PT 练习 5.5.1.2 基本访问控制列表(教师版)

1、PT 练习 5.5.1.2 基本访问控制列表(教师版)PT 实习 5.5.1：基础会见把持列表（先生版）拓扑图天址表装备接心IP 天址子网掩码默许网闭Fa0/0192.168.10.1 255.255.255.0 没有合用R1Fa0/1192.168.11.1 255.255.255.0 没有合用S0/0/010.1.1.1 255.255.255.252 没有合用Fa0/0192.168.20.1 255.255.255.0 没有合用S0/0/010.1.1.2 255.255.255.252 没有合用R2S0/0/110.2.2.1 255.255.255.252 没有合用Lo0209.1

2、65.200.225 255.255.255.224 没有合用Fa0/0192.168.30.1 255.255.255.0 没有合用R3S0/0/110.2.2.2255.255.255.252没有合用天址表接下页天址表（绝）S1VLAN 1192.168.10.2 255.255.255.0 192.168.10.1S2VLAN 1192.168.11.2 255.255.255.0 192.168.11.1S3VLAN 1192.168.30.2 255.255.255.0 192.168.30.1PC1网卡192.168.10.10255.255.255.0 192.168.10.1

3、PC2网卡192.168.11.10255.255.255.0 192.168.11.1 PC3网卡192.168.30.10255.255.255.0 192.168.30.1 Web Server网卡192.168.20.254255.255.255.0 192.168.20.1教习宗旨?实行基础的路由器以及互换机设置?设置尺度 ACL?设置扩大 ACL?利用尺度 ACL 把持对于 vty 路线的会见?排查 ACL 成绩简介本实习将计划、使用、测试会见列表设置并排查询题。义务 1：实行基础的路由器以及互换机设置依据下列道明设置 R1、R2 以及 R3 路由器和 S1、S2 以及 S3 互换

4、机：?按照拓扑图设置主机名。?禁用 DNS 查寻。?设置实行形式减稀心令 class。?设置当日动静口号。?为把持台毗连设置心令 cisco。?为 vty 毗连设置心令 cisco。?正在一切装备上设置 IP 天址以及掩码。时钟频次为 64000。?利用历程 ID 1 正在一切路由器上为一切收集启用 OSPF。?正在 R2 上设置环回接心。?正在每一台互换机上设置 VLAN 1 接心的 IP 天址。?利用响应的默许网闭设置每一台互换机。?利用 ping 下令查验 IP 是不是完整连通。义务 2：设置尺度 ACL尺度 ACL 只能依据源 IP 天址过滤流量。本义务要设置一个尺度 ACL，制止去自

5、 192.168.11.0 /24 收集的流量。此 ACL 将使用于 R3 串止接心的进站流量。请记着，每一个 ACL 皆有一条隐式的 “deny all” 语句，那会招致没有婚配 ACL 中任何语句的一切流量皆遭到制止。果此，请正在该 ACL 终尾加减 permit any 语句。步调 1. 创立 ACL。正在齐局设置形式下，创立名为std-1 的尺度定名 ACL。R3(config)#ip access-list standard std-1正在尺度 ACL 设置形式下，加减一条语句，回绝源天址为 192.168.11.0/24 的任何数据包，并正在把持台隐示婚配该语句的每一个数据包的日记

6、动静。R3(config-std-nacl)#deny 192.168.11.0 0.0.0.255同意一切别的流量。R3(config-std-nacl)#permit any步调 2. 使用 ACL。使用 ACL std-1，过滤经由过程串止接心 0/0/1 进进 R3 的数据包。R3(config)#interface serial 0/0/1R3(config-if)#ip access-group std-1 in步调 3. 测试 ACL。从 PC2 ping PC3，以此测试该 ACL。因为该 ACL 的目标是制止源天址属于 192.168.11.0/24 收集的流量，果此 PC2

7、 (192.168.11.10) 应当无奈 ping 通 PC3。正在 R3 的特权实行形式下，收出 show access-lists 下令。屏幕上隐示的输入应相似下例。ACL每一止皆有一个闭联的计数器，隐示婚配该划定规矩的数据包数目。Standard IP access list std-1deny 192.168.11.0 0.0.0.255 (3 match(es)permit any义务 3：设置扩大 ACL必要更下的粗度时，应当利用扩大 ACL。扩大 ACL 过滤流量的根据没有仅仅限于源天址。扩大 ACL 能够依据协定、源 IP 天址、目标 IP 天址，和源端心号以及目标端心号过滤

8、流量。此收集的另外一条战略划定，只同意 192.168.10.0/24 LAN 中的装备会见外部收集，而没有同意此 LAN 中的盘算机会见 Internet。果此，必需制止那些用户会见 IP 天址 209.165.200.225。因为此请求的真施波及源天址以及目标天址，果此必要利用扩大 ACL。本义务必要正在 R1 上设置扩大 ACL，制止 192.168.10.0/24 收集中任何装备收出的流量会见209.165.200.255 主机。此 ACL 将使用于 R1 Serial 0/0/0 接心的出站流量。步调 1. 设置定名扩大 ACL。正在齐局设置形式下，创立名为extend-1 的定名扩

