-if)#ipaccess-group1out//把标准ACL1应用在e1/0的出方向

R1(config-if)#exit

R1(config)#intfa0/1//进入fa0/1接口

R1(config-if)#ipaccess-group100in//把扩展ACL应用在fa0/1的入方向

R1(config-if)#exit

R1(config)#linevty04//进入虚拟终端

R1(config-line)#access-class2in//把标准ACL2应用在虚拟终端的入方向,即是登录时

R1(config-line)#passwordcisco//设置虚拟终端的登录密码

R1(config-line)#login//启用密码登录

R1(config-line)#exit

 

测试ACL效果:

1、PC0telnet到R1(成功)

 

 2、PC0浏览WWW服务器(失败)

 

  3、PC1浏览WWW服务器(成功)

 

 

 

 

     

 

 实验B、(标准命名式ACL和扩展命名式ACL)PacketTracert搭建拓扑如下:

 

 

 

配置R1:

Router>en

Router#conft

Router(config)#hostR2

R2(config)#inte1/0

R2(config-if)#ipadd192.168.0.254255.255.255.0

R2(config-if)#nosh

R2(config-if)#exit

R2(config)#inte1/1

R2(config-if)#ipadd192.168.1.254255.255.255.0

R2(config-if)#nosh

R2(config-if)#exit

R2(config)#inte1/3

R2(config-if)#ipadd192.168.3.254255.255.255.0

R2(config-if)#nosh

R2(config-if)#exit

R2(config)#ipaccess-liststandarddenyftp//创建一条命名式标准ACLdenyftp

R2(config-std-nacl)#deny192.168.0.00.0.0.255 //拒绝所有来自192.168.0.0/24网络的流量

R2(config-std-nacl)#permitany//允许其他所有网络

R2(config-std-nacl)#exit //退出命名式ACL

R2(config)#ipaccess-listextendedallowftp//创建一条命名式扩展ACLallowftp

R2(config-ext-nacl)#permittcp192.168.1.00.0.0.255host192.168.3.21eqftp//允许网络192.168.1.0/24向主机192.168.3.21发出的ftp流量

R2(config-ext-nacl)#denyipanyany//拒绝其他所有的流量

R2(config-ext-nacl)#exit//退出命名式ACL

R2(config)#inte1/1 //进入接口e1/1

R2(config-if)#ipaccess-groupallowftpin//把命名式allowftpACL应用到e1/1的入方向

R2(config-if)#exit//退出接口模式

R2(config)#inte1/3//进入e1/3接口

R2(config-if)#ipaccess-groupdenyftpout//把命名式denyftpACL应用到e1/3的出方向

R2(config-if)#exit//退出接口模式

 

测试ACL效果:

1、PC0访问FTP服务器(失败)

2、PC1访问FTP服务器(成功)

 

 

 

 

 

 实验C、(基于时间的ACL)GNS创建拓扑如下:

配置R1:

Router>en

Router#conft

Router(config)#hostR1

R1(config)#enablepasscisco

R1(config)#inte0/0

R1(config-if)#ipadd192.168.12.1255.255.255.0

R1(config-if)#nosh

R1(config-if)#exit

R1(config)#linevty04//进入虚拟终端模式

R1(config-line)#passwordcisco//设置虚拟终端登录密码

R1(config-line)#login//启用密码登录

R1(config-line)#exit

R1(config)#time-rangetime_to_telnet //创建一个时间范围名为time_to_telnet

R1(config-time-range)#periodicweekdays12:

00to14:

00//设置工作日时间为每天12点到14点

R1(config-time-range)#periodicweekdays18:

00to19:

00//设置工作日时间为每天18点到19点

R1(config-time-range)#periodicweekend00:

00to23:

59//设置周末时间为全天

R1(config-time-range)#exit//退出时间设置模式

R1(config)#access-list100permittcphost192.168.12.2host192.168.12.1eqtelnettime-rangetime_to_telnet//创建扩展ACL100只允许主机192.168.12.2在范围时间内telnet到路由192.168.12.1

R1(config)#inte0/0//进入接口e0/0

R1(config-if)#ipaccess-group100in//把扩展ACL应用到e0/0的入接口方向

R1(config-if)#exit//退出接口

 

配置PC

Router>en

Router#conft

Router(config)#hostPC

PC(config)#noiprouting //关闭路由功能,配置成PC

PC(config)#ipdefault-gateway192.168.12.1//设置网关为R1

PC(config)#inte0/0//进入接口e0/0

PC(config-if)#ipadd192.168.12.2255.255.255.0//配置IP

PC(config-if)#nosh //开启端口

PC(config-if)#exit

 

