计算机网络实验-ACL配置

原创 已于 2024-01-22 09:50:56 修改 · 1.6k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#计算机网络 #智能路由器

于 2024-01-22 09:39:00 首次发布

实验基本信息

实验使用软件:Cisco Packet Tracer 6.0

实验得分:19/20

实验内容

  基于如下图的拓扑,对路由器进行正确的RIP协议配置,在此基础上,正确的配置ACL,满足如下需求:

  1. 限制所有主机远程登录到服务器

  2. 禁止192.168.3.0/24网段中的主机的Ping192.168.1.0/24网段

  3. 禁止192.168.2.2主机访问HTTP协议

  4. 禁止192.168.2.3主机访问DNS协议

实验步骤

  实验拓扑图

  1.配置终端,交换机,服务器

IP

SM

GW

DNS

PC0

192.168.2.2

255.255.255.0

192.168.2.1

192.168.1.20

PC1

192.168.2.3

255.255.255.0

192.168.2.1

192.168.1.20

PC2

192.168.3.2

255.255.255.0

192.168.3.1

192.168.1.20

PC3

192.168.3.3

255.255.255.0

192.168.3.1

192.168.1.20

  将交换机与路由器相连接口改为trunk模式,图片以Switch1为例

  DNS服务器配置:

  ip:192.168.1.20  SW:255.255.255.0  GW:192.168.1.1  DNS:192.168.1.20

  在服务器中开启DNS功能,并添加 www.abc.com 192.168.1.20作为后续的测试样例

  HTTP服务器配置

  ip:192.168.1.30  SW:255.255.255.0  GW:192.168.1.1  DNS:192.168.1.20

  HTTP功能自动开启,无需再配置

  2.使用RIP协议配置路由器

  这里以Router1为例,Router0和Router2同理

  配置路由器与交换机相连接口的基本信息

  设置路由器之间接口的IP

  这里三个路由器按照逆时针方向-0,1接口相连的规律进行连接,0接口配置为~.1,1接口配置为~.2

  使用RIP协议配置路由器

  加入路由器的直连网段,这里还是以Router1为例,连接其直连的三个网段,192.168.3.0,172.16.1.0,172.17.1.0

  3.测试连通性

  两个网段目前均与服务器网段连通

  4.设置不允许远程登录服务器

  无需特殊配置,尝试直接远程登录服务器,被拒绝

  5.设置禁止192.168.3.0/24网段中的主机的Ping192.168.1.0/24网段

  ping采用的是icmp协议,故只需要取消对应接口的icmp协议即可

  进入Router1的命令行模式,输入以下命令:

    enable

    config t

    access-list 101 deny icmp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 #指定列表号101,拒绝3.0网段向1.0网段发送icmp协议

    access-list 101 permit ip any any #由于acl表是自上而下查找,当找到上一命令时,会进行对应的拒绝操作,因此后续还要规定一下其他网段,这里any any 表示任何网段任何形式的设备都允许ping

    int f0/0 #对路由器与PC机相连接口进行操作

    ip access-group 101 in #in表示输入,即终端向路由器方向传输,符合上述ping方向的逻辑

  配置完成后无法ping通

  6.设置禁止192.168.2.2主机访问HTTP协议,禁止192.168.2.3主机访问DNS协议

  进入Router2命令行界面进行配置,输入以下命令

    enable

    config t

    access-list 101 deny tcp host 192.168.2.2 192.168.1.0 0.0.0.255 eq 80 #列表号取101,服务器网段192.168.1.0拒绝来自主机192.168.2.2的tcp数据包,并指定tcp默认80端口

    access-list 101 deny udp host 192.168.2.3 192.168.1.0 0.0.0.255 eq 53 #列表号取101,服务器网段192.168.1.0拒绝来自主机192.168.2.3的udp数据包,并指定udp默认53端口

    access-list 101 permit ip any any #与上同理,要说明允许其他设备的访问

    int f0/0 #对路由器和交换机相连接口进行配置

    ip access-group 101 out #传输过程是路由器去向服务器,因此要使用out

  7.测试步骤6

  在192.168.2.2主机上打开deskop->web browser,在URL地址处输入最开始准备好的测试样例,输入www.abc.com,点击go或回车,等待后无响应,说明http协议失效

  若输入DNS服务器的ip地址,则可以访问

  在192.168.2.3主机中进行相同操作,均为请求超时

 

