访问控制ACL配置实验_第1页
访问控制ACL配置实验_第2页
访问控制ACL配置实验_第3页
访问控制ACL配置实验_第4页
访问控制ACL配置实验_第5页
已阅读5页,还剩6页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

实验路由器访问控制列表ACL配置实验目的及要求:理解路由器中重要的安全控制技术——访问控制列表的工作原理,对路由器IP访问控制列表ACL进行配置与监测,掌握配置使用编号的标准IP访问控制列表与扩展IP访问控制列表。实验设备:带CiscoIOS10.0以上版本的Cisco路由器2台;RJ45-to-RJ45rollovercable(反转线)2根、RJ45-DB9Adapter(转换头)2个,用于将路由器console口与PC机COM口相连;RJ45-to-RJ45crossovercable(RJ45交叉线)2根,用于将路由器以太接口与PC机以太接口相连;V.35(一种同步串行传输标准)DTE线缆、V.35DCE线缆各1根,用于将2台路由器异步/同步serial串行接口相连;带9针COM口的PC机2台。实验方法:实验前预先阅读实验讲义课文,理解访问控制列表ACL的工作原理与配置及监测的方法;阅读后附的技术背景文档,熟悉使用访问控制列表的三个步骤及每个步骤使用的命令用法、掌握标准IP访问控制列表与扩展IP访问控制列表各自对报文的过滤能力;按照实验内容给出的步骤,完成对IP访问控制列表的配置和监测,并将获取的信息和配置及监测结果在实验报告中给出;验证所做配置是否能正常工作。实验内容:1、配置和引用标准IP访问控制列表如下图,先连接好实验设备,使用erasestartup-config命令清除以前配置。并配置好各设备的基本IP地址及静态路由,实现整个拓扑的IP连通性,在此基础上进行IP访问控制列表的配置和监测。下图中,如实际实验设备的网络端口为100M快速以太网端口,则须改用fa0/0、fa0/1表示,图中的lo为loopback自回环网络端口。LO:RouterASO0: ~I RouterB|IwL-日Hl11 I=';fi.-辱日凹IEO0:13S.1.1.1 SO0:192.16 EO0:配置访问控制列表:在Router_A上,我们允许从网络来的数据通过,拒绝其他的数据。Router_A#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router_A(config)#access-list1permit55制列表;Router_A(config)#interfaces0/0Router_A(config-if)#ipaccess-group1in〃应用到端口,这一步总在上一步设定访问表之后。去除访问表时则相反;Router_A(config-if)#endRouter_A#以下为显示的左边路由器A及右边路由器B的配置:RouterAinterfaceSerial0/0ipaddressipaccess-group1in 〃所有从s0/0进入的数据包都经过这个表的过滤;!interfaceEthernet0/0ipaddressipclassless!access-list1permit55! 〃定义访问表规则,此处只允许一个网络通过;〃注意:这儿紧跟着隐含有一个省略的语句:denyanyany;Router_B

interfaceLoopback0ipaddress!interfaceSerial0/0noswitchportipaddress!interfaceEthernet0/0noswitchportipaddressnokeepalive 〃使该端口在不接设备时,也被激活;使用路由器上扩展的ping使用路由器上扩展的ping命令:Router_B#ping〃回车确认默认值;〃输入目标地址;〃回车确认默认值;〃输入目标地址;TargetIPaddress:Repeatcount[5]:Datagramsize[100]:〃回车确认以上三项;〃输入〃回车确认以上三项;〃输入yes,使用扩展ping命令;〃指定数据包发出的地方;Extendedcommands[n]:ySourceaddressorinterface:Typeofservice[0]:SetDFbitinIPheader?[no]:Validatereplydata?[no]:Datapattern[0xABCD]:Loose,Strict,Record,Timestamp,Verbose[none]:Sweeprangeofsizes[n]: 〃回车确认以上个项;Typeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:Successrateis0percent(0/5)此时,观察到的结果为不通。重新使用扩展的ping命令,将源地址改成;此时,观察到的结

果是通的。两者比较,说明标准访问控制列表在工作、已经起作用了。2、配置和引用扩展IP2、配置和引用扩展IP访问控制列表使用扩展访问控制列表进行报文过滤。如上图连接好设备并按图配置好地址,此处用二级IP地址来替代多台PC机。我们希望做到路由器A允许所有从PC-C到PC-A的数据通过,而拒绝从PC-C到PC-B的数据通过。这里对源IP和日的IP地址都要过滤,因此使用扩展访问控制列表。