思科模拟器：网络安全实验

一、实验目的

• 掌握访问列表顺序配置的重要性
• 理解标准访问控制列表的作用
• 掌握扩展访问列表的配置
• 理解扩展访问列表丰富的过滤条件

二、应用环境

• 某些安全性要求比较高的主机或网络需要进行访问控制
• 其它的很多应用都可以使用访问控制列表提供操作条件
• 可以针对目标IP地址进行控制
• 针对某些服务进行控制
• 可以针对某些协议进行控制

三、实验设备

• Cisco 路由器 2 台
• PC 机 2 台
• 交叉线 3 条

四、实验拓扑

五、实验要求

六、实验步骤

配置访问控制器列表

第一步：设置各个设备的名称及 IP 地址并测试连接情况

首先设置 PCA 的 IP 地址并检查：

然后设置路由器 A 的 IP 地址并检查：

设置完接口的 IP 地址不要忘记执行 no shutdown 命令。

在我们还没有执行该命令的时候，此时线路的连接状态是这样的：

当我们执行了该命令之后就可以发现变绿了。

接下来设置路由器 B 的 IP 地址：

最后设置 PCB 的 IP 地址：

然后分别用 PCA ping 其它各个设备并记录结果。

首先是 ping 路由器 A 的两个接口：

结果是都可以 ping 通。

然后 ping 路由器 B ：

结果是都 ping 不通，ping PCB 也是 ping 不通。

原因是什么？

因为路由器只能连接相邻的两个网络，它的路由表中只有和它相邻的两个网络的路由信息，所以一旦跨越两个网络以上就不可达了，可以先看一下现在的路由表：

发现只有两个直连路由信息，接下来看看路由器 B 的路由表：

我们可以通过设置静态路由或者动态路由（RIP，OSPF）的方式使他们失效，这里配置一下静态路由信息。

第二步：配置静态路由

首先设置路由器 A 的路由信息：

检查一下：

然后配置路由器 B 的路由信息：

检查一下：

发现路由器 A 和 B 都多了一条静态路由记录信息。

第三步：PC-A能与PC-B通讯

这个时候再用 PCA 去 ping PCB，发现是可以 ping 通的：

第四步：配置访问控制器列表禁止PC-A所在的网段对PC-B的访问

然后我们来验证一下配置，可以使用两种分发：

show run
或者
show ip access-list 1

然后这个时候再去 ping 还是可以 ping 通的，为什么？

因为我们仅仅是配置了访问控制列表，但是并没有指定给哪一个端口，接下来指定一下：

这个时候再去 ping 就可以发现已经不行了。

配置扩展访问列表

配置该列表可以控制仅仅允许某些特殊的流量通过。

首先在路由器 B 上执行：

no ip access-group 1 out

代表取消掉之前的访问权限控制的配置。

这个时候再用 PCA 去 ping 一下 PC2 ：

发现又可以 ping 通了，因为我们取消掉了访问权限控制。

切换到 RouterA，执行一下命令设置扩展访问权限列表：

ip access-list extended 192
deny tcp 192.168.0.0 0.0.0.255 host 192.168.2.2 eq 23
permit icmp any any
int f0/0
ip access-group 192 in
end

extended 后面数字的标识可以是 100-199 之间的数字;
192.168.0.0 是源 IP 地址;
192.168.2.2 是目的地址;
23 是端口号;
permit icmp any any 表示任何使用 ICMP 协议的分组都允许

他的原则是离源最近的原则，所以应该设置为 in。

然后再去检查一下配置，在 PCA 去 ping PCB：

发现是可以的，因为我们设置了可以访问，下面使用 telnet 访问一下：

结果是就是访问不了，因为根本就没有流量可以进来。