路由交换实战九 ACL配置(完成版)
|
实验目的: 1、 掌握标准 ACL、扩展 ACL的配置方法。 2、 掌握命名 ACL的配置方法。 3、 掌握访问控制列表配置中 established参数的作用。 4、 掌握在命名访问控制列表中插入一条规则或删除一条规则的方法。 5、 掌握反射访问控制列表的工作原理和配置方法。 6、 掌握动态 ACL的原理和配置方法。 实验拓扑:
R1配置命令: R1#conf t R1(config)#interface f0/0 R1(config-if)#ip address 192.168.1.2 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#interface lo0 R1(config-if)#ip address 172.52.1.1 255.255.255.0 R1(config-if)#interface lo1 R1(config-if)#ip address 172.52.2.1 255.255.255.0 R1(config-if)#interface lo2 R1(config-if)#ip address 172.52.3.1 255.255.255.0 R1(config-if)#inter lo3 R1(config-if)#ip address 172.52.4.1 255.255.255.0 R2配置命令: R2#conf t R2(config)#interface f0/1 R2(config-if)#ip address 192.168.1.1 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#interface f0/0 R2(config-if)#ip address 192.168.2.2 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#
R3配置命令: R3#conf t R3(config)#interface f0/1 R3(config-if)#ip address 192.168.2.1 255.255.255.0 R3(config-if)#no shutdown R3(config-if)#interface lo0 R3(config-if)#ip address 130.52.1.1 255.255.255.0 R3(config-if)#interface lo1 R3(config-if)#ip address 130.52.2.1 255.255.255.0 R3(config-if)#inter lo2 R3(config-if)#ip address 130.52.3.1 255.255.255.0 R3(config-if)#inter lo3 R3(config-if)#ip address 130.52.4.1 255.255.255.0
R1配置命令: R1(config-if)# R1(config-if)#router eigrp 52 R1(config-router)#network 172.52.1.0 0.0.0.255 R1(config-router)#network 172.52.2.0 0.0.0.255 R1(config-router)#network 172.52.3.0 0.0.0.255 R1(config-router)#network 172.52.4.0 0.0.0.255 R1(config-router)#network 192.168.1.0 0.0.0.255 R1(config-router)#
R2配置命令: R2(config-if)#router eigrp 52 R2(config-router)#network 192.168.1.0 0.0.0.255 R2(config-router)#net R2(config-router)#network 192.168.2.0 0.0.0.255
R3配置命令: R3(config-if)#router eigrp 52 R3(config-router)#network 192.168.2.0 0.0.0.255 R3(config-router)#netr R3(config-router)#network 130.52.1.0 0.0.0.255 R3(config-router)#network 130.52.2.0 0.0.0.255 R3(config-router)#network 130.52.3.0 0.0.0.255 R3(config-router)#network 130.52.4.0 0.0.0.255
R2配置命令: R2(config)#access R2(config)#access-list 52 deny 172.52.1.0 0.0.0.255 R2(config)#acc R2(config)#access-list 52 permit any R2(config)#interface f0/0 R2(config-if)#ip access R2(config-if)#ip access-group 52 out 问题 1:配置后在 R1 上直接 ping 130.52.1.1,能否 ping 通?为什么? 答: 因为在R2的访问控制列表中只设置了禁止来自172.52.1.0网段的网络访问R3上的网络,而ping130.52.1.1默认使用的是物理接口地址即 192.168.1.2,所以其不在ACL的禁止范围内。
