访问控制列表实验.doc

访问控制列表实验实验要求：1、在R2上配置标准访问列表，拒绝所有来自 3.3.3.0 网络的数据包。2、在R2上配置扩展访问列表，阻塞来自网络 23.1.1.0/24 发往 12.1.1.1 地址的 ICMP 包。3、用命名的访问列表完成上述两个实验。4、R1 路由器只允许 23.1.1.3 的 IP 地址能够 Telnet 到路由器上。5、在第4步骤中，R1路由器只允许 R3 在 2009 年 11 月 1 日至 2009 年 11 月 30 日的每周一到周五的 8：00 到 18：00 和周末的 9：00 到 21：00 才可以 Telnet 到 R1。6、只允许 R1 能够主动发起连接 Telnet 到 R3，不允许 R3 主动发起连接到 R1 路由器（Established）。7、在R2上配置 Lock-and-key，R3 与 R1 建立连接前需要在 R2 上进行认证（Telnet），在 R2上的认证方式为本地数据库（在 VTY 线路下面开启 Login local），R2 自动生成临时动态访问列表，并配置绝对超时时间为 5 分钟，空闲时间为 3 分钟，自动生成的访问列表中的源地址必须用认证主机IP 地址来进行替换。8、在 R2 上配置自反列表，使 R1 可以 Ping 通 R3，R3 不能 Ping 通 R1。实验配置如下：一、基本配置：配置 R1：RouterenRouter#conf tRouter(config)#hostname R1R1(config)#int S0R1(config-if)#ip add 12.1.1.1 255.255.255.0R1(config-if)#no shutR1(config-if)#router ripR1(config-router)#network 12.1.1.1R1(config-router)#endR1#sh run配置 R2：RouterenRouter#conf tRouter(config)#hostname R2R2(config)#int S0R2(config-if)#ip add 12.1.1.2 255.255.255.0R2(config-if)#no shutR2(config-if)#clock rate 64000R2(config-if)#int S1R2(config-if)#ip add 23.1.1.2 255.255.255.0R2(config-if)#no shutR2(config-if)#clock rate 64000R2(config-if)#router ripR2(config-router)#network 12.1.1.2R2(config-router)#network 23.1.1.2R2(config-router)#endR2#sh run配置 R3：RouterenRouter#conf tRouter(config)#hostname R3R3(config)#int S0R3(config-if)#ip add 23.1.1.3 255.255.255.0R3(config-if)#no shutR3(config-if)#int loop0R3(config-if)#ip add 3.3.3.3 255.255.255.0R3(config-if)#no shutR3(config-if)#router ripR3(config-router)#network 3.3.3.3R3(config-router)#network 23.1.1.3R3(config-router)#endR3#sh run二、访问控制列表综合应用：1.在 R2 上配置标准访问列表，拒绝所有来自 3.3.3.0 网络的数据包.R2#conf tR2(config)#access-list 10 deny 3.3.3.0 0.0.0.255R2(config)#access-list 10 permit anyR2(config)#int S1R2(config-if)#ip access-group 10 in2.在 R2 上配置扩展访问列表，阻塞来自网络 23.1.1.0/24 发往 12.1.1.1 地址的 ICMP 包.R2#conf tR2(config)#access-list 100 deny icmp 23.1.1.0 0.0.0.255 host 12.1.1.1R2(config)#access-list 100 permit ip any anyR2(config)#int S1R2(config-if)#ip access-group 100 in3.R1 路由器只允许 23.1.1.3 的 IP 地址能够 Telnet 到路由器上.R1#conf tR1(config)#access-list 110 permit tcp host 23.1.1.3 host 12.1.1.1 eq 23R1(config)#int S0R1(config-if)#ip access-group 110 in4.在第 3 步骤中，R1 路由器只允许 R3 在 2009 年 11 月 1 日至 2009 年 11 月 30 日的每周一到周五的 8：00 到 18：00 和周末的 9：00 到 21：00 才可以 Telnet 到 R1.R1#conf tR1(config)#time-range telnettime /建立允许访问的时间范围R1(config-time-range)#absolute start 00:00 1 nov 2006 end 00:00 1 dec 2006 R1(config-time-range)#periodic weekday 08:00 to 18:00R1(config-time-range)#periodic weekend 09:00 to 21:00R1(config-time-range)#exitR1(config)#access-list 110 permit tcp host 23.1.1.3 host 12.1.1.1 eq 23 time-range telnettime/建立访问控制列表只允许 R3telnet 登入到 R1，将允许时间范围应用上R1(config)#int S0R1(config-if)#ip access-group 110 in 5.