基于ACL的访问控制及安全策略的设计实验报告

实验报告课程名称思科路由器开放实验实验名称基于ACL的访问控制及安全策略的设计实验实验时间2012年6月2-3日1实验报告实验名称基于ACL的访问控制及安全策略的设计实验实验类型开放实验实验学时16实验时间2012.6.1-2012.6.2一、实验目的和要求访问控制列表（AccessControlList，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。验要求学生掌握访问控制列表的配置，理解ACL的执行过程；能够根据ACL设计安全的网络。实验要求完成以下工作：1.标准ACL。实验目标：本实验拒绝student所在网段访问路由器R2，同时只允许主机teacher访问路由器R2的telnet服务。2.扩展ACL实验：实验目标：学生不能访问ftp,但能访问，教师不受限制。3.防止地址欺骗。外部网络的用户可能会伪装自己的ip地址，比如使用内部网的合法IP地址或者回环地址作为源地址，从而实现非法访问。解决办法：将可能伪装到的ip地址拒绝掉。二、实验环境(实验设备)PC机，并安装CiscoPacketTracer软件或者是真实的思科网络设备（路由器交换机）。三、实验原理及内容一基本ACL实验：1.标准ACL。实验目标：本实验拒绝student所在网段访问路由器R2，同时只允许主机teacher访问路由器R2的telnet服务。实验拓补图如下：2实验配置如下：RouterenRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.3Router(config)#hostR1R1(config)#intf0/0R1(config-if)#ipadd10.20.170.1255.255.255.0R1(config-if)#noshut%LINK-5-CHANGED:InterfaceFastEthernet0/0,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/0,changedstatetoupR1(config-if)#exitR1(config)#ints0/0/0R1(config-if)#ipadd192.168.12.1255.255.255.0R1(config-if)#clockrate64000R1(config-if)#noshut%LINK-5-CHANGED:InterfaceSerial0/0/0,changedstatetodownR1(config-if)#exitR1(config)#routereigrp100R1(config-router)#network10.20.170.00.0.0.255R1(config-router)#network192.168.12.0R1(config-router)#noautoR1(config-router)#endR1#%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleR1#copyrunstartDestinationfilename[startup-config]?Buildingconfiguration...[OK]RouterenRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostR2R2(config)#ints0/0/1R2(config-if)#ipadd192.168.12.2255.255.255.0R2(config-if)#noshut%LINK-5-CHANGED:InterfaceSerial0/0/1,changedstatetoupR2(config-if)#%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/0/1,changedstatetoup4R2(config-if)#exitR2(config)#ints0/0/0R2(config-if)#ipadd192.168.23.1255.255.255.0R2(config-if)#clockrate64000R2(config-if)#noshut%LINK-5-CHANGED:InterfaceSerial0/0/0,changedstatetodownR2(config-if)#exitR2(config)#intf0/0R2(config-if)#ipadd10.20.168.1255.255.255.0R2(config-if)#noshutR2(config-if)#%LINK-5-CHANGED:InterfaceFastEthernet0/0,changedstatetoupR2(config-if)#exit%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/0,changedstatetoupR2(config)#routereigrp100R2(config-router)#net192.168.12.0R2(config-router)#%DUAL-5-NBRCHANGE:IP-EIGRP100:Neighbor192.168.12.1(Serial0/0/1)isup:newadjacencyR2(config-router)#net192.168.23.0R2(config-router)#net10.20.168.00.0.0.255R2(config-router)#noautoR2(config-router)#%DUAL-5-NBRCHANGE:IP-EIGRP100:Neighbor192.168.12.1(Serial0/0/1)isup:newadjacencyR2(config-router)#exitR2(config)#exitR2#%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleR2#copyrunstartDestinationfilename[startup-config]?Buildingconfiguration...[OK]RouterenRouter#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Router(config)#hostR3R3(config)#ints0/0/1R3(config-if)#ipadd192.168.23.2255.255.255.0R3(config-if)#noshut5R3(config-if)#%LINK-5-CHANGED:InterfaceSerial0/0/1,changedstatetoupR3(config-if)#exitR3(config)#intf0/0R3(config-if)#ipadd10.20.66.1255.255.255.0R3(config-if)#noshutR3(config-if)#%LINK-5-CHANGED:InterfaceFastEthernet0/0,changedstatetoup%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/0,changedstatetoupR3(config-if)#exitR3(config)#routereigrp100R3(config-router)#net10.20.66.00.0.0.255R3(config-router)#net192.168.23.0R3(config-router)#noautoR3(config-router)#%DUAL-5-NBRCHANGE:IP-EIGRP100:Neighbor192.168.23.1(Serial0/0/1)isup:newadjacencyR3(config-router)#endR3#%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleR3#copyrunstartDestinationfilename[startup-config]?Buildingconfiguration...[OK]配ACL之前，student去pingR2的三个接口的ip地址，也可以ping服务器10.20.168.7，应该ping得通。R2#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.R2(config)#access-list1deny10.20.170.00.0.0.255R2(config)#access-list1permitanyR2(config)#ints0/0/1R2(config-if)#ipaccess-group1inR2(config-if)#exitR2(config)#access-list2permithost10.20.66.10R2(config)#linevty04R2(config-line)#password501R2(config-line)#loginR2(config-line)#access-class2in6R2(config-line)#endR2#%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleR2#copyrunstartDestinationfilename[startup-config]?Buildingconfiguration...配ACL之后，student去pingR2的三个接口的ip地址，也可以ping服务器10.20.168.7，应该ping不通。PCping10.20.168.7Pinging10.20.168.7with32bytesofdata:Requesttimedout.Requesttimedout.Requesttimedout.Requesttimedout.Pingstatisticsfor10.20.168.7:Packets:Sent=4,Received=0,Lost=4(100%loss),[OK]PCping192.168.12.2Pinging192.168.12.2with32bytesofdata:Requesttimedout.Requesttimedout.Requesttimedout.Requesttimedout.Pingstatisticsfor192.168.12.2:Packets:Sent=4,Received=0,Lost=4(100%loss),配ACL之后，teacher机可以telnetR2，效果如下。PCtelnet192.168.23.1Trying192.168.23.1...OpenUserAccessVerificationPassword:501R2en%Nopasswordset.R27但只允许teacher机telnetR2，在R3上telnetR2不成功。R3#telnet192.168.23.1Trying192.168.23.1...%ConnectionrefusedbyremotehostR3#telnet192.168.12.2Trying192.168.12.2...%ConnectionrefusedbyremotehostR3#telnet10.20.168.1Trying10.20.168.1...%Connectionrefusedbyremotehost在student机上telnetR2不成功。PCtelnet192.168.12.2Trying192.168.12.