发布时间 : 星期六 文章实验22 利用IP扩展访问列表实现远程访问限制更新完毕开始阅读f175c06b561252d380eb6e98
广东科学技术职业学院 锐捷网络安全实验室
实验二十二 利用IP扩展访问列表实现远程访问限制
试验目的:
掌握在路由器上命名的扩展IP访问列表规则及配置。
背景描述:
你是一个公司的网络管理员,公司允许管理员远程telnet来管理设备,为了安全起见要禁止192.168.1.0/24这个网段的人员远程telnet到路由器上。请你用扩展ACL来完成这一功能。
技术原理:
IP ACL(IP访问控制列表或IP访问列表)是实现对流经路由器或交换机的数据包根据一定的规则进行过滤,从而提高网络可管理性和安全性。
IP ACL分为两种:标准IP访问列表和扩展IP访问列表。
标准IP访问列表可以根据数据包的源IP地址定义规则,进行数据包的过滤。
扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。
IP ACL基于接口进行规则的应用,分为:入栈应用和出栈应用。 入栈应用是指由外部经该接口进行路由器的数据包进行过滤。 出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。
IP ACL的配置有两种方式:按照编号的访问列表,按照命名的访问列表。
标准IP访问列表编号范围是1~99、1300~1999,扩展IP访问列表编号范围是100~199、2000~2699。
试验设备:
RG-RSR20 一台、PC 1台、网线若干
试验拓扑图:
1
广东科学技术职业学院 锐捷网络安全实验室
实验步骤及要求:
1、配置各路由器用户名和接口IP地址。 RACK1_RSR20_1(config)#hostname R1 R1(config)#interface f0/0
R1(config-if)#ip add 192.168.1.1 255.255.255.0 R1(config-if)#no shut R1(config-if)#end
R1(config)#line vty 0 4
R1(config-line)#password xixihaha R1(config-line)#login R1(config-line)#end R1#
2、在PC上ping R1
2
广东科学技术职业学院 锐捷网络安全实验室
3、在PC上telnet 到路由器R1
4、在R1上配置扩展访问控制列表
R1(config)#ip access-list extended 100
R1(config-ext-nacl)#deny tcp any 192.168.1.0 0.0.0.255 eq telnet R1(config-ext-nacl)#permit ip any any R1(config-ext-nacl)#exit R1(config)#inter f0/0
R1(config-if)#ip access-group 100 in R1(config-if)#end
5、测试
3
广东科学技术职业学院 锐捷网络安全实验室
7、试验完成
【注意事项】
? 注意在访问控制列表的网络掩码是反掩码。
? 扩展控制列表要应用在尽量靠近源地址的接口。 ? 要注意deny某个网段后要peimit其他网段
4