cisco配置实例.doc

ACL配置实例 本实验对IP访问控制列表进行配置和监测，包括标准、扩展和命名的IP访问控制列表。& 0 S: m. e# a e ?0 Y) 8 k) a! S( 3 | N; c1.实验目的. b) l$ V5 H - 6 K( u4 S) M# % _ 7 A$ n: b. P: v通过本实验，读者可以掌握以下技能:5 I4 O: E9 g# n6 F! W I& j配置标准IP访问控制列表;0 $ : : i5 F配置扩展IP访问控制列表;- D7 N% U4 n1 z R$ Z配置命名的标准IP访问控制列表;$ F |- P* _7 y8 Z配置命名的扩展IP访问控制列表;1 n4 |2 h: U- . O* G% P, x在网络接口上引用IP访问控制列表;$ ? s6 g; f7 N在VTY上引用IP访问控制列表;) H$ h: R# c# Q# C4 X4 f查看和监测IP访问控制列表。: O: G6 T/ l2 d3 S6 J$ 5 * d$ p# f+ 2.设备需求5 H0 E7 b7 J3 x( V/ s4 V# i4 x7 f) 本实验需要以下设备:; X2 T* F) G f( eCisco路由器3台，分别命名为R1、R2和R3。要求R1具有1个以太网接口，R2具有1个以太网接口和1个串行接口，R3具有1个串行接口;- $ c7 N; Y/ I1条交叉线序的双绞线，或2条正常线序双绞线和1个Hub;/ M. , j+ v: 6 1条DCE电缆和1条DTE电缆，或1条DCE转DTE电缆;+ d7 W) H- Y/ b5 ( O. C1台终端服务器，如Cisco 2509路由器，及用于反问Telnet的相应电缆;/ J; z. v+ W6 _ 6 q1台带有超级终端程序的PC机，以及Console电缆及转接器。2 9 W x V1 f4 _2 Y4 w. z9 f( g / $ w( S, / v3 G( ?9 3.拓扑结构及配置说明& l! D7 d5 M( A4 u5 P+ _- d8 ?/ M# O A本实验拓扑结构如图10-1所示，R1的E0接口与R2的E0接口通过以太网连接起来，R2的S0接口与R3的S0接口通过串行电缆连接起来。, 0 : T6 R2 E8 k各路由器相关接口的IP地址分配如图10-1中的标注。- H) v! |$ R6 j$ u( k: ! c; R J y - I# Y4 N( v$ 1 K U* x% U: g* q R) + U8 R4 s4.实验配置及监测结果* H: T/ o4 H- B# X( X& k & D# x+ Z# B/ p首先配置各路由器，并且通过路由选择协议的配置实现了整个拓扑的IP连通性，在此基础上进行IP访问控制列表的配置和监测。9 M8 S9 U r p在R1上设置enable口令为cisco，VTY口令为ciscol，用于Telnet测试。 p4 A V$ s# e6 b% O0 G4 Q* e以上配置在以前章节中已进行过实验，在本实验中不再给出配置清单。2 I6 M% O# n3 K9 h* . r6 D我们主要在R2路由器上配置访问控制列表，R1和R3用于测试目的。# U2 + l2 b _! z- w- 8 $ f4 ?; g Q第1部分:配置和引用标准IP访问控制列表/ Z- i1 O: G2 p9 Q4 Q/ P; D, / R+ Z配置清单10-1列出了在R2路由器上配置和引用标准IP访问控制列表的操作。/ W8 |& h0 a; y6 / d: _1 t5 _3 d K/ W% X! v# j配置清单10-1 配置和引用标准IP访问控制列表$ r; O W M% K& U: 9 I% p1 Q7 U; P; m. L z z# z6 L4 ?5 f9 lR2#conf t+ N$ y9 o* S# a3 v- q0 f/ fEnter configuration commands, one per line. End with CNTL/Z.: |. c+ Y1 r+ I, j/ Z h, xR2(config)#access-list 1 deny 30.1.1.0 0.0.0.255( N9 N+ H6 t& p3 s! KR2(config)#access-Ust 1 permit any, 3 S! M8 I. z$ p1 d! l: N1 BR2(config)#int s08 / ?# m; kR2(config-if)#ip access-group 1 in. o( e% j. u2 n, O% d; D AR2(config-if)#Z1 U; ?( 2 l+ FR2#sh5 z) l8 Y& t% Q5 t* p. _& X% R14:34:20: %SYS-5-CONFIG_1: Configured from console by console( b$ ?& w5 2 T k# SR2#sh ip access-list 12 |+ k* I; j0 R/ Q4 U9 S- bStandard IP access list 11 o/ H7 | G, l/ Z; 0 T3 f) f: Ldeny 30.1.1.0,wukdcard buts 0.0.0.255 check=2- H0 c! z& O; + B4 d$ kpermit any(2 matches)5 i f3 N9 M8 H Y$ KR2#sh ip int s07 q# c+ $ 4 0 P. w3 gSerial0 is up, line protocol is up& Q0 L9 w# L( n, i# wInternet address is 20.1.1.2/240 H/ I: I) q6 c& HBroadcast address is 255.255.255.255- z9 Y P1 T6 B |Address determined