访问控制列表实验.详解
实验二 访问控制列表(ACL)实验
实验2 访问控制列表(ACL)1. 实验目的•编写和应用路由器的访问控制列表。
•掌握利用ACL构筑简单的包过虑防火墙的原理。
2. 实验要求1.独立完成实验内容;2.实验报告;(简单要求如下)1)各实验操作步骤;2)回答实验中提出的问题3)实验结论及分析3. 实验内容实验环境:路由器两台,交叉线一条,交换机两台,学生实验主机在上面的实验环境中,,配置适当的ACL ,实现对特定主机和特定服务的访问控制。
实验环境说明: 1.两个路由器用f0/1 口进行互连2.两个路由器用f0/0口连接实验主机 3.R1 和R2 均配置静态路由(动态路由也行)4.两边主机能互相连通3.1按实验图连接线路3.2标准访问控制列表的配置3.2.1 限制特定主机(网络)的访问在全局配置模式下对R1 进行以下配置R1(config)#ip access-list standard 10R1(config)#permit 192.168.3.1 255.255.255.255R1(config)#interface f0/0R1(config-if)#ip access-group 10 out效果:此时只有192.168.3.1 一台主机能访问192.168.1.0 的网络。
其他非192.168.1.0 网络的主机均无法访问192.168.1.0 网络。
3.2.2 自我测验:设计标准ACL,只允许192.168.3.1 和192.168.1.1 这两个IP 能互相访问___________________________________________________________________________ ___________________________________________________________________________ ___________________________________________________________________________3.3 扩展访问控制列表的配置3.3.1 限制对特定服务的访问在R1上配置telnet服务R1(config)# username abc password abc //用户名密码 R1(config)# aaa authentication login login_fortelnet local //配置aaa认证 R1(config)# line vty 0 4 //配置 vtyR1(config_line)# login authentication login_fortelnetR1(config_line)# exit在全局配置模式下对R1 进行以下配置R1(config)#ip access-list extended 101R1(config)#permit tcp 192.168.1.2 255.255.255.255 any eq telnetR1(config)#interface f0/0R1(config-if)#ip access-group 101 in(R2可参照R1的配置方法来配置)想想看:这个ACL 起了什么作用?如何进行验证?___________________________________________________________________________ ___________________________________________________________________________3.3.2 自我测验:如果两个路由器的f0/0 端口的ACL 配置如下:R1(config)#ip access-list extended 10R1(config)#permit 192.168.1.1 255.255.255.255R1(config)#interface f0/0R1(config-if)#ip access-group 10 inR2(config)# ip access-list extended 10R2(config)#permit 192.168.1.1 255.255.255.255R2(config)#interface f0/0R2(config-if)#ip access-group 10 out请问192.168.1.1 的机器能够ping 通192.168.3 网段内的机器吗?为什么?___________________________________________________________________________ ___________________________________________________________________________学一招:可以通过show ip access-list 命令列出所定义的访问控制列表的情况,并且还可以看到有多少个符合ACL 命令条件的匹配包被接收或拒绝。
网络安全实验6:访问控制列表