两个路由器的最后配置如下:RouterAhostnameRouter_Aipsubnet-zero!interfaceSerial0/0ipaddressipaccess-group101in!interfaceEthernet0/0ipaddresssecondary〃使用二级地址;ipaddresssecondary〃使用二级地址;ipaddressnokeepalive 〃使该端口在不接设备时,也被激活;〃缺省路由;iproute〃缺省路由;access-list101permitiphosthostlog 〃访问表项;access-list101denyiphosthostlog〃前面提到,新添表项时,总添在表的末尾,而由于访问表中表项的顺序至关重要,所以,脱机编辑表项不失为一个好方法;!linecon0lineaux0linevty04login!endRouterB interfaceLoopback0ipaddress!InterfaceSerial0/0noswitchportipaddress!interfaceEthernet0/0noswitchportipaddresssecondaryipaddressnokeepalive!iproute 然后,监测所作的配置。在路由器B上,使用扩展的ping命令:Router_B#pingProtocol[ip]:TargetIPaddress:Repeatcount[5]:Datagramsize[100]:Timeoutinseconds[2]:Extendedcommands[n]:ySourceaddressorinterface:Typeofservice[0]:SetDFbitinIPheader?[no]:Validatereplydata?[no]:Datapattern[0xABCD]:Loose,Strict,Record,Timestamp,Verbose[none]:Sweeprangeofsizes[n]:Typeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=1/2/4ms将目的地址换成,结果是U.U.U,就是目标不可达。在路由器A上:Router_A#shipaccess-listsExtendedIPaccesslist101permitiphosthostlog(901matches)〃允许的报文,已有901次;denyiphosthostlog(5matches)〃被拒绝的报文,已有5次;可以看出路由器A上被拒绝的和通过的报文的次数。在路由器A上作debug监测:Router_A#debugippacketIPpacketdebuggingisonRouter_A#01:43:07:IP:s=(FastEthernet0/0),d=,len100,accessdenied01:43:07:IP:s=(FastEthernet0/0),d=,len100,accessdenied01:43:09:IP:s=(FastEthernet0/0),d=,len100,accessdenied可以实时观察到报文被拒绝的情况。问题与思考:1、 由于访问控制列表末尾总隐含有denyanyany语句,请思考以下问题并作出实验验证:在上面实验内容3的扩展访问控制列表中,第二条访问控制列表项语句:access-list101denyiphosthostlog是否可以省略?2、 上面扩展的访问控制列表中,可不可以将ipaccess-group101应用到端口e0/0上,如果可以,请说明是out还是in,如果不可以请说明理由。并比较应用到端口e0/0和应用到s0/0口的优劣。实验背景材料:一、IP访问控制列表访问控制列表(AaccessControlList,ACL)是一个有序的语句集合,它检测通过路由器的信包中有关字段与访问控制列表参数是否匹配,来允许信包通过或拒绝信包通过某个接口。访问控制列表可以实现路由器一定的安全控制功能。Cisco路由器支持两种类型的访问控制列表:标准IP访问控制列表、扩展IP访问控制列表。标准IP访问控制列表只允许过滤源地址;扩展IP访问控制列表允许过滤源地址、目的地址、源端口、目的端口、协议。标准IP访问控制列表其基本格式为:access-list[list-number][permitldeny][sourceaddress][wildcard-mask][log]其中list-number是1到99之间的一个整数,表示访问控制列表编号。若有多个list-number相同的语句,它们表示一个整体组。用这样的方法,在这之后,可以方便将该编号组的访问控制规则应用到某个接口上。permit或deny用来表示满足访问控制列表的信包是允许通过接口还是要过滤掉。sourceaddress指明源地址。一般常常过滤某一组地址,这时需要使用通配符掩码wildcard-mask,通常把通配符掩码也称作反向掩码,因为它的意义和普通掩码刚好相反。例如,用普通掩码表示网络时:表示的网络地址,而在访问控制列表中用反向掩码来表示同样的内容是:55,也就是说,在反向掩码的二进制表示中,0表示“匹配”,1表示“不关心”,这刚好和普通掩码的意义相反,所以也可以说反向掩码是普通掩码的补值。语句中的其它关键字还包括remark、host、any和log。关键字remark紧跟在list-number之后,用于对这个访问控制列表的注释。如果仅仅想表示单个IP地址,可用关键字host,host后跟一个地址就明确表示一个地址被允许或被拒绝。如果要表示所有地址,则需要用关键字any。host和any也可以用网段反向掩码表示,其反向掩码分别是和55。关键字log指示将所有能匹配访问控制列表permit或deny语句的信包记录进日志。这样就可以在以后通过showlogging命令检查日志内容,以此判断一些流量(部分地址被允许的次数)或潜在的黑客活动(多次尝试活动被拒绝)。扩展IP访问控制列表扩展IP访问控制列表扩展了对信包的过滤能力,它可以根据以下内容过滤信包:协议类型、源地址、目的地址、源端口、目的端口等。