2022年实验九网络访问控制与扩展包过滤配置终版 .pdf

《2022年实验九网络访问控制与扩展包过滤配置终版 .pdf》由会员分享，可在线阅读，更多相关《2022年实验九网络访问控制与扩展包过滤配置终版 .pdf（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、实验九网络访问控制与扩展包过滤配置【实验目的】通过本实验理解基于IP 地址、协议和端口的包过滤原理和应用方法，掌握扩展访问控制列表的设计、配置和测试。【实验任务】在实验八的基础上，配置扩展访问控制列表满足以用需求。建议学时： 4 学时。【实验背景】在基本包过滤的实验中我们在一个简易的校园网拓扑上通过配置标准访向控制列表，加强了对行政网段的访问控制。在本节的实验中我们继续通过配置扩展访问控制列表加强对DMZ 区和内外网之间的访问控制。本实验中我们有如下的应用需求：1）禁止宿舍网段和校外网访问FTP 服务器上。2）外网可以访问WWW 服务器和SMTP 服务器。3）所有的计算机都可以访问外网中out

2、side www 服务器。实验之前大家应该理解扩展访问控制列表的基本特点，工作原理和应用的原则，掌握其基本语法和配置步骤。会使用 Show running-config 、Show access-lists 等命令查看访问控制列表是否配置成功，以及在仿真环境中测试是否达到预期结果。扩展访问控制列表的语法：扩展 ACL 也是在全局配置模式下进行设计的，其命令“access-list”的语法格式为：Access-list accesss-list-number deny|permitprotocol source source-wildmask destination destination-wi

3、ldmaskoperator operand established 命令参数的含义如下：（1）accesss-list-number：访问控制列表号，范围为100-199。（2）deny：如果满足条件，数据包被拒绝通过。（3）permit：如果满足条件，数据包允许通过。（4）protocol：指定协议类型，如IP/TCP/UDP/ICMP等。（5）source：源地址。（6）destination：目的地址。（7）source-mask：源通配符掩码。（8）destination-mask：目的通配符掩码。（9）operator operand：可为 it |gt| eq|neq，分别表示“

4、小于|大于 |等于 |不等于”端口号。（10） established：可选项，表示连接的状态。协议及协议端口号：可以使用扩展ACL 来做到针对协议及其参数的更精细的包过滤，如 TCP，UDP，ICMP和 IP。在扩展ACL 中，要指定上层TCP 或 UDP 端口号，从而选择允许或拒绝的协议。常见的端口号及其对应协议为：FTP 20/21；Telent 23；SMTP 25；TFTP 69；Http 80 等。扩展包的ACL 的 IP 地址和通配符掩码的使用，同标准ACL ，此处不再详述。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - -

5、- - 名师精心整理 - - - - - - - 第 1 页，共 6 页 - - - - - - - - - 【实验拓扑和配置参数表、设备】详见实验七实验拓扑图及配置参数表、设备。【实验步骤】我们利用上节实验最后保存的拓扑和配置信息，实验步骤如下：步骤 1 步骤 1.1 首先我们配置扩展访问控制列表满足禁止宿舍网段访问FTP 服务器上的ftp资源的应用需求。我们创建扩展访问控制列表access list 100,将其应用到InsideRouter 的 Fa0/0 端口上。InsideRouter(config)#access-list 100 deny tcp 192.168.5.0 0.0.

6、0.255 host 192.168.1.4 eq 21 /阻止 192.168.5.0 网段对 ftp 服务器 21 号端口的访问InsideRouter(config)#access-list 100 permit ip any any InsideRouter(config)#access-list 1 permit host 218.58.100.3 InsideRouter(config)#exit InsideRouter#config terminal InsideRouter(config)#interface fa0/0 InsideRouter(config-if)#ip

7、access-group 100 out InsideRouter(config-if)#end 步骤 1.2下面我们查看一下刚刚建立的访问控制列表：InsideRouter#show ip access-lists Standard IP access list 1 permit 192.168.1.0 0.0.0.255 permit host 192.168.2.3 permit host 218.58.100.3 Extended IP access list 100 deny tcp 192.168.5.0 0.0.0.255 host 192.168.1.4 eq ftp perm

8、it ip any any 显示信息表明访问控制列表已建立，接下来进行测试。点击“Toggle PDU List Window ” 使其显示在Workspace 的下方，然后添加多个Complex PDU 进行测试。添加 Complex PDU 时 Select Application 根据数据包的类型做出相应的选择，Source Port可以设置为102465536 的任意值，其他内容实用默认值。各个Complex PDU 设置如下：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第

