下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、实验三 访问控制列表的配置和应用第一部分 标准IP访问控制列表的配置和应用【实验目的】(1) 了解访问控制列表在网络安全中的功能和应用(2) 了解访问控制列表的分类和特点(3) 掌握标准IP访问控制列表的功能(4) 掌握标准IP访问控制列表的配置方法【实验环境】(1) 路由器或三层交换机 (2台)(2) 测试和配置用PC(3台)(3) Console配置电缆(1根)(4) PC与路由器之间的连接线 (3根)【实验内容】本实验网络拓扑假设为某单位属于不同的网段三个部门:办公室、人事处和财务处,网络地址分别为/24、/24和/24,如下图
2、1-1所示。其中,这三个部门之间通过路由实现数据的交换,但出于安全考虑,单位要求办公室的网络可以访问财务处的网络,而人事处无法访问财务处的网络,其他网络之间都可以实现互访。在路由器Router-A与Router-B之间配置静态路由协议。图1-1 标准IP访问控制列表的规则拓扑【实验参考步骤】(1)路由器Router-A的基本配置。Router #configure terminal (进入“全局配置”模式)Router(config)# (已进入“全局配置”模式)Router(config)# hostname Router-A (使用hostname命令将路由器的名称更改为“Router-A
3、”)Router-A(config)#interface fastethernet 0/0 (进入路由器fastethernet0/0端口的配置模式)Router-A(config-if)#ip address 52 (将路由器fastethernet 0/0端口的地址配置为,子网掩码为52,本网段只有两个合法的IP地址)Router-A(config-if)#no shutdown (开启路由器的fastethernet 0/0端口)Router-A(config-if)#exit (返回全局配
4、置模式)Router-A(config)# interface fastethernet 0/1 (进入路由器fastethernet0/1端口的配置模式)Router-A(config-if)#ip address (将路由器fastethernet0/1端口的地址配置为,子网掩码为)Router-A(config-if)#no shutdown (开启路由器的fastethernet0/1端口)Router-A(config-if)#exitRouter-A(config)# interface
5、 fastethernet 0/2Router-A(config-if)#ip address Router-A(config-if)#no shutdownRouter-A(config-if)#exit(2) 路由器Router-B的基本配置。Router #configure terminal (进入“全局配置”模式)Router(config)# (已进入“全局配置”模式)Router(config)# hostname Router-B (使用hostname命令将路由器的名称更改为“Router-B”)Router-B(config)
6、#interface fastethernet 0/0 (进入路由器fastethernet0/0端口的配置模式)Router-B(config-if)#ip address 52Router-B(config-if)#no shutdownRouter-B(config-if)#exitRouter-B(config)# interface fastethernet 0/1Router-B(config-if)#ip address Router-B(config-if)#no shutdown
7、Router-B(config-if)#exit(3)路由器Router-A和Router-B上静态路由的配置。Router-A(config)#ip route Router-B(config)#ip route Router-B(config)#ip route (4) 在路由器Router-B上配置标准访问控制列表,名称为access-list 10。Router-B(con
8、fig)#access-list 10 deny 55 (拒绝来自/24网段的流量通过)Router-B(config)#access-list 10 permit 55 (允许来自/24网段的流量通过)(5) 将访问控制列表应用到路由器Router-B的端口上。Router-B(config)#interface fastethernet0/1Router-B(config-if)#ip access-group 10 out (在fastethernet0/1的出站端口上调用访问
9、控制列表)Router-B(config-if)#endRouter-B#write memory【实验报告】1、结果验证(1)办公室所属的PC1(网关为所连接路由器的端口的IP地址)上ping财务处的PC3的结果,并说明原因。(2)人事处所属的PC2上ping财务处的PC3的结果,并说明原因。2、记录在路由器Router-B上利用show access-list 10命令查看标准IP访问控制列表access-list 10的配置情况。Router-B#sh access-lists 103、记录在路由器Router-B上运行show configure命令,记录:inte
10、rface FastEthernet0/1接口的IP地址、访问控制列表等信息。第二部分 扩展IP访问控制列表的配置和应用(选做)【实验目的】(1) 深入掌握路由器的基本配置方法 (2) 了解标准IP访问控制列表与扩展IP访问控制列表之间的区别 (3) 掌握扩展IP访问控制列表的功能和应用特点 (4) 掌握扩展IP访问控制列表的配置方法(5)复习VLAN的配置【实验环境】(1) 三层交换机(1台)(2) 测试和配置用PC (3台)(3) 直连双绞线 (1根)(4) 配置用Console电缆 (1根)【实验内容】扩展IP访问控制列表一般放置在各类应用服务器的前端,为服务器上的各种应用起到安全保护作
