实验六利用IP扩展访问列表实现应用服务的访问限制
实验六 利用IP 扩展访问列表实现应用服务的访问限制
【实验名称】
利用IP 扩展访问列表实现应用服务的访问限制。
【实验目的】
掌握在交换机上编号的扩展IP 访问列表规则及配置。
【背景描述】
你是学校的网络管理员,在3750-24交换机上连着学校的提供WWW 和FTP 的服务器,另外还连接着学生宿舍楼和教工宿舍楼,学校规定学生只能对服务器进行FTP 访问,不能进行WWW 访问,教工则没有此限制。
【需求分析】
不允许VLAN30(连接R3)的主机去访问VLAN10(连接R1)的网络中的web 服务,其它的不受限制。
【实验拓扑】
R1192.168.20.1
f0/0
f0/1f0/3
f0/2f0/0f0/0
R3R2
192.168.30.1192.168.20.2
192.168.30.2192.168.10.2192.168.10.1
【实验设备】
S3750交换机 1台
PC 3台
直连线 3条
【预备知识】
路由器基本配置知识、访问控制列表知识。
【实验原理】
IP ACL(IP访问控制列表或IP访问列表)是实现对流经路由器或交换机的数据包根据一定的规则进行过滤。从而提高网络可管理性和安全性。
IP ACL分为两种:标准IP访问列表和扩展IP访问列表。标准IP访问列表可以根据数据包的源IP地址定义规则,进行数据包的过滤。扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。
IP ACL基于接口进行规则的应用,分为入栈应用和出栈应用。入栈应用是指由外部经该接口进行路由器的数据包进行过滤。出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。IP ACL的配置有两种方式:按照编号的访问列表,按照命名的访问列表。标准IP访问列表编号范围是1~99、1300~1999,扩展IP访问列表编号范围是100~199、2000~2699。
【实验步骤】
注意打reload命令
!打出此命令后等60秒再按两次回车键
步骤1 设计拓扑结构
根据拓扑结构图绘制拓扑结构。
参考配置:
步骤2 三个路由器的基本配置
R1:
R1:
Ruijie>en
Ruijie# configure terminal
Ruijie (config)#hostname R1
R1(config)#int f0/0
R1(config-if)#ip add 192.168.10.2 255.255.255.0 R1(config-if)#no shut
R1(config-if)#exit
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.10.1 R1(config)#en pass ruijie
!设置路由器R3 进入特权模式的密码
R1 (config)#line vty 0 4
!最大允许5个人同时telnet登陆 vty为虚拟线路
R1 (config-line)#password ruijie
!远程登录密码
R1 (config-line)#exit
R1(config)#
R2:
Ruijie>en
Ruijie# configure terminal
Ruijie (config)#hostname R2
R2(config)#int f0/0
R2 (config-if)#ip add 192.168.20.2 255.255.255.0
R2 (config-if)#no shut
R2(config-if)#exit
R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.20.1
R2(config)#
R3:
Ruijie>en
Ruijie# configure terminal
Ruijie (config)#hostname R3
R3(config)#int f0/0
R3(config-if)#ip add 192.168.30.2 255.255.255.0
R3 (config-if)#no shut
R3(config-if)#exit
R3(config)#ip route 0.0.0.0 0.0.0.0 192.168.30.1
R3(config)#
步骤3 在三层交换机上将端口划分到相应VLAN
S1:
Ruijie#conf t
Ruijie
S1
S1
S1
S1
S1
S1
S1
S1
S1
S1
S1
S1
S1
S1
S1
S1
S1
S1
S1
S1
S1
S1
S1
S1
S1
S1
步骤4 在三层交换机上配置访问列表
S1
!在列表号为110的扩展访问列表上禁止192.168.30.0到192.168.10.0网段的telnet 访问
S1
!允许其它的访问
S1
S1
!在vlan 30上加入110的规则
步骤五测试
S1#show access-lists
ip access-list extended 110
10 deny tcp 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 eq www
20 permit ip any any
!提示以上信息说明正确
R2#telnet 192.168.10.2
!R2可以telnet R1成功R3#telnet 192.168.10.2
!R3 telnet R1失败
网络安全实验报告[整理版]
