实验十三 扩展IP访问控制列表的配置和应用.docVIP

实验十三 扩展IP访问控制列表的配置和应用 13.1 实验概述 1．实验目的 在已掌握了标准 IP访问控制列表工作原理、配置方法和应用特点的基础上，了解扩展 IP访问控制列表与标准IP访问控制列表之间的区别，重点掌握扩展IP访问控制列表的功能特点。同时，结合实际应用，掌握扩展 IP访问控制列表的配置和使用方法。 2．实验原理 例如，在图 13-1 所示的网络中，企业内部有一台服务器，它可以同时提供 Web服务和 FTP服务，但是我们想让外部用户只能访问 Web 服务而不能访问 FTP服务，而内部用户不受限制，如何实现呢？ 图13-1 扩展IP 访问控制列表的应用 很显然，标准 IP 访问控制列表是不能实现上述要求的，它只能对数据包的源地址进行识别，如果用标准 IP 访问控制列表允许了外部到服务器的访问，那么到服务器的所有流量都会被允许通过，包括 Web和 FTP。因此标准 IP访问控制列表的控制能力很小，无法实现本例的要求，而只能使用扩展 IP 访问控制列表。扩展 IP 访问控制列表的定义方法类似于标准 IP 访问列表，它的编号范围为 100~199或 2000~2699，命令格式如下： access-list access-list-number {permit|deny} protocol source-address source-wildcard [operator port] destination-address destination-wildcard [operator port] [established] [log] 例如：access-list 110 deny tcp 55 host eq 21，此命令拒绝了网络地址为的主机访问并且使用21端口的所有数据包，该命令还可以写为：access-list 110 deny tcp 55 host eq ftp-data 表 13-1 对扩展 IP访问控制列表命令中相关参数的说明 命令参数 说明 access-list-number 访问控制列表的编号，扩展IP访问控制列表的编号为100~199或2000~2699 deny|permit 对符合匹配语句的数据包所采取的动作，其中 permit 代表允许数据包通过，deny 代表拒绝数据包通过 Protocol 数据包所采用的协议，它可以是IP、TCP、UDP、IGMP 等等 source-address 数据包的源地址，它可以是某个网络、某个子网或者某台主机 source-wildcard 数据包源地址的通配符掩码 Operator 指定逻辑操作，它可以是 eq（等于）、neq（不等于）、gt（大于）、lt（小于）或者是一个range（范围） Port 指明被匹配的应用层端口号，例如：telnet为23、FTP 为 20和21。 destination-address 数据包的目标地址，它可以是某个网络、某个子网或者某台主机 destination-wildcard 数据包目标地址的通配符掩码 established 仅用于入站 TCP 连接，如果 TCP 数据包头部的 ACK 位被设置了，则匹配发生。（应用场合：假如要实现一个访问控制列表，它可以阻止源端口向目标端口发起的TCP 连接，但是又不想影响目标端口向源端口发起的TCP连接。这时候就需要检测TCP头部的 ACK位是否被设置，如果没有，表示源端口正在向目标端口发起连接，这个时候匹配就不会发生） Log 将日志消息发送给控制台 3．实验内容和要求 （1） 继续学习路由器的基本配置方法 （2） 了解标准 IP访问控制列表与扩展 IP访问控制列表之间的区别 （3） 掌握扩展 IP访问控制列表的功能和应用特点 （4） 掌握扩展 IP访问控制列表的配置方法 13.2 实验规划 1．实验设备 （1） 三层交换机（1 台） （2） 测试和配置用 PC （3 台） （3） 直连双绞线 （1 根） （4） 配置用Console 电缆 （1 根） 2．实验拓扑 扩展 IP 访问控制列表一般放置在各类应用服务器的前端，为服务器上的各种应用起到安全保护作用，为此，本实验设计了如图 13-2所示的网络结构。 图13-2 扩展IP 访问控制列表的规则拓扑 其中交换机1上连接着Ftp服务器，交换机2上连接着Web服务器，实验要求分别在路由器1和2上配置扩展的IP控制列表，使得最终PC1可以访问Web服务器但不可以访问Ftp服务器，而PC2则刚好相反，可以访问Ftp但不可以访问Web服务器，同时要求PC1、PC2能够互相访问。 13.3 实验步骤 1. 路由器及PC基本配置。 2. W