南京邮电大学.docx
《南京邮电大学.docx》由会员分享,可在线阅读,更多相关《南京邮电大学.docx(27页珍藏版)》请在冰点文库上搜索。
南京邮电大学
实验报告
课程名称
思科路由器开放实验
实验名称
基于ACL的访问控制及安全策略的设计实验
实验时间
2012
年
6
月
2-3
日
实验报告
实验名称
基于ACL的访问控制及安全策略的设计实验
实验类型
开放实验
实验学时
16
实验时间
一、实验目的和要求
访问控制列表(AccessControlList,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。
验要求学生掌握访问控制列表的配置,理解ACL的执行过程;能够根据ACL设计安全的网络。
实验要求完成以下工作:
1.标准ACL。
实验目标:
本实验拒绝student所在网段访问路由器R2,同时只允许主机teacher访问路由器R2的telnet服务。
2.扩展ACL实验:
实验目标:
学生不能访问ftp,但能访问www,教师不受限制。
3.防止地址欺骗。
外部网络的用户可能会伪装自己的ip地址,比如使用内部网的合法IP地址或者回环地址作为源地址,从而实现非法访问。
解决办法:
将可能伪装到的ip地址拒绝掉。
二、实验环境(实验设备)
PC机,并安装CiscoPacketTracer软件或者是真实的思科网络设备(路由器交换机)。
三、实验原理及内容
一基本ACL实验:
1.标准ACL。
实验目标:
本实验拒绝student所在网段访问路由器R2,同时只允许主机teacher访问路由器R2的telnet服务。
实验拓补图如下:
实验配置如下:
Router>en
Router#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#hostR1
R1(config)#intf0/0
R1(config-if)#noshut
%LINK-5-CHANGED:
InterfaceFastEthernet0/0,changedstatetoup
%LINEPROTO-5-UPDOWN:
LineprotocolonInterfaceFastEthernet0/0,changedstatetoup
R1(config-if)#exit
R1(config)#ints0/0/0
R1(config-if)#clockrate64000
R1(config-if)#noshut
%LINK-5-CHANGED:
InterfaceSerial0/0/0,changedstatetodown
R1(config-if)#exit
R1(config)#routereigrp100
0.0.0.255
R1(config-router)#noauto
R1(config-router)#end
R1#
%SYS-5-CONFIG_I:
Configuredfromconsolebyconsole
R1#copyrunstart
Destinationfilename[startup-config]?
Buildingconfiguration...
[OK]
Router>en
Router#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#hostR2
R2(config)#ints0/0/1
R2(config-if)#noshut
%LINK-5-CHANGED:
InterfaceSerial0/0/1,changedstatetoup
R2(config-if)#
%LINEPROTO-5-UPDOWN:
LineprotocolonInterfaceSerial0/0/1,changedstatetoup
R2(config-if)#exit
R2(config)#ints0/0/0
R2(config-if)#clockrate64000
R2(config-if)#noshut
%LINK-5-CHANGED:
InterfaceSerial0/0/0,changedstatetodown
R2(config-if)#exit
R2(config)#intf0/0
R2(config-if)#noshut
R2(config-if)#
%LINK-5-CHANGED:
InterfaceFastEthernet0/0,changedstatetoup
R2(config-if)#exit
%LINEPROTO-5-UPDOWN:
LineprotocolonInterfaceFastEthernet0/0,changedstatetoup
R2(config)#routereigrp100
R2(config-router)#
0.0.0.255
R2(config-router)#noauto
R2(config-router)#
R2(config-router)#exit
R2(config)#exit
R2#
%SYS-5-CONFIG_I:
Configuredfromconsolebyconsole
R2#copyrunstart
Destinationfilename[startup-config]?
Buildingconfiguration...
[OK]
Router>en
Router#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#hostR3
R3(config)#ints0/0/1
R3(config-if)#noshut
R3(config-if)#
%LINK-5-CHANGED:
InterfaceSerial0/0/1,changedstatetoup
R3(config-if)#exit
R3(config)#intf0/0
R3(config-if)#noshut
R3(config-if)#
%LINK-5-CHANGED:
InterfaceFastEthernet0/0,changedstatetoup
%LINEPROTO-5-UPDOWN:
LineprotocolonInterfaceFastEthernet0/0,changedstatetoup
R3(config-if)#exit
R3(config)#routereigrp100
0.0.0.255
R3(config-router)#noauto
R3(config-router)#
R3(config-router)#end
R3#
%SYS-5-CONFIG_I:
Configuredfromconsolebyconsole
R3#copyrunstart
Destinationfilename[startup-config]?
