基于ACL的访问控制及安全策略的设计实验报告.docx
- 文档编号:12771606
- 上传时间:2023-04-22
- 格式:DOCX
- 页数:26
- 大小:20.68KB
基于ACL的访问控制及安全策略的设计实验报告.docx
《基于ACL的访问控制及安全策略的设计实验报告.docx》由会员分享,可在线阅读,更多相关《基于ACL的访问控制及安全策略的设计实验报告.docx(26页珍藏版)》请在冰豆网上搜索。
基于ACL的访问控制及安全策略的设计实验报告
实验报告
课程名称
思科路由器开放实验
实验名称
基于ACL的访问控制及安全策略的设计实验
实验时间
2012
年
6
月
2-3
日
实验报告
实验名称
基于ACL的访问控制及安全策略的设计实验
实验类型
开放实验
实验学时
16
实验时间
一、实验目的和要求
访问控制列表(AccessControlList,ACL)是和接口的指令列表,用来进出的数据包。
验要求学生掌握访问控制列表的配置,理解ACL的执行过程;能够根据ACL设计安全的网络。
实验要求完成以下工作:
1.标准ACL。
实验目标:
本实验拒绝student所在网段访问路由器R2,同时只允许主机teacher访问路由器R2的telnet服务。
2.扩展ACL实验:
实验目标:
学生不能访问ftp,但能访问www,教师不受限制。
3.防止地址欺骗。
外部网络的用户可能会伪装自己的ip地址,比如使用内部网的合法IP地址或者回环地址作为源地址,从而实现非法访问。
解决办法:
将可能伪装到的ip地址拒绝掉。
二、实验环境(实验设备)
PC机,并安装CiscoPacketTracer软件或者是真实的思科网络设备(路由器交换机)。
三、实验原理及内容
一基本ACL实验:
1.标准ACL。
实验目标:
本实验拒绝student所在网段访问路由器R2,同时只允许主机teacher访问路由器R2的telnet服务。
实验拓补图如下:
实验配置如下:
Router>en
Router#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#hostR1
R1(config)#intf0/0
R1(config-if)#ipaddshut
%LINK-5-CHANGED:
InterfaceFastEthernet0/0,changedstatetoup
%LINEPROTO-5-UPDOWN:
LineprotocolonInterfaceFastEthernet0/0,changedstatetoup
R1(config-if)#exit
R1(config)#ints0/0/0
R1(config-if)#ipaddrate64000
R1(config-if)#noshut
%LINK-5-CHANGED:
InterfaceSerial0/0/0,changedstatetodown
R1(config-if)#exit
R1(config)#routereigrp100
R1(config-router)#network0.0.0.255
R1(config-router)#network
R1(config-router)#noauto
R1(config-router)#end
R1#
%SYS-5-CONFIG_I:
Configuredfromconsolebyconsole
R1#copyrunstart
Destinationfilename[startup-config]?
Buildingconfiguration...
[OK]
Router>en
Router#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#hostR2
R2(config)#ints0/0/1
R2(config-if)#ipadd
R2(config-if)#noshut
%LINK-5-CHANGED:
InterfaceSerial0/0/1,changedstatetoup
R2(config-if)#
%LINEPROTO-5-UPDOWN:
LineprotocolonInterfaceSerial0/0/1,changedstatetoup
R2(config-if)#exit
R2(config)#ints0/0/0
R2(config-if)#ipaddrate64000
R2(config-if)#noshut
%LINK-5-CHANGED:
InterfaceSerial0/0/0,changedstatetodown
R2(config-if)#exit
R2(config)#intf0/0
R2(config-if)#ipaddshut
R2(config-if)#
%LINK-5-CHANGED:
InterfaceFastEthernet0/0,changedstatetoup
R2(config-if)#exit
%LINEPROTO-5-UPDOWN:
LineprotocolonInterfaceFastEthernet0/0,changedstatetoup
R2(config)#routereigrp100
R2(config-router)#net
R2(config-router)#
%DUAL-5-NBRCHANGE:
IP-EIGRP100:
Neighbor(Serial0/0/1)isup:
newadjacency
R2(config-router)#net
R2(config-router)#net0.0.0.255
R2(config-router)#noauto
R2(config-router)#
%DUAL-5-NBRCHANGE:
IP-EIGRP100:
Neighbor(Serial0/0/1)isup:
newadjacency
R2(config-router)#exit
R2(config)#exit
R2#
%SYS-5-CONFIG_I:
Configuredfromconsolebyconsole
R2#copyrunstart
Destinationfilename[startup-config]?