  完成实验需求

实验结果

  尝试远程登录失败,测试成功

  禁止192.168.3.0/24网段中的主机的Ping192.168.1.0/24网段,这里以PC3为例,无法ping通,测试成功

  禁止192.168.2.2主机访问HTTP协议

  若输入DNS服务器的ip地址,则可以访问

  测试成功

  禁止192.168.2.3主机访问DNS协议

  测试成功

ACL配置实验
m0_73411204的博客
05-25 293
根据题目要求,可以在R1的0/0/1处配置。IP划分没做要求,配置就行。此时两个PC端都可以登录。
高级ACL配置实验
lwljh134的博客
09-20 2802
分析:PC2访问PC1的流量到达了PC1,PC1的回应包到达了R1的g0/0/0然后丢弃,这样会浪费带宽,所以要加上ACL 3001,这样PC2访问PC1的流量在R1的g0/0/1上就丢弃了。:指定ACL规则匹配报文的UDP或者TCP报文的目的端口,仅在报文协议是TCP或者UDP时有效。:指定ACL规则匹配报文时,区分服务代码点(Differentiated Services Code Point),取值为:0~63。:指定ACL规则匹配报文时,依据服务类型字段进行过滤,取值为:0~15。
acl配置实验
m0_61417337的博客
02-11 863
笔记
网络设计与集成-ACL配置-实验三报告.doc
04-27
【网络设计与集成-ACL配置-实验三报告】 在本次实验中,主要涉及了网络设计与集成中的访问控制列表(Access Control List, ACL配置,包括基本配置和高级配置两个部分。实验的主要目的是让学生深入理解ACL的概念,...
计算机网络实验-课程实验报告-ALC控制访问实验.doc
11-23
1. **理解VLAN的划分**:通过实验,掌握如何在计算机网络中创建和管理VLAN,以实现网络的逻辑隔离,提高网络安全性和管理效率。 2. **学习路由配置**:掌握静态路由和动态路由的基本概念,以及如何在路由器上进行...
计算机网络-ACL实验
Linux基础知识、计算机网络基础学习分享。
01-18 847
通过基本ACL匹配VLAN 10网段,然后在出口设备NAT转换只要匹配到VLAN10地址则进行转换。正常配置access接口,划分VLAN,创建高级ACL匹配流量,然后调用过滤策略。PC2:没有进行NAT转换,访问超时。PC1:正常访问8.8.8.8。二、ACL流量过滤实验
计算机网络实验——路由器基本配置实验报告
09-20
总之,路由器基本配置实验计算机网络教育中的重要环节,它将理论与实践相结合,有助于培养学生的动手能力和网络技术理解。通过这个实验,学生将深化对网络架构和路由原理的认识,为未来的网络工程师生涯打下坚实的...
第八次实验ACL配置实验.docx
05-17
ACL 配置实验报告 本实验报告的主要目的是了解并掌握路由器上的标准 ACL 配置,实现网段间互访的安全控制。通过本次实验,我们可以深入理解包过滤防火墙的工作原理,并掌握路由器上的标准 ACL 规则及配置。 一、...
ACL配置实验报告
11-30
局域网上机实验ACL配置实验报告
ACL(访问控制列表)配置实验
F2444790591的博客
12-27 2435
一、拓扑图 二、配置命令 1、基础配置 (1)LSW1配置信息 sys vlan b 10 20 30 int e0/0/1 port link-type access port default vlan 10 int e0/0/2 port link-type access port defau...
ACL实验配置
weixin_75223986的博客
06-05 540
此次访问控制的拓扑实验,让我明白了它是用来控制文件、文件夹、数据库、网络服务、系统对象等被授权对象的访问权限的一种机制。10.1.1.0 网络内的主机不能 ping 10.1.2.0 网络内的 FTP 服务器(Server2:10.1.2.200) 10.1.1.0 网络内的主机只能通过 HTTP 访问公网。测试: 10.1.1.0 网络内的主机只能通过 HTTP 访问公网。10.1.1.0 网络内的主机能访问 Server2 的 FTP 服务,前提:打开 Server2 的 FTP 服务,创建根目录。
ACL的简单配置实验
2401_83569888的博客
10-31 595
ACL:访问控制列表1,访问控制----路由器的入或者出的接口上,匹配流量,之后产生动作---允许或拒绝2,定义感兴趣流量-----帮助其他软件抓流量匹配原则:至上而下,逐一匹配,上调匹配按照上条执行,不在查看下条。在华为体系中末尾隐含允许所有,在思科体系中,末尾隐含拒绝所有。一个接口的入或者出方向上 只能调用一张acl表格。
ACL 实验配置
weixin_33836874的博客
02-12 295
真正实用的ACL实验配置,一看就会。 转载于:https://blog.51cto.com/xiaoyu888/61891
基于时间的访问控制列表(ACL配置实验
傻傻的心动的博客
06-06 3073
基于时间的访问控制列表(ACL配置实验