一Sniffer 软件的安装和使用 一、实验目的 1. 学会在windows环境下安装Sniffer; 2. 熟练掌握Sniffer的使用; 3. 要求能够熟练运用sniffer捕获报文,结合以太网的相关知识,分析一个自己捕获的以太网的帧结构。 二、实验仪器与器材 装有Windows操作系统的PC机,能互相访问,组成局域网。 三、实验原理 Sniffer程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太同卡)置为杂乱模式状态的工具,一旦同卡设置为这种模式,它就能接收传输在网络上的每一个信息包。 四、实验过程与测试数据 1、软件安装 按照常规方法安装Sniffer pro 软件 在使用sniffer pro时需要将网卡的监听模式切换为混杂,按照提示操作即可。 2、使用sniffer查询流量信息: 第一步:默认情况下sniffer pro会自动选择网卡进行监听,手动方法是通过软件的file 菜单下的select settings来完成。 第二步:在settings窗口中我们选择准备监听的那块网卡,把右下角的“LOG ON”勾上,“确定”按钮即可。 第四步:在三个仪表盘下面是对网络流量,数据错误以及数据包大小情况的绘制图。 第五步:通过FTP来下载大量数据,通过sniffer pro来查看本地网络流量情况,FTP 下载速度接近4Mb/s。 第六步:网络传输速度提高后在sniffer pro中的显示也有了很大变化,utiliazation使用百分率一下到达了30%左右,由于我们100M网卡的理论最大传输速度为12.5Mb/s,所以4Mb/s刚好接近这个值的30%,实际结果和理论符合。 第七步:仪表上面的“set thresholds”按钮了,可以对所有参数的名称和最大显示上限进行设置。 第八步:仪表下的“Detail”按钮来查看具体详细信息。 第九步:在host table界面,我们可以看到本机和网络中其他地址的数据交换情况。
实验十一:标准访问控制列表配置
《网络互联技术》课程实验指导书 实验十一:标准访问控制列表配置 当网络管理员想要阻止某一网络的所有通信流量时,或者允许来自某一特定网络的所有通信流量时,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表实现这一目标。 标准ACL检查可以过滤被路由的数据包的源地址、从而允许或拒绝基于网络、子网或主机IP地址的某一协议簇通过路由器出口。 一、网络拓朴 二、实验内容 1、在路由器的E 0/0口添加“ACL 访问控制列表6”并对转出(从路由器端口出来转向交换机或主机)的数据包进行过滤,实现功能:禁止将HostC、HostD的数据包通过路由器E 0/0 口转发到HostA、HostB。其结果是:(对于TCP数据包来说,访问是双向的,只要A不能访问B,则B也将不能访问A) ●HostA和HostB之间可以通信,但无法访问HostC、HostD。 ●HostC和HostD之间可以通信,但无法访问HostA、HostB。 2、在路由器的E 0/1口添加“ACL 访问控制列表10”并对转出(从路由器端口出来转向
交换机或主机)的数据包进行过滤,实现功能:禁止HostA、HostC访问Server E服务器。 由于标准ACL访问控制列表只能根据数据包的源地址来过滤通信流量,因此,应该将ACL 访问控制列表放置离目标地址最近的地方。 三、实验目的 1、掌握标准访问控制列表的原理 2、掌握标准访问控制列表的配置 四、实验设备 1、一台台思科(Cisco)3620路由器 2、两台思科(Cisco)2950二层交换机 3、思科(Cisco)专用控制端口连接电缆 4、四台安装有windows 98/xp/2000操作系统的主机 5、一台提供WWW服务的WEB服务器 6、若干直通网线与交叉网线 五、实验过程(需要将相关命令写入实验报告) 1、根据上述图示进行交换机、路由器、主机的连接 2、设置主机的IP地址、子网掩码和默认网关 3、配置路由器接口 Router> enable Router# configure terminal Router(config)# interface ethernet 0/0 Router(config-if)# ip address 192.168.1.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)# exit Router(config)# interface ethernet 0/1 Router(config-if)# ip address 192.168.3.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)# exit Router(config)# interface ethernet 0/2 Router(config-if)# ip address 192.168.2.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)#exit 4、配置访问控制列表6并将之添加到Ethernet 0/0接口的out方向上 Router(config)# access-list 6 deny 192.168.2.0 0.0.0.255 Router(config)# access-list 6 permit any
访问控制列表扩展ACL答案
A公司组建了局域网。该局域网划分了两个VLAN,分别是VLAN10和VLAN20,VLAN10用于公司的管理部门,而VLAN20用于公司普通员工。为了提高公司普通员工工作效率,公司规定VLAN20中的主机不能访问公司外部的WWW资源。下图中模拟了两个WWW资源,分别是BBS服务和WWW服务。整个网络统一用一台DNS服务器实现域名解析功能。 1、Switch1设置 Switch1>en Switch1#conf t Switch1(config)#vlan 10 Switch1(config-vlan)#vlan 20 Switch1(config-vlan)#inter f0/10 Switch1(config-if)#switchport access vlan 10 Switch1(config-if)#inter f0/20 Switch1(config-if)#switchport access vlan 20 Switch1(config-if)#inter f0/1 Switch1(config-if)#switchport mode trunk 2、RTA设置 RTA>en RTA#conf t RTA(config)#inter s0/0 RTA(config-if)#clock rate 64000 RTA(config-if)#ip addr 200.199.198.37 255.255.255.252 RTA(config-if)#no shut RTA(config-if)#inter f0/0 RTA(config-if)#no shut RTA(config-if)#inter f0/0.1 RTA(config-subif)#encapsulation dot1q 10 RTA(config-subif)#ip addr 192.168.1.1 255.255.255.128
计算机网络ACL配置实验报告
计算机网络ACL配置实验报告 件)学院《计算机网络》综合性、设计性实验成绩单开设时间:xx学年第二学期专业班级学号姓名实验题目ACL自我评价本次ACL的实验,模拟实现了对ACL的配置。在实验中,理解ACL对某些数据流进行过滤,达到实现基本网络安全的目的的过程。我加深了对网络中安全的理解,如何控制非法地址访问自己的网络,以及为什么要进行数据过滤,对数据进行有效的过滤,可以使不良数据进入青少年中的视野,危害青少年的身心健康发展。该实验加深了我对网络的理解,同时加强了自身的动手能力,并将理论知识应用到实践当中。教师评语评价指标:l 题目内容完成情况优□ 良□ 中□ 差□l 对算法原理的理解程度优□ 良□ 中□ 差□l 程序设计水平优□ 良□ 中□ 差□l 实验报告结构清晰优□ 良□ 中□ 差□l 实验总结和分析详尽优□ 良□ 中□ 差□成绩教师签名目录 一、实验目的3 二、实验要求3 三、实验原理分析3 四、流程图5 五、配置过程 51、配置信息 52、配置路由器R
1、R 2、R37(1)配置路由器R17(2)配置路由器R27(3)配置路由器R3 83、配置主机PC0、PC18(1)配置PC0的信息8(2)配置PC1的信息 94、配置路由器R2(R1)到路由器R1(R2)的静态路由10(1) 路由器R2到R1的静态路由10(2)路由器R1到R2的静态路由105、配置路由器R2(R3)到路由器R3(R2)的静态路由10(1) 路由器R2到R3的静态路由10(2) 路由器R3到R2的静态路由10六、测试与分析1 11、配置静态路由前1 12、配置好静态路由后1 23、结论13七、体会13实验报告 一、实验目的通过本实验,可以掌握如下技能: (1) ACL的概念(2) ACL的作用(3)根据网络的开放性,限制某些ip的访问(4)如何进行数据过滤 二、实验要求Result图本实验希望result图中PC2所在网段无法访问路由器R2,而只允许主机pc3访问路由器R2的tel 服务 三、实验原理分析ACL 大概可以分为标准,扩展以及命名ACL
网络管理复习资料
考试题型 选择题20个(共40分)、填空题10个(共10分)、简单题5个(共20分)、计算题1个(共10分),论述题2个(共20分) 复习要点 第一讲网络管理概论复习要点 1.网络管理的主要功能? 按照国际标准化组织(ISO)的定义,网络管理主要包括五个方面工作,即故障管理、配置管理、计费管理、性能管理、安全管理。 2.网络管理系统的组成?(自己完善) 网络管理系统可以抽象为管理者、管理协议、管理信息库和管理代理四部分组成。 管理者:发出指令与操作 管理协议:通信方式与操作命令的约定(SNMP) 管理代理:驻留在被管实体的进程,负责接收指令,通知事件 管理信息库(MIB):被管对象信息集合 3.SNMP模型的组成与模型图?(自己完善) SNMP管理模型的关键元素: 网管站(Network Management Station):对网络设备发送各种查询报文,并接收来自被管设备的响应及陷阱(trap)报文 代理(Agent):响应查询报文、通过Trap主动发送报文 管理信息库(MIB)
注意:SNMP协议基于UDP协议的,常用的端口为UDP161,162端口 MIB 数据库中的信息由代理(Agent )收集 第二讲 网络规划与设计复习要点 1.网络规划的主要内容?(自己完善) 基础平台设计: 网络逻辑结构设计:协议与标准、网络的拓扑结构、IP 地址规划、虚拟局域网(VLAN )设计、冗余设计等,网络物理结构设计:网络设备、网络服务器、综合布线等服务平台设计:操作系统的选择,网络服务的设计(WWW 、Email 、DNS 、DHCP 等)安全管理平台设计:防火墙、入侵检测系统等设计。 2.IP 地址分类 网络地址:192.168.0.0 有限广播地址:255.255.255.255 回送地址:127.0.0.1(本机地址) 私有地址: 3.子网划分 子网划分方法: (1)确定子网位。 (2)验证主机位。
标准ACL配置与调试
实验5 标准ACL配置与调试 1.实验目标 在这个实验中,我们将在Cisco 2611XM路由器上配置标准ACL。通过该实验我们可以进一步了解ACL的定义和应用,并且掌握标准ACL的配置和调试。 2.实验拓扑 实验的拓扑结构如图1所示。 图1 ACL实验拓扑结构 3.实验要求 根据图1,设计标准ACL,首先使得PC1所在的网络不能通过路由器R1访问PC2所在的网络,然后使得PC2所在的网络不能通过路由器R2访问PC1所在的网络。本实验各设备的IP地址分配如下: ⑴路由器R1: s0/0:192.168.100.1/24 fa0/0:10.1.1.1/8 ⑵计算机PC1: IP:10.1.1.2/8 网关:10.1.1.1 ⑶路由器R2: s0/0:192.168.100.2/24
fa0/0:172.16.1.1/16 ⑷计算机PC2: IP:172.16.1.2/16 网关:172.16.1.1 4.实验步骤 在开始本实验之前,建议在删除各路由器的初始配置后再重新启动路由器。这样可以防止由残留的配置所带来的问题。在准备好硬件以及线缆之后,我们按照下面的步骤开始进行实验。 ⑴按照图1进行组建网络,经检查硬件连接没有问题之后,各设备上电。 ⑵按照拓扑结构的要求,给路由器各端口配置IP地址、子网掩码、时钟(DCE端),并且用“no shutdown”命令启动各端口,可以用“show interface”命令查看各端口的状态,保证端口正常工作。 ⑶设置主机A和主机B的 IP地址、子网掩码、网关,完成之后,分别ping自己的网关,应该是通的。 ⑷为保证整个网络畅通,分别在路由器R1和R2上配置rip路由协议:在R1和R2上查看路由表分别如下: ①R1#show ip route Gateway of last resort is not set R 172.16.0.0/16 [120/1] via 192.168.100.2, 00:00:08, Serial0/0 C 192.168.100.0/24 is directly connected, Serial0/0 C 10.0.0.0/8 is directly connected, FastEthernet0/0 ②R2#show ip route Gateway of last resort is not set C 192.168.100.0/24 is directly connected, Serial0/0 R 10.0.0.0/8 [120/1] via 192.168.100.1, 00:00:08, Serial0/0 C 172.16.0.0/16 is directly connected, FastEthernet0/0 ⑸ R1路由器上禁止PC2所在网段访问:
ACL配置实验报告
南京信息工程大学实验(实习)报告 实验(实习)名称ACL的配置实验(实习)日期得分指导教师刘生计算机专业计科年级 09 班次 03 姓名童忠恺学号 20092308916 1.实验目的 (1)了解路由器的ACL配置与使用过程,会运用标准、扩展ACL建立基于路由器的防火墙,保护网络边界。 (2)了解路由器的NA T配置与使用过程,会运用NA T保护网络边界。 2.实验内容 2.1 ACL配置 (1)实验资源、工具和准备工作。Catalyst2620路由器2台,Windows 2000客户机2台,Windows 2000 Server IIS服务器2台,集线器或交换机2台。制作好的UTP网络连接(双端均有RJ-45头)平行线若干条、交叉线(一端568A,另一端568B)1条。网络连接和子网地址分配可参考图8.39。 图8.39 ACL拓扑图 (2)实验内容。设置图8.39中各台路由器名称、IP地址、路由协议(可自选),保存配置文件;设置WWW服务器的IP地址;设置客户机的IP地址;分别对两台路由器设置扩展访问控制列表,调试网络,使子网1的客户机只能访问子网2的Web服务80端口,使子网2的客户机只能访问子网1的Web服务80端口。 3.实验步骤 按照图8.39给出的拓扑结构进行绘制,进行网络互连的配置。 ①配置路由器名称、IP地址、路由协议(可自选),保存配置文件。 ②设置WWW服务器的IP地址。设置客户机的IP地址。 ③设置路由器扩展访问控制列表,调试网络。使子网1的客户机只能访问子网2的Web服务80端口, 使子网2的客户机只能访问子网1的Web服务80端口。 ④写出各路由器的配置过程和配置命令。 按照图8.38给出的拓扑结构进行绘制,进行网络互连的配置。参考8.5.7节内容。写出各路由器的配置过程和配置命令。
网络管理复习详解详解
一、时间安排 2016年1月18日-1月22日期末考试 2016年1月19日-1月25日阅卷 2016年1月8 日-1月26日成绩录入 二、考试题型 选择题20个(共40分)、填空题10个(共10分)、简单题5个(共20分)、计算题1个(共10分),论述题2个(共20分) 三、考试知识点(请同学们一定要认真复习,该记住的一定要记住,如果会做也不要太早提前交卷,考试时间是2个小时,尽量在一个半小时以后才可以交卷哦!,还有不要想着抄袭,不要空着,加油!!!!) 四、复习要点 第一讲网络管理概论复习要点 1.网络管理的主要功能? 按照国际标准化组织(ISO)的定义,网络管理主要包括五个方面工作,即故障管理、配置管理、计费管理、性能管理、安全管理。 2.网络管理系统的组成?(自己完善) 网络管理系统可以抽象为管理者、管理协议、管理信息库和管理代理四部分组成。 管理者:发出指令与操作 管理协议:通信方式与操作命令的约定(SNMP) 管理代理:驻留在被管实体的进程,负责接收指令,通知事件 管理信息库(MIB):被管对象信息集合 3.SNMP模型的组成与模型图?(自己完善) SNMP管理模型的关键元素: 网管站(Network Management Station):对网络设备发送各种查询报文,并接收来自被管设备的响应及陷阱(trap)报文
代理(Agent ):响应查询报文、通过Trap 主动发送报文 管理信息库(MIB) 注意:SNMP协议基于UDP协议的,常用的端口为UDP161,162端口 MIB 数据库中的信息由代理(Agent )收集 第二讲 网络规划与设计复习要点 1.网络规划的主要内容?(自己完善) 基础平台设计: 网络逻辑结构设计:协议与标准、网络的拓扑结构、IP 地址规划、虚拟局域网(VLAN )设计、冗余设计等,网络物理结构设计:网络设备、网络服务器、综合布线等服务平台设计:操作系统的选择,网络服务的设计(WWW 、Email 、DNS 、DHCP 等)安全管理平台设计:防火墙、入侵检测系统等设计。 2.IP 地址分类 网络地址:192.168.0.0 有限广播地址:255.255.255.255 回送地址:127.0.0.1(本机地址) 私有地址: 3.子网划分 子网划分方法: (1)确定子网位。 (2)验证主机位。
计算机网络实验报告(7)访问控制列表ACL配置实验
一、实验项目名称 访问控制列表ACL配置实验 二、实验目的 对路由器的访问控制列表ACL 进行配置。 三、实验设备 PC 3 台;Router-PT 3 台;交叉线;DCE 串口线;Server-PT 1 台; 四、实验步骤 标准IP访问控制列表配置: 新建Packet Tracer 拓扑图 (1)路由器之间通过V.35 电缆通过串口连接,DCE 端连接在R1 上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置路由器接口IP 地址。 (3)在路由器上配置静态路由协议,让三台PC 能够相互Ping 通,因为只有在互通的前提下才涉及到方控制列表。 (4)在R1 上编号的IP 标准访问控制。 (5)将标准IP 访问控制应用到接口上。 (6)验证主机之间的互通性。 扩展IP访问控制列表配置: 新建Packet Tracer 拓扑图 (1)分公司出口路由器与外路由器之间通过V.35 电缆串口连接,DCE 端连接在R2 上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置PC 机、服务器及路由器接口IP 地址。 (3)在各路由器上配置静态路由协议,让PC 间能相互ping 通,因为只有在互通的前提下才涉及到访问控制列表。 (4)在R2 上配置编号的IP 扩展访问控制列表。 (5)将扩展IP 访问列表应用到接口上。 (6)验证主机之间的互通性。 五、实验结果 标准IP访问控制列表配置: PC0: PC1:
PC2:
PC1ping:
PC0ping: PC1ping: 扩展IP 访问控制列表配置:PC0: Server0:
详解cisco路由器配置ACL控制列表
如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。 如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台W I N D O W S服务器来做远程路由访问配置。 。 ? 。 则 由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化A C L知识。
1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 。 则 。 的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 标准访问列表:
访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的A C L 标准访问控制列表的格式 99 。 。 址 。192.168.1.00.0.0.25 5 通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。
小提示:对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯,可以省去我们输入host 命令。 标准访问控制列表实例一 , 。 的 。 经过设置后E1端口就只容许来自172.16.4.13这个IP地址的数据包传输出去了。来自其他IP地址的数据包都无法通过E1传输。 小提示:由于CISCO默认添加了DENY ANY的语句在每个ACL中,所以上面的access-list 1 deny any这句命令可以省略。另外在路由器连接网络不多的情况下也可以在E0端口使用ip access-group 1 out命令来宣告,宣告结果和上面最后两句命令效果一样。 标准访问控制列表实例二
访问控制列表ACL配置-实验报告
课设5:访问控制列表ACL的配置 【实验目的】: 1.熟悉掌握网络的基本配置连接 2.对网络的访问性进行配置 【实验说明】: 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL定义的。访问控制列表是偶permit/deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。 【实验设备】: 【实验过程记录】:
步骤1:搭建拓扑结构,进行配置 (1)搭建网络拓扑图: (2 虚拟机名IP地址Gateway PC0 PC1 PC2 PC3 PC4 上节课的实验已经展示了如何配置网关和IP地址,所以本次实验将不再展示,其配置对应数据见上表。 (3)设置路由信息并测试rip是否连通
三个路由器均做route操作。 对rip结果进行测试,测试结果为连通。
(4)连通后对访问控制列表ACL进行配置 代码如下: Route(config)#route rip Route(config-route)#net Route(config-route)#net Route(config-route)#exit Route(config)#access-list 1 deny Route(config)#access-list 1 permit any Route(config)#int s3/0 Route(config-if)#ip access-group 1 in Route(config-if)#end
步骤2:检验线路是否通畅 将访问控制列表ACL配置完成后点开PC0进行ping操作,ping 。 检验结果:结果显示目的主机不可达,访问控制列表ACL配置成功。
理论提问相关
第七讲防火墙与NA T配置 (1)包过滤防火墙工作原理 (2)NAT工作原理 (3)在配置NA T时,是ACL还是NA T TABLE 确定哪些内网主机的地址将被转换(4)防火墙分类(包过滤和状态防火墙) (5)NAT的特点(功能) 节约IP地址 提高内网安全性 (6)配置包过滤防火墙的主要步骤(一,制定访问规则二,将访问规则作用在某个接口上) (7)访问控制列表中的反掩码中,0表示网段需要比较,1表示主机,不需要比较 第六讲广域网 (1)PPP协议时TCP/IP中那一层协议(数据链路层协议) (2)PPP协议组包含哪些部分(LCP ,NCP, 验证协议PAPCHAP) (3)广域网数据链路层协议包括哪几种(PPP HDLC, ISDN,帧中继) (4)PPP验证方式有哪几种,PAP CHAP ,他们之间的区别 前者是明文验证,或者是密文验证。如果验证配置正确,显示接口信息,会发现IPCP OPENED, 如果配置有误,验证没有通过,会有IPCP INITIAL (5) 在配置验证过程中,如果只配置了主验证方,不配被验证方,通信正常么?(不正常)如果不配置主验证方,只配置被验证方,通信正常么(正常) (6)LOCAL-USER代表哪一方的用户(对方) (7)广域网常见的几种数据传输方式(点到点,电路交换,分组交换) 第五讲 (1)路由器的功能(寻路,转发) (2)如何查看路由器的型号和软硬件版本,DIS VERSION) (3)第一次拿到路由器,有几种方式登录上去(一种,CONSOLE) (4)如何更改路由器名称 (5)如何配置路由器的IP地址(如果配置交换机IP地址) (6)避免环路常用的措施是什么(水平分割,毒性逆转) (7)路由协议的分类(RIP ,OSPF) (8)缺省路由概念 第四讲 (1)缺省情况下,交换机上的所有端口属于哪一个VLAN(VLAN1) (2)Vlan最大编号是多少(4096) (3)交换机端口链路类型分为(ACCESS, TRUNK,,HYBRID) (4)什么是广播域(接收同样广播消息的节点的集合。) (5)Vlan基本功能是什么(隔离广播域) (6)不同VLAN之间互通为什么要用路由 (7)VLAN分类 (8)三层交换机基本功能(vlan内部二层交换,vlan间路由,vlan划分) (9)何种情况下需要在设备上配置静态路由(无动态路由协议情况下要到达非直连网段) (10)查看路由表的命令是什么 (11)用什么命令查看具体VLAN所包含的端口(DIS VLAN 2) 第三讲
ACL IP访问控制列表配置实验
IP访问控制列表配置 目录: 第一个任务的:验证测试 (3) 第二个任务的:交换机的验证测试 (6) 第三个任务的:扩展访问验证测试 (10) 最后---总结: (12) ▲表示重要的 一、IP标准访问控制列表的建立及应用 工作任务 你是学校网络管理员,学校的财务处、教师办公室和校办企业财务科分属不同的3个网段,三个部门之间通过路由器进行信息传递,为了安全起见,学校领导要求你对网络的数据流量进行控制,实现校办企业财务科的主机可以访问财务处的主机,但是教师办公室主机不能访问财务处主机。 首先对两路由器进行基本配置,实现三个网段可以相互访问;然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表,允许192.168.1.0网段(校办企业财务科)主机发出的数据包通过,不允许192.168.2.0网段(教师办公室)主机发出的数据包通过,最后将这一策略加到路由器RouterB的Fa
0端口,如图所示。 第1步:基本配置 路由器RouterA: R >enable R #configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 VTY是路由器的远程登陆的虚拟端口,04表示可以同时打开5个会话,line vty 04是进入VTY端口,对VTY端口进行配置,比如说配置密码, RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethernet 0/0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2 路由器RouterB: R >enable R #configure terminal R(config)#hostname RouterB RouterB (config)# line vty 0 4 RouterB (config-line)#login RouterB (config-line)#password 100 RouterB (config-line)#exit RouterB (config)# enable password 100 RouterB (config)#interface fastethernet 0/0 RouterB (config-if)#ip address 192.168.3.1 255.255.255.0 RouterB (config-if)#no shutdown RouterB (config-if)#Exit RouterB (config)#interface s0/3/1 RouterB (config-if)#ip address 192.168.12.2 255.255.255.0
第14章 扩展IP访问控制列表配置
第14章扩展IP访问控制列表配置 技术原理 访问列表中定义的典型规则主要有以下:源地址、目标地址、上层协议、时间区域。 扩展IP访问列表(编号100-199,2000-2699)使用以上四种组合来进行转发或阻断分组;可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。 扩展IP访问列表的配置包括以下两步: 定义扩展IP访问列表。 将扩展IP访问列表应用于特定接口上。 实验步骤 新建Packet Tracer拓扑图(如下图) (1)分公司出口路由器与外部路由器之间通过V.35串口电缆连接,DCE端连接在R2上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置PC机、服务器及路由器接口IP地址。 (3)在各路由器上配置静态路由协议,让PC间能相互ping通,因为只有在互通的前提下才能涉及到访问控制列表。 (4)在R2上配置编号的IP扩展访问控制列表。 (5)将扩展IP访问列表应用到接口上。 (6)验证主机之间的互通性。 路由器0: Router>en Router#conf t Router(config)#int fastEthernet 0/0 Router(config-if)#ip address 172.16.1.1 255.255.255.0 Router(config-if)#no shut
Router(config-if)#exit Router(config)#int f 1/0 Router(config-if)#ip address 172.16.2.1 255.255.255.0 Router(config-if)#no shut Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.2.2(设置默认静态路由)Router(config)#end 路由器1: Router>en Router#conf t Router(config)#int f 0/0 Router(config-if)#ip address 172.16.2.2 255.255.255.0 Router(config-if)#no shut Router(config-if)#exit Router(config)#int s 2/0 Router(config-if)#ip address 172.16.3.1 255.255.255.0 Router(config-if)#no shut Router(config-if)#clock rate 64000 Router(config-if)#exit Router(config)#ip route 172.16.1.0 255.255.255.0 172.16.2.1(设置静态路由)Router(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2(设置静态路由)Router(config)#end Router#show ip route 172.16.0.0/24 is subnetted, 4 subnets S 172.16.1.0 [1/0] via 172.16.2.1 C 172.16.2.0 is directly connected, FastEthernet0/0 C 172.16.3.0 is directly connected, Serial2/0 S 172.16.4.0 [1/0] via 172.16.3.2 Router#conf t Router(config)#access-list ? <1-99> IP standard access list <100-199> IP extended access list Router(config)#access-list 100 ? deny Specify packets to reject permit Specify packets to forward remark Access list entry comment Router(config)#access-list 100 p Router(config)#access-list 100 permit ? eigrp Cisco's EIGRP routing protocol icmp Internet Control Message Protocol ip Any Internet Protocol
访问控制列表实验
0分计。 4. 实验报告文件以PDF 格式提交。 【实验题目】访问控制列表(ACL )实验。 【实验目的】 1. 掌握标准访问列表规则及配置。 2. 掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4(P190),请写出步骤0安装与建立FTP 、WEB ,的步骤,并完成P192~P193的测试要求。 【实验要求】 重要信息信息需给出截图, 注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图: 【实验设备】 路由器一台,PC 5台(其中两台作为WWW Server 和FTP Server )。 【实验原理】 基于时间的ACL 是在各种ACL 规则(标准ACL 、扩展ACL 等)后面应用时间段选项(time-range )以实现基于时间段的访问控制。当ACL 规则应用了时间段后,只有在此时间范围内规则才能生效。此外,只有配置了时间段的规则才会在指定的时间段内生效,其他未引用时间段的规则将不受影响。 要基于时间的ACL 一生效,一般需要下面的配置步骤。
(1)定义时间段及时间范围。 (2)ACL自身的配置,即将详细的规则添加到ACL中。 (3)应用ACL,将设置好的ACL添加到相应的端口中。 【实验步骤】 步骤0: (1)配置3台PC(PC1、PC2和Manager)的IP地址、掩码、网关。 (2)检查PC与服务器的连通性如何? PC与服务器无法连通,因为还未安装FTP Server和WWW Server和配置路由器。 (3)在服务器上安装FTP Server和WWW Server。FTP Server需至少创建一个用户名和口令。 FTP Server我们选择Serv-U,下载安装后见如下界面。
第七章 访问控制列表练习题
《网络互联技术》练习题 第七章:访问控制列表 一、填空题 1、________________是用于控制和过滤通过路由器的不同接口去往不同方向的信息流的一种机制。 2、访问控制列表主要分为____________和扩展访问控制列表。 3、访问控制列表最基本的功能是_____________。 4、标准访问控制列表的列表号范围是__________。 5、将 66 号列表应用到fastethernet 0/0接口的in方向上去,其命令是_________________________。 5、定义77 号列表,只禁止192.168.5.0网络的访问,其命令是______________________________________________。 6、基于时间的访问控制列表,定义时间范围的关键字主要有两个,它们是___________和__________。 二、选择题 1、标准访问控制列表应被放置的最佳位置是在()。 A、越靠近数据包的源越好 B、越靠近数据包的目的地越好 C、无论放在什么位置都行 D、入接口方向的任何位置 2、标准访问控制列表的数字标识范围是()。 A、1-50 B、1-99 C、1-100 D、1-199 3、标准访问控制列表以()作为判别条件。 A、数据包的大小 B、数据包的源地址 C、数据包的端口号 D、数据包的目的地址 4、IP扩展访问列表的数字标示范围是多少? ()。 A、0-99 B、1-99 C、100-199 D、101-200 5、下面哪个操作可以使访问控制列表真正生效:()。 A、将访问控制列表应用到接口上 B、定义扩展访问控制列表 C、定义多条访问控制列表的组合 D、用access-list命令配置访问控制列表 6、以下对思科系列路由器的访问列表设置规则描述不正确的是()。 A、一条访问列表可以有多条规则组成 B、一个接口只可以应用一条访问列表 C、对冲突规则判断的依据是:深度优先
CCNA教材-初学者最好的教材2
目 录 课程表: (1) 开学、师资、教材、路由器及模块介绍 第一讲: (2) 资源环境及路由机架拓扑分析 (2) 第二讲:路由器及通信服务器的基本配置、思科认证 (5) 第三讲:路由器的各种密码设置及接口地址设置 (7) 第四讲:两地互连路由配置,路由变PC,模拟器的使用,静态路由 (9) 第五讲:三地互连路由配置,环回接口的使用,动态RIP路由 (16) 第六讲:路由器优化配置,默认路由,上下文帮助,IGRP路由协议 (22) 第七讲:有类路由与无类路由及IP地址的企业化应用 (28) 第八讲:EIGRP路由协议及CCNA认证考试及考题分析 (33) 第九讲:OSPF路由协议及MD7密码破解 (38) 第十讲:路由原理、编辑命令及网络案例故障分析 (40) 第十一讲:标准访问控制列表 (43) 第十二讲:扩展访问控制列表 (47) 第十三讲:命名及VTY访问控制列表,静态NAT (50) 第十四讲:动态NAT及端口NAT (53) 第十五讲:路由器的启动过程及特权密码破解 (58) 第十六讲:PPP配置、IOS及配置文件的升级与备份 (62) 第十七讲:帧中继的配置 (74) 第十八讲:帧中继的配置及排错 (78) 第十九讲:交换机的启动、工作原理及基本配置 (85) 第二十讲:交换机的安全配置 (86) 第二十一讲:交换机的VLAN配置 (90) 第二十二讲:单臂路由、VTP (96) 网络案例及通信服务器(总路由器)的配置 (97) 第二十三讲:综合练习 (105) ;
第二讲 路由器及通信服务器的基本配置 思科认证体系介绍 本课重点:掌握终端服务器及路由器的基本配置 实验一: COMM_SERV_RACK1>r1 回车 Translating "r1" 再回车 Trying r1 (1.1.1.1, 2001)... Open R1> --------------如要从该路由器返回到通信服务器 ctrl+shift+6 x ---返回到总路由器(通信服务器) show session -----显示会话数(占用了几个路由器) show host --------显示总路由器所连的设备代号 disconnect 1------主动释放某台路由器 show user --------显示连接到总路由器的用户 clear line 19 ---踢除某个用户 clear line 5 ----踢除5号线所连设备 quit/exit----------退出总路由器,释放所有路由器 实验二: R1: enable -----进入特权模式 disable-----从特权模式返回到用户模式 enable -----再次进入特权模式 config terminal----进入全局模式 exit ----返回上一层相当于DOS环境中的cd.. config terminal interface serial0 ---进入接口模式(26xx系列路由器如:r5则使用serial0/0) ip address 192.168.51.1 255.255.255.0 clock rate 64000 ----配置时钟(DCE) no shutdown -----------激活启用当前接口 end------返回到最顶层相当于DOS环境中的cd\ config terminal hostname r100----给路由器命名(区分大小写r1,从通信服务器转过来还用线名r1,非路由器名) end disable ping 192.168.xy.x/y !!!!!---拼通 .....---查错