蓝狐ACl访问控制列表实验.docx
《蓝狐ACl访问控制列表实验.docx》由会员分享,可在线阅读,更多相关《蓝狐ACl访问控制列表实验.docx(27页珍藏版)》请在冰点文库上搜索。
蓝狐ACl访问控制列表实验
ACl组网测试实验
组网一:
ACL流量访问控制
1.拓朴:
2.Ip地址分配表:
3.实验组网需求:
实现192.168.1.192-192.168.1.255不能访问192.168.2.128-192.168.2.255
4.配置步骤:
在RT1上的E3/1口的入方向使用标准ACl实现(方法一)
RT1(config)#access-list2deny192.168.1.1920.0.0.63
//创建access-list2,拒绝 192.168.1.192—192.168.1.255的流量
RT1(config)#access-list2permit192.168.1.00.0.0.255
//允许192.168.1.0/24的流量通过
RT1(config)#interfacee3/1
RT1(config-if)#ipaccess-group2in //将access-list2 应用在接口E3/1的入方向
在RT1的E3/1口的入方向使用扩展ACL实现(方法二)
RT1(config)#access-list101denyip192.168.1.1920.0.0.63192.168.2.1280.0.0.127
//创建access-list101,拒绝 192.168.1.192—192.168.1.255访问192.168.2.128—192.168.2.255
RT1(config)#access-list101permitipanyany //允许其它主机之间的访问
RT1(config)#interfacee3/1
RT1(config-if)#ipaccess-group101in//将access-list 101应用在接口E3/1的入方向
在RT1上的E3/2的入方向使用标准ACl实现(方法三)
RT1(config)#access-list4deny192.168.1.1920.0.0.63
//创建access-list4,拒绝 192.168.1.192—192.168.1.255的流量通过
RT1(config)#access-list4permitany //允许任何网段的流量通过
RT1(config)#interfaceethernet3/2
RT1(config-if)#ipaccess-group4out //将access-list4 应用在接口E3/2的出方向
在RT1的E3/2口的入方向使用扩展ACL实现(方法四)
RT1(config)# access-list102denyip192.168.1.1920.0.0.63192.168.2.1280.0.0.127
//创建access-list102,拒绝 192.168.1.192—192.168.1.255访问192.168.2.128—192.168.2.255
RT1(config)#access-list102permitipanyany//允许其它主机之间的访问
RT1(config)#interfaceethernet3/2
RT1(config-if)#ipaccess-group102out //将access-list102 应用在接口E3/2的出方向
实验总结
标准ACL
扩展ACL
基于特征来区分数据
源IP地址
源目地址,源目端口号,传输层协议
访问控制列表号
1-99.1300-1999
100--199.2000-2699
末尾隐藏
deny any
deny ip any any
每个条件都必须匹配,才会施加允许或拒绝条件
组网二:
ACL设备访问控制
1.拓朴:
2.Ip地址分配表:
3.实现组网需求:
实现只有192.168.3.0/24网段能够Telnet到RT1
RT1(config)#access-list1permit192.168.3.00.0.0.255//允许192.168.3.0/24的流量通过
RT1(config)#linevty04//进入vty接口模式
RT1(config-line)#access-class1in//应用acl
组网三:
放通路由协议数据包
1.拓朴:
2.Ip地址分配表
3.实现组网需求
实现192.168.3.0/24网段只能被192.168.1.0/24网段访问
4.配置步骤:
PC1(RT5)上的配置
RT5(config)#interfacee3/1
RT5(config-if)#ipaddress192.168.1.100255.255.255.0
RT5(config-if)#noshutdown
RT5(config)#iproute0.0.0.00.0.0.0192.168.1.1
RT1上的配置
RT1(config)#interfaceloopback0
RT1(config-if)#ipaddress192.168.0.1255.255.255.255
RT1(config)#interfacee3/0
RT1(config-if)#ipaddress192.168.0.5255.255.255.252
RT1(config-if)#noshutdown
RT1(config)#interfacee3/1
RT1(config-if)#ipaddress192.168.1.1255.255.255.0
RT1(config-if)#noshutdown
RT1(config)#interfacee3/2
RT1(config-if)#ipaddress192.168.2.1255.255.255.0
RT1(config-if)#noshutdown
RT1(config)#routerospf1
RT1(config-router)#router-id192.168.0.1
RT1(config-router)#network192.168.0.40.0.0.3area0
RT1(config-router)#network192.168.1.00.0.0.255area0
RT1(config-router)#network192.168.2.00.0.0.255area0
RT1(config-router)#passive-interfacee1/0
RT3上的配置
RT3(config)#interfaceloopback0
RT3(config-if)#ipaddress192.168.0.2255.255.255.255
RT3(config)#interfacee3/0
RT3(config-if)#ipaddress192.168.0.6255.255.255.252
RT3(config-if)#noshutdown
RT3(config)#interfacee3/3
RT3(config-if)#ipaddress192.168.3.1255.255.255.0
RT3(config-if)#noshutdown
RT3(config)#routerospf1
RT3(config-router)#router-id192.168.0.2
RT3(config-router)#network192.168.0.40.0.0.3area0
RT3(config-router)#network192.168.3.10.0.0.255area0
RT3(config-router)#passive-interfacee3/3
