一、实验目的
• 掌握访问列表顺序配置的重要性
• 理解标准访问控制列表的作用
• 掌握扩展访问列表的配置
• 理解扩展访问列表丰富的过滤条件
二、应用环境
• 某些安全性要求比较高的主机或网络需要进行访问控制
• 其它的很多应用都可以使用访问控制列表提供操作条件
• 可以针对目标IP地址进行控制
• 针对某些服务进行控制
• 可以针对某些协议进行控制
三、实验设备
• Cisco 路由器 2 台
• PC 机 2 台
• 交叉线 3 条
四、实验拓扑
五、实验要求
六、实验步骤
配置访问控制器列表
第一步:设置各个设备的名称及 IP 地址并测试连接情况
首先设置 PCA 的 IP 地址并检查:
然后设置路由器 A 的 IP 地址并检查:
设置完接口的 IP 地址不要忘记执行 no shutdown 命令。
在我们还没有执行该命令的时候,此时线路的连接状态是这样的:
当我们执行了该命令之后就可以发现变绿了。
接下来设置路由器 B 的 IP 地址:
最后设置 PCB 的 IP 地址:
然后分别用 PCA ping 其它各个设备并记录结果。
首先是 ping 路由器 A 的两个接口:
结果是都可以 ping 通。
然后 ping 路由器 B :
结果是都 ping 不通,ping PCB 也是 ping 不通。
原因是什么?
因为路由器只能连接相邻的两个网络,它的路由表中只有和它相邻的两个网络的路由信息,所以一旦跨越两个网络以上就不可达了,可以先看一下现在的路由表:
发现只有两个直连路由信息,接下来看看路由器 B 的路由表:
我们可以通过设置静态路由或者动态路由(RIP,OSPF)的方式使他们失效,这里配置一下静态路由信息。
第二步:配置静态路由
首先设置路由器 A 的路由信息:
检查一下:
然后配置路由器 B 的路由信息:
检查一下:
发现路由器 A 和 B 都多了一条静态路由记录信息。
第三步:PC-A能与PC-B通讯
这个时候再用 PCA 去 ping PCB,发现是可以 ping 通的:
第四步:配置访问控制器列表禁止PC-A所在的网段对PC-B的访问
然后我们来验证一下配置,可以使用两种分发:
show run
或者
show ip access-list 1
- 1
- 2
- 3
然后这个时候再去 ping 还是可以 ping 通的,为什么?
因为我们仅仅是配置了访问控制列表,但是并没有指定给哪一个端口,接下来指定一下:
这个时候再去 ping 就可以发现已经不行了。
配置扩展访问列表
配置该列表可以控制仅仅允许某些特殊的流量通过。
首先在路由器 B 上执行:
no ip access-group 1 out
- 1
代表取消掉之前的访问权限控制的配置。
这个时候再用 PCA 去 ping 一下 PC2 :
发现又可以 ping 通了,因为我们取消掉了访问权限控制。
切换到 RouterA,执行一下命令设置扩展访问权限列表:
1| ip access-list extended 192
2| deny tcp 192.168.0.0 0.0.0.255 host 192.168.2.2 eq 23
3| permit icmp any any
4| int f0/0
5| ip access-group 192 in
6| end
1| extended 后面数字的标识可以是 100-199 之间的数字;
2| 192.168.0.0 是源 IP 地址;
3| 192.168.2.2 是目的地址;
4| 23 是端口号;
5| permit icmp any any 表示任何使用 ICMP 协议的分组都允许
他的原则是离源最近的原则,所以应该设置为 in。
然后再去检查一下配置,在 PCA 去 ping PCB:
发现是可以的,因为我们设置了可以访问,下面使用 telnet 访问一下:
文章来源:https://www.toymoban.com/news/detail-856180.html
结果是就是访问不了,因为根本就没有流量可以进来。文章来源地址https://www.toymoban.com/news/detail-856180.html
到了这里,关于思科模拟器:网络安全实验的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
![[思科模拟器]网络设计-主机访问服务器](https://imgs.yssmx.com/Uploads/2024/02/497146-1.png)