Buildingconfiguration...
[OK]
Router>en
Router#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Router(config)#hostR3
R3(config)#ints0/0/1
R3(config-if)#ipaddshut
R3(config-if)#
%LINK-5-CHANGED:
InterfaceSerial0/0/1,changedstatetoup
R3(config-if)#exit
R3(config)#intf0/0
R3(config-if)#ipaddshut
R3(config-if)#
%LINK-5-CHANGED:
InterfaceFastEthernet0/0,changedstatetoup
%LINEPROTO-5-UPDOWN:
LineprotocolonInterfaceFastEthernet0/0,changedstatetoup
R3(config-if)#exit
R3(config)#routereigrp100
R3(config-router)#net0.0.0.255
R3(config-router)#netauto
R3(config-router)#
%DUAL-5-NBRCHANGE:
IP-EIGRP100:
Neighbor(Serial0/0/1)isup:
newadjacency
R3(config-router)#end
R3#
%SYS-5-CONFIG_I:
Configuredfromconsolebyconsole
R3#copyrunstart
Destinationfilename[startup-config]?
Buildingconfiguration...
[OK]
配ACL之前,student去pingR2的三个接口的ip地址,也可以ping服务器,应该ping得通。
R2#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
R2(config)#access-list1deny0.0.0.255
R2(config)#access-list1permitany
R2(config)#ints0/0/1
R2(config-if)#ipaccess-group1in
R2(config-if)#exit
R2(config)#access-list2permithostvty04
R2(config-line)#password501
R2(config-line)#login
R2(config-line)#access-class2in
R2(config-line)#end
R2#
%SYS-5-CONFIG_I:
Configuredfromconsolebyconsole
R2#copyrunstart
Destinationfilename[startup-config]?
Buildingconfiguration...
配ACL之后,student去pingR2的三个接口的ip地址,也可以ping服务器,应该ping不通。
PC>pingwith32bytesofdata:
Requesttimedout.
Requesttimedout.
Requesttimedout.
Requesttimedout.
PingstatisticsforPackets:
Sent=4,Received=0,Lost=4(100%loss),
[OK]
PC>pingwith32bytesofdata:
Requesttimedout.
Requesttimedout.
Requesttimedout.
Requesttimedout.
PingstatisticsforPackets:
Sent=4,Received=0,Lost=4(100%loss),
配ACL之后,teacher机可以telnetR2,效果如下。
PC>telnet...Open
UserAccessVerification
Password:
501
R2>en
%Nopasswordset.
R2>
但只允许teacher机telnetR2,在R3上telnetR2不成功。
R3#telnet...
%Connectionrefusedbyremotehost
R3#telnet...
%Connectionrefusedbyremotehost
R3#telnet...
%Connectionrefusedbyremotehost
在student机上telnetR2不成功。
PC>telnet...
%Connectiontimedout;remotehostnotresponding
PC>telnet...
%Connectiontimedout;remotehostnotresponding
PC>telnet...
%Connectiontimedout;remotehostnotresponding
在R1上telnetR2不成功。
R1#telnet...
%Connectionrefusedbyremotehost
R1#telnet...
%Connectionrefusedbyremotehost
R1#telnet...
%Connectionrefusedbyremotehost
Teacher机:
PC>telnet...Open
[Connectiontoclosedbyforeignhost]
PC>telnet...
%Connectiontimedout;remotehostnotresponding
PC>telnet...
%Connectiontimedout;remotehostnotresponding
R1#telnet...Open
[Connectiontoclosedbyforeignhost]
R1#telnet...Open
[Connectiontoclosedbyforeignhost]
R3>en
R3#telnet...Open
[Connectiontoclosedbyforeignhost]
R3#telnet...
%Connectiontimedout;remotehostnotresponding
SERVER>telnet...
%Connectionrefusedbyremotehost
SERVER>telnet...
%Connectionrefusedbyremotehost
SERVER>telnet...
%Connectionrefusedbyremotehost
SERVER>telnet...Open
[Connectiontoclosedbyforeignhost]
SERVER>telnet...
%Connectiontimedout;remotehostnotresponding
SERVER>telnet...Open
[Connectiontoclosedbyforeignhost]
SERVER>telnet...Open
[Connectiontoclosedbyforeignhost]
SERVER>telnet...
%Connectionrefusedbyremotehost
SERVER>
2扩展ACL实验:
实验目标:
学生不能访问ftp,但能访问www,教师不受限制。
实验拓补图如下:
实验配置如下:
R2#shaccess-lists
StandardIPaccesslist1
deny0.0.0.255
permitany(11match(es))
StandardIPaccesslist2
permithostrun
interfaceSerial0/0/1
ipaddressipaccess-group1in
!
linevty04
access-class2in
password501
login
!
