南京邮电大学Word文档下载推荐.docx
《南京邮电大学Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《南京邮电大学Word文档下载推荐.docx(27页珍藏版)》请在冰点文库上搜索。
![南京邮电大学Word文档下载推荐.docx](https://file1.bingdoc.com/fileroot1/2023-4/30/873e88d6-f9dc-484b-8309-c78af1b1655c/873e88d6-f9dc-484b-8309-c78af1b1655c1.gif)
本实验拒绝student所在网段访问路由器R2,同时只允许主机teacher访问路由器R2的telnet服务。
2.扩展ACL实验:
学生不能访问ftp,但能访问www,教师不受限制。
3.防止地址欺骗。
外部网络的用户可能会伪装自己的ip地址,比如使用内部网的合法IP地址或者回环地址作为源地址,从而实现非法访问。
解决办法:
将可能伪装到的ip地址拒绝掉。
二、实验环境(实验设备)
PC机,并安装CiscoPacketTracer软件或者是真实的思科网络设备(路由器交换机)。
三、实验原理及内容
一基本ACL实验:
实验拓补图如下:
实验配置如下:
Router>
en
Router#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#hostR1
R1(config)#intf0/0
R1(config-if)#noshut
%LINK-5-CHANGED:
InterfaceFastEthernet0/0,changedstatetoup
%LINEPROTO-5-UPDOWN:
LineprotocolonInterfaceFastEthernet0/0,changedstatetoup
R1(config-if)#exit
R1(config)#ints0/0/0
R1(config-if)#clockrate64000
InterfaceSerial0/0/0,changedstatetodown
R1(config)#routereigrp100
0.0.0.255
R1(config-router)#noauto
R1(config-router)#end
R1#
%SYS-5-CONFIG_I:
Configuredfromconsolebyconsole
R1#copyrunstart
Destinationfilename[startup-config]?
Buildingconfiguration...
[OK]
Router(config)#hostR2
R2(config)#ints0/0/1
R2(config-if)#noshut
InterfaceSerial0/0/1,changedstatetoup
R2(config-if)#
LineprotocolonInterfaceSerial0/0/1,changedstatetoup
R2(config-if)#exit
R2(config)#ints0/0/0
R2(config-if)#clockrate64000
R2(config)#intf0/0
R2(config)#routereigrp100
R2(config-router)#
R2(config-router)#noauto
R2(config-router)#exit
R2(config)#exit
R2#
R2#copyrunstart
Router(config)#hostR3
R3(config)#ints0/0/1
R3(config-if)#noshut
R3(config-if)#
R3(config-if)#exit
R3(config)#intf0/0
R3(config)#routereigrp100
R3(config-router)#noauto
R3(config-router)#
R3(config-router)#end
R3#
R3#copyrunstart
R2#conft
R2(config)#access-list1permitany
R2(config-if)#ipaccess-group1in
R2(config)#linevty04
R2(config-line)#password501
R2(config-line)#login
R2(config-line)#access-class2in
R2(config-line)#end
Requesttimedout.
Packets:
Sent=4,Received=0,Lost=4(100%loss),
配ACL之后,teacher机可以telnetR2,效果如下。
UserAccessVerification
Password:
501
R2>
%Nopasswordset.
但只允许teacher机telnetR2,在R3上telnetR2不成功。
%Connectionrefusedbyremotehost
在student机上telnetR2不成功。
%Connectiontimedout;
remotehostnotresponding
在R1上telnetR2不成功。
Teacher机:
R3>
SERVER>
2扩展ACL实验:
R2#shaccess-lists
StandardIPaccesslist1
permitany(11match(es))
StandardIPaccesslist2
R2#shrun
interfaceSerial0/0/1
ipaccess-group1in
!
linevty04
access-class2in
password501
login
删除ACL:
R2(config-if)#noipaccess-group1in
R2(config)#noaccess-list1
R2(config-line)#noaccess-class2in
R2(config-line)#nopassword
R2(config-if)#exit
R2(config)#noaccess-list2
可以用shaccess-lists和shrun查看。
配ACL之前测试:
student的pc机测试结果如下:
Sent=4,Received=4,Lost=0(0%loss),
Approximateroundtriptimesinmilli-seconds:
Minimum=141ms,Maximum=203ms,Average=161ms
student机上测试:
220-WelcometoPTFtpserver
Username:
cisco
331-Usernameok,needpassword
230-Loggedin
(passivemodeOn)
ftp>
ctrl+c
PacketTracerPCCommandLine1.0
PC>
的对应关系之后,也可以以域名的方式登录到ftp服务器。
exit
Invalidornonsupportedcommand.
Minimum=172ms,Maximum=188ms,Average=183ms
配dns之前,pingteacher的ip地址,但ping不了域名;
配dns之后,ip地址和域名都可以ping通。
Teacher的域名,服务器的域名,student的域名。
Minimum=156ms,Maximum=172ms,Average=160ms
Minimum=125ms,Maximum=157ms,Average=144ms
在student上测试www服务。
在student机的桌面,在WEB浏览器的地址栏里输入
显示网页内容:
CiscoPacketTracer
Welcometonjuptfilmsite.youcandownloadfilms.QuickLinks:
Asmallpage
Copyrights
Imagepage
Image
在student机的桌面,在WEB浏览器的地址栏里输入,同样可以显示网页内容。
teacher的pc机测试结果如下:
Sent=4,Received=3,Lost=1(25%loss),
Minimum=127ms,Maximum=143ms,Average=136ms
在R1上配ACL。
0.0.0
0.0.0.255any
R1(config)#intf0/0
R1(config-if)#ipaccess-group101in
R1#shaccess-lists
ExtendedIPaccesslist101
0.0.0.255any
R1#shrun
Currentconfiguration:
2004bytes
version12.4
noservicetimestampslogdatetimemsec
noservicetimestampsdebugdatetimemsec
noservicepassword-encryption
hostnameR1
interfaceFastEthernet0/0
ipaccess-group101in
duplexauto
speedauto
……
Student上配好acl后,再测Student能否访问服务器的ftp服务和www服务。
.
(Disconnectingfromftpserver)
说明student机已不能访问服务器的ftp服务了。
二高级ACL
扩展ACL的应用
1.防止地址欺骗。
R1是内网的边界路由器,R2是外网的边界路由器。
R1(config)#ints0/0/1
(Serial0/0/1)isup:
newadjacency
//*May1011:
29:
57.010:
IP-EIGRP(Default-IP-Routing-Table:
100):
Neighbor192.168.1
.1notoncommonsubnetforFastEthernet0/0
R1(config-router)#
(Serial0/0/1)isresync:
summaryconfigured
*May1011:
30:
10.942:
24.934:
38.838:
53.090:
31:
07.222:
//
以上系统显示异常的原因是网络有环路,这里产生环路的连接是因为3560交换机和两台2950交换机分别用交叉线连接,三台路由器两两连接,三台路由器分别与三台交换机连接。
R1(config)#ipaccess-listextendedingress-antspoof
R1(config-ext-nacl)#denyip10.0.0
R1(config-ext-nacl)#denyiphost0.0.0.0any//阻止没有列出源地址的通信流。
R1(config-ext-nacl)#permitipanyany
R1(config-ext-nacl)#ex
R1(config-if)#ipaccess-groupingress-antspoofin
Router(config)#ints0/0/1
Router(config-if)#noshut
Router(config-if)#ex
R2(config-if)#ex
在R1上,配好acl,从pc2pingpc1