访问控制列表实验
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.实验报告如有雷同,雷同各方当次实验成绩均以0分计。
警示
2.当次小组成员成绩只计学号、姓名登录在下表中的。
3.在规定时间内未上交实验报告的,不得以其他方式补交,当次成绩按0分计。
4.实验报告文件以PDF格式提交。
【实验题目】访问控制列表(ACL)实验。
【实验目的】
1.掌握标准访问列表规则及配置。
2.掌握扩展访问列表规则及配置。
3. 了解标准访问列表和扩展访问列表的区别。
【实验内容】
完成教材实例5-4(P190),请写出步骤0安装与建立FTP、WEB,的步骤,并完成P192~P193的测试要求。
【实验要求】
重要信息信息需给出截图,注意实验步骤的前后对比。
【实验记录】(如有实验拓扑请自行画出)
【实验拓扑】
本实验的拓扑图结构如下图:
【实验设备】
路由器一台,PC 5台(其中两台作为WWW Server 和FTP Server)。
【实验原理】
基于时间的ACL是在各种ACL规则(标准ACL、扩展ACL等)后面应用时间段选项(time-range)以实现基于时间段的访问控制。当ACL规则应用了时间段后,只有在此时间范围内规则才能生效。此外,只有配置了时间段的规则才会在指定的时间段内生效,其他未引用时间段的规则将不受影响。
要基于时间的ACL一生效,一般需要下面的配置步骤。
(1)定义时间段及时间范围。
(2)ACL自身的配置,即将详细的规则添加到ACL中。
(3)应用ACL,将设置好的ACL添加到相应的端口中。
【实验步骤】
步骤0:
(1)配置3台PC(PC1、PC2和Manager)的IP地址、掩码、网关。
(2)检查PC与服务器的连通性如何?
PC与服务器无法连通,因为还未安装FTP Server和WWW Server和配置路由器。
(3)在服务器上安装FTP Server和WWW Server。FTP Server需至少创建一个用户名和口令。
FTP Server我们选择Serv-U,下载安装后见如下界面。
先新建域:
再创建用户,设置用户名和密码,选择根目录。
www Server 我们选择Apache。下载,命令行下进入bin目录,使用httpd -k install 命令安装。
发现Apache无法正常启动,查看:
发现80端口被占用,所以修改conf文件夹下的httpd.conf文件,找到Listen 80一行,把80改为8080(可以设为其它的,最好大于1024,而且必须小于等于65535),保存,然后重新启动Apache服务。
步骤1:路由器基本配置。
Router#configure terminal
Router(config)#interface gigabitethernet0/0
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#exit
Router(config)#interface gigabitethernet0/1
Router(config-if)#ip address 10.1.1.1 255.255.255.0
Router(config-if)#exit
步骤2:验证当前配置。
(1)验证PC与服务器的连通性。
(2)经理机和员工机可否登录FTP Server?通过http:// 10. 1. 1. 100 可否访问WWW Server?判断目前结果是否达到预期目标,说明原因。
可以登录。通过http:// 10. 1. 1. 100 可以访问到WWW Server,结果达到预期目标,因为已经安装好FTP Server和WWW Server,路由器输入链路和输入链路配置好网关和掩码,而且路由器上并没有访问控制的限制。
步骤3:配置时间段。
定义正常上班时间段。
步骤4:配置ACL
配置ACL,并应用时间段,以实现需求中基于时间段的访问控制。
步骤5:应用ACL。
将ACL应用到F0/0接口的入方向。
Router(config)#interface gigabitethernet0/0
Router(config-if)#ip access-group accessctrl in
Router(config-if)#end
步骤6:验证测试。
在使用基于时间的ACL时,要保证设备(路由器或交换机)的系统时间的准确性,因为设备是根据自己的系统时间(而不是PC时间)来判断当前时间是否在时间范围内。这个可以在特权模式下使用show clock命令来查看当前系统时间,并使用clock set命令调整系统时间。通过调整设备的系统时间来实现不同时间段测试ACL是否生效。
本例分别作下列测试。
(1)查看路由器的系统时间:show clock判断当前时间段。
(2)经理的主机Manager用步骤0建立的用户名登录FTP Server,并通过http:// 10.
1. 1. 100访问WWW Server,在设定时间段内是否能登录和访问?
改变路由器系统时间段为正常上班时间:
能登陆和访问FTP Server:
能访问WWW Server:
(3)普通员工主机A、B分别用步骤0建立的用户名登录FTP Server,并通过http:// 10. 1. 1. 100访问WWW Server,在设定时间内能登录和访问?
能登陆FTP Server,但不能访问FTP Server上的文件夹: