ACL 實驗

1、環境準備

1. 軟件：GNS3

2. 路由：c7200

2、實驗操做

實驗要求：

一、 掌握標準 ACL、擴展 ACL 的配置方法。

二、 掌握命名 ACL 的配置方法。

三、 掌握訪問控制列表配置中 established 參數的做用。

四、 掌握在命名訪問控制列表中插入一條規則或刪除一條規則的方法。

五、 掌握反射訪問控制列表的工做原理和配置方法。

六、 掌握動態 ACL 的原理和配置方法。

實驗拓撲：

實驗過程：

一、 根據實驗拓撲，對路由器各接口配置 IP 地址。注：對 loopback 接口配 IP 時每一個 loopback 接口配一個 IP，即在 R1 和 R3 中各啓用 4 個 loopback 接口（lo1-lo4）。

查看各個接口IP狀態：

R1

R2

R3

 

二、 在各路由器上配置  EIGRP  協議，關閉自動彙總，使整個網絡連通。

三、 配置標準訪問控制列表，使 172.33.1.0/24 這個子網沒法訪問 R3 上的網絡。

參考命令：

R2(config)#access-list 33 deny 172.33.1.0 0.0.0.255 

R2(config)#access-list 33 permit any

R2(config)#interface f0/0

R2(config-if)#ip access-group 33 out 

 

問題 1：配置後在 R1 上直接 ping 130.33.1.3，可否 ping 通？爲何？

答：在 R1 上直接 ping 130.33.1.3，能 ping 通。由於在R2上沒有限制192.33.1.0網絡。

問題 2：使用擴展 ping，用 172.33.1.1 作源地址，可否 ping 通？

答：用 172.16.1.1 作源地址，不能 ping 通。

四、 配置擴展訪問控制列表，實現容許 172.33.2.0 子網 telnet 到 130.33.0.0，不容許其餘子網的用戶 telnet 到 130.33.0.0，同時不能妨礙其餘網絡數據的傳遞。

參考命令：

在 R3 中配置，容許其餘主機 telnet

R3(config)#username xcu password cisco

R3(config)#line vty 0 3

R3(config-line)#login local

 

在 R2 中建立擴展訪問控制列表 

R2(config)#access-list 133 permit tcp 172.33.2.0 0.0.0.255 130.33.0.0 0.0.255.255 eq 23

R2(config)#access-list 133 deny tcp any 130.33.0.0 0.0.255.255 eq 23

R2(config)#access-list 133 permit ip any any

R2(config)#int f0/1                                                  注：在這裏選擇接口 f0/1 更接近源

R2(config-if)#ip access-group 133 in   

 

問題 3：在 R1 上 telnet 130.33.2.3，以 172.33.2.1 做爲源地址，可否登錄？若是以 172.33.3.1或 172.33.4.1 爲源地址，可否登錄？

參考命令：

 

 

五、配置命名訪問控制列表，實現 172.33.0.0 可以 telnet 130.33.0.0，而 130.33.0.0 沒法 telnet 到 172.33.0.0。

參考命令：

首先，參照步驟 4，在 R1 中實現遠程登陸功能。

R1(config)#username xcu password cisco

R1(config)#line vty 0 3

R1(config-line)#login local

 

在 R2 中建立命名訪問控制列表

R2(config)#ip access-list extended   xcu

R2(config-ext-nacl)#permit tcp 130.33.0.0 0.0.255.255 172.33.0.0 0.0.255.255 established

R2(config-ext-nacl)#deny tcp 130.33.0.0 0.0.255.255 172.33.0.0 0.0.255.255

R2(config-ext-nacl)#permit ip any any

R2(config)#int f0/0

R2(config-if)#ip access-group xcu in

 

問題 4：在 R1 上 telnet 130.33.2.3，以 172.33.2.1 做爲源地址，可否登錄？若是以 172.33.3.1或 172.33.4.1 爲源地址，可否登錄？爲何？

答：在 R1 上 telnet 130.33.2.3，以 172.33.2.1 做爲源地址，能登錄。

答：在 R1 上 telnet 130.33.2.3，以 172.33.3.1 做爲源地址，不能登錄。由於受ACL 133配置的限制。

問題 5：在 R3 中 telnet 172.33.2.1，以 130.33.1.3 爲源地址，可否登錄？爲何？

答：在 R3 中 telnet 172.33.2.1，以 130.33.1.3 爲源地址，不能登錄。由於受ACL xcu配置的限制。

問題 6：此時在 R3 中 ping 172.33.2.1，以 130.33.1.3 爲源地址，可否 ping 通？

參考命令：ping 172.33.2.1 source 130.33.1.3

答：在 R3 中 ping 172.33.2.1，以 130.33.1.3 爲源地址，能 ping 通。由於ACL xcu配置限制的是TCP協議，ping測試使用的是ICMP網絡層協議。

