GNS3中实现IP访问控制列表配置实验

实验内容&＃xff1a;

公司的经理部(C3)、财务部(C1)和销售部&＃xff08;C2&＃xff09;分别属于不同的3个网段&＃xff0c;三部门之间用路由器进行信息传递&＃xff0c;为了安全起见&＃xff0c;公司领导要求销售部不能对财务部进行访问&＃xff0c;但经理部可以对财务部和销售部进行访问。

1.构建实验网络拓扑&＃xff0c;并标注端口及配置信息。

2.对路由器R1和R2进行配置&＃xff0c;并查看记录接口状态、路由信息。

3.通过VPCS虚拟机&＃xff0c;为每个PC机配置IP地址和子网掩码&＃xff0c;检查各主机的连通性。

4.在R1上配置标准ACL&＃xff0c;测试各主机之间的连通性&＃xff0c;并记录结果。

5.把R1上的ACL去掉&＃xff0c;再测试各主机之间的连通性&＃xff0c;并记录结果。

6.在R2上配置标准ACL&＃xff0c;测试各主机之间的连通性&＃xff0c;并记录结果。

7.把R2上的ACL去掉&＃xff0c;再测试各主机之间的连通性&＃xff0c;并记录结果。

实验结果&＃xff1a;

在各端口配置IPACL后&＃xff0c;PC2不能访问PC1&＃xff0c;即销售部不能对财务部进行访问&＃xff0c;达到实验要求&＃xff0c;在去掉IPACL后&＃xff0c;各主机之间的通信恢复正常。

【注意事项】

1&＃xff0e;注意在访问控制列表中的网络掩码是反掩码。

2&＃xff0e;标准访问列表要应用在尽量靠近目标的地址的接口。

3&＃xff0e;标准ACL的编号范围是1-99、1300-1999&＃xff0c;扩展访问列表的编号范围是100-199、2000-2999。

4.IPACL基于接口应用时&＃xff0c;分为入栈和出栈两个方向&＃xff0c;命令分别为in和out。



R1的基本配置&＃xff1a;
R1>en
R1#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
R1(config)#inters0/0
R1(config-if)#ipadd10.1.2.1255.255.255.0
R1(config-if)#noshut
R1(config-if)#clockrate64000
*Mar100:01:16.087:%LINK-3-UPDOWN:InterfaceSerial0/0,changedstatetoup
*Mar100:01:17.087:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/0,changedstatetoup
R1(config-if)#interf1/0
R1(config-if)#ipadd192.168.1.2255.255.255.0
*Mar100:01:42.579:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/0,changedstatetodown
R1(config-if)#ipadd192.168.1.2255.255.255.0
R1(config-if)#noshut
R1(config-if)#
R1(config-if)#inte
*Mar100:01:49.399:%LINK-3-UPDOWN:InterfaceFastEthernet1/0,changedstatetoup
*Mar100:01:50.399:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet1/0,changedstatetoup
R1(config-if)#interf2/0

R1(config-if)#ipadd192.168.3.2255.255.255.0
R1(config-if)#noshut
R1(config-if)#
*Mar100:02:15.315:%LINK-3-UPDOWN:InterfaceFastEthernet2/0,changedstatetoup
*Mar100:02:16.315:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet2/0,changedstatetoup
R1(config-if)#exit
R1(config)#iproute192.168.2.0255.255.255.010.1.2.2~~~~~~~~~~~~~~~~~~~~~配置静态路由
R1(config)#exit
查看R2接口状态和路由信息
R1#showipinterbrief
InterfaceIP-AddressOK?MethodStatusProtocol
Serial0/010.1.2.1YESmanualupdown
Serial0/1unassignedYESunsetadministrativelydowndown
Serial0/2unassignedYESunsetadministrativelydowndown
Serial0/3unassignedYESunsetadministrativelydowndown
FastEthernet1/0192.168.1.2YESmanualupup
FastEthernet2/0192.168.3.2YESmanualupup

R1#
R1#showiproute
Codes:C-connected,S-static,R-RIP,M-mobile,B-BGP
D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterarea
N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2
E1-OSPFexternaltype1,E2-OSPFexternaltype2
i-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-2
ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticroute
o-ODR,P-periodicdownloadedstaticroute

Gatewayoflastresortisnotset

C192.168.1.0/24isdirectlyconnected,FastEthernet1/0
C192.168.3.0/24isdirectlyconnected,FastEthernet2/0
R1#

