1. 實驗名稱: 訪問控制列表
2. 實驗目的: 通過訪問控制列表提高網絡安全性及實現訪問控制
3. 實驗設備: 5臺CISCO 2503 route
4. 實驗原理: 訪問控制列表可以實現拒絕服務請求
5. 實驗拓撲:
配置前,必須滿足全網通訊,R1,R3,R5可以互相訪問---截圖
在R1上能夠PING 通 R3,R5的LOOP 端
R3能夠PING通 R1,R5
在R5上能夠PING 通R1,R3
建議需求1(使用標準ACL):R5不能訪問 r1 ,R3可以訪問 r1
解決方案:
在R1上做ACL:
在R1輸入如下命令時:
conf t
access-list 1 deny host 10.1.1.2
access-list 1 permit 172.16.150.240 0.0.0.3
access-list 1 permit 192.168.50.128 0.0.0.63
access-list 1 permit 192.168.3.0 0.0.0.255
access-list 1 Permit any
int s0
ip access-group 1 in
------------------
或者輸入:
Ip access-list standard wcx
Deny host 10.1.1.2
Permit any
Int s0
Ip access-group wcx in
R3能夠PING 入R1,但是R5不能PING 入,實驗成功.(如圖)
R5不能PING 通 R1
當R1上 NO 掉Ip access-list standard wcx 時,R5又可以PING 通R1,如圖:
R1:
R5
建議需求2(使用擴展ACL):
R3 可以telnet r1 ,但不能ping r1
R5 不可以 telnet r1 ,也不可以ping r1
輸入以下命令可完成:
在R2上做擴展的ACL
conf t
access-list 110 deny tcp 10.1.1.0 0.0.0.255 any eq 23
access-list 110 deny icmp 10.1.1.0 0.0.0.255 any
access-list 110 deny icmp 172.16.150.240 0.0.0.3 any
access-list 110 permit tcp 172.16.150.240 0.0.0.3 any eq 23
access-list 110 Permit ip any any
int s0
ip access-group 110 out
---------------------
或者在R2上輸入:
Ip access-list extended wcx
deny tcp 10.1.1.0 0.0.0.255 any eq 23
deny icmp 10.1.1.0 0.0.0.255 any
deny icmp 172.16.150.240 0.0.0.3 any
permit tcp 172.16.150.240 0.0.0.3 any eq 23
Permit ip any any
Int s0
Ip access-group wcx out
並且在R1上開啓TELNET服務:
conf t
enable password 123
line vty 0 4
password 123
login
R5不能PING 通.並且不能TELNET(如圖)
R3不能PING 通,但是可以TELNET(如圖)
其他任何1臺都可以PING 通,並且TELNET
實驗成功.