IP控制列表

IP访问控制列表一、实验目的：1．理解访问控制列表原理2.了解访问控制列表应用原则3．学习并掌握访问控制列表的配置操作二、实验原理：访问列表中定义的典型规则主要有以下：源地址、目标地址、上层协议、时间区域；扩展IP访问列表(编号100~199、2000~2699)使用以上四种组合来进行转发或阻断分组；可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。扩展IP访问列表的配置包括以下两步：定义扩展IP访问列表将扩展IP访问列表应用于特定接口上三、实验设备：Router01Router02PC01Server01四、实验拓扑图：五、实验过程：//环境：Router01Router02PC01Server01//配置Router01Router01enableRouter01#configureterminalRouter01(config)#interfacefastEthernet0/0Router01(config-if)#noshutdownRouter01(config-if)#ipaddress192.168.1.1255.255.255.0Router01(config-if)#exitRouter01(config)#interfaceserial2/0Router01(config-if)#ipaddress192.168.3.1255.255.255.0Router01(config-if)#clockrate64000Router01(config-if)#noshutdownRouter01(config)#iproute192.168.2.0255.255.255.0192.168.3.2Router01#write//配置Router02Router02enableRouter02#configureterminalRouter02(config)#interfacefastEthernet0/0Router01(config-if)#noshutdownRouter02(config-if)#ipaddress192.168.2.1255.255.255.0Router02(config-if)#exitRouter01(config)#interfaceserial2/0Router02(config-if)#noshutdownRouter01(config-if)#ipaddress192.168.3.2255.255.255.0Router02(config-if)#exitRouter02(config)#iproute192.168.1.0255.255.255.0192.168.3.1Router02(config)#ipaccess-listextended100//创建扩展访问控制列表，编号100Router02(config-ext-nacl)#permittcpanyhost192.168.2.101eq允许任何主机访问192.168.2.101的(config-ext-nacl)#denyicmpanyhost192.168.2.101//禁止ping192.168.2.101Router02(config-ext-nacl)#exitRouter02(config)#interfaceserial2/0Router02(config-if)#ipaccess-group100in//应用入栈规则Router02#write//测试：（终端计算机）PC01ping192.168.2.101Pinging192.168.2.101with32bytesofdata:Requesttimedout.Requesttimedout.Requesttimedout.Requesttimedout.Pingstatisticsfor192.168.2.101:Packets:Sent=4,Received=0,Lost=4(100%loss),//访问六、实验总结：张书金：因为我们开始的时候准备并不充足开始的时候在网上找资料，但是没有充足的准备没有找好，临时找的必须得配置应用服务器，在网上下载了应用服务器之后，安装并不能成功的按照报告上的输入http地址进行验证，所以只能在路由模拟器上进行模拟验证，进行模拟的时候输入以上命令验证成功。张影：访问控制列表（ACL）：应用于路由器接口的指令列表，用于指定哪些数据包可以接收转发，哪些数据包需要拒绝。ACL的工作原理：读取第三层及第四层包头中的信息；根据预先定义好的规则对包进行过滤。访问控制列表的作用：提供网络访问的基本安全手段；可用于QoS，控制数据流量；控制通信量访问控制列表工作原理：实现访问控制列表的核心技术是包过滤通过分析IP数据包包头信息，进行判断；利用4个元素定义规则：源地址；目的地址；源端口；目的端口。此次实验需要三台pc机，一台路由器，我在此次实验中主要负责连线，连好线后，我仔细看了看实验过程，在遇到问题时发表一下自己的意见。实验实验过程中遇到的问题是在安装IIS软件，配置服务器时出现了错误，主机pc1上不能成功配置。实验过后，反思总结，认为首先还是没有提前准备实验，在实验过程中被一些其他的知识难道，本来是配置好了，但是由于服务器没有配置成功，导致最后实验没能成功的完成。翟继阳：我们在实验过程中，我们成功配置了命名的标准IP访问列表，首先配置了三个虚拟局域网，然后将交换机端口加入对应的虚拟局域网，并为虚拟局域网配置IP地址，配置三台主机和命名标准IP访问控制列表后，把访问控制列表应用到相应接口上，用ping命令测试，vlan30不能访问20，其余vlan之间均能正常访问。之后我们有配置了扩展IP访问控制链表并验证。我配置的是三层交换机S3760，练习命令包括虚拟局域网的命名、端口的加入、为虚拟局域网配置IP地址和配置命名两种IP访问控制列表并验证。实验过程中，我理解了访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。访问控制列表是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表；扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。马天泽：这次实验使我加深了访问控制列表原理的理解，了解了访问控制列表应用原则，学习并掌握了访问控制列表的配置操作。实验中我们按照网上以及书本上的资料建立了一个自己的FTP。实验中我还了解到了IP访问控制列表是实现对流经路由器或交换机的数据报根据一定的规则进行过滤。从而提高网络可管理性和安全性。类似于包过滤防火墙的功能。IPACL分为两种：标准IP访问列表和拓展IP访问列表。标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤。拓展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。IPACL基于接口进行规则的应用方向分为：入口应用和出口应用。入口应用是对由外部经该接口进入路由器的数据包进行过滤。出口应用是对从路由器接口向外转发数据时的数据包过滤。张文霞：在这次IP访问控制列表的实验中，我作为主机A在这里也是服务器首先可以和其他两台主机联通，可是在配置完命令后，由于我们找的资料是XP的，所以有些IIS的安装并不顺利，而且下载的IIS可能不正确，导致最后实验没做成功。感觉这次实验不成功的一个原因是准备工作不够充分，所以以后的实验还是要好好准备的。保宁鑫：本次作为主机B来进行试验，需要敲的命令只是ping命令:ping192.168.10.100测试主机B与主机A是否能连通。Ping192.168.30.100测试主机B与主机C是否能连通。其中个主机IP为：主机A(服务器)：192.168.10.100主机B(办公区)：192.168.20.100主机C(学生宿舍)：192.168.30.100使用ping命令和其他两台主机连接，和服务器区A主机能接通，和学生宿舍C主机不能通信，截图如下：但是由于测试的时候一直不成功