by setup command; L9 V& J; C6 k4 R( L) q& f( QMTU is 1500 bytes# t6 K; % u+ l5 l7 w, R/ mHelper address is not set7 4 J- N K8 P) jDirected broadcast forwarding is disabled. a3 b# W/ * |. b& HMulticast reserved groups joined: 224.0.0.95 b* g. ; / Q ; c4 bOutgoing access list is not set8 y4 E N5 H9 & H/ r9 _Inbound access list is 12 R( c: W9 e, N# CProxy ARP is enabled& I. , g& a q s% ) X0 K9 mSecurity level is default c 2 U) j. ?, x- q. (输出省略), O, J; j+ f2 G. * E9 |R2#clear access-list counters: P, p2 I) J A: g0 L4 j% r# ?& t6 N6 J: x4 y4 g$ H9 _$ KR2#sh ip access-1 1 z# K4 c, r, xStandard IP access list 19 A4 ?, g& O6 v) j& , u, $ |1 ?deny30.1 .IA wildcard bits 0.0.0.255) ? r$ D 0 s3 3 A) permit any7 i/ Z4 M& K, ?: F9 ZR2#/ b1 A! Q0 x- E/ STerm_Server#35 _! 3 z R( k( e, a1 M; Resuming connection 3 to R3 . / i1 Q4 ( c+ Z- D; O Y6 / Q2 n- K/ ) V+ xR3#ping 10.1.1.18 1 9 g( W1 8 _6 t# y& AType escape sequence to abort.+ 8 n. / c5 L- v9 + mSending 5, 100-byte ICMP Echosto 10.1.1.1, timeout is 2 seconds:9 K6 a8 S2 R# 1 O$ X! I9 I5 - / g! N; v7 q! d) B5 F( h- g) D# r3 HSuccess rate is 100 percent (5/5). round-tri/min/avg/max=:32/37/48 ms/ 9 Y2 X 3 I- q) wR3#ping+ j, c* ( v: t) Protocol ip:! ?3 p8 M7 ! , m- U7 k8 uTarget IP address: 10.1.1.12 N& v0 d; k6 J# e) L3 H2 a) Repeat count 5:* a7 c% B2 o. N3 J! 7 x$ N# k iDatagram size 100:9 % 2 c) P# C7 |# R% Y- D$ NTimeout in seconds 2: Z9 B ; V) m/ E) vExtended commands n: y+ t! _7 y- w; USource address or interface: 30.1.1.3$ Y7 f% d: e$ _( l( y7 o/ S( UType of service 0:5 |! l- h4 d7 O% OSet DF bit in IP header? no:# $ 5 e. s/ O a5 i4 K6 y/ Validate reply data? no:4 O+ . B! D: T! U l: Data pattern 0xABCD:1 g- U) P6 H, CLoose, Strict, Record, Timestamp, Verbosenone:1 h: D1 j% H$ h, * Sweep range of sizes n: h) W5 % u6 m4 v7 NType escape sequence to abort.% T1 ) s. . B ! f/ |; LSending 5,100-byte ICMP Echos to 10.1.1.1,timeout is 2 seconds:$ E4 a! O% _6 v8 TU.U.U3 t( 6 z2 h& P6 S9 eSuccess rate is 0 percent (0/5), Q/ F7 f8 x1 V+ u3 u( w) HR3#Z2 1 P8 , - l( i6 |Term_Server#22 O4 N: 5 L4 ?4 iResuming connection 3 to R2 . * D& U. W: r( c) v0 h, JR2#sh ip access-1 18 S5 B& Z1 K5 yStandard IP access list 1- H; y* t6 U$ O2 d# w# R# l# / Pdeny 30.1.1.0, wildcard bits 0.0.0.255 (5 matches) checks 15$ C$ h1 M* Z* f- J0 s) N9 Q4 permit any (5 matches)% ; j! F: V; 2 n* p+ U; I G4 O* C& y(1)在定义访问控制列表时，要特别注意语句输入的先后顺序，因为路由器在执行该列表时的顺序是自上而下的。8 T4 C; ?( g5 s) z. 另一个应注意的问题是路由器不对由自身产生的IP进行过滤，在实验时应由其他的设备发包进行测试。( i4 B& n) 1 4 v A% F I(2)配置标准IP访问控制列表1时，定义了除30.1.1.0/24网段外的所有网段都被接受。