访问控制列表(ACL)基本的配置以及详细讲解2009-09-22 00:02:26标签:控制列表配置职场休闲【网络环境】网络时代的高速发展,对网络的安全性也越来越高。
西安凌云高科技有限公司因为网络建设的扩展,因此便引入了访问控制列表(ACL)来进行控制,作为网络管理员我们应该怎么来具体的实施来满足公司的需求呢?【网络目的】明白ACL访问控制列表的原理、以及正确的配置;按照网络拓扑图的要求来正确的连接设备。
创建访问控制列表来满足我们所定义的需求;【网络拓扑】【实验步骤】第一步:配置Router1的端口IP地址:(注意:在配置之前我们先要明白ACL访问控制列表的工作原理;ACL访问控制列表的原理是它是以包过滤技术,在路由器上读取OSI7层模型的第三层和第四层包头中的信息,根据自己预先定义好的规则,对包进行过滤,从而来达到访问控制的目的。
我们在配置IP地址的时候肯定会不明白为什么所配置的I P地址不在一个网段?但是又怎么样才能让它们互相通信?根据拓扑图:我们所看到的E0/1和E0/2和E0/0它们分别互连着交换机、PC 机而我们这样做的原因就是为了ACL访问控制列表对流量的归类,AC L通过在接口路由器上接口出控制数据包是转发还是丢弃,来过滤通信流量。
路由器根据ACL访问控制列表中的条件来检测通过路由器的数据包是,从而来决定该数据包是转发还是丢弃!!!)第二步:配置Router2的端口IP地址:(注意:ACL访问控制列表分为最基本的两种,它们是标准访问控制列表和扩展访问控制列表:标准访问控制列表和扩展访问控制列表有什么区别呢?标准的访问控制列表检查被路由器的源地址。
结果是基于源网络/子网/主机的IP地址,来决定该数据包是转发还是拒绝该数据包;它所使用1~99之间的数字作为表号。
扩展访问控制列表是对数据包的源地址和目的地址均进行检查,它也可以检查特定的协议、端口号以及其他的修改参数。
它所使用的是100~199之间的数字作为表号;我们在这里只对标准访问控制列表和扩展访问控制列表进行说明;还有一些例如:基于时间的访问控制列表基于动态访问控制列表等一些新的类型、ACL的定义的是基于协议的。
计算机网络实验报告 访问控制列表ACL配置实验
一、实验项目名称访问控制列表ACL配置实验二、实验目的对路由器的访问控制列表ACL进行配置。
三、实验设备PC 3台;Router-PT 3台;交叉线;DCE串口线;Server-PT 1台;四、实验步骤标准IP访问控制列表配置:新建Packet Tracer拓扑图(1)路由器之间通过V.35电缆通过串口连接,DCE端连接在R1上,配置其时钟频率64000;主机与路由器通过交叉线连接。
(2)配置路由器接口IP地址。
(3)在路由器上配置静态路由协议,让三台PC能够相互Ping通,因为只有在互通的前提下才涉及到方控制列表。
(4)在R1上编号的IP标准访问控制。
(5)将标准IP访问控制应用到接口上。
(6)验证主机之间的互通性。
扩展IP访问控制列表配置:新建Packet Tracer拓扑图(1)分公司出口路由器与外路由器之间通过V.35电缆串口连接,DCE 端连接在R2上,配置其时钟频率64000;主机与路由器通过交叉线连接。
(2)配置PC机、服务器及路由器接口IP地址。
(3)在各路由器上配置静态路由协议,让PC间能相互ping通,因为只有在互通的前提下才涉及到访问控制列表。
(4)在R2上配置编号的IP扩展访问控制列表。
(5)将扩展IP访问列表应用到接口上。
(6)验证主机之间的互通性。
五、实验结果标准IP访问控制列表配置:PC0:PC1:PC2:PC0ping:PC1ping:PC0ping:PC1ping:扩展IP访问控制列表配置:PC0:Server0:六、实验心得与体会实验中对ACL的配置有了初步了解,明白了使用ACL可以拒绝、允许特定的数据流通过网络设备,可以防止攻击,实现访问控制,节省带宽。
其对网络安全有很大作用。
另外,制作ACL时如果要限制本地计算机访问外围网络就用OUT,如果是限制外围网络访问本地计算机就用IN。
两者的区别在于他们审核访问的时候优先选择哪些访问权限。
访问控制列表实验报告
访问控制列表实验报告介绍访问控制列表(Access Control List)是一种用于网络安全的重要工具。
它用于限制用户或设备对网络资源的访问权限,以保护网络的安全和保密性。
在本实验中,我们将学习如何配置和管理访问控制列表,并通过实际的示例来演示ACL的工作原理和应用。
实验目标本实验的目标是帮助学生理解访问控制列表的基本概念和配置方法。
具体而言,我们将关注以下方面:1.访问控制列表的作用和用途;2.如何配置和管理访问控制列表;3.不同类型的访问控制列表及其应用场景。
实验步骤步骤一:了解访问控制列表访问控制列表是一种在路由器或交换机上配置的规则集合,用于控制网络流量的访问权限。
它基于源地址、目的地址、协议类型等条件来限制特定用户或设备对网络资源的访问权限。
ACL可以分为两种类型:标准ACL和扩展ACL。