只允许 R1 能够主动发起连接 Telnet 到 R3，不允许 R3 主动发起连接到 R1 路由器（Established）.R1#conf tR1(config)#access-list 110 permit tcp host 23.1.1.3 host 12.1.1.1 eq 23 time-range telnettime established /建立 Established 列表，只允许 R1 主动发起连接 Telnet 到 R3,这里的源地址指的是R3 的接口地址 23.1.1.3，因为要检查的是 R3 回应的数据流，只有回应的数据流中 TCP 的 ACK 或 RST比特才会被设置成 1，主动发起连接的设备 R1 数据流中的 TCP 的 ACK 为 0。R1(config)#int S0R1(config-if)#ip access-group 110 in6.在 R2 上配置 Lock-and-key，R3 与 R1 建立连接前需要在 R2 上进行认证（Telnet），在 R2 上的认证方式为本地数据库（在 VTY 线路下面开启 Login local），R2 自动生成临时动态访问列表，并配置绝对超时时间为 5 分钟，空闲时间为 3 分钟，自动生成的访问列表中的源地址必须用认证主机 IP 地址来进行替换.R2#conf tR2(config)#access-list 120 dynamic spoto timeout 5 permit tcp any host 12.1.1.1 /绝对超时 5 分钟R2(config)#access-list 120 permit tcp host 23.1.1.3 host 23.1.1.2 /允许 R3 通过 tcp 协议访问 R2R2(config)#int S1R2(config-if)#ip access-group 120 inR2(config-if)#endR2#access-enable host timeout 3 /配置 Lock-and-key特性的最后步骤是让路由器能在一个动态访问控制列表中创建一个临时性的访问控制列表条目，缺省情况下，路由器是不这么做的，可以使用此命令来进行启用.Cisco 强烈推荐用户使用该命令的关键字 Host，其源地址总是用认证主机的 IP 地址来替换，所以我们在定义动态访问列表的源地址中总是指定 any；Timeout 规定了空闲超时值，指示连接在被切断之前允许保持的空闲时间。R2#conf tR2(config)#username spoto password spoto /建立本地用户和口令R2(config)#line vty 0 4R2(config-line)#login local /登入使用本地认证R2(config-line)#autocommand access-enable host timeout 10 /触发 access-enable 的命令7.在 R2 上配置自反列表，使 R1 可以 Ping 通 R3，R3 不能 Ping 通 R1.R2#conf tR2(config)#ip access-list extended outbound /建立命名扩展列表，允许从 S1 接口转发所有的外出路由包R2(config-ext-ncl)#permit icmp any any reflect icmp_traffic /自反列表，允许 R1 所有网段能 PING通R3R2(config-ext-ncl)#exitR2(config)#ip access-list extended inboundR2(config-ext-ncl)#evaluate icmp_traffic /检查从外网进来的流量，如果这个流量确实是从内网发起的对外访问的返回流量，那么允许这个流量进来R2(config-ext-ncl)#exitR2(config)#int S1R2(config-if)#ip access-group outbound out /应用控制列表R2(config-if)#ip access-group inbound in实验总结：1.基于时间的访问控制列表：使用方法这种基于时间的访问列表就是在原来的标准访问列表和扩展访问列表中加入有效的时间范围来更合理有效的控制网络。它需要先定义一个时间范围，然后在原来的各种访问列表的基础上应用它，对于编号访问表和名称访问表都适用。使用规则用 time-range命令来指定时间范围的名称，然后用 absolute 命令或者一个或多个periodic 命令来具体定义时间范围。IOS 命令格式为：time-range time-range-name用来标识时间范围的名称absolute start time date end time date指定绝对时间范围periodic days-of-the week hh:mm to days-of-the week hh:mm以星期为单位来定义时间范围的一个参数2.动态访问控制列表：动态访问控制列表使指定的用户能获得对受保护资源的临时访问权，而不管他们是通过什么 IP 源地址进行访问。在用户切断连接之后，Lock-and-key 特性将复原该访问控制列表。为了能让 Lock-and-key 特性能工作，用户必须先要 Telnet 到路由器上，Telnet 给予用户一个机会来告诉路由器它是谁（通过用户名和口令进行认证），以及它目前在使用哪个源 IP 地址，如果用户成功地通过了认证，该用户的源IP 地址就被授予临时通过路由器进行访问的权限。由动态访问控制列表的配置决定所允许访问的范围。动态访问列表的语法：Access-list dynamic timeout permit|deny any Name 是动态访问表的字符串名称；Timeout 参数是可选的，指定动态表项的绝对超时时间3.自反列表 (Reflexive ACL)：Reflexive ACL 的配置分为两个部分，一部分是 outbound 的配置，一部分是 inbound 的配置。Reflexive ACL 中 outbound 的部分决定了我出去的哪些内网网络流量是需要被单向访问的，inbound部分决定了这些流量在返回后能被正确的识别并送给内网发起连接的 PC 机注意在 Reflexive ACL 中只能用 named 方式的 ACL，不能用 numbered 方式的 ACL。 outbound 部分：基本配置和普通 ACL 并没有什么太多不同，不同之处是 reflect icmp_traffic，它的意思是这条 ACE 作为单向流量来处理，并且给