^

R2的基本配置&＃xff1a;
R2>en
R2#
R2#
R2#
R2#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
R2(config)#
R2(config)#
R2(config)#
R2(config)#
R2(config)#
R2(config)#
R2(config)#interf1/0
R2(config-if)#ipadd192.168.2.2255.255.255.0
R2(config-if)#noshut
R2(config-if)#inters
*Mar100:35:25.047:%LINK-3-UPDOWN:InterfaceFastEthernet1/0,changedstatetoup
*Mar100:35:26.047:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet1/0,changedstatetoup
R2(config-if)#inters0/0
R2(config-if)#ipadd10.1.2.2255.255.255.0
R2(config-if)#noshut
R2(config-if)#
*Mar100:35:49.267:%LINK-3-UPDOWN:InterfaceSerial0/0,changedstatetoup
*Mar100:35:50.267:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/0,changedstatetoup
R2(config-if)#exit
R2(config)#iproute192.168.1.0255.255.255.010.1.2.1
R2(config)#iproute192.168.3.0255.255.255.010.1.2.1
R2(config)#exit
R2#

查看R2接口状态和路由信息
R2#showiproute
Codes:C-connected,S-static,R-RIP,M-mobile,B-BGP
D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterarea
N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2
E1-OSPFexternaltype1,E2-OSPFexternaltype2
i-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-2
ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticroute
o-ODR,P-periodicdownloadedstaticroute

Gatewayoflastresortisnotset

10.0.0.0/24issubnetted,1subnets
C10.1.2.0isdirectlyconnected,Serial0/0
S192.168.1.0/24[1/0]via10.1.2.1
C192.168.2.0/24isdirectlyconnected,FastEthernet1/0
S192.168.3.0/24[1/0]via10.1.2.1
R2#showipinterbrief
InterfaceIP-AddressOK?MethodStatusProtocol
Serial0/010.1.2.2YESmanualupup
Serial0/1unassignedYESunsetadministrativelydowndown
Serial0/2unassignedYESunsetadministrativelydowndown
Serial0/3unassignedYESunsetadministrativelydowndown
FastEthernet1/0192.168.2.2YESmanualupup
FastEthernet2/0unassignedYESunsetadministrativelydowndown
R2#
R2#

配置PC

&＃xff08;1&＃xff09;在R1上配置标准ACL&＃xff0c;并将ACL应用到R1接口s0/0出栈方向&＃xff0c;查看和记录访问列表的详细信息&＃xff0c;如下图所示&＃xff1a;

R1#conft

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

R1(config)#access-list1deny192.168.1.00.0.0.255

R1(config)#access-list1permit192.168.3.00.0.0.255

R1(config)#ints0/0

R1(config-if)#ipaccess-group1out

R1(config-if)#end

R1#showaccess-lists1

&＃xff08;2&＃xff09;通过VPCS虚拟机&＃xff0c;测试三台主机的连通性&＃xff0c;测试得知PC1和PC3能相互ping通&＃xff0c;PC1和PC2不能相互ping通&＃xff0c;PC2和PC3能相互ping通&＃xff0c;如下图所示&＃xff1a;

&＃xff08;1&＃xff09;把R1上的s0/0接口下的ACL去掉&＃xff0c;如下所示&＃xff1a;

R1(config)#ints0/0

R1(config-if)#noipaccess-group1out

&＃xff08;2&＃xff09;通过VPCS虚拟机&＃xff0c;再次测试三台主机的连通性&＃xff0c;测试得知他们之间能够相互访问&＃xff0c;如下图所示&＃xff1a;

&＃xff08;1&＃xff09;在R2上配置标准ACL&＃xff0c;并将ACL应用到RouteB接口s0/0入栈方向&＃xff0c;查看和记录访问列表的详细信息&＃xff0c;如下图所示&＃xff1a;

R2#conft

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

R2(config)#access-list1deny192.168.1.00.0.0.255

R2(config)#access-list1permit192.168.3.00.0.0.255

R2(config)#ints0/0

R2(config-if)#ipaccess-group1in

R2(config-if)#end

R2#showaccess-lists1

&＃xff08;2&＃xff09;通过VPCS虚拟机&＃xff0c;测试三台主机的连通性&＃xff0c;测试得知PC1和PC3能相互ping通&＃xff0c;PC1和PC2不能相互ping通&＃xff0c;PC2和PC3能相互ping通&＃xff0c;如下图所示&＃xff1a;

