访问控制列表实验

或¥："^-1.实验报告如有雷同，雷同各方当次实验成绩均以0分计。玉警2.当次小组成员成绩只计学号、姓名登录在下表中的。在规定时间内未上交实验报告的，不得以其他方式补交，当次成绩按0分计。实验报告文件以PDF格式提交。【实验题目】访问控制列表（ACL）实验。【实验目的】掌握标准访问列表规则及配置。掌握扩展访问列表规则及配置。了解标准访问列表和扩展访问列表的区别。【实验内容】完成教材实例5-4（P190），请写出步骤0安装与建立FTP、WEB，的步骤，并完成P192〜P193的测试要求。【实验要求】重要信息信息需给出截图，注意实验步骤的前后对比。【实验记录】（如有实验拓扑请自行画出）【实验拓扑】本实验的拓扑图结构如下图：【实验设备】路由器一台，PC5台（其中两台作为WWWServer和FTPServer）。【实验原理】基于时间的ACL是在各种ACL规则（标准ACL、扩展ACL等）后面应用时间段选项（time-range）以实现基于时间段的访问控制。当ACL规则应用了时间段后，只有在此时间范围内规则才能生效。此外，只有配置了时间段的规则才会在指定的时间段内生效，其他未引用时间段的规则将不受影响。要基于时间的ACL一生效，一般需要下面的配置步骤。（1）定义时间段及时间范围。（2）ACL自身的配置，即将详细的规则添加到ACL中。（3）应用ACL，将设置好的ACL添加到相应的端口中。【实验步骤】步骤0：（1）配置3台PC（PC1、PC2和Manager）的IP地址、掩码、网关。（2）检查PC与服务器的连通性如何？—-UD^O.l.l.lDO囹v=□

无法显M此网页4-UL2j*tp7^O11200司.=PC与服务器无法连通，因为还未安装FTPServer和WWWServer和配置路由器。（3）在服务器上安装FTPServer和WWWServer。FTPServer需至少创建一个用户名和口令。FTPServer我们选择Serv-U，下载安装后见如下界面。0SrTiW忙#.西-主史❷都里J3S：i^ltWff!•Mdi室IE甘-芷园目，:fcngc0SrTiW忙#.西-主史❷都里J3S：i^ltWff!•Mdi室IE甘-芷园目，:fcngcfE&即rW卵假学做•色宓懂|0主眇⑥曳肯S4F^Li121CdMgri1WE-2D1S,Rnrrt如T—略he.上ii9享t:!Fnri0字节全IH户".推.枢受胃用.*.d湖由-垠［佃峨剖峪物皿峭哇户・mH正事urr^TRIE二.®电归MS三疝U!11主小•?？』Fl9幡许春语用一萱丙甘演迎丽I用户・■金■崖耳宵左即计蜘和"・-迎己通尸汕|沌祯叶・4置■藤费田曰王gi全映等曲I-即徂.枢重胃用尸曜，湖也-椒［斌整剖峪相na曲径坷-目录-s«n届青胃|=«田曰辛访问网--澜1牛很扣ISSi即.戴］础目利1.叶仙憧登:•逮『眼戏住％反企面胡齿厦与.电由片等，•.朝1■廊渔囱诚FTF;?含传罟和计为*-即坦用皖SSLtl翳H证=HnlJM«SJijSfl3--诉耳白立夏亦■谖W+RhinoSoft‘*尸匕；I・!1«励柘我|：斌・皿嘲11响。，痼l=«M王机色目^BElAF讷SM则--勺府的（户fm凯职；5为皿尚侦旧・-HWL-胃户,niarH^.iwEd5睥,晚上：n*p详雄在故皿中BMfw・♦保度mnifavw舟由程还苦^・、膑御燧用户口电。■徊:!:W4I*?淌1其■隹巾愤5目・-祁询■枢上倾帷WrKkirt'.用户tfdg«r聘*座宣技二I，&BI井堆揪用胡娅P・L>-ittl甘4设目，E*±.至瑚海能号「由坷丘博即FTF由冬俺日街竹再*FtilflM吉士SEL10^SHlilWISttSMI^S-，绸自秘HIM-ifE-暇（I，3E直肯甬函用四用.口•:•，萱首14会送书筒彖谜计•:•，董SI闲白和机诟赧计-，萱』日日定■：•■翊Iiq日如

ta^a［强雷岳哮薯苴电「女厦康折J!『谄碱?hJKSSerHjR^®-司主酬尸对部股迁:曙巨估间节!立。-liJHE--旺日证时日牙值目H在有瞄・宝US尝-肉HN55内闭肓用户尊!5口3：访问根E?・，il«ff«flilPJfii±y.Mra#.H?Lj.M明我-先新建域:再创建用户，设置用户名和密码，选择根目录。客尸浦芸试登录文件服务器时逋过登录ID标识苴账户『登录ID:test全名；〔可迷）电子邮件地址：河选）下一步*职消使用httpd-kinstallwwwServer我们选择Apache。下载，命令行下进入bin目录，命令安装。使用httpd-kinstall破管理员:C:\ywnm52\cnncI.eKe-MicrosoftWindowst.i.7600]F炉权JF看tc2009Hicnns-oPtCorpoi^at;iona麻留所有砂.利nC=\JIe\D403>cdCi\Pi*<ig,i'-AnFdlasvJlpac'hE24<bLnC-s*ProgranFLles\ApaGhe24\bin^httpdl-kiiiatALLrThmDec10L4：4^：33-2S?14320151rnpn.winnt：erv-or1tpid5936：tid1361AHB@43）：Apachc2j4■Serv±l;cIsalreadyiiisLaLled.C=^FrogranFi.Le&^flpacheSl'Jb发现Apache无法正常启动，查看:丽管理员：C:\windows\system32\cmd.exe[ThuDec1014：46：33.2871432015J[mpin_winnt:error]Cpid5936：tid136]AH00433：ftpache2.4：Serviceisalreadyinstalled.C：\ProgramFilesXfipache24\bin>netstat-aon'findstr"80"TCP:80:0TCP:18432:80TCP:1687514:80TCP:173130:80TCP:173200:80TCP:1732278:80TCP:173241:80TCP:1732537:80TCP:176812：80TCP:1770237:80TCP:17703120.263.230.137:80TCP:1770437:80TCP:177058：80TCP:177060:80TCPTCP[fe80:：189：e5a2：86fe=e3a0xl?1：1031[fe80：ESTABLISHED608TCP[fe80:：189：e5a2：86fe=e3a0xl7J：17191[fe80ESTABLISHED1204P：xProgramFiles\fipache24\bin>LISTENING6764ESTABLISHED4040ESTABLISHED6936CLOSE_WAIT1064CLOSE_WfiIT1064CLOSE.WfilT1064CLOSE_WAIT1064CLOSE.WfilT1064ESTABLISHED6936ESTABLISHED5700ESTABLISHED5700ESTABLISHED5700ESTABLISHED5700CLOSE_WAIT5700LISTENING6764：189：e5a2=86fe：e3a0xl7]：17191:=189：e5a2：86fe：e3a0x!7J：1031发现80端口被占用，所以修改conf文件夹下的httpd.conf文件，找到Listen80一行，把80改为8080（可以设为其它的，最好大于1024,而且必须小于等于65535），保存，然后重新启动Apache服务。步骤1：路由器基本配置。Router#configureterminalRouter(config)#interfacegigabitethernet0/0Router(config-if)#ipaddressRouter(config-if)#exitRouter(config)#interfacegigabitethernet0/1Router(config-if)#ipaddressRouter(config-if)#exit步骤2：验证当前配置。（1）验证PC与服务器的连通性。（2）经理机和员工机可否登录FTPServer？通过00可否访问WWWServer？判断目前结果是否达到预期目标，说明原因。可以登录。通过00可以访问到WWWServer，结果达到预期目标，因为已经安装好FTPServer和WWWServer，路由器输入链路和输入链路配置好网关和掩码，而且路由器上并没有访问控制的限制。|TD0QI80EOfc□gmoQ.海0[t.works!步骤3:配置时间段。定义正常上班时间段。Rjouter(ccmfLjob-tangaitfork-timeReutera.-tinks-r^se)iodl4we&kdsys0^:00to18:00Reuter(centLg-time-rangs)(feiit步骤4:配置ACL配置ACL,并应用时间段，以实现需求中基于时间段的访问控制。Router(config)flipaccccc-lictextendedacccccctriRouter(config-ext-nacl)^permitiphost192.16E.1.2540.C.0.255Eouter(.config-ext-mcDflpermit-cp132.168.1.C55host0C日iftptinE-rar.gework-timeRoLiter(<onfi3-£vt-nic-l)fl]>ermit-cp1?2.168.1.CSShost0Cftpdata■:ime-rangEwork-timeRouter(config-ext-mcl)fldenytep55host00eqtime-Idtlgh!VUlk--ilLJh!Roi.iter(<onfi3-£xt-ni.c-l)#]>exinit1?2.168.1.C0.0.0.host0Cvw*Router(config-Ext-mcl)flexit步骤5：应用ACL。将ACL应用到F0/0接口的入方向。Router（config）#interfacegigabitethernet0/0Router（config-if）#ipaccess-groupaccessctrlinRouter（config-if）#end步骤6：验证测试。在使用基于时间的ACL时，要保证设备（路由器或交换机）的系统时间的准确性，因为设备是根据自己的系统时间（而不是PC时间）来判断当前时间是否在时间范围内。这个可以在特权模式下使用showclock命令来查看当前系统时间，并使用clockset命令调整系统时间。通过调整设备的系统时间来实现不同时间段测试ACL是否生效。本例分别作下列测试。（1）查看路由器的系统时间：showclock判断当前时间段。

