路由控制实验1:访问控制列表

访问控制列表(ACL: Access Control List)是一种常用的网络技术,它的基本功能是对经过网络设备的报文进行过滤处理。

ACL 是由 permit 和 deny 语句组成的一个有序规则的集合。它首先通过报文匹配过程来实现对报文的分类识别,然后根据报文的分类信息和相关的执行动作来判断哪些报文可以放行,哪些报文不能放行,从而实现对特定报文的过滤处理。除此之外,ACL 还有其他一些功能,这些功能常常被 route-policy 、QOS 、IPSec、Firewall等技术结合来使用。

ACL 的常用类型:基本ACL,高级ACL,二层ACL,用户自定义ACL等,其中应用最为广泛的是基本 ACL 和高级ACL。基本ACL 可以根据源IP 地址、报文分片标记和时间段信息来定义规则。高级ACL 可以根据源/目的IP 地址、TCP 源/目的端口号、UDP 源/目的端口号、协议号、报文优先级、报文大小、时间段等信息来定义规。高级 ACL 可以比基本 ACL 定义出精细度更高的规则。

基本 ACL  :2000-2999
高级 ACL  :3000-3999

1.基本配置

SW1:

设置 FTP 服务器

端口号默认 21,文件目录在D 盘,FTP 文件夹,可以自行设定,启动

启动之后,日志信息显示 listening 就正常工作了

设置 HTTP Web 服务器

在D 盘建立文件夹,用记事本建立default 文件,改后缀名为 htm, 内容为 Hello,world!

设备启动,显示就成功运行了。 

2.创建安全区域

路由器用域间防火墙特性来提高安全性,在R1 上建立3 个部门的安全区域 HR、 SALES、 IT

HR       区域的安全级别设置为 12
SALES  区域的安全级别设置为 10
IT         区域的安全级别设置为 8

另外,还需要创建 Trust 区域,设置 Trust 区域的安全级别为 14,将FTP 、Web 服务器放在 Trust 区域。

trust   区域的安全级别设置为 14

AR 系统路由器默认可以设置  16 种安全级别,取值 0-15, 15 保留给 Local 区域使用

配置 R1 ,并将接口划分不到同的区域中

R1:

配置完成后,查看相应的区域信息

3.配置安全策略

把接口加入到相应的区域后,就可以实施基于安全区域的ACL。
在配置时,要注意路由器的防火墙特性:流量方向。

从较高安全级别区域去往较低安全级别区域的报文称为 outbound 报文
从较低安全级别区域去往较高安全级别区域的报文称为 inbound    报文

AR 系统路由器的防火墙特性允许管理员在不同的区域之间进行报文的过滤处理。

禁止SALES 和HR 部门之间的互访

启用 SALES 和HR 区域之间的防火墙。命令中的SALES 和HR 没有先后关系。
防火墙启用之后,安全级别高的区域能访问安全级别低的区域,并且应答报文也能够返回到安全级别较高的区域,但安全级别低的区域无法访问安全级别高的区域。

R1:

默认的 inbound 报文被拒绝通过,而 outbound 报文被允许通过。

HR 区域安全级别为 12, SALES 区域安全级别为 10
HR 区域到 SALES 区域是 outbound 报文可以通过,而从SALES区域到 HR  区域是 inbound 报文被拒绝
用两台PC 做测试  ,PC1pingPC2可能通 .

PC>ping 172.16.2.1

PC2pingPC1则不通

为了禁止 SALES 和 HR 这两个部门之间的互访,管理员可以在它们之间使用 ACL 达到目的。由于默认 SALES 区域不能访问 HR 区域,不需要做过滤。只需在 outbound 方向上将 HR 去往 SALES 的报文全部过滤掉即可。
 
创建高级 ACL 3000 来定义从 HR 到 SALES 的报文,在 outbound 方向上引用 ACL 3000
R1:

[R1]display firewall interzone SALES HR

用PC 测试一下,PC1 去ping PC2应该是不通的,说明相应的安全需求已经得到实现。
PC>ping 172.16.2.1

控制 Web 和 FTP 服务器的访问

SALES 部门的用户可以访问公司的 Web 服务器,但禁止访问 FTP 服务器。
SALES 安全级别为 10, trust 安全级别为14,流量方向为 inbound,防火墙默认是禁止的。因此,创建 3001在inbound 方向上明确放行SALES 区域访问 Web 的报文,其他访问报文被默认拒绝通过。

R1:
firewall interzone SALES trust 
firewall enable

启用之后,PC-2 无法访问 Web 服务器
http://192.168.1.20/default.htm

创建 ACL 3001,允许 SALES 部门的用户访问 Web 服务器,并应用在 SALES 和 trust 的区域之间
R1:

可以看到 PC-2 可以访问 Web 服务器,但无法访问  FTP 服务器
http://192.168.1.20/default.htm

另一个需求:
IT 部门可以访问 FTP 服务器,但只能在每天的 14:00-16:00 才能访问 Web 服务器,还要求 IT 部门的用户能够随时 ping 通 FTP 和 Web 服务器。

开启IT 和 trust 之间的防火墙,配置时间为每天的 14:00-16:00。创建ACL 3002, 放行 IT到 trust 的inbound 方向的 FTP 、Web 、ICMP 的报文。

查看配置: display firewall interzone IT trust

对设备的安全控制和管理

为实现对 R1 的安全控制和管理,现在只允许 SW1 上的 VLANIF 1 接口的 IP 地址 192.168.1.1 能够作为源地址登录到 R1.
在 R1 上配置 VTY 用户接口,允许远程主机通过 telnet 管理 R1。使用基本 ACL 对路由器的VTY 终端进行保护,只允许源地址为 192.168.1.1 的报文访问 R1 的 VTY 终端。

R1:

在SW1 上使用 telnet 输入密码后就能登录,<SW1>telnet 192.168.1.254

将SW1  的VLANIF 1 接口的 IP 地址修改为 192.168.1.2

SW1:

再测试一下是否能登录到 R1,更换 IP 地址后,便无法登录到 R1.
<SW1>telnet 192.168.1.254

HCIP-Datacom 分解实验1:访问控制列表相关推荐

  1. 计算机网络实验报告访问控制列表,电子政务《计算机网络实验》期末报告 07-访问控制列表实验报告.doc...

