《实验十六访问控制列表综合实验.docx》由会员分享,可在线阅读,更多相关《实验十六访问控制列表综合实验.docx(3页珍藏版)》请在三一办公上搜索。
1、访问控制列表综合实验一 实验目的:首先对路由器配置动态路由协议,使整个网络互相连通.然后,建立访 问控制列表,测试访问控制列表的应用.二、实验任务1. 标准访问列表允许源网络地址为172.16.0.0的通信量通过2. 利用扩展访问控制列表,禁止主机A远程登录路由器B3利J用扩展访问控制列表,只允许主机A远程登录路由器B三.实验设备:路由器Cisco 2621两台,交换机Cisco 2950三台,带有网卡的工作 站PC至少三台,直通双绞线缆六条,DCE或DTC线缆一条sO/O 1T2. 16. 18.20/0 172.16.16.1Switch 2ip 1T2. 16. 16.2 255.255
2、.255.0向美:172. 16. 16. 1五.实验步骤:fO/Li 172. 16. 17. 1255.255.255.0PC-PTPC3 IF: 172. 16. 19.2 网关:172. 16. 19. 1F0/1 172.16.19.1四.实验环境:PC2 ip 172. 16. 17. 2 255. 255. 255. 0向关:172. 16. 17. 11. 对图中设备规划并按以下要求配置IP地址:172.16.16.2 255.255.255.0 gw:172.16.16.1172.16.17.2 255.255.255.0 gw :172.16.17.1172.16.19.2
3、 255.255.255.0 gw: 172.16.19.1路由器使用的缺省协议routeA: f0/0 :172.16.16.1 255.255.255.0pci:f0/1: 172.16.19.1 255.255.255.0 s0/0 :172.16.18.1 255.2555.255.0pc2:routeB: f0/0: 172.16.17.1 255.255.255.0 s0/0: 172.16.18.2 255.255.255.0pc3:2. 在路由器routeA(DCE端)上配置如下:routeA(config)#int f0/0routeA(config-if)#ip add 1
4、72.16.16.1 255.255.255.0routeA(config-if)#no shrouteA(config)#int s0/0routeA(config-if)#ip add 172.16.18.1 255.255.255.0routeA(config-if)#encapsulation hdlc HDLC 是 CISCO routeA(config-if)#clock rate 64000 routeA(config-if)#no sh routeA(config-if)#exit3. 在路由器routeB(DTE端)配置如下:routerB(config)#int f0/0r
5、outeB(config-if)#ip add 172.16.17.1 255.255.255.0routeB(config-if)#no shrouteB(config)#int s0/0routeB(config-if)#ip add 172.16.18.2 255.255.255.0routeB(config-if)#encapsulation hdlcrouteB(config-if)#no shrouteB(config-if)#exit4. 在两台路由器上分别启用动态路由协议在路由器A上:routeA(config)#route riprouteA(config-router)#v
6、ersion 2routeA(config-router)#network 172.16.0.0在路由器B上:routeB(config)#route riprouteB(config-router)#version 2routeB(config-router)#network 172.16.0.0测试连通情况:PC1 : PING 172.16.17.2 (通,则成功)5. 创建访问控制列表:(1) 标准访问列表允许源网络地址为172.16.16.0的所有流量可以通过S0/0访问外部网络拒绝特定主机地址172.16.19.2的流量通过F0/0访问所有网络routeA(config)#acce
7、ss list 1 permit 172.16.0.0 0.0.255.255routeA(config)#access list 2 deny host 172.16.19.2将访问列表1应用于接口 S0/0上routeA(config)#int s0/0routeA(config-if)#ip access-group 1 out将访问列表2应用于接口 F0/0上routeA(config)#int f0/0routeA(config-if)#ip access-group 2 out测试结果:PC1: PING 172.16.17.2 (通,允许通过)PC3: PING 172.16.1
8、7.2 (不通,拒绝特定主机通过)注意:在每个端口、每个协议、每个方向上只能有一个访问控制列表routerA(config)#no access-list 1(删除一个访问列表)或者使用:routerA(config-if)#no ip access-group 1 in二者都可能实现去掉访问列表的目的。前者是从列表号角度删除,后者是从接口的输入 和输出角度删除。(2) 利用扩展访问控制列表,禁止主机PC1远程登录路由器B对ROUTEB配置远程Telnet如下:Router(config)#line vty 0 4Router(config-line)#login% Login disable
9、d on line 66, until password is set% Login disabled on line 67, until password is set% Login disabled on line 68, until password is set% Login disabled on line 69, until password is set% Login disabled on line 70, until password is setRouter(config-line)#password routeRouter(config-line)#exitRouter(
10、config)#enable password 2621%SYS-5-CONFIG_I: Configured from console by console结果在pc1 下: telnet 172.16.17.1 (通,主机PC1远程登录路由器B成功) 扩展的访问控制列表,有源和目的两个ip,并且要指明应用的协议routeA(config)#access-list 110 deny tcp host 172.16.16.2 host 172.16.17.1 eq telnet routeA(config)#access-list 110 permit ip any anyrouteA(con
11、fig)#int s0/0routeA(config-if)#ip access-group 110 out使用TELNET验证结果,前提条件ROUTEB允许远程TELNET结果:在 pc1 下:ping 172.16.17.1 (通,则 ROUTEA 拒绝主机 172.16.16.2 的 telnet 数据通 过,允许其他数据包通过。但不能telnet 172.16.17.1)选做实验(3) 利用扩展访问控制列表,只允许主机A远程登录路由器B扩展的访问控制列表,有源和目的两个ip,并且要指明应用的协议routeA(config)#access-list 110 permit tcp host 172.16.16.2 host 172.16.17.1 eq telnet routeA(config)#int s0/0routeA(config-if)#ip access-group 110 out使用TELNET验证结果,前提条件ROUTEB允许远程TELNET结果:在主机A上远程登录路由器B成功!!
