資源描述:
《配置路由器的ACL訪問(wèn)控制列表》由會(huì)員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)�����。
1�、配置訪問(wèn)控制列表(ACL)在路由器上實(shí)現(xiàn)訪問(wèn)控制列表試驗(yàn)描述:實(shí)驗(yàn)?zāi)康暮鸵螅?.掌握在路由器上配置ACL的方法�。?2.對(duì)路由器上已配置的?ACL進(jìn)行測(cè)試��。?試驗(yàn)環(huán)境準(zhǔn)備(GNS3):3臺(tái)路由器互聯(lián)����,拓?fù)鋱D如下:3.試驗(yàn)任務(wù):(1)配制標(biāo)準(zhǔn)訪問(wèn)控制列表;(2)配制擴(kuò)展訪問(wèn)控制列表��;(3)配制名稱訪問(wèn)控制列表����;(4)配制控制telnet訪問(wèn)����。4.試驗(yàn)內(nèi)容:OSPF,ACL����,telnet12配置訪問(wèn)控制列表(ACL)試驗(yàn)步驟:1.運(yùn)行模擬器,按照如下拓?fù)鋱D進(jìn)行部署���。2.R2路由器的基本配置�����。3.R2路由器的基本配置�����。4.R2路由器的基本配置12配置訪問(wèn)控制列表(ACL)1.R1pingR2
2��、2.R2pingR33.R1pingR3�����,要是能通就活見(jiàn)鬼了�����!4.現(xiàn)在在3臺(tái)路由器上配置單區(qū)域OSPF��,首先R1����。12配置訪問(wèn)控制列表(ACL)1.R2配置單區(qū)域OSPF。2.R3配置單區(qū)域OSPF�。3.R3pingR1,使用擴(kuò)展ping的方式�����。應(yīng)該可以ping通了。12配置訪問(wèn)控制列表(ACL)1.R1pingR3���,使用擴(kuò)展ping的方式���。應(yīng)該可以ping通了。2.在路由器R3上查看路由表時(shí)發(fā)現(xiàn)了一個(gè)10.1.1.1/32的主機(jī)地址條目����,帶有32位掩碼。這種情況最好加以避免���,因?yàn)橐坏┰谝粋€(gè)網(wǎng)絡(luò)里路由器上所有的條目都出現(xiàn)在路由表上的話,路由器將使用大量的資源處理這些條目���,太浪費(fèi)了��。本試
3�����、驗(yàn)中�����,這個(gè)主機(jī)條目的出現(xiàn)是因?yàn)镽1使用了一個(gè)loopback接口�,雖然是邏輯接口,如果在OSPF路由器上使用這種接口����,其它運(yùn)行OSPF的路由器學(xué)習(xí)到這個(gè)路由器的時(shí)候就會(huì)顯示出一個(gè)主機(jī)條目。消除這一現(xiàn)象可以通過(guò)將該網(wǎng)絡(luò)設(shè)置為點(diǎn)到點(diǎn)即可�。分別在R1和R3上設(shè)置。3.R1設(shè)置點(diǎn)到點(diǎn)����。12配置訪問(wèn)控制列表(ACL)1.R3設(shè)置點(diǎn)到點(diǎn)。2.再看一下R3的路由表�����,那個(gè)主機(jī)條目消失了��。3.R1的路由表也沒(méi)有出現(xiàn)主機(jī)條目��。4.要求禁止10.2.2.0/24網(wǎng)段所有用戶訪問(wèn)10.1.1.0/24����,由于標(biāo)準(zhǔn)訪問(wèn)控制列表只檢查數(shù)據(jù)包中的源地址,一旦ACL禁止了源主機(jī)的地址,源主機(jī)就無(wú)法與目標(biāo)主機(jī)通信了�����,但問(wèn)
