資源描述:
《配置路由器的ACL訪問(wèn)控制列表》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)。
1、配置訪問(wèn)控制列表(ACL)在路由器上實(shí)現(xiàn)訪問(wèn)控制列表試驗(yàn)描述:實(shí)驗(yàn)?zāi)康暮鸵螅?.掌握在路由器上配置ACL的方法。?2.對(duì)路由器上已配置的?ACL進(jìn)行測(cè)試。?試驗(yàn)環(huán)境準(zhǔn)備(GNS3):3臺(tái)路由器互聯(lián),拓?fù)鋱D如下:3.試驗(yàn)任務(wù):(1)配制標(biāo)準(zhǔn)訪問(wèn)控制列表;(2)配制擴(kuò)展訪問(wèn)控制列表;(3)配制名稱訪問(wèn)控制列表;(4)配制控制telnet訪問(wèn)。4.試驗(yàn)內(nèi)容:OSPF,ACL,telnet12配置訪問(wèn)控制列表(ACL)試驗(yàn)步驟:1.運(yùn)行模擬器,按照如下拓?fù)鋱D進(jìn)行部署。2.R2路由器的基本配置。3.R2路由器的基本配置。4.R2路由器的基本配置12配置訪問(wèn)控制列表(ACL)1.R1pingR2
2、2.R2pingR33.R1pingR3,要是能通就活見鬼了!4.現(xiàn)在在3臺(tái)路由器上配置單區(qū)域OSPF,首先R1。12配置訪問(wèn)控制列表(ACL)1.R2配置單區(qū)域OSPF。2.R3配置單區(qū)域OSPF。3.R3pingR1,使用擴(kuò)展ping的方式。應(yīng)該可以ping通了。12配置訪問(wèn)控制列表(ACL)1.R1pingR3,使用擴(kuò)展ping的方式。應(yīng)該可以ping通了。2.在路由器R3上查看路由表時(shí)發(fā)現(xiàn)了一個(gè)10.1.1.1/32的主機(jī)地址條目,帶有32位掩碼。這種情況最好加以避免,因?yàn)橐坏┰谝粋€(gè)網(wǎng)絡(luò)里路由器上所有的條目都出現(xiàn)在路由表上的話,路由器將使用大量的資源處理這些條目,太浪費(fèi)了。本試
3、驗(yàn)中,這個(gè)主機(jī)條目的出現(xiàn)是因?yàn)镽1使用了一個(gè)loopback接口,雖然是邏輯接口,如果在OSPF路由器上使用這種接口,其它運(yùn)行OSPF的路由器學(xué)習(xí)到這個(gè)路由器的時(shí)候就會(huì)顯示出一個(gè)主機(jī)條目。消除這一現(xiàn)象可以通過(guò)將該網(wǎng)絡(luò)設(shè)置為點(diǎn)到點(diǎn)即可。分別在R1和R3上設(shè)置。3.R1設(shè)置點(diǎn)到點(diǎn)。12配置訪問(wèn)控制列表(ACL)1.R3設(shè)置點(diǎn)到點(diǎn)。2.再看一下R3的路由表,那個(gè)主機(jī)條目消失了。3.R1的路由表也沒有出現(xiàn)主機(jī)條目。4.要求禁止10.2.2.0/24網(wǎng)段所有用戶訪問(wèn)10.1.1.0/24,由于標(biāo)準(zhǔn)訪問(wèn)控制列表只檢查數(shù)據(jù)包中的源地址,一旦ACL禁止了源主機(jī)的地址,源主機(jī)就無(wú)法與目標(biāo)主機(jī)通信了,但問(wèn)
4、題是源主機(jī)和別的網(wǎng)絡(luò)節(jié)點(diǎn)的通信也被禁止了,殺傷范圍過(guò)大。所以,標(biāo)準(zhǔn)ACL應(yīng)當(dāng)配置在靠近數(shù)據(jù)目的地的路由器上比較合適。根據(jù)靠后部署的原則,本試驗(yàn)中的標(biāo)準(zhǔn)ACL應(yīng)該部署在R1。12配置訪問(wèn)控制列表(ACL)1.R1:配置標(biāo)準(zhǔn)ACL。2.R3:測(cè)試3.要求:禁止10.2.2.0/24網(wǎng)段上多有IP數(shù)據(jù)流訪問(wèn)172.16.1.0/24和10.1.1.0/24網(wǎng)段。這時(shí)用到擴(kuò)展訪問(wèn)控制列表。擴(kuò)展ACL既檢查數(shù)據(jù)包的源地址,也檢查數(shù)據(jù)包的目的地址,同時(shí)還可以檢查數(shù)據(jù)包的特定協(xié)議類型、端口號(hào)等。擴(kuò)展ACL較標(biāo)準(zhǔn)ACL更加精確。這時(shí)要考慮如果把ACL部署在靠近目的地的路由器上,雖然也能達(dá)到屏蔽的效果,
5、但是會(huì)給網(wǎng)絡(luò)帶來(lái)不必要的數(shù)據(jù)流量,所以應(yīng)當(dāng)按照‘靠前部署’的原則,將擴(kuò)展ACL部署在靠近源地址的路由器上。應(yīng)該在R2上部署較為合適。4.R1:刪除先前部署的ACL。12配置訪問(wèn)控制列表(ACL)1.R2:配置擴(kuò)展ACL。101是ACL號(hào),表示這是一個(gè)擴(kuò)展的IPACL。擴(kuò)展的IPACL號(hào)范圍是100-199,擴(kuò)展的IPACL可以控制源IP、目的IP、源端口、目的端口等,能實(shí)現(xiàn)較為精準(zhǔn)的訪問(wèn)控制。2.R3:測(cè)試12配置訪問(wèn)控制列表(ACL)1.如果ACL的數(shù)值號(hào)碼難以記憶,可以使用名稱訪問(wèn)控制列表。2.刪除R2先前配置的擴(kuò)展ACL。3.R2:配置名稱訪問(wèn)控制列表。4.R3:測(cè)試12配置訪問(wèn)
6、控制列表(ACL)1.如果你是網(wǎng)管,假設(shè)你的IP地址是10.2.2.2,要求只有你才能夠telnet到R1和R2進(jìn)行性配置,如何配置?2.R2:刪除先前配置的名稱訪問(wèn)控制列表。3.R1:配置telnet接入密碼。4.R2:配置telnet接入密碼。5.R1:telnet連接R2,連接成功。12配置訪問(wèn)控制列表(ACL)1.R2:telnet連接R1,連接成功。2.R1:配置telnet訪問(wèn)控制。3.R2:配置telnet訪問(wèn)控制。4.R2:telnet連接R1的10.1.1.1被拒絕。5.R1:telnet連接R2被拒絕。6.R3:telnet連接R1,成功。12配置訪問(wèn)控制列表(AC
7、L)1.R3:telnet連接R2,成功。此外,在配置ACL時(shí)應(yīng)當(dāng)注意:1.標(biāo)準(zhǔn)訪問(wèn)控制列表要應(yīng)用在靠近目標(biāo)端。2.擴(kuò)展訪問(wèn)控制列表要應(yīng)用在靠近源端。3.訪問(wèn)控制列表僅對(duì)穿越路由器的數(shù)據(jù)包進(jìn)行過(guò)濾。4.創(chuàng)建訪問(wèn)控制列表語(yǔ)句的前后順序不能顛倒。5.訪問(wèn)控制列表的最后一句隱含的是拒絕所有。6.刪除訪問(wèn)控制列表時(shí)將一次性刪除整個(gè)列表。7.一個(gè)訪問(wèn)控制列表可用于不同的端口。12