1. 实验名称: 访问控制列表
2. 实验目的: 通过访问控制列表提高网络安全性及实现访问控制
3. 实验设备: 5台CISCO 2503 route
4. 实验原理: 访问控制列表可以实现拒绝服务请求
5. 实验拓扑:
配置前,必须满足全网通讯,R1,R3,R5可以互相访问---截图
在R1上能够PING 通 R3,R5的LOOP 端
R3能够PING通 R1,R5
在R5上能够PING 通R1,R3
建议需求1(使用标准ACL):R5不能访问 r1 ,R3可以访问 r1
解决方案:
在R1上做ACL:
在R1输入如下命令时:
conf t
access-list 1 deny host 10.1.1.2
access-list 1 permit 172.16.150.240 0.0.0.3
access-list 1 permit 192.168.50.128 0.0.0.63
access-list 1 permit 192.168.3.0 0.0.0.255
access-list 1 Permit any
int s0
ip access-group 1 in
------------------
或者输入:
Ip access-list standard wcx
Deny host 10.1.1.2
Permit any
Int s0
Ip access-group wcx in
R3能够PING 入R1,但是R5不能PING 入,实验成功.(如图)
R5不能PING 通 R1
当R1上 NO 掉Ip access-list standard wcx 时,R5又可以PING 通R1,如图:
R1:
R5
建议需求2(使用扩展ACL):
R3 可以telnet r1 ,但不能ping r1
R5 不可以 telnet r1 ,也不可以ping r1
输入以下命令可完成:
在R2上做扩展的ACL
conf t
access-list 110 deny tcp 10.1.1.0 0.0.0.255 any eq 23
access-list 110 deny icmp 10.1.1.0 0.0.0.255 any
access-list 110 deny icmp 172.16.150.240 0.0.0.3 any
access-list 110 permit tcp 172.16.150.240 0.0.0.3 any eq 23
access-list 110 Permit ip any any
int s0
ip access-group 110 out
---------------------
或者在R2上输入:
Ip access-list extended wcx
deny tcp 10.1.1.0 0.0.0.255 any eq 23
deny icmp 10.1.1.0 0.0.0.255 any
deny icmp 172.16.150.240 0.0.0.3 any
permit tcp 172.16.150.240 0.0.0.3 any eq 23
Permit ip any any
Int s0
Ip access-group wcx out
并且在R1上开启TELNET服务:
conf t
enable password 123
line vty 0 4
password 123
login
R5不能PING 通.并且不能TELNET(如图)
R3不能PING 通,但是可以TELNET(如图)
其他任何1台都可以PING 通,并且TELNET
实验成功.