&＃xff08;1&＃xff09;把R2上的s0/0接口下的ACL去掉&＃xff0c;如下所示&＃xff1a;

R2#conft

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

R2(config)#ints0/0

R2(config-if)#noipaccess-group1in

R2(config-if)#end

&＃xff08;2&＃xff09;通过VPCS虚拟机&＃xff0c;再次测试三台主机的连通性&＃xff0c;测试得知PC1和PC2之间恢复正常&＃xff0c;彼此之间能够相互访问&＃xff0c;如下图所示&＃xff1a;

&＃xff08;1&＃xff09;在RouteB上配置标准ACL&＃xff0c;并将ACL应用到RouteB接口f1/0出栈方向&＃xff0c;查看和记录访问列表的详细信息&＃xff0c;如下图所示&＃xff1a;

R2#conft

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

R2(config)#access-list1deny192.168.1.00.0.0.255

R2(config)#access-list1permit192.168.3.00.0.0.255

R2(config)#intf1/0

R2(config-if)#ipaccess-group1out

R2(config-if)#end

R2#showaccess-lists1

&＃xff08;2&＃xff09;通过VPCS虚拟机&＃xff0c;测试三台主机的连通性&＃xff0c;测试得知PC1和PC3能相互ping通&＃xff0c;PC1和PC2不能相互ping通&＃xff0c;PC2和PC3能相互ping通&＃xff0c;如下图所示&＃xff1a;

&＃xff08;1&＃xff09;把R2上的f1/0接口下的ACL去掉&＃xff0c;如下所示&＃xff1a;

R2#conft

Enterconfigurationcommands,oneperline.EndwithCNTL/Z.

R2(config)#intf1/0

R2(config-if)#noipaccess-group1out

&＃xff08;2&＃xff09;通过VPCS虚拟机&＃xff0c;再次测试三台主机的连通性&＃xff0c;测试得知PC1和PC2之间恢复正常&＃xff0c;彼此之间能够相互访问&＃xff0c;如下图所示&＃xff1a;

【实验分析】

在路由器RouteA的s0/0端口出栈方向应用ip访问控制时&＃xff0c;由于PC1和PC3连接在同一个路由器RouteA上&＃xff0c;接入的端口没有任何限制&＃xff0c;因此可以相互ping通&＃xff1b;在PC1和PC2之间RouteA的s0/0端口出栈方向应用了ip访问控制&＃xff0c;限制了与PC1的地址相符合的网段的包从该端口出去&＃xff0c;但PC2送的包能到达PC1&＃xff0c;因此不能相互ping通&＃xff1b;而s0/0端口所应用的ip访问控制&＃xff0c;允许了PC3所在网段的包通过&＃xff0c;所以PC2和PC3能相互ping通。

在路由器RouteB的s0/0端口入栈方向应用ip访问控制时&＃xff0c;由于PC1和PC3连接在同一个路由器RouteA上&＃xff0c;接入的端口没有任何限制&＃xff0c;因此可以相互ping通&＃xff1b;在PC1和PC2之间RouteB的s0/0端口入栈方向应用了ip访问控制&＃xff0c;限制了与PC1的地址相符合的网段的包从该端口进去&＃xff0c;但PC2送的包能到达PC1&＃xff0c;因此不能相互ping通&＃xff1b;而s0/0端口所应用的ip访问控制&＃xff0c;允许了PC3所在网段的包通过&＃xff0c;所以PC2和PC3能相互ping通。

在路由器RouteB的f1/0端口出栈方向应用ip访问控制时&＃xff0c;由于PC1和PC3连接在同一个路由器RouteA上&＃xff0c;接入的端口没有任何限制&＃xff0c;因此可以相互ping通&＃xff1b;在PC1和PC2之间RouteB的f1/0端口出栈方向应用了ip访问控制&＃xff0c;限制了与PC1的地址相符合的网段的包从该端口出去&＃xff0c;但PC2送的包能到达PC1&＃xff0c;因此不能相互ping通&＃xff1b;而s0/0端口所应用的ip访问控制&＃xff0c;允许了PC3所在网段的包通过&＃xff0c;所以PC2和PC3能相互ping通。

当ip访问控制从各端口去掉后&＃xff0c;一切恢复正常&＃xff0c;就能够相互ping通了。