ACL 實驗
一、環境準備
1. 軟件:GNS3
2. 路由:c7200
二、實驗操作
實驗要求:
1、 掌握標準 ACL、擴展 ACL 的配置方法。
2、 掌握命名 ACL 的配置方法。
3、 掌握訪問控制列表配置中 established 參數的作用。
4、 掌握在命名訪問控制列表中插入一條規則或刪除一條規則的方法。
5、 掌握反射訪問控制列表的工作原理和配置方法。
6、 掌握動態 ACL 的原理和配置方法。
實驗拓撲:
實驗過程:
1、 根據實驗拓撲,對路由器各接口配置 IP 地址。註:對 loopback 接口配 IP 時每個 loopback 接口配一個 IP,即在 R1 和 R3 中各啟用 4 個 loopback 接口(lo1-lo4)。
查看各個接口IP狀態:
R1
R2
R3
2、 在各路由器上配置 EIGRP 協議,關閉自動匯總,使整個網絡連通。
3、 配置標準訪問控制列表,使 172.33.1.0/24 這個子網無法訪問 R3 上的網絡。
參考命令:
R2(config)#access-list 33 deny 172.33.1.0 0.0.0.255
R2(config)#access-list 33 permit any
R2(config)#interface f0/0
R2(config-if)#ip access-group 33 out
問題 1:配置後在 R1 上直接 ping 130.33.1.3,能否 ping 通?為什麽?
答:在 R1 上直接 ping 130.33.1.3,能 ping 通。因為在R2上沒有限制192.33.1.0網絡。
問題 2:使用擴展 ping,用 172.33.1.1 做源地址,能否 ping 通?
答:用 172.16.1.1 做源地址,不能 ping 通。
4、 配置擴展訪問控制列表,實現允許 172.33.2.0 子網 telnet 到 130.33.0.0,不允許其他子網的用戶 telnet 到 130.33.0.0,同時不能妨礙其他網絡數據的傳遞。
參考命令:
在 R3 中配置,允許其他主機 telnet
R3(config)#username xcu password cisco R3(config)#line vty 0 3 R3(config-line)#login local
在 R2 中創建擴展訪問控制列表
R2(config)#access-list 133 permit tcp 172.33.2.0 0.0.0.255 130.33.0.0 0.0.255.255 eq 23
R2(config)#access-list 133 deny tcp any 130.33.0.0 0.0.255.255 eq 23
R2(config)#access-list 133 permit ip any any
R2(config)#int f0/1 註:在這裏選擇接口 f0/1 更接近源
R2(config-if)#ip access-group 133 in
問題 3:在 R1 上 telnet 130.33.2.3,以 172.33.2.1 作為源地址,能否登陸?如果以 172.33.3.1或 172.33.4.1 為源地址,能否登陸?
參考命令:
5、配置命名訪問控制列表,實現 172.33.0.0 能夠 telnet 130.33.0.0,而 130.33.0.0 無法 telnet 到 172.33.0.0。
參考命令:
首先,參照步驟 4,在 R1 中實現遠程登錄功能。
R1(config)#username xcu password cisco
R1(config)#line vty 0 3
R1(config-line)#login local
在 R2 中創建命名訪問控制列表
R2(config)#ip access-list extended xcu
R2(config-ext-nacl)#permit tcp 130.33.0.0 0.0.255.255 172.33.0.0 0.0.255.255 established
R2(config-ext-nacl)#deny tcp 130.33.0.0 0.0.255.255 172.33.0.0 0.0.255.255
R2(config-ext-nacl)#permit ip any any
R2(config)#int f0/0
R2(config-if)#ip access-group xcu in
問題 4:在 R1 上 telnet 130.33.2.3,以 172.33.2.1 作為源地址,能否登陸?如果以 172.33.3.1或 172.33.4.1 為源地址,能否登陸?為什麽?
答:在 R1 上 telnet 130.33.2.3,以 172.33.2.1 作為源地址,能登陸。
答:在 R1 上 telnet 130.33.2.3,以 172.33.3.1 作為源地址,不能登陸。因為受ACL 133配置的限制。
問題 5:在 R3 中 telnet 172.33.2.1,以 130.33.1.3 為源地址,能否登陸?為什麽?
答:在 R3 中 telnet 172.33.2.1,以 130.33.1.3 為源地址,不能登陸。因為受ACL xcu配置的限制。
問題 6:此時在 R3 中 ping 172.33.2.1,以 130.33.1.3 為源地址,能否 ping 通?