删除ACL:
R2#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
R2(config)#ints0/0/1
R2(config-if)#noipaccess-group1in
R2(config-if)#exit
R2(config)#noaccess-list1
R2(config)#linevty04
R2(config-line)#noaccess-class2in
R2(config-line)#nopassword
R2(config-if)#exit
R2(config)#noaccess-list2
可以用shaccess-lists和shrun查看。
R2#shaccess-lists
R2#shrun
R2#copyrunstart
Destinationfilename[startup-config]?
Buildingconfiguration...
[OK]
配ACL之前测试:
student的pc机测试结果如下:
PC>pingwith32bytesofdata:
Replyfrombytes=32time=203msTTL=126
Replyfrombytes=32time=141msTTL=126
Replyfrombytes=32time=157msTTL=126
Replyfrombytes=32time=143msTTL=126
PingstatisticsforPackets:
Sent=4,Received=4,Lost=0(0%loss),
Approximateroundtriptimesinmilli-seconds:
Minimum=141ms,Maximum=203ms,Average=161ms
student机上测试:
PC>ftptoconnect...toWelcometoPTFtpserver
Username:
cisco
331-Usernameok,needpassword
Password:
cisco
230-Loggedin
(passivemodeOn)
ftp>
ftp>ctrl+c
PacketTracerPCCommandLine
PC>
配dns之后,也就是指定了服务器的ip地址和域名的对应关系之后,也可以以域名的方式登录到ftp服务器。
PC>ftptoconnect...toWelcometoPTFtpserver
Username:
cisco
331-Usernameok,needpassword
Password:
cisco
230-Loggedin
(passivemodeOn)
ftp>exit
Invalidornonsupportedcommand.
ftp>ctrl+c
PacketTracerPCCommandLine
PC>
PC>pingwith32bytesofdata:
Replyfrombytes=32time=188msTTL=125
Replyfrombytes=32time=172msTTL=125
Replyfrombytes=32time=187msTTL=125
Replyfrombytes=32time=187msTTL=125
PingstatisticsforPackets:
Sent=4,Received=4,Lost=0(0%loss),
Approximateroundtriptimesinmilli-seconds:
Minimum=172ms,Maximum=188ms,Average=183ms
配dns之前,pingteacher的ip地址,但ping不了域名;配dns之后,ip地址和域名都可以ping通。
Teacher的域名,服务器的域名,student的域名。
PC>pingwith32bytesofdata:
Replyfrombytes=32time=156msTTL=125
Replyfrombytes=32time=159msTTL=125
Replyfrombytes=32time=172msTTL=125
Replyfrombytes=32time=156msTTL=125
PingstatisticsforPackets:
Sent=4,Received=4,Lost=0(0%loss),
Approximateroundtriptimesinmilli-seconds:
Minimum=156ms,Maximum=172ms,Average=160ms
PC>pingwith32bytesofdata:
Replyfrombytes=32time=157msTTL=126
Replyfrombytes=32time=156msTTL=126
Replyfrombytes=32time=141msTTL=126
Replyfrombytes=32time=125msTTL=126
PingstatisticsforPackets:
Sent=4,Received=4,Lost=0(0%loss),
Approximateroundtriptimesinmilli-seconds:
Minimum=125ms,Maximum=157ms,Average=144ms
在student上测试www服务。
在student机的桌面,在WEB浏览器的地址栏里输入显示网页内容:
CiscoPacketTracer
Welcometonjuptfilmsite.youcandownloadfilms.QuickLinks:
Asmallpage
Copyrights
Imagepage
Image
在student机的桌面,在WEB浏览器的地址栏里输入,同样可以显示网页内容。
teacher的pc机测试结果如下:
PC>pingwith32bytesofdata:
Requesttimedout.
Replyfrombytes=32time=143msTTL=126
Replyfrombytes=32time=140msTTL=126
Replyfrombytes=32time=127msTTL=126
PingstatisticsforPackets:
Sent=4,Received=3,Lost=1(25%loss),
Approximateroundtriptimesinmilli-seconds:
Minimum=127ms,Maximum=143ms,Average=136ms
在R1上配ACL。
R1(config)#access-list101denytcp0.0.0.255hosteq21
R1(config)#access-list101denytcp0.0.0.255hosteq20
R1(config)#access-list101permitip0.0.0.255
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 ACL 访问 控制 安全策略 设计 实验 报告