Buildingconfiguration...
[OK]
R2#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
0.0.0.255
R2(config)#access-list1permitany
R2(config)#ints0/0/1
R2(config-if)#ipaccess-group1in
R2(config-if)#exit
R2(config)#linevty04
R2(config-line)#password501
R2(config-line)#login
R2(config-line)#access-class2in
R2(config-line)#end
R2#
%SYS-5-CONFIG_I:
Configuredfromconsolebyconsole
R2#copyrunstart
Destinationfilename[startup-config]?
Buildingconfiguration...
Requesttimedout.
Requesttimedout.
Requesttimedout.
Requesttimedout.
Packets:
Sent=4,Received=0,Lost=4(100%loss),
[OK]
Requesttimedout.
Requesttimedout.
Requesttimedout.
Requesttimedout.
Packets:
Sent=4,Received=0,Lost=4(100%loss),
配ACL之后,teacher机可以telnetR2,效果如下。
UserAccessVerification
Password:
501
R2>en
%Nopasswordset.
R2>
但只允许teacher机telnetR2,在R3上telnetR2不成功。
%Connectionrefusedbyremotehost
%Connectionrefusedbyremotehost
%Connectionrefusedbyremotehost
在student机上telnetR2不成功。
%Connectiontimedout;remotehostnotresponding
%Connectiontimedout;remotehostnotresponding
%Connectiontimedout;remotehostnotresponding
在R1上telnetR2不成功。
%Connectionrefusedbyremotehost
%Connectionrefusedbyremotehost
%Connectionrefusedbyremotehost
Teacher机:
%Connectiontimedout;remotehostnotresponding
%Connectiontimedout;remotehostnotresponding
R3>en
%Connectiontimedout;remotehostnotresponding
%Connectionrefusedbyremotehost
%Connectionrefusedbyremotehost
%Connectionrefusedbyremotehost
%Connectiontimedout;remotehostnotresponding
%Connectionrefusedbyremotehost
SERVER>
2扩展ACL实验:
实验目标:
学生不能访问ftp,但能访问www,教师不受限制。
实验拓补图如下:
实验配置如下:
R2#shaccess-lists
StandardIPaccesslist1
0.0.0.255
permitany(11match(es))
StandardIPaccesslist2
R2#shrun
interfaceSerial0/0/1
ipaccess-group1in
!
linevty04
access-class2in
password501
login
!
删除ACL:
R2#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
R2(config)#ints0/0/1
R2(config-if)#noipaccess-group1in
R2(config-if)#exit
R2(config)#noaccess-list1
R2(config)#linevty04
R2(config-line)#noaccess-class2in
R2(config-line)#nopassword
R2(config-if)#exit
R2(config)#noaccess-list2
可以用shaccess-lists和shrun查看。
R2#shaccess-lists
R2#shrun
R2#copyrunstart
Destinationfilename[startup-config]?
Buildingconfiguration...
[OK]
配ACL之前测试:
student的pc机测试结果如下:
Packets:
Sent=4,Received=4,Lost=0(0%loss),
Approximateroundtriptimesinmilli-seconds:
Minimum=141ms,Maximum=203ms,Average=161ms
student机上测试:
220-WelcometoPTFtpserver
Username:
cisco
331-Usernameok,needpassword
Password:
cisco
230-Loggedin
(passivemodeOn)
ftp>
ftp>ctrl+c
PacketTracerPCCommandLine1.0
PC>
的对应关系之后,也可以以域名的方式登录到ftp服务器。
220-WelcometoPTFtpserver
Username:
cisco
331-Usernameok,needpassword
Password:
cisco
230-Loggedin
(passivemodeOn)
ftp>exit
Invalidornonsupportedcommand.
ftp>ctrl+c
PacketTracerPCCommandLine1.0
PC>
Packets:
Sent=4,Received=4,Lost=0(0%loss),
Approximateroundtriptimesinmilli-seconds:
Minimum=172ms,Maximum=188ms,Average=183ms
配dns之前,pingteacher的ip地址,但ping不了域名;配dns之后,ip地址和域名都可以ping通。
Teacher的域名,服务器的域名,student的域名。
Packets:
Sent=4,Received=4,Lost=0(0%loss),
Approximateroundtriptimesinmilli-seconds:
Minimum=156ms,Maximum=172ms,Average=160ms
Packets:
Sent=4,Received=4,Lost=0(0%loss),
Approximateroundtriptimesinmilli-seconds:
Minimum=125ms,Maximum=157ms,Average=144ms
在student上测试www服务。
在student机的桌面,在WEB浏览器的地址栏里输入
显示网页内容:
CiscoPacketTracer
Welcometonjuptfilmsite.youcandownloadfilms.QuickLinks:
Asmallpage
Copyrights
Imagepage
Image
在student机的桌面,在WEB浏览器的地址栏里输入,同样可以显示网页内容。
teacher的pc机测试结果如下:
Requesttimedout.
