鞍山网站制作招聘网,登录功能网站怎么做的,国内环保行业网站开发,宁波网站建设公司哪里有实验五、ACL配置
一. 实验目的
1. 掌握ACL的基本配置方法
二. 实验内容
1. 基于如下图所示的拓扑图#xff0c;对路由器进行正确的RIP协议配置#xff1b; 首先引入3台2811 IOS15型号的路由器、3台2950-T24型号的交换机、4台PC-PT型号的PC机、两台Server-PT型号的服务…实验五、ACL配置
一. 实验目的
1. 掌握ACL的基本配置方法
二. 实验内容
1. 基于如下图所示的拓扑图对路由器进行正确的RIP协议配置 首先引入3台2811 IOS15型号的路由器、3台2950-T24型号的交换机、4台PC-PT型号的PC机、两台Server-PT型号的服务器如 图1引入3台2811 IOS15型号的路由器、3台2950-T24型号的交换机、4台PC-PT型号的PC机、两台Server-PT型号的服务器 所示。接着考虑到2811 IOS15型号的路由器的网卡接口数量只有2个而图中每个路由器都有3条连线即图中每个路由器都需要3个网卡接口所以需要依次关闭3台路由器的电源为其添加网卡接口接着依次开启3台路由器的电源如 图2为3台2811 IOS15型号的路由器添加网卡接口 所示。 ( 图1引入3台2811 IOS15型号的路由器、3台2950-T24型号的交换机、4台PC-PT型号的PC机、两台Server-PT型号的服务器 ) ( 图2为3台2811 IOS15型号的路由器添加网卡接口 )
接着开启使用直通线连接不同种设备使用交叉线连接同种设备。在这里使用直通线Copper Straight-Through将PC0的FastEthernet0网卡接口和Switch1的FastEthernet0/2网卡接口连接在一起接着用直通线将PC1的FastEthernet0网卡接口和Switch1的FastEthernet0/3网卡接口连接在一起接着将PC2的FastEthernet0网卡接口和Switch0的FastEthernet0/2网卡接口连接在一起将PC3的FastEthernet0网卡接口和Switch0的FastEthernet0/3网卡接口连接在一起将Server0的FastEthernet0网卡接口和Switch2的FastEthernet0/2网卡接口连接在一起将Server1的FastEthernet0网卡接口和Switch2的FastEthernet0/3网卡接口连接在一起。上述过程使用的连线都为直通线Copper Straight-Through因为我们连接的都是不同种设备。此时连接好的情况如 图3将PC、Server与交换机相连 所示。 ( 图3将PC、Server与交换机相连 )
接着使用直通线将Switch0的FastEthernet0/1网卡接口与Router0的FastEthernet0/0网卡接口相连将Switch1的FastEthernet0/1网卡接口与Router1的FastEthernet0/0网卡接口相连将Switch2的FastEthernet0/1网卡接口与Router2的FastEthernet0/0网卡接口相连如 图4将交换机与路由器相连 所示。如果忘记了一根直通线所连的是哪两个网卡接口可以删除掉这根线再次想要连线时多显示出来的网卡接口即为原来那根直通线所连的网卡接口。 ( 图4将交换机与路由器相连 )
然后开始使用交叉线连接同种设备。注意此时更要记住交叉线所连的两个设备的两个网卡接口的名称以免后续配置网卡接口的IP时出现混淆 用交叉线将Router0的FastEthernet1/0网卡接口与Router1的FastEthernet1/0网卡接口相连将Router0的FastEthernet1/1网卡接口和Router2的FastEthernet1/1网卡接口相连将Router1的FastEthernet0/1网卡接口与Router2的FastEthernet0/1网卡接口相连如 图5使用交叉线将路由器与路由器相连 所示。 ( 图5使用交叉线将路由器与路由器相连 )