9、大 ACL。R1(config)#ip access-list extended extend-1请注重，路由器提醒符会扭转，暗示如今处于扩大 ACL 设置形式下。正在此提醒符后加减需要的语句，制止从 192.168.10.0/24 到该主机的流量。界说目标天址时要利用闭键字 host。R1(config-ext-nacl)#deny ip 192.168.10.0 0.0.0.255 host 209.165.200.225后面讲过，假如出有 permit 语句，隐式 “deny all” 语句会制止一切别的流量。果此，应加减 permit 语句，确保别的流量没有会遭到制止。R1(confi

10、g-ext-nacl)#permit ip any any步调 2. 使用 ACL。假如是尺度 ACL，最佳将其使用于只管凑近目标天址的地位。而扩大 ACL 则一般使用于凑近源天址的地位。extend-1 ACL 将使用于串止接心并过滤出站流量。R1(config)#interface serial 0/0/0R1(config-if)#ip access-group extend-1 out步调 3. 测试 ACL。从 PC1 或者 192.168.10.0 /24 收集中的任何别的装备 ping R2 的环回接心。那些 ping 会得败，果为去自192.168.10.0/24 收集的流量只

11、有目标天址为 209.165.200.225，皆会被过滤失落。假如 ping 任何别的目标天址，则应当乐成。从 192.168.10.0/24 收集的装备 ping R3，确认此面。要进一步反省，可于 ping 操纵后正在 R1 上收出 show ip access-list 下令。该 ACL 的两条划定规矩皆应当存正在婚配。那是果为从 PC1 背 R2 环回接心收出的 ping 会被回绝，而背 R3 收出的 ping 会被同意。R1#show ip access-listExtended IP access list extend-1deny ip 192.168.10.0 0.0.0.25

12、5 host 209.165.200.225 (4 match(es)permit ip any any (4 match(es)义务 4：利用尺度 ACL 把持对于 vty 路线的会见制约对于路由器 vty 路线的会见是近程办理的优秀做法。ACL 可使用于 vty 路线，从而制约对于特定主机或者收集的会见。本义务将设置尺度 ACL，同意两个收集中的主机会见 vty 路线。回绝一切别的主机。反省是不是可从 R1 以及 R3 telnet 至 R2。步调 1. 设置 ACL。正在 R2 上设置定名尺度 ACL，同意去自 10.2.2.0/29 以及 192.168.30.0/24 的流量，回绝一

13、切别的流量。将该ACL 定名为 Task-4。R2(config)#ip access-list standard Task-4R2(config-std-nacl)#permit 10.2.2.0 0.0.0.3R2(config-std-nacl)#permit 192.168.30.0 0.0.0.255步调 2. 使用 ACL。进进 vty 路线 04 的路线设置形式。R2(config)#line vty 0 16利用 access-class 下令将该 ACL 使用于那些 vty 路线的进站圆背。请注重，此下令取将 ACL 使用于别的接心的下令没有同。R2(config-line)

14、#access-class Task-4 in步调 3. 测试 ACL。从 R1 telnet 至 R2。请注重，R1 的天址没有正在 ACL Task-4 permit 语句中列出的天址局限内。果此，毗连实验应得败。从 R3 telnet 至 R2 或者 192.168.30.0 /24 收集中的任何装备。屏幕大将隐示请求输出 vty 路线心令的提醒。从别的收集实验毗连时，即便那些收集已正在 ACL 中详细列出，实验也会得败，本果是甚么？_ _ 一切 ACL 皆包孕隐式的 deny all 语句，做为最初一条语句。已明白同意的一切流量皆会被拾弃。义务 5：排查 ACL 成绩当 ACL 设置没

15、有准确或者使用到同伴接心或者同伴圆背时，大概会对于收集流量制成没有当的影响。步调 1. 测试 ACL。后面的义务正在 R3 上创立并使用了一个定名尺度 ACL。利用 show running-config 下令检察该 ACL 及其地位。输入应隐示，设置的 ACL 名为std-1，使用于 Serial 0/0/1 的进站流量。没有要记记，此 ACL 旨正在制止源天址属于 192.168.11.0/24 收集的一切收集流量会见 R3 上的 LAN。要删除了该 ACL，请正在 R3 长进进 Serial 0/0/1 的接心设置形式。R3(config)#interface serial 0/0/1利

16、用no ip access-group std-1 in下令从该接心删除了 ACL。R3(config-if)#no ip access-group std-1 in利用 show running-config 下令确认已经从 Serial 0/0/1 删除了该 ACL步调 2. 将 ACL std-1 使用于 S0/0/1 的出站流量。为了查验 ACL 过滤圆背的主要性，请从头将std-1 ACL 使用于 Serial 0/0/1 接心。但那次该 ACL 将用于过滤出站流量而非进站流量。使用 ACL 时请记着利用闭键字 out。R3(config-if)#ip access-group st

17、d-1 out步调 3. 测试 ACL。从 PC2 ping PC3，以此测试该 ACL。也可从 R1 利用扩大 ping 下令。请注重，那次没有仅 ping 会乐成，并且 ACL 计数器没有会删减。正在 R3 上收出 show ip access-list 下令确认此面。步调 4. 将 ACL 复原为其本初设置。从出站圆背删除了该 ACL，而后从头将其使用于进站圆背。R3(config)#interface serial 0/0/1R3(config-if)#no ip access-group std-1 outR3(config-if)#ip access-group std-1 in步调 5. 将 Task-4 使用于 R2 Serial 0/0/0 接心的进站流量。R2(config)#interface serial 0/0/0R2(config-if)#ip access-g