湖北工业大学计算机学院《网络互连技术》实验指导书
网络工程系·李红·2010年编制7
实验十九扩展IP访问控制列表一、实验目的和要求
?理解什么是访问控制列表?了解扩展访问控制列表的功能?掌握扩展访问工作原理及规则
?掌握如何配置扩展访问控制列表二、实验设备
模拟软件:CiscoPacketTracer53_setup_no_tutorials设备:三层交换机1台,二层交换机2台,PC机若干,服务器一台,交叉线若干
三、实验内容1.在三层交换机上进行基本的配置2.在三层交换机上面配置dhcp协议,并且在pc机上面通过dhcp获取ip地址
3.在服务器上面配置HTTP服务、FTP服务、DNS服务4.测试配置的正确性5.配置扩展访问控制列表并且进行测试
6.将两次测试的结果进行比较四、实验拓扑图
图1扩展访问控制列表拓扑图
湖北工业大学计算机学院《网络互连技术》实验指导书
网络工程系·李红·2010年编制8
五、背景描述你是学校的网络管理员,在3560-24交换机上连着学校用于提供WWW、FTP以及DNS的服务器,另外还连接着学生区和教工区,学校规定学生区内的主机只能对服务器进行FTP访问和DNS访问,不能进行WWW
访问,对教工区内的主机没有任何限制。六、相关知识
IPACL(IP访问控制列表或IP访问列表)是实现对流经路由器或交换机的数据包根据一定的规则进行过滤,从而提高网络可管理性和安全性。IPACL分为两种:标准IP访问列表和扩展IP访问列表。
标准IP访问列表可以根据数据包的源IP地址定义规则,进行数据包的过滤。扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。
IPACL基于接口进行规则的应用,分为:入栈应用和出栈应用。入栈应用是指由外部经该接口进行路由器的数据包进行过滤。出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。
IPACL的配置有两种方式:按照编号的访问列表,按照命名的访问列表。标准IP访问列表编号范围是1~99、1300~1999,扩展IP访问列表编号范围是100~199、2000~2699。
七、实验步骤步骤1.画出实验拓扑结构图。
步骤2.按实验拓扑图连接设备。步骤3.对三层交换机S3560进行配置
1、配置vlanSwitch(config)#vlan10Switch(config-vlan)#exit
Switch(config)#vlan20Switch(config-vlan)#exitSwitch(config)#vlan30
Switch(config-vlan)#exit2、将相应的端口加入到相应的vlanSwitch(config)#interfacefastEthernet0/5!3560的fa0/5口连接服务器
Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan10Switch(config-if)#exit
Switch(config)#interfacefastEthernet0/10!3560的fa0/10口连接教室区Switch(config-if)#switchportmodeaccess
湖北工业大学计算机学院《网络互连技术》实验指导书
网络工程系·李红·2010年编制9
Switch(config-if)#switchportaccessvlan20Switch(config-if)#exitSwitch(config)#interfacefastEthernet0/15!3560的fa0/15口连接学生区
Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportaccessvlan30Switch(config-if)#exit
3、在三层交换机s3560上配置相应的intferfacevlan和ip地址Switch(config)#interfacevlan10Switch(config-if)#ipaddress192.168.10.1255.255.255.0
Switch(config-if)#noshutdownSwitch(config-if)#exitSwitch(config)#interfacevlan20
Switch(config-if)#ipaddress192.168.20.1255.255.255.0Switch(config-if)#noshutdownSwitch(config-if)#exit
Switch(config)#interfacevlan30Switch(config-if)#ipaddress192.168.30.1255.255.255.0Switch(config-if)#noshutdown
4、在三层交换机上开启dhcp服务,自动的给学生区和教室区的pc机分配ip地址。Switch(config)#ipdhcppoolstudent!学生区Switch(dhcp-config)#network192.168.30.0255.255.255.0!设置分配的网段
Switch(dhcp-config)#default-router192.168.30.1!设置默认网关Switch(dhcp-config)#dns-server192.168.10.2!设置DNS服务器Switch(dhcp-config)#exit
Switch(config)#ipdhcppoolteacherSwitch(dhcp-config)#network192.168.20.0255.255.255.0Switch(dhcp-config)#default-router192.168.20.1
Switch(dhcp-config)#dns-server192.168.10.2Switch(dhcp-config)#exit5、配置服务器的相关参数
Ip地址:192.168.10.2Subnet-mask:255.255.255.0Defaultgateway:192.168.10.1
web服务器的配置:
湖北工业大学计算机学院《网络互连技术》实验指导书
网络工程系·李红·2010年编制10
图2服务器http服务的配置
服务器ftp的配置:
图3服务器ftp的配置服务器DNS的配置:
湖北工业大学计算机学院《网络互连技术》实验指导书
网络工程系·李红·2010年编制1
图4服务器DNS的配置步骤4.测试
1、在学生区的pc0上面测试(1)登录web服务器测试
图5学生区web服务的测试结果(2)登陆ftp服务器测试
图6学生区ftp测试的结果
湖北工业大学计算机学院《网络互连技术》实验指导书
网络工程系·李红·2010年编制12
2、在教师区pc3上面测试:(1)登录web服务器测试
图7教师区web服务测试的结果(2)登录ftp服务器测试
图8教师区ftp服务测试的结果【注意】:ftp的测试命令是ftpip地址或者ftp域名
步骤5.配置命名的扩展ACLSwitch(config)#ipaccess-listextendeddenystudentSwitch(config-ext-nacl)#denytcp192.168.30.00.0.0.255192.168.10.00.0.0.255eqwww
Switch(config-ext-nacl)#permitipanyanySwitch(config)#interfacevlan30!将ACL应用在intferfacevlan30上面Switch(config-if)#ipaccess-groupdenystudentin
Switch(config-if)#exit【注意】:在三层交换机上面acl是应用在三层接口上面的。
湖北工业大学计算机学院《网络互连技术》实验指导书
网络工程系·李红·2010年编制13
步骤6.再次进行测试(1)在学生区的pc0上面测试登录web服务器测试
图9配置ACL后在学生区测试web服务的结果由于禁止了ww服务,所以,登录不了web服务器了。ftp服务是不受影响,测试结果和配置ACL之前的一样。
(2)在教师区的pc3上面测试:结果同上次测试的结果一样,web服务和ftp服务都可以访问。
八.注意事项1.过滤数据包的源地址和目的地址以及其他信息的扩展ACL,应该放在离源地址尽可能近的地方。2.ACl在应用时必须得应用在路由器的端口上面上或者用在三层交换机的interfacevlan上面。
九、思考题1.如何配置acl既阻挡studentpc机对服务器的ftp访问,又阻挡对http的访问?2.在实际公司中,如何阻挡teacherpc机在上班时间不能够上网,在休闲时间可以上网?
|
|