接着开始配置各个设备的网卡接口的IP。先从服务器开始配置配置DNS服务器Server0的网卡接口FastEthernet0的IPv4为192.168.1.57默认网关为192.168.1.1这也就是接下来Router2的FastEthernet0/0网卡接口的IPDNS服务器设置为其本身也就是192.168.1.57。如 图9配置Server0的网卡接口FastEthernet0 所示。下一步我们要开启DNS服务并且先试探性的加入一条将域名www.dnsserver.com解析到IPv4为192.168.1.57的服务器的记录并借此来检验DNS服务是否成功开启。但在此之前我们先让Server0试探性ping一下www.dnsserver.com依次作为接下来的实验的对照。如 图10配置Server0的网卡接口FastEthernet0之后立刻ping www.dnsserver.com 所示。发现此时ping不通使用域名www.dnsserver.com的服务器那么如果接下来我们开启DNS服务并且添加一条相应的记录呢如 图11开启Server0的DNS服务并且加入一条相应的域名解析记录 所示。此时Server0再去ping域名www.dnsserver.com便得到了 图12开启DNS服务并且加入一条相应的域名解析记录之后再去pingwww.dnsserver.com 所示的结果此时便能ping通域名为www.dnsserver.com的服务器也就是Server0自己。 ( 图9配置Server0的网卡接口FastEthernet0 ) ( 图10配置Server0的网卡接口FastEthernet0之后立刻ping www.dnsserver.com ) ( 图11开启Server0的DNS服务并且加入一条相应的域名解析记录 ) ( 图12开启DNS服务并且加入一条相应的域名解析记录之后再去pingwww.dnsserver.com )
接着配置使用HTTP协议的Web服务器Server1的网卡接口FastEthernet0的IPv4为192.168.1.58默认网关为192.168.1.1DNS服务器为192.168.1.57如 图13配置Server1的网卡接口FastEthernet0 所示。接着Server1先后去ping自己、ping Server0、ping 域名www.dnsserver.com分别保证Server1的ping功能正常、交换机Switch2的功能正常、Server1的DNS server是谁设置正常以及Server0的DNS功能正常如 图14Server1去ping自己、ping Server0、ping www.dnsserver.com 所示。 ( 图13配置Server1的网卡接口FastEthernet0 ) ( 图14Server1去ping自己、ping Server0、ping www.dnsserver.com )
现在配置Server1的HTTP功能因为Server1的HTTP功能是默认开启的所以我们不需要再额外开启Server1的HTTP功能。在Services下的HTTP中我们看到了5个html文件如 图155个html文件 所示。这5个html文件分别表示什么意思呢先看index.html文件的内容在Desktop中点开Web Browser接着输入http://192.168.1.58进入页面所得到页面即由index.html所控制生成如 图16点开Web Browser并输入http://192.168.1.58 所示正如index.html文件的内容所示如 图17查看index.html文件的内容 所示。在这里不需要焦虑看不明白html语言慢慢来就可以。接着在Web Browser中分别输入http://192.168.1.58/helloworld.html、“http://192.168.1.58/copyrights.html”、“http://192.168.1.58/image.html”、“http://192.168.1.58/cscoptlogo177x111.jpg”便可分别得到由helloworld.html等4个html文件所控制生成的页面如 图18查看剩余4个html文件控制生成的web页面 所示。 ( 图155个html文件 ) ( 图16点开Web Browser并输入http://192.168.1.58 ) ( 图17查看index.html文件的内容 ) ( 图18查看剩余4个html文件控制生成的web页面 )
此时再去查看Server0能不能访问Server1的HTTP服务如 图19检查Server0能不能访问Server1的HTTP服务 所示发现是可以的。但是考虑到如果每次想访问Server1都要输入Server1的IPv4地址很不方便那么该怎么办呢这时Server0的DNS服务就发挥作用了。在Server0的Services中的DNS中添加一条域名解析记录将域名www.httpserver.com解析到192.168.1.58如 图20在Server0的Services中的DNS中添加一条域名解析记录将域名www.httpserver.com解析到192.168.1.58 所示。 ( 图19检查Server0能不能访问Server1的HTTP服务 ) ( 图20在Server0的Services中的DNS中添加一条域名解析记录将域名www.httpserver.com解析到192.168.1.58 )