ACL配置:
在RT3的E3/0口的入方向使用命名的扩展ACl实现(方法一)
RT3(config)#ipaccess-listextendedaa//新建一个命名为aa的ACl
RT3(config-ext-nacl)#permitospfanyany //允许OSPF协议有关的流量放通
RT3(config-ext-nacl)#permitip192.168.1.00.0.0.255192.168.3.00.0.0.255
//只允许192.168.1.0/24的网段访问192.168.3.0/24的流量通过
RT3(config)#interfacee3/0
RT3(config-if)#ipaccess-groupaain//应用在E3/0的In方向
Ping(通/不通)
PC1(RT5)
PC2
RT1
192.168.3.100
Y
N
N
192.168.3.1
Y
N
N
在RT3的E3/0口的入方向使用命名的扩展ACl实现(方法二):
RT3(config)#ipaccess-listextendedaa //新建一个命名为flow1的ACl
RT3(config-ext-nacl)#permitip192.168.1.0 0.0.0.255192.168.3.00.0.0.255
//只允许192.168.1.0/24的网段访问192.168.3.0/24的流量通过
RT3(config)#interfacee3/0
RT3(config-if)#ipaccess-groupaain//应用在E3/0的in方向
Ping(通/不通)
PC1(RT5)
PC2
RT1
192.168.3.100
N
N
N
192.168.3.1
N
N
N
在RT3的E3/3口的出方向使用命名的扩展ACl实现(方法三):
RT3(config)#ipaccess-listextendedaa //新建一个命名为aa的ACl
RT3(config-ext-nacl)#permitip192.168.1.0 0.0.0.255192.168.3.00.0.0.255
//只允许192.168.1.0/24的网段访问192.168.3.0/24的流量通过
RT3(config-ext-nacl)#exit
RT3(config)#interfacee3/3
RT3(config-if)#ipaccess-groupaaout//应用在E3/3的out方向
Ping(通/不通)
PC1(RT5)
PC2
RT1
192.168.3.100
Y
N
N
192.168.3.1
Y
N
N
实验总结:
部署ACl时要考虑协议数据流量
访问需求最好在末端网段或网络边界实现,骨干链路尽量不要部署。
方法二中,只允许192.168.1.0/24访问192.168.3.0/24,OSPF的Hello信息交互收到阻碍,因此是不能够实现需求的。
组网四:
动态ACL
1.拓朴:
2.IP地址分配表:
路由器名称
Loopback口
E1/0
E1/1
R1
1.1.1.1/32
192.168.1.1/24
N
R2
2.2.2.2/32
192.168.1.2/24
192.168.2.2/24
R3
3.3.3.3/32
192.168.2.1/24
N
3.组网需求:
实验一:
基本的动态访问列表的应用(手动激活)
实验说明:
使用3台路由器,R1模拟一个内网用户;R2模拟网关;R3模拟外网的一台服务器。
R2上已经做了策略禁止R1远程登陆到R3,它只允许R1远程登陆到R2上,然后激活一个动态访问列表。
这个动态访问表是临时性的,它允许R1在一个特定的时间内可以登陆到R3上,现在进行配置
4.配置步骤:
R1(config-if)#ipaddress192.168.1.1255.255.255.0
R1(config-if)#noshutdown
R1(config)#interfaceloopback0
R1(config-if)#ipaddress1.1.1.1255.255.255.255
R1(config)#iproute192.168.2.0255.255.255.0192.168.1.2
R1(config)#iproute3.3.3.3255.255.255.255192.168.1.2
R2(config)#linevty04
R2(config-line)#privilegelevel15
R2(config-line)#loggingsynchronous
R2(config-line)#passwordcisco
R2(config-line)#login
R2(config-line)#^Z
R2(config)#interfacee1/0
R2(config-if)#ipaddress192.168.1.2255.255.255.0
R2(config-if)#noshutdown
R2(config)#interfaceloopback0
R2(config-if)#ipaddress2.2.2.2255.255.255.255
R2(config)#interfacee1/1
R2(config-if)#ipaddress192.168.2.2255.255.255.0
R2(config-if)#noshutdown
R3(config)#linevty04
R3(config-line)#privilegelevel15
R3(config-line)#loggingsynchronous
R3(config-line)#passwordcisco
R3(config-line)#login
R3(config-line)#^Z
R3(config)#interfacee1/0
R3(config-if)#ipaddress192.168.2.1255.255.255.0
R3(config-if)#noshutdown
R3(config)#interfaceloopback0
R3(config-if)#ipaddress3.3.3.3255.255.255.255
R3(config)#iproute192.168.1.0255.255.255.0192.168.2.2
R3(config)#iproute1.1.1.1255.255.255.255192.168.2.2
R1#telnet192.168.2.1
Trying192.168.2.1...Open
UserAccessVerification
Password:
R3#
测试从RT1通过telnet192.168.2.1输入密码cisco是可以进入R3的命令行的
R2(config)#ipaccess-listextendedaa//命名ACL为aa
R2(config-ext-nacl)#permiticmpanyany//允许icmp的流量
R2(config-ext-nacl)#permittcphost192.168.1.1host192.168.1.2eqtelnet//允许主机192.168.1.1通过telnet访问R2
R2(config)#interfacee1/0
R2(config-if)#ipaccess-groupaain//应用在接口上
R1>telnet192.168.1.2
Trying192.168.1.2...Open
UserAccessVerification
Password:
R2#
测试从RT1是可以telnet进入RT2的
R1>telnet192.168.2.1
Trying192.168.2.1...
