51CTO下载-Cisco_ACL实验配置51CTO下载-Cisco_ACL实验配置.docx

实验2.1:标准、扩展、命名和注释ACL试验目标通过本次实验里，将实现下列学习目标：定义一个标准访问列表。定义一个扩展访问列表。定义一个命名访问列表。在一个访问列表里注释。应用一个访问列表。验证一个访问列表。概述配置访问列表的能力对保护网络资源来说是重要的。本次实验也介绍了在保护网络资源方面的一些可选项。本次实验包含了标准的、扩展的、命名的和注释的访问控制列表。实验拓扑图命令列表命令描述access-list定义访问控制列表参数ip access-group指派一个访问控制列表到一个接Uip access-list extended定义-个扩展访问控制列表Remark注释一个访问控制列表show ip access-list显示已配置的访问控制列表任务1 :标准访问列表步骤1.标准访问列表使用数字1-99，它提供系统管理员拒绝或允许来自一个IP地址集或一个特殊IP地址的流量的能力。进入全局配置模式然后输入access-list查看可用的参数。步骤2.使R3能够ping通R2的fa0/0口（54）步骤3.创建一个标准访问列表77，拒绝从主机来的出站流量。并将该ACL应用到一个接口（fa0/1）注意in和out的方向。步骤4.R3测试：ping R2的2个接口。均不能通。步骤5.R2在fa0/1接口撤销已配置的ACL。步骤6.R3测试：ping R2的2个接口。均能通。步骤7.R2查看既有ACL，在全局下删除no掉该ACL。任务2:扩展访问列表步驟1.扩展访问列表使管理员更好地控制网络流量。扩展访问列表使目标地址和源地址两者都能被定义为流量的判别式。标准访问列表被约束为或针对一个源IP地址或针对一个目标IP地址。扩展访问列表也允许基于协议和端口号的过滤。创建带有下列参数的扩展访问列表：拒绝从R1()到R2(54)的telnet 流量。同时允许从R1()到R2(54)的ICMP流量。步驟2.测试：R2未配置ACL，R1()能够ping通R2(54)，R1()能够telnet R2(54)。步骤3. R2配置扩展访问列表拒绝从R1()到R2(54)的telnet流量；并允许从R1()到R2(54)的ICMP流量。步骤4. 测试：R1()ping R2(54)；R1()telnetR2(54)。实验2.2：Lock-and-Key访问控制列表试验目标配置一个动态访问列表以实现lock-and-key安全，配置一个lock-and-key访问控制列表控制一个从R2到R1的Telnet会话。实验拓扑：命令列表命令描述access-list定义一个访问控制列表autocommand access-enable host timeout 2自动创建一个临时访问控制列表ip access-group指派一个访问控制列表到一个接口line vty 0 4配置vty线0到4login local依靠本地数据库验证用户show ip access-lists显示配置好的访问控制列表show ip route显示路由选择信息username username password password在本地数据库定义一个用户名/密码的组合CLI配置过程截图：实验2.3：基于时间的访问控制列表试验目标了解基于时间的访问控制列表的功能及用途；掌握路由器基本时间访问控制列表的配置技能。应用场景为了保障公司上班时间的工作效率，公司要求员工在上班时间只能访问公司的内部网站，下班后员工访问内外网均不受限制。实验拓扑：命令列表命令描述access-list配置访问控制列表参数ip access-group指派一个访问控制列表到一个接口ip access-list extended定义一个扩展访问列表show clock显示目前的系统时间show time-range显示时间域参数time-range定义一个时间域实验步骤步骤1.R1开放HTTP服务。步骤2. C1登陆R1的Web服务。步骤3.C1配置静态路由，确保C1能够ping通R2.步骤4.C1登录R2的Web服务。步骤5.R1设置时区和时间。步骤6.设置R1为NTP服务器。步骤7.设置R2与R1时间同步。步骤8. R1配置指定的时间范围及其名称。Absolute start 8:00 1 January 2013 end 23:00 1 September 2013步骤9. R1配置ACL并在内网入口处应用该ACL。步骤10. C1测试R1的Web服务可以打开，R2能够ping通但是Web服务打不开。步骤11. 等到16：30以后再次测试R2的Web服务，应该可以再次打开了。