;«计算机网络实验报告ERUNTVEB-STTIll-R£R10-l#showclockI00;Q5;44UTJThu,Jan1,1970(2)经理的主机Manager用步骤0建立的用户名登录FTPServer,并通过00访问WWWServer,在设定时间段内是否能登录和访问？改变路由器系统时间段为正常上班时间：10-S5750-L#clockset10:00:001210201510-s5750-L#*Dec1010:00:00:%svs-6-cLOCKUPdate:Systemclockhasbeenupdatedt□10：00：00UTCThuD^C102015.'能登陆和访问FTPServer：文#（FJ桨源E〕芸悬T^.TJ舞曲（H〕蛆织-踪母下城文#（FJ桨源E〕芸悬T^.TJ舞曲（H〕蛆织-踪母下城■■最E访目的位置5聿曳图.寸国M.»•吉乐step6_EchcReply,PNGstep6_EchoReques^.PNGstep6_Ech□RequeistAndReply.PNstep0_TimeStamp.PNGE±?pS_EchoRequdReply.PN♦计算机luSYSTEM(C;)—.寻i&as(0：)能访问WWWServer：FQlD.1.1.10D；aDB0<-GDio-.i.i_iao：8O8o[tworks1（3）普通员工主机A、B分别用步骤0建立的用户名登录FTPServer，并通过00访问WWWServer，在设定时间内能登录和访问？能登陆FTPServer，但不能访问FTPServer上的文件夹：P—ntFrnmrk10.1.L.20D1O.LL200立也目瞄由旧辞3工巨E帮颇E讶收酢A下裁E壳叵邕愈宙问科靖.车国州片13P—ntFrnmrk10.1.L.20D1O.LL200立也目瞄由旧辞3工巨E帮颇E讶收酢A下裁E壳叵邕愈宙问科靖.车国州片13游Jf=Sr―睫■机,“SYSTEM(C:)■j本培戏(D-.)维网洋不能访问wwwServero■iD.l.l.lDOy.GKO无法显疔此网r(4)改变路由器系统时间段：clockset，在其他时间段执行(2)~(3)的测试。改变路由器系统时间段为正常下班时间：经理的主机Manager能登陆和访问FTPServer，也能访问WWWServer:卜Internet►10.2.12CO京n闩混知E)苴■荏(V)工wen球功时收凝柬串下我■点瓦二晶g方间的位古-库H¥购1—1圄片』吉茨step&_EchoRsply.PNG■step6_E匚hnRequestAncdRe-ply.PNstep&_Time-Stamp.PNGstep&_EchoR.squ0st.PNGstepB_Ech口RequestArdRe-ply.PNl_y.曰」：・计茸机…SYSTEM(C:)b本电枣坦(D：)中山大擘计算机网络实验报告SUWVAI3-SEKITMIVHIlgmr/、卬，1，1」网;go时4CE10.1.1,ltW:SCMItworks!普通员工主机能访问WWWServer,但不能登陆和访问FTP:Idu=jjg宙0雪~IPI立伸旧场狷旧辞31工司(I.荏fj『)但或一>•■■QKEt^卒下会以最近诂叵打位言:L计百机jSYSTEM(C)W(D：i4CB1O,1.1,1M):8CWItworks!(5)抓取主机访问服务器时的数据包，并进行分析。EFraneEFranei?:7iisytesonn1reC544bits]B73tricesc^arured(5-64b1rs：ion1nc-erfateD£iCth^neiII,Src：FuJ1an5t_4Q:5i:5»e(DO:lasa?50:53：5e}HDstiGig3-Byt_8b:flE：at)(5-D：B5E4^^Sb:flE：ab)FIntarnetProtDcalVenim4BSrc:DDCLO.l.1.2M).Dit:ia2.lfia.l-3l：l^-2.l&S.1.3}feTrareiniiissiancckitt-oIpr^acol,srcPon::ftp(JI),ds匚pori：:2001(2(XML),seq:.^k:7,Len:L9i±.PileTransfarPracDtalfFlFP)报文20~22为三次握手过程:报文24~27可看出登录名为lab，密码为lab:13.106359010.1.1.J000.^049910L9A拓艮3FTPFTP913.106359010.1.1.J000.^049910L9A拓艮3FTPFTP9。麻田wponse：391。5€「「日何陪u