实验三 访问控制列表的配置和应用

1、实验三 访问控制列表的配置和应用第一部分 标准IP访问控制列表的配置和应用【实验目的】（1） 了解访问控制列表在网络安全中的功能和应用（2） 了解访问控制列表的分类和特点（3） 掌握标准IP访问控制列表的功能（4） 掌握标准IP访问控制列表的配置方法【实验环境】（1） 路由器或三层交换机 （2台）（2） 测试和配置用PC（3台）（3） Console配置电缆（1根）（4） PC与路由器之间的连接线 （3根）【实验内容】本实验网络拓扑假设为某单位属于不同的网段三个部门：办公室、人事处和财务处，网络地址分别为/24、/24和/24，如下图

2、1-1所示。其中，这三个部门之间通过路由实现数据的交换，但出于安全考虑，单位要求办公室的网络可以访问财务处的网络，而人事处无法访问财务处的网络，其他网络之间都可以实现互访。在路由器Router-A与Router-B之间配置静态路由协议。图1-1 标准IP访问控制列表的规则拓扑【实验参考步骤】（1）路由器Router-A的基本配置。Router #configure terminal (进入“全局配置”模式)Router（config）# (已进入“全局配置”模式)Router（config）# hostname Router-A (使用hostname命令将路由器的名称更改为“Router-A

3、”)Router-A（config）#interface fastethernet 0/0 （进入路由器fastethernet0/0端口的配置模式）Router-A(config-if)#ip address 52 （将路由器fastethernet 0/0端口的地址配置为，子网掩码为52，本网段只有两个合法的IP地址）Router-A(config-if)#no shutdown （开启路由器的fastethernet 0/0端口）Router-A(config-if)#exit （返回全局配

4、置模式）Router-A（config）# interface fastethernet 0/1 （进入路由器fastethernet0/1端口的配置模式）Router-A(config-if)#ip address （将路由器fastethernet0/1端口的地址配置为，子网掩码为）Router-A(config-if)#no shutdown （开启路由器的fastethernet0/1端口）Router-A(config-if)#exitRouter-A（config）# interface

5、 fastethernet 0/2Router-A(config-if)#ip address Router-A(config-if)#no shutdownRouter-A(config-if)#exit（2） 路由器Router-B的基本配置。Router #configure terminal (进入“全局配置”模式)Router（config）# (已进入“全局配置”模式)Router（config）# hostname Router-B (使用hostname命令将路由器的名称更改为“Router-B”)Router-B（config）

6、#interface fastethernet 0/0 （进入路由器fastethernet0/0端口的配置模式）Router-B(config-if)#ip address 52Router-B(config-if)#no shutdownRouter-B(config-if)#exitRouter-B（config）# interface fastethernet 0/1Router-B(config-if)#ip address Router-B(config-if)#no shutdown

7、Router-B(config-if)#exit（3）路由器Router-A和Router-B上静态路由的配置。Router-A（config）#ip route Router-B（config）#ip route Router-B（config）#ip route （4） 在路由器Router-B上配置标准访问控制列表，名称为access-list 10。Router-B（con

8、fig）#access-list 10 deny 55 （拒绝来自/24网段的流量通过）Router-B（config）#access-list 10 permit 55 （允许来自/24网段的流量通过）（5） 将访问控制列表应用到路由器Router-B的端口上。Router-B（config）#interface fastethernet0/1Router-B（config-if）#ip access-group 10 out （在fastethernet0/1的出站端口上调用访问

9、控制列表）Router-B（config-if）#endRouter-B#write memory【实验报告】1、结果验证（1）办公室所属的PC1（网关为所连接路由器的端口的IP地址）上ping财务处的PC3的结果，并说明原因。（2）人事处所属的PC2上ping财务处的PC3的结果，并说明原因。2、记录在路由器Router-B上利用show access-list 10命令查看标准IP访问控制列表access-list 10的配置情况。Router-B#sh access-lists 103、记录在路由器Router-B上运行show configure命令，记录：inte

10、rface FastEthernet0/1接口的IP地址、访问控制列表等信息。第二部分 扩展IP访问控制列表的配置和应用（选做）【实验目的】（1） 深入掌握路由器的基本配置方法 （2） 了解标准IP访问控制列表与扩展IP访问控制列表之间的区别 （3） 掌握扩展IP访问控制列表的功能和应用特点 （4） 掌握扩展IP访问控制列表的配置方法（5）复习VLAN的配置【实验环境】（1） 三层交换机（1台）（2） 测试和配置用PC （3台）（3） 直连双绞线 （1根）（4） 配置用Console电缆 （1根）【实验内容】扩展IP访问控制列表一般放置在各类应用服务器的前端，为服务器上的各种应用起到安全保护作

11、用，为此，本实验设计了如图1-2所示的网络结构。图1-2 扩展IP访问控制列表的规则拓扑其中交换机上连接着WWW、FTP等应用服务器（这些应用既可以放置在一台计算机上，也可以分别放置在不同的计算机上），这些服务器位于VLAN 10。为便于操作，本实验将服务器用一台PC代替，其IP地址为/24。另外，该交换机还连接了VLAN 20和VLAN 30等网段，其中VLAN 20供教师使用，VLAN 30供学生使用。现要求学生只能访问服务器上的WWW，而不能访问FTP，而教师没有此限制。【实验参考步骤】（1） 三层交换机的基本配置。Switch-L3（config）#vlan 10S

12、witch-L3（config-vlan）#name serverSwitch-L3（config-vlan）#exitSwitch-L3（config）#interface vlan 10Switch-L3（config-if）#ip address Switch-L3（config-if）#no shutdownSwitch-L3（config-if）#exitSwitch-L3（config）#interface fastethernet0/1Switch-L3（config-if）#switchport （将三层端口设置为二层的交换端口）

13、Switch-L3（config-if）#switchport access vlan 10Switch-L3（config-if）#exitSwitch-L3（config）#vlan 20Switch-L3（config-vlan）#name teacherSwitch-L3（config-vlan）#exitSwitch-L3（config）#interface vlan 20Switch-L3（config-if）#ip address Switch-L3（config-if）#no shutdownSwitch-L3（config-if

14、）#exitSwitch-L3（config）#interface fastethernet0/2Switch-L3（config-if）#switchportSwitch-L3（config-if）#switchport access vlan 20Switch-L3（config-if）#exitSwitch-L3（config）#vlan 30Switch-L3（config-vlan）#name studentsSwitch-L3（config-vlan）#exitSwitch-L3（config）#interface vlan 30Switch-L3（config-if）#ip ad

15、dress Switch-L3（config-if）#no shutdownSwitch-L3（config-if）#exitSwitch-L3（config）#interface fastethernet0/3Switch-L3（config-if）#switchportSwitch-L3（config-if）#switchport access vlan 30Switch-L3（config-if）#exit（2） 配置扩展IP访问控制列表，实现本实验的数据包过滤要求。Switch-L3（config）# access-list 110 de

16、ny tcp 55 host eq 21Switch-L3（config）# access-list 110 deny tcp 55 host eq 20Switch-L3（config）#access-list 110 permit ip any any也可以写成：Switch-L3（config）# access-list 110 deny tcp 55 host eq ftp-dataSwitch-L3（config）# access-list 110 deny tcp 55 host eq ftpSwitch-L3（config）#access-list 110 permit ip any any由于FTP使用两个端口，其中21是控制通道、20是数据通道，出于安全考虑，建议同时关闭21和20两个端口。还需要注意的是，在控制列表的最后一定要加上access-list 110 permit ip any any一句，否则其他网段的PC就无法访问主机