接着分别在Server0和Server1的Web Browser中输入www.httpserver.com检查Server0的DNS服务中添加的一条域名解析记录是否生效如 图21分别在Server0和Server1的Web Browser中输入www.httpserver.com 所示发现Server0的DNS服务中添加的一条域名解析记录已经生效。 ( 图21分别在Server0和Server1的Web Browser中输入www.httpserver.com )
接着给剩下的所有设备的被直通线或者交叉线连接的网卡接口配置IPv4、默认网关、DNS server如 图22给剩下的所有设备的被直通线或者交叉线连接的网卡接口配置IPv4、默认网关、DNS server 所示。 ( 图22给剩下的所有设备的被直通线或者交叉线连接的网卡接口配置IPv4、默认网关、DNS server )
配置完各个需要被配置的网卡接口之后开始配置RIP协议。配置RIP协议时只需将各路由器的所有网卡接口的IPv4所属于的网段都加入到RIP表中即可。比如对于Router0而言其三个网卡接口的IPv4所属于的网段分别是172.16.0.0/16、172.17.0.0/16、192.168.2.0/24所以只需加入这三个网段即可。如 图23将各路由器的所有网卡接口的IPv4所属于的网段都加入到RIP表中 所示。此时该网络拓扑图中的所有设备都可以实现相互之间的通信了即使是对于PC0而言其也可以通过向Web Browser中输入http://www.httpserver.com来访问Web服务器了如 图24PC0访问http://www.httpserver.com 所示。 ( 图23将各路由器的所有网卡接口的IPv4所属于的网段都加入到RIP表中 ) ( 图24PC0访问http://www.httpserver.com )
2. 在此基础上正确地配置ACL满足如下要求
1限制所有主机远程登录到服务器
第一步限制所有主机远程登录到服务器这一步该怎么实现呢因为思科模拟器中的所有Server服务器都是默认没有并且无法安装SSH服务的所以即使我们成功配置了该条ACL也无法检验配置的正确性所以我们选择跳过此步。而现实环境中配置该步的ACL命令为access-list 107 deny tcp any 192.168.1.0 0.0.0.255 eq 22。
2禁止192.168.3.0/24网段中的主机去ping192.168.1.0/24网段
第二步禁止192.168.3.0/24网段中的主机去ping192.168.1.0/24网段因为ACL的配置要尽量靠近目的端而目的端是192.168.1.0/24网段所以被配置该步的路由器为Router2。我们先在特权模式下使用show ip access-lists命令显示已有的ACL如 图25在特权模式下使用show ip access-lists命令显示已有的ACL 所示。接着我们先让192.168.3.0/24网段中的主机PC0去ping192.168.1.0/24网段的Server0并将其作为对照如 图26让192.168.3.0/24网段中的主机PC0去ping192.168.1.0/24网段的Server0并将其作为对照 所示。 ( 图25在特权模式下使用show ip access-lists命令显示已有的ACL ) ( 图26让192.168.3.0/24网段中的主机PC0去ping192.168.1.0/24网段的Server0并将其作为对照 )
接着开始配置Router2中的ACL。在这里先敲入enable命令进入特权模式接着使用show ip access-lists命令查看之前遗留的的ACL发现之前没有之前遗留的ACL如果存在之前遗留的ACL的话使用configure terminal命令进入全局模式之后再使用no access-list 那条遗留的ACL的编号去删除那条ACL如 图27没有之前遗留的ACL 所示。接着使用configure terminal命令进入全局模式然后再使用access-list 107 deny icmp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255命令添加一条ACL。其中access-list表示创建一条ACL记录107表示创建的ACL记录的ACL编号是107deny表示该条ACL会拒绝一些包icmp表示该条ACL会拒绝的包的协议类型为ICMP而ping命令使用的协议就是ICMP所以icmp表示该条ACL会拒绝来自某些地址ping另外某些地址的ping请求“192.168.3.0 0.0.0.255表示该条ACL会拒绝来自192.168.3.0/24网段的地址的ping请求“192.168.1.0 0.0.0.255表示该条ACL会拒绝发往192.168.1.0/24网段的地址的ping请求。