2022年实验利用IP标准访问列表进行网络流量的控制收集 .pdf

《2022年实验利用IP标准访问列表进行网络流量的控制收集 .pdf》由会员分享，可在线阅读，更多相关《2022年实验利用IP标准访问列表进行网络流量的控制收集 .pdf（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、广东科学技术职业学院锐捷网络安全实验室1实验二十一利用 IP 标准访问列表进行网络流量的控制试验目的：掌握路由器上编号的标准IP 访问列表规则及配置。背景描述：你是一个公司的网络管理员，公司的经理部、 财务部门和销售部门分属不同的3 个网段， 三部门之间用路由器进行信息传递，为了安全起见， 公司领导要求销售部门不能对财务部门进行访问，但经理部可以对财务部门进行访问。R1、R2运行 ospf 路由协议。PC1代表经理部的主机，PC2代表销售部门的主机、PC3代表财务部门的主机。技术原理：IP ACL （IP 访问控制列表或IP 访问列表）是实现对流经路由器或交换机的数据包根据一定的规则进行过滤，

2、从而提高网络可管理性和安全性。IP ACL 分为两种：标准IP 访问列表和扩展IP 访问列表。标准 IP 访问列表可以根据数据包的源IP 地址定义规则，进行数据包的过滤。扩展 IP 访问列表可以根据数据包的源IP 、目的 IP 、源端口、目的端口、协议来定义规则，进行数据包的过滤。IP ACL 基于接口进行规则的应用，分为：入栈应用和出栈应用。入栈应用是指由外部经该接口进行路由器的数据包进行过滤。出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。IP ACL 的配置有两种方式：按照编号的访问列表，按照命名的访问列表。标准 IP 访问列表编号范围是199、13001999，扩展IP 访问

3、列表编号范围是100199、20002699。试验设备：RG-RSR20 二台、 PC 3 台、V35DCE （1 根） 、V35DTE （1 根） 、网线若干试验拓扑图：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 4 页 - - - - - - - - - 广东科学技术职业学院锐捷网络安全实验室2实验步骤及要求：1、配置各路由器用户名和接口IP 地址，并使用 ping 命令确认各路由器的直连口的互通性。2、路由器 R1、R2上配置 OSPF路由协议R1(config

4、)#router ospf 100R1(config-router)#router-id 1.1.1.1Change router-id and update OSPF process! yes/no:y R1(config-router)#network 12.1.1.0 0.0.0.255 area 0R1(config-router)#network 172.16.1.0 0.0.0.255 area 0R1(config-router)#network 172.16.2.0 0.0.0.255 area 0R2(config)#router ospf 100R2(config-rout

5、er)#router-id 2.2.2.2Change router-id and update OSPF process! yes/no:y R2(config-router)#network 12.1.1.0 0.0.0.255 area 0R2(config-router)#network 172.16.3.0 0.0.0.255 area 03、在 R1、R2上严重 ospf R1#show ip routeC 12.1.1.0/24 is directly connected, Serial 3/0 C 12.1.1.1/32 is local host. C 172.16.1.0/

6、24 is directly connected, FastEthernet 0/1 C 172.16.1.1/32 is local host. C 172.16.2.0/24 is directly connected, FastEthernet 0/0 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 4 页 - - - - - - - - - 广东科学技术职业学院锐捷网络安全实验室3C 172.16.2.1/32 is local host. O 172.16.3.

7、0/24 110/51 via 12.1.1.2, 00:00:41, Serial 3/0 R2#show ip routeC 12.1.1.0/24 is directly connected, Serial 3/0 C 12.1.1.2/32 is local host. O 172.16.1.0/24 110/51 via 12.1.1.1, 00:00:30, Serial 3/0 O 172.16.2.0/24 110/51 via 12.1.1.1, 00:00:30, Serial 3/0 C 172.16.3.0/24 is directly connected, FastE

8、thernet 0/0 C 172.16.3.1/32 is local host. 4、在 PC1 、PC2上 ping PC3 ，因为没有做标准ACL ，所以 PC1 、PC2可以 ping 通 PC3 5、在 R2上配置标准IP 访问控制列表R2(config)#access-list 1 deny 172.16.2.0 0.0.0.255R2(config)#access-list 1 permit 172.16.1.0 0.0.0.255名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - -

9、- - 第 3 页，共 4 页 - - - - - - - - - 广东科学技术职业学院锐捷网络安全实验室4R2(config)#inter f0/0R2(config-if)#ip access-group 1 out6、测试R2#show access-lists 1ip access-list standard 1 10 deny 172.16.2.0 0.0.0.255 20 permit 172.16.1.0 0.0.0.255 244 packets filtered 7、试验完成【注意事项】注意在访问控制列表的网络掩码是反掩码。标准控制列表要应用在尽量靠近目的地址的接口。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 4 页 - - - - - - - - -