实验21利用IP标准访问列表进行网络流量的控制参照.pdfVIP

广东科学技术职业学院 锐捷网络安全实验室 实验二十一 利用 IP 标准访问列表进行网络流量的控制 试验目的： 掌握路由器上编号的标准 IP 访问列表规则及配置。 背景描述： 你是一个公司的网络管理员， 公司的经理部、 财务部门和销售部门分属不同的 3 个网段， 三 部门之间用路由器进行信息传递， 为了安全起见， 公司领导要求销售部门不能对财务部门进 行访问，但经理部可以对财务部门进行访问。 R1、 R2运行 ospf 路由协议。 PC1代表经理部的主机， PC2代表销售部门的主机、 PC3代表财务部门的主机。 技术原理： IP ACL （IP 访问控制列表或 IP 访问列表）是实现对流经路由器或交换机的数据包根据一定 的规则进行过滤，从而提高网络可管理性和安全性。 IP ACL 分为两种：标准 IP 访问列表和扩展 IP 访问列表。 标准 IP 访问列表可以根据数据包的源 IP 地址定义规则，进行数据包的过滤。 扩展 IP 访问列表可以根据数据包的源 IP 、目的 IP 、源端口、目的端口、协议来定义规则， 进行数据包的过滤。 IP ACL 基于接口进行规则的应用，分为：入栈应用和出栈应用。 入栈应用是指由外部经该接口进行路由器的数据包进行过滤。 出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。 IP ACL 的配置有两种方式：按照编号的访问列表，按照命名的访问列表。 标准 IP 访问列表编号范围是 1~99、 1300~1999，扩展 IP 访问列表编号范围是 100~199、 2000~2699 。 试验设备： RG-RSR20 二台、 PC 3 台、V35DCE （1 根）、V35DTE （1 根）、网线若干 试验拓扑图： 1 广东科学技术职业学院 锐捷网络安全实验室 实验步骤及要求： 1、配置各路由器用户名和接口 IP 地址， 并使用 ping 命令确认各路由器的直连口的互通性。 2 、路由器 R1、R2 上配置 OSPF路由协议 R1(config)# router ospf 100 R1(config-router)# router-id 1.1.1.1 Change router-id and update OSPF process! [yes/no]:y R1(config-router)# network 12.1.1.0 0.0.0.255 area 0 R1(config-router)# network 172.16.1.0 0.0.0.255 area 0 R1(config-router)# network 172.16.2.0 0.0.0.255 area 0 R2(config)# router ospf 100 R2(config-router)# router-id 2.2.2.2 Change router-id and update OSPF process! [yes/no]:y R2(config-router)# network 12.1.1.0 0.0.0.255 area 0 R2(config-router)# network 172.16.3.0 0.0.0.255 area 0 3 、在 R1、R2上严重 ospf R1#show ip route C 12.1.1.0/24 is directly connected, Serial 3/0 C 12.1.1.1/32 is local host. C 172.16.1.0/24 is directly connected, FastEthernet 0/1 C 172.16.1.1/32 is local host. C 172.16.2.0/24 is directly connected, FastEthernet 0/0 2 广东科学技术职业学院 锐捷网络安全实验室 C 172.16.2.1/32 is loca