基于eNSP的ACL配置实验
热门推荐
qq_57268869的博客
11-01 1万+
实验ACL配置实验 一、实验目的 1. 掌握ACL的分类及作用; 2. 掌握ACL配置方法; 二、实验设备 二层交换机、路由器、PC机
实验6:ACL配置
Sum
06-11 5886
实验5:ACL配置 一、实验目的和要求 目的:掌握ACL的工作原理和配置。 要求:独立完成实验任务和实验报告、截图完整,并辅以必要的文字说明,实验步骤有条理、内容清楚流畅。 二、telnet配置----可以在pc机上运行telnet ip地址 登录管理设备 配置telnet时,必须配置设备的特权模式密码。 可以使用以下两种配置方法,全局配置模式下执行: enable passsword enable123显示配置信息时,密码enable123将以明文显示 或者: enable secret enable1
各种ACL配置命令
weixin_33831196的博客
10-29 597
命名扩展ACL配置 R2(config)#ip access-list extended cisco R2(config-ext-nacl)#10 permit eigrp any any R2(config-ext-nacl)#20 permit ip host 1.1.1.1 host 3.3.3.3 R2(config-ext-nacl)#30 permit i...
头歌计算机网络实验ACL配置
最新发布
05-22
### 头歌平台中计算机网络实验涉及的ACL配置方法 #### 基本概念 访问控制列表(Access Control List,简称ACL)是一种基于规则的技术,用于在网络设备上对数据包进行过滤。通过设置不同的规则,可以实现对特定数据流的允许或拒绝操作,从而增强网络安全性和可控性[^1]。 #### ACL分类及其功能 ACL主要分为标准ACL和扩展ACL两大类。除此之外,还有针对二层网络设计的二层ACL。其中: - **标准ACL**:仅能根据IP地址进行匹配,适用于简单的流量管理需求。 - **扩展ACL**:支持更复杂的条件判断,例如源地址、目标地址、协议类型及端口号等,适合精细化的安全策略实施。 - **二层ACL**:依据以太网帧头部信息制定规则,如源MAC地址、目的MAC地址等,主要用于局域网内的精细权限控制[^3]。 #### 实验环境搭建与基础配置 在头歌平台上完成ACL配置实验前,需先构建虚拟网络拓扑结构。假设存在如下场景:公司内部员工需要访问外部互联网资源,但要阻止来自某个非法子网的数据流入企业内网。以下是具体配置过程: ##### 出口路由器的基础配置 ```python # 创建标准ACL编号2000并设定规则 acl number 2000 rule 10 permit source 192.168.10.0 0.0.0.255 # 添加静态路由条目 ip route-static 0.0.0.0 0.0.0.0 12.1.1.2 ip route-static 192.168.10.0 255.255.255.0 10.0.0.2 ip route-static 192.168.20.0 255.255.255.0 10.0.0.2 # 接口GigabitEthernet0/0/0的相关参数调整 interface GigabitEthernet0/0/0 ip address 12.1.1.1 255.255.255.252 nat outbound 2000 # 另一侧接口GigabitEthernet0/0/1初始化 interface GigabitEthernet0/0/1 ip address 10.0.0.1 255.255.255.252 ``` 以上脚本展示了如何利用ACL配合NAT技术对外部连接请求加以筛选处理[^2]。 #### 进阶示例——开放ICMP通信的同时封锁指定区域 为了进一步巩固学习效果,下面提供一段更加灵活的应用实例。此案例旨在保障所有合法主机能够互相Ping通的前提下屏蔽掉某几个特殊IP段的所有入站活动。 ```python access-list 101 deny ip host 172.16.31.10 any # 明确指出哪些对象被拒绝对方 access-list 101 permit icmp any any # 开启全局范围内的Echo Reply服务 access-list 101 permit tcp any eq www # 同意HTTP网页浏览行为的发生 access-list 101 deny ip any any # 默认最后兜底全部封禁剩余情况 ``` 注意此处`deny`语句必须位于前面位置以便优先生效;另外考虑到实际执行顺序是从上至下逐项比对直至首个符合条件为止的特点,在编写时务必合理安排各项指令先后次序[^4]。 #### 总结 综上所述,通过对不同类型的ACL深入理解和实践演练可以帮助我们更好地掌握其工作原理以及应用场景下的部署技巧。无论是保护敏感业务免受恶意攻击还是优化带宽利用率等方面均发挥着不可替代的作用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值