所以这条命令的意思即为107号ACL会拒绝来自192.168.3.0/24网段的地址的ping请求报文其中ping请求报文的目的地址是192.168.1.0/24网段中的地址。接着因为在默认情况下每个ACL的末尾都隐含着拒绝来自所有地方、发往所有地方、的所有类型报文所以在第107号ACL中需要有access-list 107 permit ip any any”表示允许来自所有地方、发往所有地方、的所有IP报文。这时第107号ACL已经编写完成如 图28编写完成第107号ACL 所示。退出全局模式再使用show ip access-lists查看已编写好的第107号ACL如 图29查看已编写好的第107号ACL 所示。接着再该条ACL生效前的最后一步即为将该条ACL规则应用到Router2的网卡接口FastEthernet0/0的out规则上。为什么要将该条ACL规则应用到Router2的网卡接口FastEthernet0/0的出规则out上而不是Router2的网卡接口FastEthernet1/0和FastEthernet1/1的入规则in上呢因为这是为了简便考虑的能配置尽量少的ACL就配置尽量少的ACL。接着为什么要将该条ACL规则应用到Router2的网卡接口FastEthernet0/0的出规则out上而不是入规则in上呢因为如果是入规则in的话发向网卡接口FastEthernet0/0的包的源地址都是192.168.1.0/24网段怎么可能会有192.168.3.0/24网段的源地址呐这时入规则相当于没有用了所以将该条ACL规则应用到Router2的网卡接口FastEthernet0/0的出规则out上。进入全局模式接着使用命令int fa0/0进入端口fa0/0然后使用命令ip access-group 107 out”将第107号ACL规则作为端口fa0/0的出规则out。如 图30将第107号ACL规则作为端口fa0/0的出规则out 所示。 ( 图27没有之前遗留的ACL ) ( 图28编写完成第107号ACL ) ( 图29查看已编写好的第107号ACL ) ( 图30将第107号ACL规则作为端口fa0/0的出规则out )
此时如果PC0无法ping通Server1但是仍能够访问Server1提供的HTTP服务与Server0提供的DNS服务就说明为Router2配置的ACL规则成功我们来检验一下如 图31检验为Router2配置的ACL规则是否成功 所示。 ( 图31检验为Router2配置的ACL规则是否成功 )
如 图31检验为Router2配置的ACL规则是否成功 所示虽然PC0既ping不通Server0又ping不通Server1但是PC0能够通过访问http://www.httpserver.com来访问Server1提供的HTTP服务同时将域名http://www.httpserver.com解析为IPv4地址192.168.1.58这个任务是由Server0提供的DNS解析服务完成的所以PC0也能能使用Server0提供的DNS解析服务所以综上所述为Router2配置的ACL规则是成功的
3禁止192.168.2.11主机使用HTTP协议访问Web服务器
4禁止192.168.2.12主机访问DNS服务器
为什么将这两步合并为一步呢因为这两步都是对Router2的网卡接口FastEthernet0/0所应用的ACL做修改而因为无法比较方便的修改一条已有的ACL所以我们选择删除步骤2中已有的第107号ACL重新创建一个ACL并且让该ACL能够同时满足2、3、4的要求如 图32重新为Router2的网卡接口FastEthernet0/0编写ACL规则使其同时满足2、3、4 所示。 ( 图32重新为Router2的网卡接口FastEthernet0/0编写ACL规则使其同时满足2、3、4 )
接着验证第2步192.168.3.0/24网段无法ping通192.168.1.0/24网段如 图33最终检验第2步 所示。接着检验第3步禁止192.168.2.11主机使用HTTP协议访问Web服务器但是192.168.2.11能够ping通Web服务器也能够使用Server0提供的DNS服务如 图34最终检验第3步 所示。最后检验第4步禁止192.168.2.12主机访问DNS服务器但是192.168.2.12仍能够ping通Server0和Server1并且虽不能通过域名访问Server1的Web服务但能够通过IP地址访问Server1的Web服务如 图35最终检验第4步 所示。 ( 图33最终检验第2步 ) ( 图34最终检验第3步 ) ( 图35最终检验第4步 )
至此实验完成
