IP通路控制清單本實驗對IP通路控制清單進行配置和監測,包括标準、擴充和命名的IP通路控制清單。
<b>1.實驗目的</b>
通過本實驗,讀者可以掌握以下技能:
●配置标準IP通路控制清單;
●配置擴充IP通路控制清單;
●配置命名的标準IP通路控制清單;
●配置命名的擴充IP通路控制清單;
●在網絡接口上引用IP通路控制清單;
●在VTY上引用IP通路控制清單;
●檢視和監測IP通路控制清單。
<b>2.裝置需求</b>
本實驗需要以下裝置:
●1條交叉順序的雙絞線,或2條正常順序雙絞線和1個Hub;
●1條DCE電纜和1條DTE電纜,或1條DCE轉DTE電纜;
●1台帶有超級終端程式的PC機,以及Console電纜及轉接器。
<b>3.拓撲結構及配置說明</b>
本實驗拓撲結構如圖10-1所示,R1的E0接口與R2的E0接口通過以太網連接配接起來,R2的S0接口與R3的S0接口通過串行電纜連接配接起來。
<b>4.實驗配置及監測結果</b>
在R1上設定enable密碼為cisco,VTY密碼為ciscol,用于Telnet測試。
以上配置在以前章節中已進行過實驗,在本實驗中不再給出配置清單。
<b>第1部分:配置和引用标準IP通路控制清單</b>
<b>配置清單10-1 配置和引用标準IP通路控制清單</b>
R2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R2(config)#access-list 1 deny 30.1.1.0 0.0.0.255
R2(config)#access-Ust 1 permit any
R2(config)#int s0
R2(config-if)#ip access-group 1 in
R2(config-if)#^Z
R2#sh
14:34:20: %SYS-5-CONFIG_1: Configured from console by console
R2#sh ip access-list 1
Standard IP access list 1
deny 30.1.1.0,wukdcard buts 0.0.0.255 check=2
permit any(2 matches)
R2#sh ip int s0
Serial0 is up, line protocol is up
Internet address is 20.1.1.2/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Multicast reserved groups joined: 224.0.0.9
Outgoing access list is not set
Inbound access list is 1
Proxy ARP is enabled
Security level is default
... (輸出省略)
R2#clear access-list counters
R2#sh ip access-1 1
deny 30.1 .IA wildcard bits 0.0.0.255
permit any
R2#
Term_Server#3
[Resuming connection 3 to R3 ... ]
R3#ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echosto 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5). round-tri/min/avg/max=:32/37/48 ms
R3#ping
Protocol [ip]:
Target IP address: 10.1.1.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 30.1.1.3
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Sending 5,100-byte ICMP Echos to 10.1.1.1,timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
R3#^Z
Term_Server#2
[Resuming connection 3 to R2 ... ]
deny 30.1.1.0, wildcard bits 0.0.0.255 (5 matches) checks 15
permit any (5 matches)
(2)配置标準IP通路控制清單1時,定義了除30.1.1.0/24網段外的所有網段都被接受。
(4)show ip access-list指令列出了所定義的通路控制清單的情況,可以看到"permit any"一行有2個比對包的報告,表示已經有2個比對此行條件的資料包被S0接口接收。
(6)接下來用clear access-list counters指令清空了通路控制清單的計數器。以便觀察實驗結果。所謂清空計數器,就是把通路控制清單各行的比對數清空。
再次使用show ip access-list指令檢視顯示了我們想得到的結果。
(7)使用ping和擴充的ping指令測試通路控制清單1的定義和引用情況,結果為:
從20.1.1.3發往10.1.1.1的IP包被R2接收和路由;
從30.1.1.3發往10.1.1.1的IP包被R2過濾掉。
測試結果符合通路控制清單的設定。
(8)再次檢視通路控制清單的比對情況,可以看到,在通路控制清單1中,2條語句各有5個相比對的包,即5個ICMP Echo包。
<b>第2部分:配置和引用擴充IP通路控制清單</b>
接下來是有關擴充IP通路控制清單的實驗。
<b>配置清單10-2配置和引用擴充IP通路控制清單</b>
R2#conft
R2(config)#access-list 101 deny icmp 20.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255 echo
R2(config)#access-list 101 permit ip any any
R2(config)#int e0
R2(config-if)#ip access-g 101 out
R2(config-if)#int s0
R2(config-if)#no ipaccess-g 1 in
R2#sh ip access-list
deny 30.1.1.0, wildcard bits 0.0.0.255 (8 matches) check=20
permit any (20 matches)
permit ip any any
[Resuming connection 3 to R3 ...]
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
Success rate is 0 percent(0/5)
R3#telnet 10.1.1.1
Trying 10.1.1.1... Open
User Access Verification
Password: (鍵入 cisco1 )
R1>en
Password: (鍵入 cisco )
R1#
R1#exit
[Connection to 10.1.1.1 closed by foreign host]
R3#
[Resuming connection 2 to R2 ... ]
R2#sh ip access-list 101
Extended IP access list 101
deny icmp 20.1.1.0 0.0.0.255 10.1.1.0.0.0.0.255 echo(8 matches)
permit ip any any (40 matches)
(1)首先定義了一個擴充的IP通路控制清單101。
清單的第1句拒絕從20.1.1.0/24網段發往10.1.1.0/24網段的ICMP Echo包,即希望從20.1.1.0/24網段到10.1.1.0/24網段的ping失敗。
本文轉自 蕭湘月 51CTO部落格,原文連結:http://blog.51cto.com/sniffer/21697,如需轉載請自行聯系原作者
![圖解HTTP八:确認通路使用者身份的認證[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)