标准ACL仅使用源地址作为匹配条件,而扩展ACL可以使用更多的条件来进行匹配,例如源地址、目的地址、协议类型、端口号等。
步骤二:配置访问控制列表在这个实验中,我们将使用一台路由器进行ACL的配置示例。
以下是一些基本的ACL配置命令:Router(config)# access-list 1 permit 192.168.0.0 0.0.255.255上述命令创建了一个标准ACL,允许所有源地址为192.168.0.0/16的流量通过。
Router(config)# access-list 2 permit tcp any host 192.168.1.1 eq 80上述命令创建了一个扩展ACL,允许任何源地址的TCP流量通过到目的地址为192.168.1.1、目的端口号为80的主机。
步骤三:应用访问控制列表完成ACL的配置后,我们需要将其应用到实际的接口或接口组上。
以下是一些基本的ACL应用命令:Router(config-if)# ip access-group 1 in上述命令将ACL 1应用到接口的入方向,用于限制进入该接口的流量。
访问控制列表(ACL)配置实验报告
访问控制列表(ACL)配置实验报告实验四访问控制列表(ACL)配置1、实验目的:(1)掌握扩展访问控制列表对某个网段数据流进行抑制的配置方法。
(2)思科交换机的基本ACL配置2、实验环境:利用Boson Network Designer软件绘制两台交换机(Cisco Catalyst1912 型)、一台路由器(Cisco2621型)以及三台PC进行互连。
通过Boson Netsim软件加载绘制好的网络拓扑图,从而进行路由器、交换机以及PC的相关配置,网络拓扑图如图2-1所示。
3、实验内容:(1)使用Boson Network Designer软件绘制路由器互连的网络拓扑图。
(2)运行Boson Netsim软件,加载网络拓扑图后,分别配置好各台PC的IP地址、子网掩码及网关以及对两台交换机与路由器进行基本配置(交换机和路由器的机器名、控制台密码、进入配置模式口令、远程登录口令、各端口的参数)。
(3)在路由器上定义一个扩展访问控制列表,抑制某台PC的ICMP数据流通往其它任意的一条网段。
将该列表应用于路由器的相应端口。
然后,进行相应的Ping测试。
(4)在路由器撤消之前配置的扩展访问控制列表,然后定义一个标准访问控制列表,抑制某条网段的PC机访问另一条网段的PC机。
将该列表应用于路由器的相应端口,最后进行相应的Ping测试。
2.3 实验步骤(1)运行Boson Network Designer软件,按照图2-1所示绘制配置拓扑图,保存在相应的目录下。
(2)运行Boson Netsim软件,加载绘制好的网络拓扑图,然后切换到PC机设置界面,使用winipcfg命令,配置PC1的IP地址为192.168.1.3 ,子网掩码为:255.255.255.0,网关为:192.168.1.1,如下图2-2所示:其他PC机的配置方法类似,配置如下:PC2:192.168.1.4 255.255.255.0 GATEWAY: 192.168.1.1PC3:192.168.2.3 255.255.255.0 GATEWAY: 192.168.2.1PC4:192.168.2.4 255.255.255.0 GATEWAY: 192.168.2.1PC5:192.168.3.3 255.255.255.0 GATEWAY: 192.168.3.1PC6:192.168.4.3 255.255.255.0 GATEWAY: 192.168.4.1(3)进入第一台思科1912交换机的CLI界面,做如下配置:>enable#conf tEnter configuration commands, one per line. End with CNTL/Z.(config)#hostname csi1912sw1csi1912sw1(config)#enable secret level 15 ciscocsi1912sw1(config)#ip addr 192.168.1.2 255.255.255.0csi1912sw1(config)#ip default-gateway 192.168.1.1csi1912sw1(config)#exi进入思科交换机1912的全局配置界面,将其主机名配置为cis1912sw1,登录密码设置为cisco,其管理IP地址为192.168.1.2,子网掩码配置为255.255.255.0,默认网关与其他PC 机一样,为192.168.1.1 ,最后退出全局配置界面。
IP访问控制列表实验
IP访问控制列表(ACL)实验【实验目的】掌握网络交换设备的标准IP访问列表规则及配置。
1.准备知识IP ACL(IP访问控制列表或IP访问列表),是实现对流经路由器或交换机的数据包根据一定的规则进行过滤。
从而提高网络可管理性和安全性。
类似于包过滤防火墙的功能。
IP ACL分为两种:标准IP访问列表和扩展IP访问列表。
标准IP访问列表可以根据数据包的源IP地址定义规则,进行数据包的过滤。
扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。
IP ACL基于接口进行规则的应用方向分为:入口应用和出口应用。
入口应用是对由外部经该接口进入路由器的数据包进行过滤。
出口应用是对从路由器接口向外转发数据时的数据包过滤。
IP ACL的配置有两种方式:按照编号的访问列表,按照命名的访问列表。
标准IP访问列表编号范围是1-99、1300-1999,扩展IP访问列表编号范围是100-199、2000-2699。
2.实验模拟环境和拓扑图在3760三层交换机上连着学校的服务器,另外还连接着学生宿舍楼和学校的办公区,学校规定学生宿舍楼只能访问学校的Web服务器,不能访问办公区。
办公区可以访问学校的Web和FTP服务器。
先配置好VLAN 10中的Web/FTP服务器。
3.配置命名的标准IP访问列表根据以上要求,配置步骤如下:(1)配置三个VLAN:Switch(config)#vlan 10Switch(config-vlan)#name serverSwitch(config)#vlan 20Switch(config-vlan)#name teachersSwitch(config)#vlan 30Switch(config-vlan)#name students(2)将交换机端口加入相对应的VLAN:Switch(config)#interface f0/1Switch(config-if)#switchport access vlan 10Switch(config-if)#exitSwitch(config)#interface f0/2Switch(config-if)#switchport access vlan 20Switch(config-if)#exitSwitch(config)#interface f0/3Switch(config-if)#switchport access vlan 30Switch(config-if)#exit(3)为每个VLAN配置IP地址:Switch(config)#int vlan10Switch(config-if)#ip add 192.168.10.1 255.255.255.0Switch(config-if)#exitSwitch(config)#int vlan 20Switch(config-if)#ip add 192.168.20.1 255.255.255.0Switch(config-if)#exitSwitch(config)#int vlan 30Switch(config-if)#ip add 192.168.30.1 255.255.255.0Switch(config-if)#exit(4)配置三台主机:将三台主机分别插入三个VLAN的端口,并为主机配置好IP地址和默认网关地址。
访问控制列表(ACL)配置实验
实验四:访问控制列表(ACL)配置实验一、实验原理1、ACL的定义和作用路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL定义的。
访问控制列表是偶permit/deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。
2、访问控制列表的分类:1. 基本的访问控制列表(basic acl)2.高级的访问控制列表(advanced acl)3.基于接口的访问控制列表(interface-based acl)4. 基于MAC的访问控制列表(mac-basedacl)三、实验方法和步骤1、按照拓扑图连线2、没有配如ACL访问控制列表的操作3、在AR28-1上配置高级访问控制列表四、实验结果测试一:试从AR18-1端的PC机向对端使用”飞鸽传书“传输数据,和使用PING与对方通信。
实验效果:可以飞鸽传书,可以PING通对方IP实验结果截图如下测试二:试从AR18-1端的PC机向对端使用”飞鸽传书“传输数据,和使用PING与对方通信。
实验效果:Router A/B这一组是通过配置AR28-1的ACL,使用与Router C/D这一组的PC机的飞鸽传书不能传输数据,可以发送聊天信息,可以PING通对方IP.实验结果截图如下五.思考题试分析交换机中ACL 配置信息的内容和作用答:ACL通过对网络资源进行访问输入和输出控制,确保网络设备不被非法访问或被用作攻击跳板。
ACL是一张规则表,交换机按照顺序执行这些规则,并且处理每一个进入端口的数据包。
每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许、要么拒绝数据包通过。
由于规则是按照一定顺序处理的,因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。
实验六访问控制列表上两台路由器
怎样利用 IP 地址 和反掩码 wildcard-mask 来表示 一个网段?
