实验八 网络访问控制与基本包过滤配置

实验八网络访问控制与基本包过滤配置一、实验内容与要求理解基于IP源地址的包过滤原理和应用方法；2、掌握标准访问控制列表的设计、配置和测试；二、实验设备或仪器思科路由器2620XM三台，交换机2950-24六台，Hub-PT一台，PC机五台，服务器四台三、实验原理本次试验中我们首先组建一个简易的校园网，在此基础上利用标准访问控制列表实施访问控制。在PacketTracer5.3下实现：教学网段和宿舍网段不能访问行政网段，管理网段中只允许PC1访问行政网段，行政网段可以访问DMZ中的www、ftp、smtp服务器。实验之前大家应该先理解标准访问控制列表的基本特点、工作原理和应用的方法，熟练掌握其基本语法和配置步骤；会使用showrunning-config、showaccess-lists等命令查看访问控制列表是否配置成功以及在仿真环境下测试是否达到预期结果。ACL(AccessControlList，访问控制列表)，简单说就是包过滤，根据数据包的报头中的ip地址、协议端口号等信息进行过滤。利用ACL可以实现安全控制。编号：1-99or1300-1999(standardIP)，100-199or2000-2699(ExtendedIP)。1、标准访问控制列表的基本语法如下：Access-listaccess-list-number{deny|permit}source[source-wildcard][log]Access-list命令参数的含义如下：（1）access-list-number：访问控制列表号，标准访问控制列表的号码范围是1—99；（2）deny：如果满足条件，数据包被拒绝从该入口通过；（3）permit：如果满足条件，数据包允许从该入口通过；（4）source：数据包的源网络地址，源网络地址可以是具体的地址或any（任意），源地址是单个的IP地址时，将“source”改成“host”，后再写IP地址即可；（5）source-wildcard：源地址通配符掩码，可选项；通配符掩码是一个32比特位的数字字符串，使用1或0来表示，它备用“.”分成4组，每组8位；在通配符掩码位中，0表示“检查相应的位”，而1表示不检查相应的位；通配符掩码相当于子网掩码的反码。（6）log：可选项，生成日志信息，记录匹配permit或deny语句的包。可以通过在“access-list”命令前加no的形式来删除一个已经建立的标准ACL。2、关键字any和host的用法：（1）any指定对所有的IP地址作为源地址；这样，当某环境下允许访问任何目的地址时，我们就不用输入source位于“”，再输入通配符掩码为“Access-list1permit55Access-list1permitany（2）host用在访问表中指定通配符掩码是，这样某环境下要输入单个的地址，如，就不用输入和通配符掩码了，直接在地址前加host即可。3、ACL的使用：在创建了一个访问控制列表并分配了表号之后，为了让该访问控制列表起作用，用户必须把它配置到一个借口上且指明数据流方向。其语法如下：ipaccess-groupaccess-list-number{in|out}（1）ip：定义所用的协议；（2）access-list-number：访问控制列表的号码；（3）in|out：定义ACL时被应用到借口的流入方向（in）还是借口的流出方向（out）。四、实验内容与步骤网络拓扑和配置参数如下：图7.1拓扑图表7.1配置参数表路由器配置信息（子网掩码均为）主机名类型IP地址RIP路由信息时钟频率InsideRouter2620XMFa0/0:Eth1/0:Eth1/1:Eth1/2:Eth1/3:EageRouter2620XMFa0/0:Ser0/0:1OutsideRouter2620XMFa0/0:Ser0/0:09600PC和Server配置信息（子网掩码均为）主机名IP地址默认网关所属网段PC0PC1PC2PC3PC4PC5wwwftpsmtpOutsidewww交换机和HUB配置信息主机名类型所属网段备注Manage2950-24所属校园网管理网段Administration2950-24所属校园网行政网段Teach2950-24所属校园网教学网段Student2950-24所属校园网宿舍网段ServerArea2950-24DMZ区Outside2950-24所属校外网Hub0Hub-PTHub-PT1、建立网络拓扑并确保其连通性参考拓扑图和配置信息表在PacketTracer5.3中建立网络拓扑并进行配置；测试其连通性，确保网络中的任何两台设备之间能ping通（本实验拓扑图相对麻烦，参数配置也较多,建议操作过程中多用保存，防止丢失，以备下个实验使用）。2、配置标准访问控制列表满足应用需求2.1、我们在InsideRouter上创建标准访问控制列表accesslist1，将其应用在InsideRouter的Eth1/1端口上，配置命令如下：InsideRouter>enInsideRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.InsideRouter(config)#access-list1permit55InsideRouter(config)#access-list1permithostInsideRouter(config)#exitInsideRouter#%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleInsideRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.InsideRouter(config)#inte1/1InsideRouter(config-if)#ipaccess-group1outInsideRouter(config-if)#endInsideRouter#%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleInsideRouter#小提示：对于标准访问控制列表来说，默认的命令是host，也就是说access-list10deny表示的是拒绝这台主机数据包通讯，可以省去我们输入host命令。2.2、查看一下刚刚建立的访问控制列表InsideRouter#showaccess-lists//下边是命令之后输出的信息StandardIPaccesslist1permit55permithost显示信息表明访问控制列表已建立，接下来我们进行测试。点击“TogglePDUListWindow”，使其显示在Workspace下方，后添加多个SimplePDU进行测试，结果如图7.2所示：图7.2标准访问控制列表测试结果2.3、实验结果分析0号PDU的Failed状态和1号PDU的Successful状态说明管理网段中只有PC1访问行政网段；2号和3号PDU的Failed状态说明教学网段和宿舍网段不能访问行政网段；4、5和6号的Successful状态说明行政网段可以访问DMZ区的www、ftp和smtp服务器。本次实验暂时不对外网访问做讨论，留待下一实验。五、注意事项1、使用软件进行连通性测试时，有时理论上连通的路径上添加的第一个SimplePDU时它的LastStatus显示Failed，之后添加的便会显示正确的LastStatus；2、每个访问控制列表最后一项都有一个默认的denyany语句，因此如果其它的控制语句都是deny×××，最后一定要添加permitany；3、数据包一旦匹配控制语句中的某一条则不会继续匹配之后的