11、用,为此,本实验设计了如图1-2所示的网络结构。图1-2 扩展IP访问控制列表的规则拓扑其中交换机上连接着WWW、FTP等应用服务器(这些应用既可以放置在一台计算机上,也可以分别放置在不同的计算机上),这些服务器位于VLAN 10。为便于操作,本实验将服务器用一台PC代替,其IP地址为/24。另外,该交换机还连接了VLAN 20和VLAN 30等网段,其中VLAN 20供教师使用,VLAN 30供学生使用。现要求学生只能访问服务器上的WWW,而不能访问FTP,而教师没有此限制。【实验参考步骤】(1) 三层交换机的基本配置。Switch-L3(config)#vlan 10S
12、witch-L3(config-vlan)#name serverSwitch-L3(config-vlan)#exitSwitch-L3(config)#interface vlan 10Switch-L3(config-if)#ip address Switch-L3(config-if)#no shutdownSwitch-L3(config-if)#exitSwitch-L3(config)#interface fastethernet0/1Switch-L3(config-if)#switchport (将三层端口设置为二层的交换端口)
13、Switch-L3(config-if)#switchport access vlan 10Switch-L3(config-if)#exitSwitch-L3(config)#vlan 20Switch-L3(config-vlan)#name teacherSwitch-L3(config-vlan)#exitSwitch-L3(config)#interface vlan 20Switch-L3(config-if)#ip address Switch-L3(config-if)#no shutdownSwitch-L3(config-if
14、)#exitSwitch-L3(config)#interface fastethernet0/2Switch-L3(config-if)#switchportSwitch-L3(config-if)#switchport access vlan 20Switch-L3(config-if)#exitSwitch-L3(config)#vlan 30Switch-L3(config-vlan)#name studentsSwitch-L3(config-vlan)#exitSwitch-L3(config)#interface vlan 30Switch-L3(config-if)#ip ad
15、dress Switch-L3(config-if)#no shutdownSwitch-L3(config-if)#exitSwitch-L3(config)#interface fastethernet0/3Switch-L3(config-if)#switchportSwitch-L3(config-if)#switchport access vlan 30Switch-L3(config-if)#exit(2) 配置扩展IP访问控制列表,实现本实验的数据包过滤要求。Switch-L3(config)# access-list 110 de
16、ny tcp 55 host eq 21Switch-L3(config)# access-list 110 deny tcp 55 host eq 20Switch-L3(config)#access-list 110 permit ip any any也可以写成:Switch-L3(config)# access-list 110 deny tcp 55 host eq ftp-dataSwitch-L3(config)# access-list 110 deny tcp 55 host eq ftpSwitch-L3(config)#access-list 110 permit ip any any由于FTP使用两个端口,其中21是控制通道、20是数据通道,出于安全考虑,建议同时关闭21和20两个端口。还需要注意的是,在控制列表的最后一定要加上access-list 110 permit ip any any一句,否则其他网段的PC就无法访问主机
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 园林景观水电施工方案
- 2024年多级飘尘采样计合作协议书
- DB3305-T 319-2024 公共建筑运行能耗与碳排放强度分级规范
- 2024年重水试验反应堆及其配套产品项目发展计划
- 山东省德州市陵城区实验小学2024年数学六上期末经典模拟试题含解析
- 山东省东营市利津县2025届数学三年级第一学期期末学业水平测试模拟试题含解析
- 塑料 丙烯腈-苯乙烯-丙烯酸酯(ASA)、丙烯腈-(乙烯-丙烯-二烯烃)-苯乙烯(AEPDS)、丙烯腈-(氯化聚乙烯)-苯乙烯(ACS)模塑和挤出材料 第2部分:试样制备和性能测定 征求意见稿
- 2024年耐火土石类项目合作计划书
- 山东省青岛市滨海学校2024年六年级数学第一学期期末质量检测模拟试题含解析
- 山东省青岛市四方区2024年四年级数学第一学期期末学业质量监测模拟试题含解析
- 2024年公路水运工程试验检测师《公共基础》考前通关必练题库(含答案)
- 2024-2030年转辙机行业市场现状供需分析及市场深度研究发展前景及规划投资研究报告
- 2024年全国初中数学竞赛试题含答案
- anca相关性血管炎
- 导航技术在自动驾驶领域的应用
- 电力建设安全工作规程 第2部分:电力线路
- 2024年公务员(国考)之行政职业能力测验真题汇编及完整答案【全优】
- 人教川教版《生命 生态 安全》六年级上全册教案
- 建筑改造工程包工包料合同协议书范本
- 2024-电影院转让协议
- 信创服务器操作系统的配置与管理(openEuler版)课件 项目1-3 部署openEuler服务器系统、使用shell管理本地文件、管理openEuler的用户与组
评论
0/150
提交评论