高级访问控制列表
-
实验目的
- 理解高级访问控制列表的应用场景。
- 掌握配置高级访问控制列表的方法。
- 理解高级访问控制列表与基本访问控制列表的区别。
-
实验原理
-
ACL的定义和作用
路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL定义的。访问控制列表是偶permit/deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。
- 访问控制列表的分类
- 基本的访问控制列表 (basic acl)
- 高级的访问控制列表(advanced acl)
- 基于接口的访问控制列表(interface-based acl)
- 基于MAC的访问控制列表(mac-basedacl)
- 高级访问控制列表可以匹配源、目的IP、源端口、目的端口等三层和四层的字段
-
实验内容
- 实现FTP访问控制实验,使得:
- 禁止某个pc访问FTP;
- 禁止某个子网访问FTP;
-
网络拓扑图
实验拓扑及各个端口IP地址如下:
-
实验步骤
-
根据上节课的ppt中分别选择网络拓扑,配置路由信息并使得所有主机与路由器,主机与主机之间均联通。
- 配置各个主机、路由器、客户端及FTP服务器路由信息:
- 根据R5简要查看网络RIP2路由信息收敛情况:
- 查看路由器之间是否可以联通(R1 ping R5):
- 查看主机与路由器是否可以联通(PC1 ping R5):
- 查看主机间是否可以联通(PC2 ping PC4):
- 在添加访问控制列表之前,PC1是可以ping通FTP 服务器的,不存在丢包:
- PC2同样也可以ping 通FTP服务器,不存在丢包:
- 测试客户端与服务器之间的连接。如下图,在客户端基本配置一栏的Ping Test处输入服务器的IP地址24.1.1.11 发送五次ICMP数据包均成功,同样的,在FTP 服务器(未启动前)上同样也可以输入目的IP并发送ICMP数据包测试,联通成功。
- 配置FTP 服务器。首先新建一个文件夹,在文件夹里面再建一个名字为Config的文件夹,在Config里面在放一个test.txt的测试文件。在服务器信息一栏设置FTP server找到刚刚新建建的文件夹Config,将其视为FTP服务器配置文件。之后启动FTP服务(右键单击FTP点击设置进入)。 设置完成后,启动FTP Server。
- 配置FTP客户端。在客户端Client1的客户端信息一栏选择ftpClient,输入服务器IP地址及其端口号,然后登陆服务器。登陆成功后即可见之前配置的服务器文件test.txt在列,选择客户端本地文件夹,即可成功下载FTP 服务器文件至本地。如图test.txt已被下载到本地;同样的,若在本地文件夹新建一个文件(名为localFile.txt),也可成功上传至ftp服务器。
至此,ftp服务器及ftp客户端均已配置成功,并实现ICMP及TCP数据包成功互传。接下来配置高级访问控制列表,实现访问控制。
2.配置高级访问控制列表,禁止某个pc访问FTP
禁止ftp客户端及其服务器之间的ICMP数据包传输。当然可以将PC1作为任务目标,禁止其通过ICMP协议访问FTP服务器。
- 在R1处创建访问控制列表:“acl 3002” “rule deny icmp source 14.1.1.12 0 destination 24.1.1.11 0”(由于之前已创建好,故此处只展示acl 3002的相关信息)。Icmp指禁止客户端ping通服务器。0均代表特定主机。之后将其部署在R1的g0/0/0口上。outbound代表经过路由器处理了的,将正要发往目的IP设备的数据包。
- 测试该主机是否被禁止访问ftp服务器。可见客户端与服务器两端均无法ping通,然而未部署访问控制语句的PC1和PC2却可以ping通服务器的。
禁止ftp客户端及其服务器之间的TCP数据包传输。
- 部署TCP访问控制语句。在R1处创建访问控制列表:“acl 3000” “rule deny TCP source 14.1.1.12 0 destination 24.1.1.11 0”(由于之前已创建好,故此处只展示acl 3000的相关信息)。TCP指禁止客户端与服务器建立连接和进行文件传输。0均代表特定主机。之后将其部署在R1的g0/0/1口上。Inbound指已到达路由器接口,将被路由器处理的数据包。
- 检查客户端是否可以与ftp服务器建立TCP连接。在客户端的客户端信息一栏的界面点击退出登录之后再次点击登陆,无法登陆成功,并显示如下内容。可见访问控制语句生效,ftp客户端与ftp服务器无法建立连接,自然就无法访问FTP和与之传输文件。
- 禁止某个子网访问FTP。
- 在R1处创建访问控制列表:“acl 3003” “rule deny icmp source 14.1.1.10 0.0.0.255 destination 24.1.1.11 0”。0.0.0.255均代表源主机所在网络的所有设备。之后将其部署在R1的g0/0/0口上。outbound代表经过路由器处理了的,将正要发往目的IP设备的数据包。
- 检查源主机所在网络的所有设备是否被禁止访问ftp服务器。继续点击Client1中的send按钮,显示无法与ftp服务器ping通,同样的,点击ftp服务器的send按钮也显示5个icmp数据包均无法到达客户端。PC1及PC2也无法ping通目的网络中的ftp服务器(这里只列出PC1与服务器联通情况,PC2不再缀图)。由此可见该访问控制列表生效。
- 当然,若有新的客户端加入源主机网络,通过在R1的g0/0/0 端口配置访问控制语句:“rule deny tcp source 14.1.1.10 0.0.0.255 destination 24.1.1.11 0”同样也可以禁止该主机网络内的所有客户端无法与目的ftp服务器建立TCP连接,从而无法上传和加载文件。
至此,实验完成。