8
反掩码的使用
反掩码和子网掩码相似,但写法不同:
0表示需要比较 1表示忽略比较
4. 实验步骤
21
4.1 基本访问控制列表
1. 画出网络拓扑,并按拓扑图连接网络。 202.1.0.1/24
RTA
g0/0
S5/0 192.1.0.1/24
PCA: 202.1.0.2/24
PCB: 202.1.1.2/24
E0/0
202.1.1.1/24
S1/0
192.1.0.2/24
RTB
访问控制列表3000 作用在Ethernet0/0 接口在OUT方向有 效
Ethernet0/0
Serial0/0
访问控制列表2000 作用在Serial0/0接 口上在IN方向上有 效
18
访问控制列表的匹配规则
一条访问列表可以由多条规则组成,对于这些规则,有两种匹配顺序: auto和config。
基本访问控制列表只使用源地址描述数据,表明是允许还是拒绝。
从
192.110.10.0/24 来的数据包不能
通过!
从
202.110.10.0/24 来的数据包可以
通过!
路由器
7
基本访问控制列表的配置
配置基本访问列表的命令格式如下:
acl number acl-number [ match-order { config | auto } ] rule [ rule-id ] { permit | deny } [ source sour-addr sour-wildcard | any ]
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验报告如有雷同,雷同各方当次实验成绩均以0分计。
警示
2.当次小组成员成绩只计学号、姓名登录在下表中的。
3.在规定时间内未上交实验报告的,不得以其他方式补交,当次成绩按0分计。
4.实验报告文件以PDF格式提交。
【实验题目】访问控制列表(ACL)实验。
【实验目的】
1.掌握标准访问列表规则及配置。
2.掌握扩展访问列表规则及配置。
3. 了解标准访问列表和扩展访问列表的区别。
【实验内容】
完成教材实例5-4(P190),请写出步骤0安装与建立,的步骤,并完成P192~P193的测试要求。
【实验要求】
重要信息信息需给出截图,注意实验步骤的前后对比。
【实验记录】(如有实验拓扑请自行画出)
【实验拓扑】
本实验的拓扑图结构如下图:
【实验设备】
路由器一台,PC 5台(其中两台作为和)。
【实验原理】
基于时间的ACL是在各种ACL规则(标准ACL、扩展ACL等)后面应用时间段选
项(time-range)以实现基于时间段的访问控制。
当ACL规则应用了时间段后,只有在
此时间范围内规则才能生效。
此外,只有配置了时间段的规则才会在指定的时间段内生
效,其他未引用时间段的规则将不受影响。
要基于时间的ACL一生效,一般需要下面的配置步骤。
(1)定义时间段及时间范围。
(2)ACL自身的配置,即将详细的规则添加到ACL中。
(3)应用ACL,将设置好的ACL添加到相应的端口中。
【实验步骤】
步骤0:
(1)配置3台PC(PC1、PC2和Manager)的IP地址、掩码、网关。
(2)检查PC与服务器的连通性如何?