9、2 页，共 6 页 - - - - - - - - - 图 8.1 PC4 到 FTP 服务器的 FTP PDU 设置图 8.2 PC4 到 www 服务器的HTTP PDU 设置名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 6 页 - - - - - - - - - 图 8.3 PC4 到 SMTP 服务器的 STMP PDU 设置测试结果如下图所示：结果分析： 0 号 PDU Failed 状态说明宿舍网段无法访问FTP 服务器。1 号 PDU Successful

10、 状态说明宿舍网段可以访问www 服务器。2 号 PDU Successful 状态说明宿舍网段可以访问SMTP 服务器。步骤 2 步骤 2.1 我们创建扩展访问控制列表access list 101，将其应用到EageRouter 的 Fa0/0 端口上，以满足其他的应用需求。EageRouter(config)#access-list 101 deny tcp 218.58.100.0 0.0.0.255 host 192.168.1.4 eq 21 EageRouter(config)#access-list 101 permit tcp 218.58.100.0 0.0.0.255 h

11、ost 192.168.1.3 eq 80 EageRouter(config)#access-list 101 permit tcp 218.58.100.0 0.0.0.255 host 192.168.1.5 eq 25 EageRouter(config)#access-list 101 permit tcp host 218.58.10.3 eq 80 any EageRouter(config)#access-list 101 permit ip any any EageRouter(config)#end EageRouter#config terminal EageRouter

12、(config)#interface fa0/0 EageRouter(config-if)#ip access-group 101 out EageRouter(config-if)#end 步骤 2.2 下面我们查看一下刚刚建立的访问控制列表：EageRouter#show access-lists Extended IP access list 101 deny tcp 218.58.100.0 0.0.0.255 host 192.168.1.4 eq ftp 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理

13、 - - - - - - - 第 4 页，共 6 页 - - - - - - - - - permit tcp 218.58.100.0 0.0.0.255 host 192.168.1.3 eq www permit tcp 218.58.100.0 0.0.0.255 host 192.168.1.5 eq smtp permit tcp host 218.58.10.3 eq www any permit ip any any 显示信息表明访问控制列表已建立，接下来进行测试。点击“Toggle PDU List Window ” 使其显示在Workspace 的下方，然后添加多个Comp

14、lex PDU 进行测试。添加 Complex PDU 时 Select Application 根据数据包的类型做出相应的选择，Source Port可以设置为102465536 的任意值，其他内容实用默认值。各个Complex PDU 设置如下。PC5 到各个服务器的测试PDU 可以参照 步骤 1 中的测试进行设置，在此不再重复。内网到外网的测试PDU 如下：图 8.4 PC1 到外网服务器HTTP PDU设置PC0、PC2、 PC3、PC4 到 Outside WWW 服务器的Complex PDU 设置和 PC1 到 Outside WWW 服务器的Complex PDU 设置一样，在

15、此不再重复。测试结果如下所示：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 6 页 - - - - - - - - - 步骤 2.3 实验结果分析0 号 PDU 的 Failed 状态说明外网不能访问内网的FTP 服务器。1 号 PDU 的 Successful 状态说明外网能访问内网的WWW 服务器。2 号 PDU 的 Successful 状态说明外网能访问内网的SMTP 服务器。3 号 PDU 的 Successful 状态说明管理网段能访问外网的Outside

16、WWW 服务器。4 号 PDU 的 Successful 状态说明行政网段能访问外网的Outside WWW 服务器。5 号 PDU 的 Successful 状态说明教学网段能访问外网的Outside WWW 服务器。6 号 PDU 的 Successful 状态说明宿舍网段能访问外网的Outside WWW 服务器。至此应用需求已经全部满足。【注意事项】在测试过程中， 会出现第一次测试不成功，第二次测试成功的现象，实验中要注意，不要因此而得出错误的结论。【思考题】1、 思考扩展访问控制列表的进行访问控制的依据有哪些？2、 有人说在同一个Router 上同一个端口的同一个方向上不能绑定多个访问控制列表，在同一个Router 上同一个端口的两个不同方向（inside,outside）能分别绑定一个访问控制列表，这个说法对吗？请做实验验证。3、 扩展访问控制列表的配置一般包括哪几步？4、 扩展访问控制列表有什么样的应用原则？名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 6 页 - - - - - - - - -