實驗八 IP訪問列表
網絡拓撲
 |
實驗內容
標準訪問列表只對數據包的源地址進行規則匹配。標準訪問列表應該支持各種規則定義和規則排列。
實驗配置
標準訪問列表的格式如下:
access-list list_number { permit | deny } address [ wildcard-mask ]
在接口上應用訪問列表
|
操作 |
操作 |
|
指定接口上過濾接收報文的規則 |
ip access-group listnumber in |
|
取消接口上過濾接收報文的規則 |
no ip access-group listnumber in |
|
指定接口上過濾發送報文的規則 |
ip access-group listnumber out |
|
取消接口上過濾發送報文的規則 |
no ip access-group listnumber out |
實驗方法
1) 被測設備和標準設備的串行口背靠背連接,封裝PPP協議。
2) 被測設備上定義訪問列表10,第一條規則爲允許主機192.168.170.5,第二條規則否定以奇數結尾的主機(192.168.170.1 0.0.0.254),第三條規則爲允許以偶數結尾的主機(192.168.170.0 0.0.0.254),缺省規則爲否定。
3) 被測設備的以太網端口應用訪問列表10,對進來的數據包進行規則過濾。
4) 配置PC的缺省網關,被測設備、標準設備分別增加到對方局域網的路由。
5) 將PC1的IP地址設爲192.168.170.5。
6) PC 1 ping 192.168.180.2。
7) 將PC1的IP地址設爲192.168.170.6。
8) PC 1 ping 192.168.180.2。
9) 將PC1的IP地址設爲192.168.170.7。
10) PC 1 ping 192.168.180.2。
11) 取消訪問列表10應用在被測設備的以太網端口,將訪問列表10應用在被測設備的串行端口上,對出去的數據包進行規則過濾。
12) 重複步驟5)到步驟10)。
測試結果
1) 步驟6)中,測試應該成功。
2) 步驟8)中,測試應該成功。
3) 步驟10)中,測試應該失敗。
網絡拓撲
|
|
 |
實驗內容
擴展訪問列表可以對數據包的源目的地址、端口以及對控制比特位進行規則匹配。擴展訪問列表應該支持各種規則定義和規則排列。
實驗配置
擴展訪問列表的格式如下:
access-list listnumber { permit | deny } protocol source source-wildcard-mask destination destination-wildcard-mask [ operator operand ]
在接口上應用訪問列表
|
操作 |
操作 |
|
指定接口上過濾接收報文的規則 |
ip access-group listnumber in |
|
取消接口上過濾接收報文的規則 |
no ip access-group listnumber in |
|
指定接口上過濾發送報文的規則 |
ip access-group listnumber out |
|
取消接口上過濾發送報文的規則 |
no ip access-group listnumber out |
實驗方法
1) 被測設備和標準設備的串行口背靠背連接,封裝PPP協議。
2) 被測設備上定義應用在以太網進來或者串行口出去的數據包訪問列表100,規則定義如下:第一條規則,permit tcp 192.168.170.5 0.0.0.0 gt 1024 192.168.168.2 0.0.0.0 eq Telnet;第二條規則,permit udp 192.168.170.5 0.0.0.0 eq 69 192.168.168.168.0 0.0.0.254 gt 1024;第三條規則,deny tcp any 192.168.180.0 0.0.0.255 syn;第四條規則,permit tcp any 192.168.180.0 0.0.0.255;第五條規則,permit icmp any 192.168.180.0 0.0.0.255 8;缺省規則爲否定。
3) 被測設備的以太網端口應用訪問列表10,對進來的數據包進行規則過濾。
4) 配置PC的缺省網關,被測設備、標準設備分別增加到對方局域網的路由。
5) PC 1 Telnet 192.168.168.2。
6) PC 1 Telnet 192.168.180.2。
7) 標準設備上載配置文件到192.168.170.5。
8) PC 1 Ping 192.168.180.2。
9) PC 1 Ping 192.168.168.2。
10) 取消訪問列表10應用在被測設備的以太網端口,將訪問列表10應用在被測
設備的串行端口上,對出去的數據包進行規則過濾。
11) 重複步驟5)到步驟9)。
實驗結果
1) 步驟5)中,Telnet應該成功。
2) 步驟6)中,Telnet應該失敗。
3) 步驟7)中,TFTP上載應該成功。
4) 步驟8)中,Ping 應該成功。
5) 步驟9)中,Ping 應該失敗。