实验22 利用IP扩展访问列表实现远程访问限制.docVIP

实验二十二 利用IP扩展访问列表实现远程访问限制 试验目的： 掌握在路由器上命名的扩展IP访问列表规则及配置。 背景描述：你是一个公司的网络管理员，公司允许管理员远程telnet来管理设备，为了安全起见要禁止192.168.1.0/24这个网段的人员远程telnet到路由器上。请你用扩展ACL来完成这一功能。 技术原理： IP ACL（IP访问控制列表或IP访问列表）是实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性。 IP ACL分为两种：标准IP访问列表和扩展IP访问列表。 标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤。 扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。IP ACL基于接口进行规则的应用，分为：入栈应用和出栈应用。 入栈应用是指由外部经该接口进行路由器的数据包进行过滤。 出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。 IP ACL的配置有两种方式：按照编号的访问列表，按照命名的访问列表。 标准IP访问列表编号范围是1~99、1300~1999，扩展IP访问列表编号范围是100~199、2000~2699。 试验设备： RG-RSR20 一台、PC 1台、网线若干 试验拓扑图： 实验步骤及要求： 1、配置各路由器用户名和接口IP地址。 RACK1_RSR20_1(config)#hostname R1 R1(config)#interface f0/0 R1(config-if)#ip add 192.168.1.1 255.255.255.0 R1(config-if)#no shut R1(config-if)#end R1(config)#line vty 0 4 R1(config-line)#password xixihaha R1(config-line)#login R1(config-line)#end R1# 2、在PC上ping R1 3、在PC上telnet 到路由器R1 4、在R1上配置扩展访问控制列表 R1(config)#ip access-list extended 100 R1(config-ext-nacl)#deny tcp any 192.168.1.0 0.0.0.255 eq telnet R1(config-ext-nacl)#permit ip any any R1(config-ext-nacl)#exit R1(config)#inter f0/0 R1(config-if)#ip access-group 100 in R1(config-if)#end 5、测试 7、试验完成 【注意事项】 注意在访问控制列表的网络掩码是反掩码。 扩展控制列表要应用在尽量靠近源地址的接口。 要注意deny某个网段后要peimit其他网段 广东科学技术职业学院 锐捷网络安全实验室 1 可以ping通 R1 可以telnet到R1 定义扩展访问列表 100 不允许所有的人远程telnet到192.168.1.0/24这个网段 允许其他服务 把扩展ACL应用到接口的 入方向 能ping通R1，因为扩展访问列表没有禁止 ICMP协议 现在已经不等telnet到R1上了，扩展ACL起了作用