问题 2:使用扩展 ping,用 172.52.1.1 做源地址,能否 ping 通? 答:用 172.52.1.1 做源地址,不能 ping 通 4、 配置扩展访问控制列表,实现允许 172.52.2.0 子网 telnet 到 130.52.0.0,不允许其他子网的用户 telnet 到 130.52.0.0,同时不能妨碍其他网络数据的传递。 在 R3 中配置,允许其他主机 telnet R3(config)# R3(config)#username zjb password zjb R3(config)#line vty 0 3 R3(config-line)#login local 在 R2 中创建扩展访问控制列表 R2(config)#access-list 152 permit tcp 172.52.2.0 0.0.0.255 130.52.0.0 0.0.255.255 eq 23 R2(config)#access-list 152 deny tcp any 130.52.0.0 0.0.255.255 eq 23 R2(config)#access-list 152 permit ip any any R2(config)#int f0/1 R2(config-if)#ip access-group 152 in
问题 3:在 R1 上 telnet 130.52.2.1,以 172.52.2.1 作为源地址,能否登陆?如果以 172.52.3.1或 172.52.4.1 为源地址,能否登陆? 参考命令: R1#telnet 130.52.1.1 /source-interface lo1
R1#telnet 130.52.2.1 /source-interface lo2 答:以172.52.2.1为源地址可以登录 以172.52.3.1和172.52.4.1 不能登陆 5、 配置命名访问控制列表,实现 172.52.0.0 能够 telnet 130.52.0.0,而 130.52.0.0 无法 telnet到 172.52.0.0。 首先,参照步骤 4,在 R1 中实现远程登录功能。 R1(config)# R1(config)#username zjb password zjb R1(config)#line vty 0 3 R1(config-line)#login local R1(config)#username zhijiabin password zjb R1(config)#line vty 0 3 R1(config-line)#login local 在 R2 中创建命名访问控制列表 R2(config)#ip access-list extended zjb R2(config-ext-nacl)#permit tcp 130.52.0.0 0.0.255.255 172.52.0.0 0.0.255.255 established R2(config-ext-nacl)#deny tcp 130.52.0.0 0.0.255.255 172.52.0.0 0.0.255.255 R2(config-ext-nacl)#permit ip any any R2(config)#int f0/0 R2(config-if)#ip access-group r3tor1 in 问题 4:在 R1 上 telnet 130.52.2.1,以 172.52.2.1 作为源地址,能否登陆?如果以 172.52.3.1或 172.52.4.1 为源地址,能否登陆?为什么? 答:R1 上 telnet 130.52.2.1,以 172.52.2.1 作为源地址,能登陆 R1 上 telnet 130.52.2.1,以 172.52.3.1 和172.52.4.1作为源地址,能登陆,因为命名访问控制列表允许172.52.0.0网段telnet 130.52.0.0网段 问题 5:在 R3 中 telnet 172.52.2.1,以 130.52.1.1 为源地址,能否登陆?为什么? 答:在 R3 中 telnet 172.52.2.1,以 130.52.1.1 为源地址,不能登陆,因在R2中配置的命名访问控制列表仅允许172.52.0.0能够telnet 130.52.0.0,而不允许130.52.0.0 telnet 172.52.0.0 问题 6:此时在 R3 中 ping 172.52.2.1,以 130.52.1.1 为源地址,能否 ping 通? 答:可以ping通 6、 在命名访问控制列表 r1tor3 中的第二条和第三条之间添加两条规则,添加后删除这两条 中的一条。 R2(config)#ip access R2(config)#ip access-list ext R2(config)#ip access-list extended zjb R2(config-ext-nacl)#24 permi R2(config-ext-nacl)#24 permit ip host 192.168.2.2 any R2(config-ext-nacl)#28 deny ip 192.168.2.0 0.0.0.255 any R2(config-ext-nacl)#no 28 7、 配置反射访问控制列表实现 172.16.0.0 能够访问 130.130.0.0,而 130.130.0.0 无法访问到 172.16.0.0。 R2(config)#ip access-list extended ref_zjb R2(config-ext-nacl)#permi R2(config-ext-nacl)#permit ip 172.52.0.0 0.0.255.255 any reflect re R2(config-ext-nacl)#permit ip 172.52.0.0 0.0.255.255 any reflect ref R2(config-ext-nacl)#permit ip 172.52.0.0 0.0.255.255 any reflect ref_zjb1 R2(config-ext-nacl)#permit eigrp any any R2(config-ext-nacl)#exit R2(config)#ip acc R2(config)#ip acce R2(config)#ip access-list ext R2(config)#ip access-list extended ref_zjb2 R2(config-ext-nacl)#eva R2(config-ext-nacl)#evaluate ref_zjb1 R2(config-ext-nacl)#permi R2(config-ext-nacl)#permit eigrp any any R2(config-ext-nacl)#interface f0/0 R2(config-if)#ip acc R2(config-if)#ip access R2(config-if)#ip access-group ref_zjb out R2(config-if)#ip access-group ref_zjb2 in R2(config-if)# 问题 7:在 R2 上用 show access-lists ref_zjb1 查看反射访问控制列表 ref_zjb1 的内容,里面是否为空? 