4���、題是源主機(jī)和別的網(wǎng)絡(luò)節(jié)點(diǎn)的通信也被禁止了���,殺傷范圍過(guò)大。所以����,標(biāo)準(zhǔn)ACL應(yīng)當(dāng)配置在靠近數(shù)據(jù)目的地的路由器上比較合適。根據(jù)靠后部署的原則��,本試驗(yàn)中的標(biāo)準(zhǔn)ACL應(yīng)該部署在R1��。12配置訪問(wèn)控制列表(ACL)1.R1:配置標(biāo)準(zhǔn)ACL��。2.R3:測(cè)試3.要求:禁止10.2.2.0/24網(wǎng)段上多有IP數(shù)據(jù)流訪問(wèn)172.16.1.0/24和10.1.1.0/24網(wǎng)段��。這時(shí)用到擴(kuò)展訪問(wèn)控制列表�����。擴(kuò)展ACL既檢查數(shù)據(jù)包的源地址��,也檢查數(shù)據(jù)包的目的地址��,同時(shí)還可以檢查數(shù)據(jù)包的特定協(xié)議類型����、端口號(hào)等。擴(kuò)展ACL較標(biāo)準(zhǔn)ACL更加精確�。這時(shí)要考慮如果把ACL部署在靠近目的地的路由器上,雖然也能達(dá)到屏蔽的效果���,
5�、但是會(huì)給網(wǎng)絡(luò)帶來(lái)不必要的數(shù)據(jù)流量����,所以應(yīng)當(dāng)按照‘靠前部署’的原則,將擴(kuò)展ACL部署在靠近源地址的路由器上���。應(yīng)該在R2上部署較為合適��。4.R1:刪除先前部署的ACL����。12配置訪問(wèn)控制列表(ACL)1.R2:配置擴(kuò)展ACL。101是ACL號(hào)�,表示這是一個(gè)擴(kuò)展的IPACL。擴(kuò)展的IPACL號(hào)范圍是100-199���,擴(kuò)展的IPACL可以控制源IP��、目的IP����、源端口���、目的端口等�����,能實(shí)現(xiàn)較為精準(zhǔn)的訪問(wèn)控制�����。2.R3:測(cè)試12配置訪問(wèn)控制列表(ACL)1.如果ACL的數(shù)值號(hào)碼難以記憶,可以使用名稱訪問(wèn)控制列表���。2.刪除R2先前配置的擴(kuò)展ACL�。3.R2:配置名稱訪問(wèn)控制列表。4.R3:測(cè)試12配置訪問(wèn)
6�、控制列表(ACL)1.如果你是網(wǎng)管,假設(shè)你的IP地址是10.2.2.2���,要求只有你才能夠telnet到R1和R2進(jìn)行性配置����,如何配置��?2.R2:刪除先前配置的名稱訪問(wèn)控制列表����。3.R1:配置telnet接入密碼。4.R2:配置telnet接入密碼����。5.R1:telnet連接R2,連接成功�。12配置訪問(wèn)控制列表(ACL)1.R2:telnet連接R1,連接成功����。2.R1:配置telnet訪問(wèn)控制。3.R2:配置telnet訪問(wèn)控制���。4.R2:telnet連接R1的10.1.1.1被拒絕����。5.R1:telnet連接R2被拒絕。6.R3:telnet連接R1��,成功��。12配置訪問(wèn)控制列表(AC
7�����、L)1.R3:telnet連接R2�,成功。此外���,在配置ACL時(shí)應(yīng)當(dāng)注意:1.標(biāo)準(zhǔn)訪問(wèn)控制列表要應(yīng)用在靠近目標(biāo)端��。2.擴(kuò)展訪問(wèn)控制列表要應(yīng)用在靠近源端����。3.訪問(wèn)控制列表僅對(duì)穿越路由器的數(shù)據(jù)包進(jìn)行過(guò)濾�����。4.創(chuàng)建訪問(wèn)控制列表語(yǔ)句的前后順序不能顛倒����。5.訪問(wèn)控制列表的最后一句隱含的是拒絕所有。6.刪除訪問(wèn)控制列表時(shí)將一次性刪除整個(gè)列表�。7.一個(gè)訪問(wèn)控制列表可用于不同的端口。12