Packets:
Sent=4,Received=3,Lost=1(25%loss),
Approximateroundtriptimesinmilli-seconds:
Minimum=127ms,Maximum=143ms,Average=136ms
在R1上配ACL。
0.0.0
0.0.0
0.0.0.255any
R1(config)#intf0/0
R1(config-if)#ipaccess-group101in
R1#shaccess-lists
ExtendedIPaccesslist101
0.0.0
0.0.0
0.0.0.255any
R1#shrun
Buildingconfiguration...
Currentconfiguration:
2004bytes
!
version12.4
noservicetimestampslogdatetimemsec
noservicetimestampsdebugdatetimemsec
noservicepassword-encryption
!
hostnameR1
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interfaceFastEthernet0/0
ipaccess-group101in
duplexauto
speedauto
……
Student上配好acl后,再测Student能否访问服务器的ftp服务和www服务。
.
PacketTracerPCCommandLine1.0
PC>(Disconnectingfromftpserver)
.
PacketTracerPCCommandLine1.0
PC>(Disconnectingfromftpserver)
PacketTracerPCCommandLine1.0
说明student机已不能访问服务器的ftp服务了。
二高级ACL
扩展ACL的应用
1.防止地址欺骗。
R1是内网的边界路由器,R2是外网的边界路由器。
外部网络的用户可能会伪装自己的ip地址,比如使用内部网的合法IP地址或者回环地址作为源地址,从而实现非法访问。
解决办法:
将可能伪装到的ip地址拒绝掉。
Router(config)#hostR1
R1(config)#ints0/0/1
R1(config-if)#clockrate64000
R1(config-if)#noshut
R1(config)#intf0/0
R1(config-if)#noshut
R1(config)#routereigrp100
(Serial0/0/1)isup:
newadjacency
R1(config-router)#noauto
//*May1011:
29:
57.010:
IP-EIGRP(Default-IP-Routing-Table:
100):
Neighbor192.168.1
.1notoncommonsubnetforFastEthernet0/0
R1(config-router)#
(Serial0/0/1)isresync:
summaryconfigured
R1(config-router)#
(Serial0/0/1)isresync:
summaryconfigured
*May1011:
30:
10.942:
IP-EIGRP(Default-IP-Routing-Table:
100):
Neighbor192.168.1
.1notoncommonsubnetforFastEthernet0/0
*May1011:
30:
24.934:
IP-EIGRP(Default-IP-Routing-Table:
100):
Neighbor192.168.1
.1notoncommonsubnetforFastEthernet0/0
*May1011:
30:
38.838:
IP-EIGRP(Default-IP-Routing-Table:
100):
Neighbor192.168.1
.1notoncommonsubnetforFastEthernet0/0
*May1011:
30:
53.090:
IP-EIGRP(Default-IP-Routing-Table:
100):
Neighbor192.168.1
.1notoncommonsubnetforFastEthernet0/0
*May1011:
31:
07.222:
IP-EIGRP(Default-IP-Routing-Table:
100):
Neighbor192.168.1
.1notoncommonsubnetforFastEthernet0/0
//
以上系统显示异常的原因是网络有环路,这里产生环路的连接是因为3560交换机和两台2950交换机分别用交叉线连接,三台路由器两两连接,三台路由器分别与三台交换机连接。
R1(config)#ipaccess-listextendedingress-antspoof
R1(config-ext-nacl)#denyip10.0.0
R1(config-ext-nacl)#denyiphost0.0.0.0any//阻止没有列出源地址的通信流。
R1(config-ext-nacl)#permitipanyany
R1(config-ext-nacl)#ex
R1(config)#ints0/0/1
R1(config-if)#ipaccess-groupingress-antspoofin
Router(config)#hostR2
Router(config)#ints0/0/1
Router(config-if)#noshut
Router(config-if)#ex
R2(config)#intf0/0
R2(config-if)#noshut
R2(config-if)#ex
R2(config)#routereigrp100
R2(config-router)#noauto
在R1上,配好acl,从pc2pingpc1
升级会员 