测试ACL效果:

1、PC尝试telnet到R1(当前时间不在允许范围内失败) 

2、在R1上修改系统时间:

R1#clockset18:

30:

0017november2010//修改成允许范围内的时间

PC再尝试telnetR1:

(成功)

 

 

 

 

 

实验D、(动态ACL)GNS创建如下拓扑:

 

 

 

 

配置R1:

Router>en

Router#conft

Router(config)#hostR1

R1(config)#usernamekkfloatpasswordkkfloat

R1(config)#linevty02

R1(config-line)#loginlocal

R1(config-line)#autocommandaccess-enabletimeout30

R1(config-line)#exit

R1(config)#linevty34

R1(config-line)#loginlocal

R1(config-line)#rotary1

R1(config-line)#exit

R1(config)#access-list100permittcphost192.168.12.1host192.168.12.254eqtelnet

R1(config)#access-list100permiticmpanyhost192.168.12.254echo-reply

R1(config)#access-list100dynamicallowtimeout60permitipanyanylog

R1(config)#exit

R1(config)#inte0/0

R1(config-if)#ipadd192.168.12.254255.255.255.0

R1(config-if)#ipaccess-group100in

R1(config-if)#nosh

R1(config-if)#exit

 

配置PC1

Router>en

Router#conft

Router(config)#hostPC1

PC1(config)#noiprouting

PC1(config)#ipdefault-gateway192.168.12.254

PC1(config)#inte0/0

PC1(config-if)#ipadd192.168.12.1255.255.255.0

PC1(config-if)#nosh

PC1(config-if)#exit

PC1(config)#

 

配置PC2:

Router>

Router>en

Router#conft

Router(config)#hostPC2

PC2(config)#noiprouting

PC2(config)#ipdefault-gateway192.168.12.254

PC2(config)#inte0/0

PC2(config-if)#ipadd192.168.12.2255.255

PC2(config-if)#nosh

PC2(config-if)#exit

 

测试ACL效果:

1、PC2尝试使用ping与telnet连接R1(失败)

2、PC1telnet到R1(成功)

3、再用PC2尝试PingR1(成功)

 

 

 

 

 

 

 

 

实验E、(自反ACL)GNS创建如下拓扑:

 

 

配置R1:

Router>en

Router#conft

Router(config)#hostR1

R1(config)#enablepasswordcisco

R1(config)#intloopback0

R1(config-if)#ipadd192.168.1.1255.255.255.0

R1(config-if)#exit

R1(config)#inte0/1

R1(config-if)#ipadd172.16.12.1255.255.255.0

R1(config-if)#nosh

R1(config-if)#exit

R1(config)#linevty04

R1(config-line)#passwordcisco

R1(config-line)#login

R1(config)#iproute0.0.0.00.0.0.0172.16.12.2

 

配置R2:

Router>en

Router#conft

Router(config)#hostR2

R2(config)#inte0/1

R2(config-if)#ipadd172.16.12.2255.255.255.0

R2(config-if)#nosh

R2(config-if)#exit

R2(config)#inte0/3

R2(config-if)#ipadd192.168.23.1255.255.255.0

R2(config-if)#nosh

R2(config-if)#exit

R2(config)#ipaccess-listextendedoutside

R2(config-ext-nacl)#permittcpanyanyreflectref

R2(config-ext-nacl)#permitudpanyanyreflectref

R2(config-ext-nacl)#exit

R2(config)#ipaccess-listextendedinside

R2(config-ext-nacl)#evaluateref

R2(config-ext-nacl)#exit

R2(config)#inte0/3

R2(config-if)#ipaccess-groupoutsideout

R2(config-if)#ipaccess-groupinsidein

R2(config-if)#exit

R2(config)#iproute0.0.0.00.0.0.0192.168.23.2

 

配置R3:

Router>en

Router#conft

Router(config)#hostR3

R3(config)#enablepasswordcisco

R3(config)#intloopback0

R3(config-if)#ipadd192.168.2.1255.255.255.0

R3(config-if)#exit

R3(config)#inte0/3

R3(config-if)#ipadd192.168.23.2255.255.255.0

R3(config-if)#nosh

R3(config-if)#exit

R3(config)#linevty04

R3(config-line)#passwordcisco

R3(config-line)#login

R3(config-line)#exit

R3(config)#iproute0.0.0.00.0.0.0192.168.23.1

 

测试ACL效果:

1、R3使用ping与telnet连接R1(失败)

 

 

2、R1使用telnet连接R3(成功)

 

 

 

分享到:

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 高等教育 > 军事

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1