五、 在命名訪問控制列表 xcu 中的第二條和第三條之間添加兩條規則，添加後刪除這兩條中的一條。

參考命令：

R2(config)#ip access-list extended   xcu

R2(config-ext-nacl)#24 permit ip host 192.33.2.3 any

R2(config-ext-nacl)#28 deny ip 192.33.2.0 0.0.0.255 any

刪除一條記錄：

R2(config-ext-nacl)#no 28       注：刪除第 28 條規則

六、 配置命名訪問控制列表，實現 172.33.0.0 可以訪問 130.33.0.0，而 130.33.0.0 沒法訪問到 172.33.0.0。

參考命令：

R2(config)#ip access-list extended ref_xcu                 注：定義反射 acl

R2(config-ext-nacl)#permit ip 172.33.0.0 0.0.255.255 any reflect ref_xcu1  注：定義反射 acl

R2(config-ext-nacl)#permit eigrp any any                    注：這條命令容許 eigrp 的數據正常傳輸

R2(config)#ip access-list extended ref_xcu2               注：定義反射 acl

R2(config-ext-nacl)#evaluate ref_xcu1                        注：調用定義的反射 acl

R2(config-ext-nacl)#permit eigrp any any                    注：這條命令容許 eigrp 的數據正常傳輸

R2(config)#int f0/0

R2(config-if)#ip access-group ref_xcu out

R2(config-if)#ip access-group ref_xcu2 in

 

問題 7：在 R2 上用 show access-lists ref_xcu1 查看反射訪問控制列表 ref_xcu1 的內容，裏面是否爲空？

答：此時R1和R3之間沒有通訊，反射訪問控制列表 ref_xcu1 爲空。

問題 8：配置後，在 R1 中以 172.33.2.1 爲源地址 ping  130.33.2.3，看可否 ping 通？在 R3中以 130.33.2.3 爲源，ping 172.33.2.1 可否 ping 通？

參考命令：

R1#ping 130.33.2.3 source 172.33.2.1

答：在 R1 中以 172.33.2.1 爲源地址 ping  130.33.2.3，能 ping 通。

R3#ping 172.33.2.1 source 130.33.2.3

在R3中以 130.33.2.3 爲源，ping 172.33.2.1 不能 ping 通。

問題  9：在  R1  中以  172.33.2.1  爲源地址  telnet  130.33.2.3，看可否登錄成功？在  R3  中以130.33.2.3 爲源，telnet 172.33.2.1 可否登錄成功？

參考命令：

R1#telnet 130.33.2.3 /source-interface lo2

答：能登錄成功。

R3#telnet 172.33.2.1 /source-interface lo2

答：限制登錄。

問題 10：作完問題 8 和問題 9 後立刻在路由器 R2 上用 show  access-lists  ref_xcu1 查看反射訪問控制列表 ref_xcu1 的內容，和問題 7 看到的有什麼不一樣？

答：寫入了130.33.2.3和172.33.2.1的 tcp 映射。

七、 建立動態 ACL 實現 R1 必須先成功登陸 R2 才能訪問 R3 的功能。

參考命令：

首先，參照步驟 4，在 R1 中實現遠程登陸功能。

在 R2 中配置動態訪問控制列表

R2(config)#ip access-list extended dynamic_xcu

R2(config-ext-nacl)#permit eigrp any any                             注：這條命令容許 eigrp 的數據正常傳輸

R2(config-ext-nacl)#permit tcp any host 192.33.1.2 eq 23               容許 R1 telnet 到 R2

R2(config-ext-nacl)#dynamic XCU timeout 10 permit tcp any 130.33.0.0 0.0.255.255

R2(config)#int f0/1

R2(config-if)#ip access-group dynamic_xcu in     

R2(config)#line vty 0 3

R2(config-line)#login local

R2(config-line)#autocommand access-enable host timeout 3

問題 11：配置後在 R2 中查看訪問控制列表 dynamic_xcu，有幾條選項？

答：3條。

問題 11：配置後直接在 R1 中輸入 telnet 130.33.2.3 /source-interface lo2 可否登錄成功？

答：不能登錄成功。

問題 12：在 R1 中用 telnet  192.33.1.2  /source-interface  lo2 登錄 R2，立刻在 R2 中查看訪問控制列表 dynamic_xcu，有幾條選項？

答：4條選項。

問題 13：此時再次在 R1 中輸入 telnet 130.33.2.3 /source-interface lo2 可否登錄成功？

答：能成功登錄。