实验十六访问控制列表综合实验.doc

访问控制列表综合实验一 实验目的: 首先对路由器配置动态路由协议,使整个网络互相连通.然后,建立访问控制列表,测试访问控制列表的应用. 二、实验任务1.标准访问列表允许源网络地址为172.16.0.0的通信量通过2.利用扩展访问控制列表, 禁止主机A远程登录路由器B3.利用扩展访问控制列表, 只允许主机A远程登录路由器B 三实验设备: 路由器Cisco 2621两台，交换机Cisco 2950三台,带有网卡的工作站 PC 至少三台，直通双绞线缆六条，DCE或DTC线缆一条四实验环境: 五实验步骤:1. 对图中设备规划并按以下要求配置IP地址：routeA: f0/0 :172.16.16.1 255.255.255.0f0/1: 172.16.19.1 255.255.255.0s0/0 :172.16.18.1 255.2555.255.0routeB: f0/0: 172.16.17.1 255.255.255.0s0/0: 172.16.18.2 255.255.255.0pc1: 172.16.16.2 255.255.255.0 gw:172.16.16.1pc2: 172.16.17.2 255.255.255.0 gw :172.16.17.1pc3: 172.16.19.2 255.255.255.0 gw: 172.16.19.12.在路由器routeA(DCE端)上配置如下:routeA(config)#int f0/0routeA(config-if)#ip add 172.16.16.1 255.255.255.0routeA(config-if)#no shrouteA(config)#int s0/0routeA(config-if)#ip add172.16.18.1 255.255.255.0routeA(config-if)#encapsulation hdlc HDLC 是CISCO 路由器使用的缺省协议 routeA(config-if)#clock rate 64000routeA(config-if)#no shrouteA(config-if)#exit3.在路由器routeB(DTE端)配置如下:routerB(config)#int f0/0routeB(config-if)#ip add172.16.17.1 255.255.255.0routeB(config-if)#no shrouteB(config)#int s0/0routeB(config-if)#ip add 172.16.18.2 255.255.255.0routeB(config-if)#encapsulation hdlcrouteB(config-if)#no shrouteB(config-if)#exit4. 在两台路由器上分别启用动态路由协议在路由器A上:routeA(config)#route riprouteA(config-router)#version 2routeA(config-router)#network 172.16.0.0在路由器B上:routeB(config)#route riprouteB(config-router)#version 2routeB(config-router)#network 172.16.0.0测试连通情况：PC1 ： PING 172.16.17.2 （通，则成功）5. 创建访问控制列表：（1）标准访问列表允许源网络地址为172.16.16.0的所有流量可以通过S0/0访问外部网络拒绝特定主机地址172.16.19.2的流量通过F0/0访问所有网络routeA(config)#access list 1 permit 172.16.0.0 0.0.255.255routeA(config)#access list 2 deny host 172.16.19.2将访问列表1应用于接口S0/0上routeA(config)#int s0/0routeA(config-if)#ip access-group 1 out 将访问列表2应用于接口F0/0上routeA(config)#int f0/0routeA(config-if)#ip access-group 2 out 测试结果：PC1：PING 172.16.17.2（通，允许通过）PC3：PING 172.16.17.2（不通，拒绝特定主机通过）注意：在每个端口、每个协议、每个方向上只能有一个访问控制列表routerA(config)#no access-list 1 (删除一个访问列表)或者使用：routerA(config-if)#no ip access-group 1 in二者都可能实现去掉访问列表的目的。前者是从列表号角度删除，后者是从接口的输入和输出角度删除。（2）利用扩展访问控制列表, 禁止主机PC1远程登录路由器B对ROUTEB配置远程Telnet如下：Router(config)#line vty 0 4Router(config-line)#login% Login disabled on line 66, until password is set% Login disabled on line 67, until password is set% Login disabled on line 68, until password is set% Login disabled on line 69, until password is set% Login disabled on line 70, until password is setRouter(config-line)#password routeRouter(config-line)#exitRouter(config)#enable password 2621%SYS-5-CONFIG_I: Configured from console by console结果:在pc1下：telnet 172.16.17.1 (通，主机PC1远程登录路由器B成功)扩展的访问控制列表，有源和目的两个ip，并且要指明应用的协议routeA(config)#access-list 110 deny tcp host 172.16.16.2 host 172.16.17.1 eq telnet routeA(config)#access-list 110 permit ip any anyrouteA(config)#int s0/0routeA(config-if)#ip access-group 110 out使用TELNET 验证结果，前提条件ROUTEB允许远程TELNET结果:在pc1下：ping 172.16.17.1 (通，则ROUTEA拒绝主机172.16.16.2的telnet数据通过，允许其他数据包通过。但不能telnet 172.16.17.1)选做实验（3）利用扩展访问控制列表, 只允许主机A远程登录路由器B 扩展的访问控制列表，有源和目的两个ip，并且要指明应用的协议routeA(config)#access-list 110 permit tcp ho