返回
7、扩展访问控制列表实验.doc

7、扩展访问控制列表实验.doc

ID:18682239

大小:46.00 KB

页数:3页

时间:2018-09-20

7、扩展访问控制列表实验.doc_第1页
7、扩展访问控制列表实验.doc_第2页
7、扩展访问控制列表实验.doc_第3页
资源描述:

《7、扩展访问控制列表实验.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、扩展访问控制列表配置实验注意:前一讲“标准IP访问控制列表”是在路由器上对来自某一个IP源地址的数据包的允许或拒绝转发。这一讲说的是在某一个具体层面上允许或拒绝转发数据包。实验背景学院出口路由器R2与学校路由器R1之间通过V.35线串口连接。学校服务器上有各种服务,比如WWW、FTP、TELNET等。现为了网络安全,仅允许学院PC机访问学校服务器上的WWW服务,其他一概拒绝,包括ICMP协议(即不允许从PC机ping服务器)。技术原理l访问控制列表中定义的典型规则主要有以下:源地址、目标地址、上层协议、

2、时间区域;l扩展IP访问列表(编号为100-199)使用以上四种组合来进行转发或阻断分组;根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。l扩展IP访问列表的配置包括以下两步:l定义扩展IP访问列表l将扩展IP访问列表应用于特定接口上实验步骤1、拓扑图2、配置PC机、服务器、路由器R1和R2的接口IP地址PC机IP:172.16.1.2子网掩码:255.255.255.0网关:172.16.1.1R1Fa0/0端口IP:172.168.1.1子网掩码:255.255.2

3、55.0R1Fa1/0端口IP:172.168.2.1子网掩码:255.255.255.0R2Fa0/0端口IP:172.168.2.2子网掩码:255.255.255.0R2Se2/0端口IP:172.168.3.1子网掩码:255.255.255.0时钟频率64000R3Se2/0端口IP:172.168.3.2子网掩码:255.255.255.0R3Fa1/0端口IP:172.16.4.2子网掩码:255.255.255.0网关:172.16.4.13、在路由器R1、R2、R3上配置静态路由协议,

4、实现全网通信。(1)、进入R1全局配置视图Router(config)#hostR1;修改名称R1(config)#iprout172.16.3.0255.255.255.0172.16.2.2;到3.0网段的静态路由R1(config)#iprout172.16.4.0255.255.255.0172.16.2.2;到4.0网段的静态路由(2)、进入R3全局配置视图Router(config)#hostR3;修改名称R3(config)#iprout172.16.1.0255.255.255.0172

5、.16.3.1;到1.0网段的静态路由R3(config)#iprout172.16.2.0255.255.255.0172.16.3.1;到2.0网段的静态路由(3)、进入R2全局配置视图Router(config)#hostR2;修改名称R2(config)#iprout172.16.1.0255.255.255.0172.16.2.1;到1.0网段的下一跳是2.1R2(config)#iprout172.16.4.0255.255.255.0172.16.3.2;到4.0网段的下一跳是3.21、P

6、C机和服务器间能相互ping通自此PC与服务器之间可以相互ping通。而且PC机可以访问服务器的WWW服务。单击PC机->选择WEB浏览器->在URL地址栏输入“172.16.4.2”,应该可以看到服务器上网页的内容:WelcometoCiscoPacketTracer,thebestthingsince.....PacketTracer4.x.QuickLinks:AsmallpageCopyrightsImagepageImage现在要限制PC机ping服务器及其他通信,仅允许PC机访问服务器上的W

7、WW服务。2、在R2上配置编号的IP扩展访问控制列表并且将其应用到接口。使得PC机能够访问服务器的WWW服务,但是不能通过ICMP协议。R2(config)#access-list100permittcphost172.16.1.2host172.16.4.2eqwww解释:access-list100创建编号为100的扩展访问控制列表permittcp因为要访问Web服务器,而Web服务器应用的是TCP协议,所以在这里要允许TCP协议。host172.16.1.2源主机host172.16.4.2目标

8、主机eqwww匹配一个指定的端口号。这里eq是匹配一个指定的端口号命令。www是WWW服务的端口号,也可以写成80。R2(config)#access-list100denyicmphost172.16.1.2host172.16.4.2解释:denyicmp拒绝ICMP协议。因为ping命令是ICMP协议,所以要拒绝这个协议,这样源主机就不能ping目标主机了。R2(config)#intS2/0;进入S2/0端口R2(config-if

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。