其基本格式为:access-list[list-number][^erimit\deny][protocol\protocolkeyword][sourceaddress][source-wildcard\[sourceport][destinationaddress][destination-wildcard][destinationport][log]其中list-number的含义和标准IP访问控制列表的相同,只是号码从100-199。语句中的permit\deny项及sourceaddress,source-wildcard,destinationaddress,destination-wildcard的含义和标准IP访问控制列表的相同,分别表示允许、拒绝,源地址(网段)、目的地址(网段),如果仅过滤单个地址,前面加上host即可。protocol表项定义了需要被过滤的协议,如IP、TCP、UDP、ICMP等。source-port,destination-port表示的源和目的端口通常只使用在TCP或UDP协议时。它们可以使用两种方式表示,显式方式:用一个端口数字或可识别的助记符,如用80或HTTP来指定WEB服务器端口;模糊方式:用比较关系符gt(大于)、lt(小于)、eq(等于)、neq(不等于)后跟某个范围。其它关键字还有:remark,host,any,log和establishedremark用于注释,和标准IP访问控制列表一样。host,any,log也同前。established仅用于TCP协议中,用于TCP在一个方向上响应另一端发起的会话时,使用established关键字的访问控制列表检查每个TCP报文,看它的ACK或RST位是否已经设置而决定允许或拒绝。二、使用IP访问控制列表使用IP访问控制列表的步骤包括三步:1、 定义IP访问控制列表将要过滤哪些信包、如何过滤的策略通过access-list语句定义。遵循以下规则:自上而下的顺序、以及末尾隐含的denyany语句。所谓自上而下的顺序,是指在过滤时,信包经过每条语句的检查,到匹配语句为止,否则一直往下检查,如果没有一条匹配,则最后有一条隐含的denyany将其拒绝。要切记最后隐含的这条语句。2、 将该访问控制列表引用在哪个接口上配置好访问控制列表后,要应用到具体的接口上才真正使它起作用。在接口上使用访问控制列表时要用ipaccess-grouplist-number[in\out]命令。过滤信包是在接口上实现的,一般在选择接口时,对于扩展IP访问控制列表,要尽量放在靠近过滤源的接口上,这样创建的过滤器就不会影响到其他接口的数据流;对于标准IP访问控制列表,要尽量放在靠近目的地的接口上,这是因为:标准IP访问控制列表只以源地址为过滤对象,放在离源地址近的地方会阻止这里的报文流向其他地方。3、 指定信包在接口上过滤的方向ipaccess-grouplist-number[inlout]命令在接口上使用时还需要指定其过滤方向。in表示“向内的”,即信包流流向路由器;out表示“向外的”,即信包流从路由器流出。三、命名的IP访问控制列表和访问控制列表的编辑也可以用命名方式的访问控制列表来取代编号方式的访问控制列表,这样,不但不会受编号方式编号个数的限制,而且在命名时可以给出一个易理解、意思明确的名字,以便区分各个访问控制列表的过滤作用和意义,如名字denystudent,名字test,名字denyftp等等。其具体格式为:ipaccess-liststandardname或ipaccess-listextendedname,此后,同一组访问控制列表语句中,跟着的其它语句的ipaccess-list字段就省去了,只从permit|deny开始。使用命名的访问控制列表还有另一个优点:编辑同一组访问控制列表语句中的某单个语句时,可以用no命令很方便地删去其中的一条,而用编号方式的访问控制列表时,no一条语句,会删去该编号所有的这一个组。另外,在添加访问控制列表表项的时候(无论是编号方式的还是命名方式的),新添加的表项总是在访问控制列表的末尾,由于访问表是按序执行的,所以,加在末尾是否能实现想要的功能,也应加以考虑。Cisco路由器配置软件与CCNA资料参考网址Cisco路由器模拟器软件router_eSIM_v1.1,/downloads/openfile.asp?id=34&filename=download/router_eSIM_v11.zip⑵Cisco路由器模拟器软件SybexCCNAVirtualLab2.1,/downloads/openfile.asp?id=51&filename=download/routersim.zipBonsonNetSim6.0路由器模拟器软件,/downloads/BosonNetSim模拟器入门进阶(上册),/network/files/11122.htmlBosonNetSim模拟器入门进阶(下册),/network/files/11162.html在线教程CCNA1NetworkingBasicsv3.11,/ccnav311/en-knet-311053022401441/ccna3theme/ccna3/start.html在线教程CCNA2RoutersandRoutingBasicsv3.1,/ccnav311/en-knet-311053022482417/ccna3theme/ccna3/start.html在线教程CCNA3SwitchingBasicsandIntermediateRoutingv3.1,/cisoctraining/en-knet-311053022539739/ccna3theme/ccna3/start.htmlCisco教材中文版《CCNA学习指南》,/soft/3628.htmSybexCCNA2.0StudyGuide,/soft/4977.htmCCNAICNDExamCertificationGuide(Cisco出版社),/cisco_doc

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论