( 2 Z# j+ I q& 0 V4 e$ 9 j(3)在R2路由器S0接口的进入方向引用了访问控制列表1,目的是过滤来自30.1.1.0/24网段的数据包，允许其他所有网段的数据包通过。& I4 C: m- C2 u3 L# A D在接口上引用访问控制列表时，使用in或out子命令。这里的in和out是指以路由器本身为参考点，数据包是进入 (in)还是离开(out)路由器。/ s: E1 N/ q! 3 U8 d(4)show ip access-list命令列出了所定义的访问控制列表的情况，可以看到permit any一行有2个匹配包的报告，表示已经有2个匹配此行条件的数据包被S0接口接收。7 j# H3 F+ D9 U, m! z d7 j& (5)show ip int sO命令列出的信息中加阴影的2行是关于访问控制列表引用情况的信息，表明在进入路由器的方向(而)引用了访问控制列表1。3 V) O ) A8 L9 # - o(6)接下来用clear access-list counters指令清空了访问控制列表的计数器。以便观察实验结果。所谓清空计数器，就是把访问控制列表各行的匹配数清空。8 u/ T, t2 N6 Q% X! t4 t再次使用show ip access-list命令查看显示了我们想得到的结果。( t0 |1 s$ P( H: 2 S% B x(7)使用ping和扩展的ping命令测试访问控制列表1的定义和引用情况，结果为:3 w- b8 v7 N; V从20.1.1.3发往10.1.1.1的IP包被R2接收和路由;3 q% U, O6 c( y e C从30.1.1.3发往10.1.1.1的IP包被R2过滤掉。1 J* f0 D3 o& I2 / z测试结果符合访问控制列表的设置。# # l0 j* B( |. E# y& D% (8)再次查看访问控制列表的匹配情况，可以看到，在访问控制列表1中，2条语句各有5个相匹配的包，即5个ICMP Echo包。, L( O8 F5 | c2 u- & p 9 i- r b9 U( s第2部分:配置和引用扩展IP访问控制列表: Z- H% o8 Z6 X3 Q: # & C F6 x& x. 9 P- ?接下来是有关扩展IP访问控制列表的实验。 q0 p, F$ a K9 u0 配置清单10-2列出了在R2路由器上配置和引用扩展IP访问控制列表的操作。# I3 U( u9 X6 N4 z6 j5 m6 y: L0 M& S( % d3 X$ u配置清单10-2配置和引用扩展IP访问控制列表6 d. W# q& q. ?6 z7 & G5 j7 b! V$ z) e4 R2#conft5 n( y# z8 o4 ! h( jEnter configuration commands, one per line. End with CNTL/Z.# I/ N+ C/ B w3 X ?R2(config)#access-list 101 deny icmp 20.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255 echo B; O- a0 E6 ( L) a YR2(config)#access-list 101 permit ip any any G Q; I* n, D4 5 b# & D0 E; T) lR2(config)#int e0 O9 W8 h0 T& s% pR2(config-if)#ip access-g 101 out2 u7 v2 Z2 B& _* A: p2 7 AR2(config-if)#int s0& F2 y- ?6 O7 t6 S: X JR2(config-if)#no ipaccess-g 1 in5 i# V3 p8 O! f; S O0 T9 r8 $ q0 a! QR2(config-if)#Z) g! K8 u/ d: X0 H8 s g; j% _R2#4 b3 x2 3 E9 |R2#sh ip access-list8 d( W( 5 9 _$ M5 f* t1 xStandard IP access list 16 Q! T5 v1 ! / L J1 x# deny 30.1.1.0, wildcard bits 0.0.0.255 (8 matches) check=207 z/ p. Z! - A) Kpermit any (20 matches)3 r( w9 F4 p; N, * mpermit ip any any : * i k) q, : W5 W, R4 I e7 n. R- f hR2#2 x/ r/ . z1 DTerm_Server#39 f5 p* h) Z8 o Resuming connection 3 to R3 .! E) n. m t6 Q3 C. _4 yR3#ping 10.1.1.1 9 k: d6 g5 tType escape sequence to abort.) P8 ?# . X C! A; d$ s/ JSending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:. K+ t p% J7 : R* |U.U.U) S7 H3 H a4 I2 rSuccess rate is 0 percent(0/5): k6 x! l( Z Z0 J( f+ |. |9 dR3#telnet 10.1.1.1! Q& T% L1 q) h1 I$ , sTrying 10.1.1.1. Open: o$ _ K7 q4 f! d. W ( l. _0 c, K7 y& 9 1 - cUser Access Verification# U6 |0 X3 Q& |* 1 _- e j. y0 T) F! B% Password:(键入 cisc