參考命令:ping 172.33.2.1 source 130.33.1.3
答:在 R3 中 ping 172.33.2.1,以 130.33.1.3 為源地址,能 ping 通。因為ACL xcu配置限制的是TCP協議,ping測試使用的是ICMP網絡層協議。
5、 在命名訪問控制列表 xcu 中的第二條和第三條之間添加兩條規則,添加後刪除這兩條中的一條。
參考命令:
R2(config)#ip access-list extended xcu
R2(config-ext-nacl)#24 permit ip host 192.33.2.3 any
R2(config-ext-nacl)#28 deny ip 192.33.2.0 0.0.0.255 any
刪除一條記錄:
R2(config-ext-nacl)#no 28 註:刪除第 28 條規則
6、 配置命名訪問控制列表,實現 172.33.0.0 能夠訪問 130.33.0.0,而 130.33.0.0 無法訪問到 172.33.0.0。
參考命令:
R2(config)#ip access-list extended ref_xcu 註:定義反射 acl
R2(config-ext-nacl)#permit ip 172.33.0.0 0.0.255.255 any reflect ref_xcu1 註:定義反射 acl
R2(config-ext-nacl)#permit eigrp any any 註:這條命令允許 eigrp 的數據正常傳輸
R2(config)#ip access-list extended ref_xcu2 註:定義反射 acl
R2(config-ext-nacl)#evaluate ref_xcu1 註:調用定義的反射 acl
R2(config-ext-nacl)#permit eigrp any any 註:這條命令允許 eigrp 的數據正常傳輸
R2(config)#int f0/0
R2(config-if)#ip access-group ref_xcu out
R2(config-if)#ip access-group ref_xcu2 in
問題 7:在 R2 上用 show access-lists ref_xcu1 查看反射訪問控制列表 ref_xcu1 的內容,裏面是否為空?
答:此時R1和R3之間沒有通信,反射訪問控制列表 ref_xcu1 為空。
問題 8:配置後,在 R1 中以 172.33.2.1 為源地址 ping 130.33.2.3,看能否 ping 通?在 R3中以 130.33.2.3 為源,ping 172.33.2.1 能否 ping 通?
參考命令:
R1#ping 130.33.2.3 source 172.33.2.1
答:在 R1 中以 172.33.2.1 為源地址 ping 130.33.2.3,能 ping 通。
R3#ping 172.33.2.1 source 130.33.2.3
在R3中以 130.33.2.3 為源,ping 172.33.2.1 不能 ping 通。
問題 9:在 R1 中以 172.33.2.1 為源地址 telnet 130.33.2.3,看能否登陸成功?在 R3 中以130.33.2.3 為源,telnet 172.33.2.1 能否登陸成功?
參考命令:
R1#telnet 130.33.2.3 /source-interface lo2
答:能登陸成功。
R3#telnet 172.33.2.1 /source-interface lo2
答:限制登陸。
問題 10:做完問題 8 和問題 9 後馬上在路由器 R2 上用 show access-lists ref_xcu1 查看反射訪問控制列表 ref_xcu1 的內容,和問題 7 看到的有什麽不同?
答:寫入了130.33.2.3和172.33.2.1的 tcp 映射。
7、 創建動態 ACL 實現 R1 必須先成功登錄 R2 才能訪問 R3 的功能。
參考命令:
首先,參照步驟 4,在 R1 中實現遠程登錄功能。
在 R2 中配置動態訪問控制列表
R2(config)#ip access-list extended dynamic_xcu
R2(config-ext-nacl)#permit eigrp any any 註:這條命令允許 eigrp 的數據正常傳輸
R2(config-ext-nacl)#permit tcp any host 192.33.1.2 eq 23 允許 R1 telnet 到 R2
R2(config-ext-nacl)#dynamic XCU timeout 10 permit tcp any 130.33.0.0 0.0.255.255
R2(config)#int f0/1
R2(config-if)#ip access-group dynamic_xcu in
R2(config)#line vty 0 3
R2(config-line)#login local
R2(config-line)#autocommand access-enable host timeout 3
問題 11:配置後在 R2 中查看訪問控制列表 dynamic_xcu,有幾條選項?
答:3條。
問題 11:配置後直接在 R1 中輸入 telnet 130.33.2.3 /source-interface lo2 能否登陸成功?
答:不能登陸成功。
問題 12:在 R1 中用 telnet 192.33.1.2 /source-interface lo2 登陸 R2,馬上在 R2 中查看訪問控制列表 dynamic_xcu,有幾條選項?
答:4條選項。
問題 13:此時再次在 R1 中輸入 telnet 130.33.2.3 /source-interface lo2 能否登陸成功?
答:能成功登陸。
ACL 實驗