答:在 R2 上用 show access-lists ref_zjb1 查看反射访问控制列表 ref_zjb1 的内容,里面为空 问题 8:配置后,在 R1 中以 172.52.2.1 为源地址 ping 130.52.2.1,看能否 ping 通?在 R3中以 130.52.2.1 为源,ping 172.52.2.1 能否 ping 通? 答:R1 中以 172.52.2.1 为源地址 ping 130.52.2.1,能 ping 通 在 R3中以 130.52.2.1 为源,ping 172.52.2.1 不能ping 通 问题 9:在 R1 中以 172.52.2.1 为源地址 telnet 130.52.2.1,看能否登陆成功?在 R3 中以130.52.2.1 为源,telnet 172.52.2.1 能否登陆成功? 答:在 R1 中以 172.52.2.1 为源地址 telnet 130.52.2.1,能登陆成功 在 R3 中以130.52.2.1 为源,telnet 172.52.2.1 不能登陆成功 问题 10:做完问题 8 和问题 9 后马上在路由器 R2 上用 show access-lists ref_zjb1 查看反射访问控制列表 ref_zjb1 的内容,和问题 7 看到的有什么不同? 答:此时反射访问控制列表中多了一条允许130.52.2.1 telnet 172.52.2.1 的条目
8、 创建动态 ACL 实现 R1 必须先成功登录 R2 才能访问 R3 的功能。 参考命令: 首先,参照步骤 4,在 R1 中实现远程登录功能。 R1(config)# R1(config)#username zjb password zjb R1(config)#line vty 0 3 R1(config-line)#login local 在 R2 中常见动态访问控制列表 R2(config)#ip access-list ext R2(config)#ip access-list extended dynamic_zjb R2(config-ext-nacl)#per R2(config-ext-nacl)#permit eigrp R2(config-ext-nacl)#permit eigrp any any R2(config-ext-nacl)# R2(config-ext-nacl)#permit tcp any host 192.168.1.1 eq 23 R2(config-ext-nacl)#dynam R2(config-ext-nacl)#dynamic zjb time R2(config-ext-nacl)#dynamic zjb timeout 10 per R2(config-ext-nacl)# dynamic zjb timeout 10 permit tcp any 130.52.0.0 0.0.255.255 % An access list with this name already exists R2(config-ext-nacl)# R2(config-ext-nacl)#dynamic zhijiabin timeout 10 permit tcp any 130.52.0.0 0.0.255.255 R2(config-ext-nacl)#int f0/1 R2(config-if)#ip a R2(config-if)#ip ac R2(config-if)#ip acc R2(config-if)#ip acce R2(config-if)#ip access-group dynamic R2(config-if)#ip access-group dynamic_zjb in R2(config-if)#line vty 0 3 R2(config-line)#login local R2(config-line)#autocommand access-enab R2(config-line)#autocommand access-enable host timeout 3 问题 11:配置后在 R2 中查看访问控制列表 dynamic_zjb,有几条选项? 答:配置后在 R2 中查看访问控制列表 dynamic_zjb,有三条选项
问题 11:配置后直接在 R1 中输入 telnet 130.52.2.1 /source-interface lo1 能否登陆成功? 答:配置后直接在 R1 中输入 telnet 130.52.2.1 /source-interface lo1 ,不能登陆成功 问题 12:在 R1 中用 telnet 192.168.1.1 /source-interface lo1 登陆 R2,马上在 R2 中查看访问控制列表 dynamic_zjb,有几条选项? 答: 在 R1 中用 telnet 192.168.1.1 /source-interface lo1 登陆 R2,马上在 R2 中查看访问控制列表 dynamic_zjb,有4条选项 问题 13:此时再次在 R1 中输入 telnet 130.52.2.1 /source-interface lo1 能否登陆成功? 答:此时在R1中telnet 130.52.2.1 /source-interface lo1 能登陆成功
|