R1#telnet192.168.2.1
Trying192.168.2.1...
%Destinationunreachable;gatewayorhostdown//目标不可达;网关或者主机是关闭的
测试从R1通过telnet是进入不了R3的
在R2上建立动态访问列表允许R1可以动态的暂时的登陆到R3
R2(config)#ipaccess-listextendedaa//建立ACL叫aa
R2(config-ext-nacl)dynamicbbtimeout5permittcphost192.168.1.1host192.168.2.1eqtelnet//在命名ACLaa中建立一条名为bb的动态列表项,timeout值表示动态列表项被激活后只能存在5分钟,之后将消失。
R2(config)#interfacee1/0
R2(config-if)#ipaccess-groupaain//应用到接口
R1#telnet192.168.2.1
Trying192.168.2.1...
%Destinationunreachable;gatewayorhostdown
结果还是远程不上去,因为刚刚建立的动态ACL还需要激活的
R1>telnet192.168.1.2
Trying192.168.1.2...Open
UserAccessVerification
Password:
R2#access-enable//进入R2中激活注意此命令只能在VTY线程下输入
激活完成后,再登录R3
R1>telnet192.168.2.1
Trying192.168.2.1...Open
UserAccessVerification
Password:
R3#
在R2上查看访问列表
R2#showipaccess-lists
ExtendedIPaccesslistaa
10Dynamicbbpermittcphost192.168.1.1host192.168.2.1eqtelnet
permittcphost192.168.1.1host192.168.2.1eqtelnet(21matches)
20permiticmpanyany
30permittcphost192.168.1.1host192.168.1.2eqtelnet(117matches)
可以看到访问列表中出现一动态列表项,允许R1通过telnet访问R3
但是过5分钟后再查看列表
R2#shoaccess-list
ExtendedIPaccesslistaa
10Dynamicbbpermittcphost192.168.1.1host192.168.2.1eqtelnet
20permiticmpanyany
30permittcphost192.168.1.1host192.168.1.2eqtelnet(117matches)
这里再查看发现这条动态列表项已经不在了。
现在再进一步的研究一下命令的几个参数
R2#access-enable?
hostEnableaspecifichostonly
timeoutMaximumidletimetoexpirethisentry
先做host参数,先更改动态列表
R2(config)#ipaccess-listextendedaa
R2(config-ext-nacl)#noDynamicbbpermittcphost192.168.1.1host192.168.2.1eqtelnet//删除原先动态列表
R2(config-ext-nacl)#dynamicccpermittcpanyhost192.168.2.1eqtelnet//建立动态列表
R1#telnet192.168.1.2
Trying192.168.1.2...Open
UserAccessVerification
Password:
R2#access-enable//激活动态列表
查看访问控制列表
R2#shoipaccess
ExtendedIPaccesslistaa
20permiticmpanyany
30permittcphost192.168.1.1host192.168.1.2eqtelnet(228matches)
40Dynamicccpermittcpanyhost192.168.2.1eqtelnet
permittcpanyhost192.168.2.1eqtelnet
R1#telnet192.168.2.1/source-interfaceloopback0
Trying192.168.2.1...Open
R1#telnet192.168.1.2
Trying192.168.1.2...Open
UserAccessVerification
Password:
R2#access-enablehost//激活用host
查看R2的访问列表
R2#showipaccess-lists
ExtendedIPaccesslistaa
20permiticmpanyany(16matches)
30permittcphost192.168.1.1host192.168.1.2eqtelnet(528matches)
40Dynamicccpermittcpanyhost192.168.2.1eqtelnet
permittcphost192.168.1.1host192.168.2.1eqtelnet
注意这次生成的动态列表项的源只有192.168.12.1;而不是刚才的ANY
R1#telnet192.168.2.1/source-interfaceloopback0
Trying192.168.2.1...
%Destinationunreachable;gatewayorhostdown
这次以loopback0为源无法登录到R3这就是host的作用
再通过timeout来激活
R2#access-enabletimeout1
激活后,不进行