本實驗對IP訪問控制列表進行配置和監測,包括標準、擴展和命名的IP訪問控制列表。
1.實驗目的
通過本實驗,讀者可以掌握以下技能:
●配置標準IP訪問控制列表;
●配置擴展IP訪問控制列表;
●配置命名的標準IP訪問控制列表;
●配置命名的擴展IP訪問控制列表;
●在網絡接口上引用IP訪問控制列表;
●在VTY上引用IP訪問控制列表;
●查看和監測IP訪問控制列表。
2.設備需求
本實驗需要以下設備:
●Cisco路由器3臺,分別命名為R1、R2和R3。要求R1具有1個以太網接口,R2具有1個以太網接口和1個串行接口,R3具有1個串行接口;
●1條交叉線序的雙絞線,或2條正常線序雙絞線和1個Hub;
●1條DCE電纜和1條DTE電纜,或1條DCE轉DTE電纜;
●1臺終端服務器,如Cisco 2509路由器,及用于反問Telnet的相應電纜;
●1臺帶有超級終端程序的PC機,以及Console電纜及轉接器。
3.拓撲結構及配置說明
本實驗拓撲結構如圖10-1所示,R1的E0接口與R2的E0接口通過以太網連接起來,R2的S0接口與R3的S0接口通過串行電纜連接起來。
各路由器相關接口的IP地址分配如圖10-1中的標注。
![]("http://network.51cto.com/files/uploadimg/20060227/1213000.jpg")
498)this.style.width=498;">4.實驗配置及監測結果首先配置各路由器,并且通過路由選擇協議的配置實現了整個拓撲的IP連通性,在此基礎上進行IP訪問控制列表的配置和監測。
在R1上設置enable口令為cisco,VTY口令為ciscol,用于Telnet測試。
以上配置在以前章節中已進行過實驗,在本實驗中不再給出配置清單。
我們主要在R2路由器上配置訪問控制列表,R1和R3用于測試目的。
第1部分:配置和引用標準IP訪問控制列表配置清單10-1列出了在R2路由器上配置和引用標準IP訪問控制列表的操作。
配置清單10-1 配置和引用標準IP訪問控制列表
R2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R2(config)#access-list 1 deny 30.1.1.0 0.0.0.255
R2(config)#access-Ust 1 permit any
R2(config)#int s0
R2(config-if)#ip access-group 1 in
R2(config-if)#^Z
R2#sh
14:34:20: %SYS-5-CONFIG_1: Configured from console by console
R2#sh ip access-list 1
Standard IP access list 1
deny 30.1.1.0,wukdcard buts 0.0.0.255 check=2
permit any(2 matches)
R2#sh ip int s0
Serial0 is up, line protocol is up
Internet address is 20.1.1.2/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Multicast reserved groups joined: 224.0.0.9
Outgoing access list is not set
Inbound access list is 1
Proxy ARP is enabled
Security level is default
... (輸出省略)
R2#clear access-list counters
R2#sh ip access-1 1
Standard IP access list 1
deny30.1 .IA wildcard bits 0.0.0.255
permit any
R2#
Term_Server#3
[Resuming connection 3 to R3 ... ]
R3#ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echosto 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5). round-tri/min/avg/max=:32/37/48 ms
R3#ping
Protocol [ip]:
Target IP address: 10.1.1.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 30.1.1.3
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5,100-byte ICMP Echos to 10.1.1.1,timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
R3#^Z
Term_Server#2
[Resuming connection 3 to R2 ... ]
R2#sh ip access-1 1
Standard IP access list 1
deny 30.1.1.0, wildcard bits 0.0.0.255 (5 matches) checks 15
permit any (5 matches) |
(1)在定義訪問控制列表時,要特別注意語句輸入的先后順序,因為路由器在執行該列表時的順序是自上而下的。
另一個應注意的問題是路由器不對由自身產生的IP進行過濾,在實驗時應由其他的設備發包進行測試。
(2)配置標準IP訪問控制列表1時,定義了除30.1.1.0/24網段外的所有網段都被接受。
(3)在R2路由器S0接口的進入方向引用了訪問控制列表1,目的是過濾來自30.1.1.0/24網段的數據包,允許其他所有網段的數據包通過。
在接口上引用訪問控制列表時,使用in或out子命令。這里的in和out是指以路由器本身為參考點,數據包是進入 (in)還是離開(out)路由器。
(4)show ip access-list命令列出了所定義的訪問控制列表的情況,可以看到"permit any"一行有2個匹配包的報告,表示已經有2個匹配此行條件的數據包被S0接口接收。
(5)show ip int sO命令列出的信息中加陰影的2行是關于訪問控制列表引用情況的信息,表明在進入路由器的方向(而)引用了訪問控制列表1。
(6)接下來用clear access-list counters指令清空了訪問控制列表的計數器。以便觀察實驗結果。所謂清空計數器,就是把訪問控制列表各行的匹配數清空。
再次使用show ip access-list命令查看顯示了我們想得到的結果。
(7)使用ping和擴展的ping命令測試訪問控制列表1的定義和引用情況,結果為:
從20.1.1.3發往10.1.1.1的IP包被R2接收和路由;
從30.1.1.3發往10.1.1.1的IP包被R2過濾掉。
測試結果符合訪問控制列表的設置。
(8)再次查看訪問控制列表的匹配情況,可以看到,在訪問控制列表1中,2條語句各有5個相匹配的包,即5個ICMP Echo包。
第2部分:配置和引用擴展IP訪問控制列表
接下來是有關擴展IP訪問控制列表的實驗。
配置清單10-2列出了在R2路由器上配置和引用擴展IP訪問控制列表的操作。
配置清單10-2配置和引用擴展IP訪問控制列表
R2#conft
Enter configuration commands, one per line. End with CNTL/Z.
R2(config)#access-list 101 deny
icmp 20.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255 echo
R2(config)#access-list 101 permit ip any any
R2(config)#int e0
R2(config-if)#ip access-g 101 out
R2(config-if)#int s0
R2(config-if)#no ipaccess-g 1 in
R2(config-if)#^Z
R2#
R2#sh ip access-list
Standard IP access list 1
deny 30.1.1.0, wildcard bits 0.0.0.255 (8 matches) check=20
permit any (20 matches)
permit ip any any
R2#
Term_Server#3
[Resuming connection 3 to R3 ...]
R3#ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent(0/5)
R3#telnet 10.1.1.1
Trying 10.1.1.1... Open
User Access Verification
Password:(鍵入 cisco1 )
R1>en
Password:(鍵入 cisco )
R1#
R1#exit
[Connection to 10.1.1.1 closed by foreign host]
R3#
Term_Server#2
[Resuming connection 2 to R2 ... ]
R2#sh ip access-list 101
Extended IP access list 101
deny icmp 20.1.1.0 0.0.0.255 10.1.1.0.0.0.0.255 echo(8 matches)
permit ip any any (40 matches)
R2# |
(1)首先定義了一個擴展的IP訪問控制列表101。
列表的第1句拒絕從20.1.1.0/24網段發往10.1.1.0/24網段的ICMP Echo包,即希望從20.1.1.0/24網段到10.1.1.0/24網段的ping失敗。
列表的第2句允許所有的
