当前位置:   article > 正文

西电通院计网实验七——ACL访问控制实验_计网实验3.2.1

计网实验3.2.1

西电通院计网实验七——ACL访问控制实验

本实验在先前实验的基础上对路由器增加配置,通过ACL限制PC0,让其不能访问外网的其他主机。本文仅对ACL配置方面进行介绍,其余基础配置,如开辟子接口DCHPNAT等参考之前的文章。

一、ACL简介

ACL可以实现信息识别功能,然后实现过滤,本次实验的过滤条件主要是消息的源地址。ACL配置需要具体到路由器的端口号消息的方向(是对进入该端口的消息进行过滤还是对由本端口发出的消息进行过滤)、访问控制列表(记录了允许与拒绝的消息的IP地址)。

1.1 in与out

路由器端口不仅可以对要进入该端口的消息进行过滤(in方向),还可以对想要由此端口发出的消息进行过滤(out方向)

以PC0和PC1为例,一次成功的通信不仅需要PC0向PC1发出消息PC0还要收到PC1的确认。两种不同源地址的报文在通过路由器端口时都需要ACL进行过滤。

对某端口而言,在消息发出时若为in方向,则确认消息经过时为out方向

1.2 访问控制列表

端口过滤时需要查找访问控制列表,常见命令为:

permit 192.168.66.0 0.0.0.255(允许源地址为192.168.66.* 的消息通过)

deny 192.168.66.0 0.0.0.255(禁止源地址为192.168.66.* 的消息通过)

需要注意的是,端口过滤查表时自上而下查到后就停止向下查询。若表中没有查到记录,默认是禁止的(本实验软件采用)。

对上述两行命令而言,主机192.168.66.1发送的消息总是允许的,第二行命令没有起到作用。而主机192.168.67.1发送的消息默认禁止,为了让此消息通过,通常可以将第二行命令改为:permit any


二、基础配置

2.1 网络拓扑图

在这里插入图片描述

网络拓扑图

2.2 路由器配置

在这里插入图片描述

路由器0配置

在这里插入图片描述

路由器1配置

2.3 路由器基础配置
2.3.1 路由器R0配置(中间路由器)
  • 静态路由

在这里插入图片描述

R0(中间路由器)路由配置
  • NAT

在这里插入图片描述

R0(中间路由器)NAT

2.3.2 路由器R1配置
  • 开启子端口

  • DHCP (注意PC勾选DHCP 非static)

  • 静态路由

在这里插入图片描述

R1(左端路由器)路由配置

2.3.3 路由器R2配置
  • 开启子端口

  • DHCP (注意PC勾选DHCP 非static)

  • 动态路由

在这里插入图片描述

R2(右端路由器)路由配置

2.4 基础配置测试结果

在这里插入图片描述

基础配置测试结果

内网可以访问外网,外网不能访问内网。


三、R0(中间路由器)配置ACL

要求:分别考虑r0的0、1口,在in和out两种情况下的限制。

可以分为四种情况。

在这里插入图片描述


3.1 f0/0、in方向

在这里插入图片描述

R0(中间路由器) case1
3.1.1 ACL配置

在左端口f0/0的in方向进行过滤:来自主机192.168.10.*的消息在进入(in)R0左端口f0/0时被拒绝。

来自其他主机(192.168.11.*)的消息在进入R0左端口时被允许。

在这里插入图片描述

R0(中间路由器) case1 键入命令
3.1.2 Result
  • PC0与PC1可以互通:两者通信时不需要经过R0的f0/0端口,不受影响。
  • PC0—>PC2、PC3不可:当PC0向PC2发送消息时,进入(in方向)左端口f0/0时被拒绝,消息不能传送到PC2、PC3。
  • PC1—>PC2、PC3可:当PC1向PC2发送消息时,进入(in方向)左端口f0/0时被允许(permit any),消息可以传送到PC2。而当PC2发送确认消息时,由于f0/0端口的out方向没有配置ACL,不会有过滤作用,两者可以通信成功。

在这里插入图片描述


3.2 f0/0、out方向

在这里插入图片描述

R0(中间路由器) case2
3.2.1 ACL配置

在左端口f0/0的in方向进行过滤:来自主机192.168.14.*、192.168.15.*的消息在离开(out)R0左端口f0/0时被拒绝。

在这里插入图片描述

R0(中间路由器) case2 键入命令
3.2.2 Result
  • PC0与PC1可以互通:两者通信时不需要经过R0的f0/0端口,不受影响。
  • PC0—>PC2、PC3不可:当PC0向PC2发送消息时,进入(in方向)左端口f0/0时不受影响(f0/0端口的in方向没有配置ACL,不会有过滤作用),消息可以传送到PC2。但是当PC2发送确认消息时,由于f0/0端口的out方向上禁止PC2的确认消息出去。两者仍然不能通信成功。
  • PC1—>PC2、PC3不可:原因同上。

在这里插入图片描述


3.3 f0/1、in方向

在这里插入图片描述

R0(中间路由器) case3

3.4 f0/1、out方向

在这里插入图片描述

R0(中间路由器) case4

四、R1(左端路由器)配置ACL

在这里插入图片描述

R1(左端路由器)

五、R2(右端路由器)配置ACL

在这里插入图片描述

器) case4

R2(右端路由器)

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/人工智能uu/article/detail/759913
推荐阅读
相关标签
  

闽ICP备14008679号