    文档介绍: 计算机网络实验报告 1. 实验报告如有雷同,雷同各方当次实验成绩均以 0 分计. 2. 当次小组成员成绩只计学号.姓名登录在下表中的. 3. 在规定时间内未上交实验报告的, 不得以其他方式 ...

  2. 计算机网络实验四访问控制列表NAT应用

    访问控制列表-NAT应用 1实验目的 掌握ACL在企业网络中的应用:掌握ACL的工作原理:掌握ACL的配置:掌握NAT的工作原理:掌握NAT的基本配置. 2实验内容 企业网络中的设备进行通信时,需要保 ...

  3. 【计算机网络实验】访问控制列表NAT应用——华为eNSP(详细实验报告+代码)

    文章目录 4 实验五:访问控制列表---NAT应用 4.1 实验目的和内容 4.2 实验过程 4.2.1 基本ACL 4.2.2 高级ACL 4.3 实验分析 4.4 实验心得 4 实验五:访问控制列 ...

  4. ACL访问控制列表理论+实验

    文章目录 前言 第一部分:ACL理论知识 1.ACL如何定义规则 2.访问控制列表在接口应用的方向 3.访问控制列表的处理数据包过程 4.两种访问控制列表 第二部分:ACL实验 前言 访问控制列表(A ...

  5. 谷德威天津思科CCNA培训之访问控制列表和NAT设置

    谷德威天津思科CCNA培训之访问控制列表和NAT设置 实验五 访问控制列表及地址转换 5.1 实验目的: 1. 熟悉路由器的包过滤的核心技术:访问控制列表: 2. 掌握访问控制列表的相关知识: 3. ...

  6. 标准访问控制列表配置(51cto: 实验 34)

    1. 实验线路连接图 使用 Cisco Packet Tracer5.3 构建拓扑结构图. 先配置rip协议使主机1.主机0.http服务器能够互通 RA Router>enable Route ...

  7. 计算机网络访问控制列表,南昌大学计算机网络实验-访问控制列表ACL

    南昌大学实验报告 学生姓名: 学 号: 专业班级: 实验类型:■ 验证 □ 综合 □ 设计 □ 创新 实验日期: 实验成绩: 实验4:访问控制列表ACL配置实验 一.实验目的 对路由器的访问控制列表A ...

  8. 了解ACL(访问控制列表)一些简单的ACL小实验

    了解ACL(访问控制列表)一些简单的ACL小实验 一.访问控制列表(ACL) 1.1ACL工作原理 1.2ACL的两种作用 1.3访问控制列表在接口应用的方向 二.访问控制列表的处理过程 三.ACL的 ...

  9. ACL访问控制列表【笔记|实验】

    一.访问控制列表概述 1.访问控制列表(ACL):读取第三层.第四层包头信息,根据预先丁含义好的规则对包进行过滤. 2.访问控制列表的处理过程:如果匹配第一条规则,则不再往下检查,路由器将决定该数据包 ...

最新文章

  1. 实体链接中使用实体一致性信息(coherence)
  2. PAT乙类1008之数组元素循环右移问题
  3. 面向对象编程思想概览(一)类和对象
  4. (32)Gulp CSS hack 与 Autoprefixer
  5. Leetcode每日一题:116.populating-next-right-pointers-in-each-node(填充每个节点的下一个右侧节点指针)
  6. MATLAB批量读取图片,剪切,存储,放大
  7. 怎么判断噎到没噎到_怎么判定股市是在走牛市还是走熊市呢?两种最简单的判定方法...
  8. Jsonp+spring mvc
  9. 辉煌十载!BDTC 2017 中国大数据技术大会在京盛大召开
  10. 连接动态链接库时找不到链接库的解决办法
  11. php怎么安装模板_php 模板框架之smarty 的下载和安装
  12. 体育专业国培计算机感言,计算机国培心得体会.doc
  13. Emulex着眼数据中心LAN与SAN的聚合
  14. Adobe CS2提供免费序列号
  15. sqlserver2000安装时提示挂起并重启
  16. Gossiping --解题报告
  17. 苏世民,我的经验和教训(一)
  18. 计算机关闭自带杀毒,电脑系统自带杀毒软件怎么关闭?两种Windows defender彻底关闭方法(图文)...
  19. Vgg16 + Unet 介绍
  20. 如何新建一个oracle数据库,ORACLE怎么新建数据库

热门文章

  1. 千万融资资金为何青睐edge这家公司?
  2. Lzrs序數幻方集(32階七色彩虹)
  3. Nginx失败重试中的HTTP协议幂等问题: non_idempotent
  4. 用python爬取xkcd.com上的有趣漫画图片
  5. MGF病毒的利用代码
  6. 治好颈椎病就这么简单
  7. esxi虚拟服务器网络搭建,小姜学网络(使用VMware ESXi 5.5搭建VMware虚拟化平台一)...
  8. php对接京东宙斯平台,利用京东联盟API获取自定义推广链接
  9. 欢迎使用CS方分分分n编辑器
  10. AWS Route53里使用Godady注册的域名