PC与服务器无法连通,因为还未安装和和配置路由器。
(3)在服务器上安装和。
需至少创建一个用户名和口令。
我们选择Serv-U,下载安装后见如下界面。
先新建域:
再创建用户,设置用户名和密码,选择根目录。
我们选择Apache。
下载,命令行下进入bin目录,使用httpd -k install命令安装。
发现Apache无法正常启动,查看:
发现80端口被占用,所以修改conf文件夹下的httpd.conf文件,找到Listen 80一行,把80改为8080(可以设为其它的,最好大于1024,而且必须小于等于65535),保存,然后重新启动Apache服务。
步骤1:路由器基本配置。
Router#configure terminal
Router(config)#interface gigabitethernet0/0
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#exit
Router(config)#interface gigabitethernet0/1
Router(config-if)#ip address 10.1.1.1 255.255.255.0
Router(config-if)#exit
步骤2:验证当前配置。
(1)验证PC与服务器的连通性。
(2)经理机和员工机可否登录?通过http:// 10. 1. 1. 100 可否访问WWW Server?判断目前结果是否达到预期目标,说明原因。
可以登录。
通过http:// 10. 1. 1. 100 可以访问到,结果达到预期目标,因为已经安装好和,路由器输入链路和输入链路配置好网关和掩码,而且路由器上并没有访问控制的限制。
步骤3:配置时间段。
定义正常上班时间段。
步骤4:配置ACL
配置ACL,并应用时间段,以实现需求中基于时间段的访问控制。
步骤5:应用ACL。
将ACL应用到F0/0接口的入方向。
Router(config)#interface gigabitethernet0/0
Router(config-if)#ip access-group accessctrl in
Router(config-if)#end
步骤6:验证测试。
在使用基于时间的ACL时,要保证设备(路由器或交换机)的系统时间的准确性,因为设备是根据自己的系统时间(而不是PC时间)来判断当前时间是否在时间范围内。
这个可以在特权模式下使用show clock命令来查看当前系统时间,并使用clock set命令
调整系统时间。
通过调整设备的系统时间来实现不同时间段测试ACL是否生效。
本例分别作下列测试。
(1)查看路由器的系统时间:show clock判断当前时间段。
(2)经理的主机Manager用步骤0建立的用户名登录,并通过http:// 10. 1. 1. 100访问,在设定时间段内是否能登录和访问?
改变路由器系统时间段为正常上班时间:
能登陆和访问:
能访问:
(3)普通员工主机A、B分别用步骤0建立的用户名登录,并通过http:// 10. 1. 1. 100访问,在设定时间内能登录和访问?
能登陆,但不能访问上的文件夹:
不能访问。
(4)改变路由器系统时间段:clock set,在其他时间段执行(2)~(3)的测试。
改变路由器系统时间段为正常下班时间:
经理的主机Manager能登陆和访问,也能访问:
普通员工主机能访问,但不能登陆和访问FTP:
(5)抓取主机访问服务器时的数据包,并进行分析。
报文20~22为三次握手过程:
报文24~27可看出登录名为lab,密码为lab:
报文28~31表明服务器响应客户机发出的请求:
报文32~35为四次挥手过程:
ACL应用广泛,例如在NAT、IPv4-IPv6地址翻译、VPN技术中,都使用了ACL,因此需要认真掌握。
本次实验完成后,请根据组员在实验中的贡献,请实事求是,自评在实验中应得的分数。
(按百分制)
【交实验报告】
上传实验报告:截止日期(不迟于):1周之内
上传包括两个文件:
(1)小组实验报告。
上传文件名格式:小组号_ Ftp协议分析实验.pdf (由组长负责上传)例如: 文件名“10_ Ftp协议分析实验.pdf”表示第10组的Ftp协议分析实验报告
(2)小组成员实验体会。
每个同学单独交一份只填写了实验体会的实验报告。
只需填写自己的学号和姓名。
文件名格式:小组号_学号_姓名_ Ftp协议分析实验.pdf (由组员自行上传)
例如: 文件名“10_05373092_张三_ Ftp协议分析实验.pdf”表示第10组的Ftp协议分析实验报告。
注意:不要打包上传!。