本實(shí)驗(yàn)對(duì)IP訪問(wèn)控制列表進(jìn)行配置和監(jiān)測(cè),包括標(biāo)準(zhǔn)、擴(kuò)展和命名的IP訪問(wèn)控制列表。
1.實(shí)驗(yàn)?zāi)康?/B>
通過(guò)本實(shí)驗(yàn),讀者可以掌握以下技能:
●配置標(biāo)準(zhǔn)IP訪問(wèn)控制列表;
●配置擴(kuò)展IP訪問(wèn)控制列表;
●配置命名的標(biāo)準(zhǔn)IP訪問(wèn)控制列表;
●配置命名的擴(kuò)展IP訪問(wèn)控制列表;
●在網(wǎng)絡(luò)接口上引用IP訪問(wèn)控制列表;
●在VTY上引用IP訪問(wèn)控制列表;
●查看和監(jiān)測(cè)IP訪問(wèn)控制列表。
2.設(shè)備需求
本實(shí)驗(yàn)需要以下設(shè)備:
●Cisco路由器3臺(tái),分別命名為R1、R2和R3。要求R1具有1個(gè)以太網(wǎng)接口,R2具有1個(gè)以太網(wǎng)接口和1個(gè)串行接口,R3具有1個(gè)串行接口;
●1條交叉線序的雙絞線,或2條正常線序雙絞線和1個(gè)Hub;
●1條DCE電纜和1條DTE電纜,或1條DCE轉(zhuǎn)DTE電纜;
●1臺(tái)終端服務(wù)器,如Cisco 2509路由器,及用于反問(wèn)Telnet的相應(yīng)電纜;
●1臺(tái)帶有超級(jí)終端程序的PC機(jī),以及Console電纜及轉(zhuǎn)接器。
3.拓?fù)浣Y(jié)構(gòu)及配置說(shuō)明
本實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu)如圖10-1所示,R1的E0接口與R2的E0接口通過(guò)以太網(wǎng)連接起來(lái),R2的S0接口與R3的S0接口通過(guò)串行電纜連接起來(lái)。
各路由器相關(guān)接口的IP地址分配如圖10-1中的標(biāo)注。
![]("http://network.51cto.com/files/uploadimg/20060227/1213000.jpg")
498)this.style.width=498;">4.實(shí)驗(yàn)配置及監(jiān)測(cè)結(jié)果
首先配置各路由器,并且通過(guò)路由選擇協(xié)議的配置實(shí)現(xiàn)了整個(gè)拓?fù)涞腎P連通性,在此基礎(chǔ)上進(jìn)行IP訪問(wèn)控制列表的配置和監(jiān)測(cè)。
在R1上設(shè)置enable口令為cisco,VTY口令為ciscol,用于Telnet測(cè)試。
以上配置在以前章節(jié)中已進(jìn)行過(guò)實(shí)驗(yàn),在本實(shí)驗(yàn)中不再給出配置清單。
我們主要在R2路由器上配置訪問(wèn)控制列表,R1和R3用于測(cè)試目的。
第1部分:配置和引用標(biāo)準(zhǔn)IP訪問(wèn)控制列表
配置清單10-1列出了在R2路由器上配置和引用標(biāo)準(zhǔn)IP訪問(wèn)控制列表的操作。
配置清單10-1 配置和引用標(biāo)準(zhǔn)IP訪問(wèn)控制列表
R2#conf t |
(1)在定義訪問(wèn)控制列表時(shí),要特別注意語(yǔ)句輸入的先后順序,因?yàn)槁酚善髟趫?zhí)行該列表時(shí)的順序是自上而下的。
另一個(gè)應(yīng)注意的問(wèn)題是路由器不對(duì)由自身產(chǎn)生的IP進(jìn)行過(guò)濾,在實(shí)驗(yàn)時(shí)應(yīng)由其他的設(shè)備發(fā)包進(jìn)行測(cè)試。
(2)配置標(biāo)準(zhǔn)IP訪問(wèn)控制列表1時(shí),定義了除30.1.1.0/24網(wǎng)段外的所有網(wǎng)段都被接受。
(3)在R2路由器S0接口的進(jìn)入方向引用了訪問(wèn)控制列表1,目的是過(guò)濾來(lái)自30.1.1.0/24網(wǎng)段的數(shù)據(jù)包,允許其他所有網(wǎng)段的數(shù)據(jù)包通過(guò)。
在接口上引用訪問(wèn)控制列表時(shí),使用in或out子命令。這里的in和out是指以路由器本身為參考點(diǎn),數(shù)據(jù)包是進(jìn)入 (in)還是離開(kāi)(out)路由器。
(4)show ip access-list命令列出了所定義的訪問(wèn)控制列表的情況,可以看到"permit any"一行有2個(gè)匹配包的報(bào)告,表示已經(jīng)有2個(gè)匹配此行條件的數(shù)據(jù)包被S0接口接收。
(5)show ip int sO命令列出的信息中加陰影的2行是關(guān)于訪問(wèn)控制列表引用情況的信息,表明在進(jìn)入路由器的方向(而)引用了訪問(wèn)控制列表1。
(6)接下來(lái)用clear access-list counters指令清空了訪問(wèn)控制列表的計(jì)數(shù)器。以便觀察實(shí)驗(yàn)結(jié)果。所謂清空計(jì)數(shù)器,就是把訪問(wèn)控制列表各行的匹配數(shù)清空。
再次使用show ip access-list命令查看顯示了我們想得到的結(jié)果。
(7)使用ping和擴(kuò)展的ping命令測(cè)試訪問(wèn)控制列表1的定義和引用情況,結(jié)果為:
從20.1.1.3發(fā)往10.1.1.1的IP包被R2接收和路由;
從30.1.1.3發(fā)往10.1.1.1的IP包被R2過(guò)濾掉。
測(cè)試結(jié)果符合訪問(wèn)控制列表的設(shè)置。
(8)再次查看訪問(wèn)控制列表的匹配情況,可以看到,在訪問(wèn)控制列表1中,2條語(yǔ)句各有5個(gè)相匹配的包,即5個(gè)ICMP Echo包。
第2部分:配置和引用擴(kuò)展IP訪問(wèn)控制列表
接下來(lái)是有關(guān)擴(kuò)展IP訪問(wèn)控制列表的實(shí)驗(yàn)。
配置清單10-2列出了在R2路由器上配置和引用擴(kuò)展IP訪問(wèn)控制列表的操作。
配置清單10-2配置和引用擴(kuò)展IP訪問(wèn)控制列表
R2#conft |
列表的第1句拒絕從20.1.1.0/24網(wǎng)段發(fā)往10.1.1.0/24網(wǎng)段的ICMP Echo包,即希望從20.1.1.0/24網(wǎng)段到10.1.1.0/24網(wǎng)段的ping失敗。
列表的第2句允許所有的
