计算机科学系实验报告一

实

验

报

告

课程名称： 专 业： 项目名称： 指导教师： 学生姓名： 学 号： 实验时间：

实验项目十二 配置和检验标准 ACL

目标

• 配置标准 ACL 以限制流量。 • 检验 ACL 的运作。

背景／准备工作

本实验将使用标准 ACL，根据主机的 IP 地址来控制网络流量。可以使用符合上表所示接口要求的任何路由器。例如，可以使用 800、1600、1700、1800、2500、2600 或 2800 系列路由器，也可将其任意组合。

本实验的说明信息以 1841 系列路由器为例。其它路由器也可使用；但是命令语法可能会有所差异。根据路 由器型号，接口标识可能有所不同。例如，在某些路由器上，Serial 0 可能是 Serial 0/0 或 Serial 0/0/0，而 Ethernet 0 则可能是 FastEthernet 0/0。Cisco Catalyst 2960 交换机出厂时已经过预配置，只需设置基本安全信息即可接入网络。

本实验需要以下资源：

• 一台 Cisco 2960 交换机或其它同类交换机

• 两台 Cisco 1841 系列路由器或同类路由器，每台都应具备串行接口和以太网接口 • 一台基于 Windows 的计算机，必须装有终端仿真程序并设置为主机 • 至少一根 RJ-45 转 DB-9 控制台电缆，用于配置路由器和交换机 • 两根以太网直通电缆

• 一根两段式 DTE/DCE 串行交叉电缆

注意：确保已经清除路由器和交换机的启动配置。有关清除交换机和路由器配置的说明，请参见 Academy Connection 中 Tools（工具）部分的 Lab Manual（实验手册）。

注意：启用 SDM 的路由器 － 如果在启用 SDM 的路由器中清除了启动配置，那么在重新启动该路由器后 SDM 不会默认启动。而必须使用 IOS 命令创建基本路由器配置。本实验中的步骤使用 IOS 命令，不需要使用 SDM。如果要使用 SDM，请参见 Academy Connection 中 Tools（工具）部分的 Lab Manual（实验手册），必要时也可以与您的教师联系。

步骤 1：连接设备

a. 使用串行电缆将 Router 1 的 Serial 0/0/0 接口连接到 Router 2 的 Serial 0/0/0 接口。 b. 使用直通电缆将 Router 1 的 Fa0/0 接口连接到 Switch 1 的 Fa0/1 端口。 c. 将控制台电缆连接到 PC，在路由器和交换机上执行配置。 d. 使用直通电缆将 H1 连接到 Switch 1 的 Fa0/2 端口。

步骤 2：在 Router 1 上执行基本配置

a. 将 PC 连接到该路由器的控制台端口，使用终端仿真程序执行配置。

b. 根据地址表和拓扑图，在 Router 1 上配置主机名、接口、口令和当日消息标语并禁用 DNS 查找。 保存配置。

步骤 3：在 Router 2 上执行基本配置

在 Router 2 上执行基本配置并保存配置。

步骤 4：在 Switch 1 上执行基本配置

根据地址表和拓扑图配置 Switch 1 的主机名和口令。

步骤 5：使用 IP 地址、子网掩码和默认网关配置主机

a. 使用正确的 IP 地址、子网掩码和默认网关配置主机。应该将地址 192.168.200.10/24 和默认网关 192.168.200.1 分配给主机。

b. 工作站应该能够 ping 通连接的路由器。如果 ping 失败，请根据情况排除故障。检查并确认已为工作站分配了指定的 IP 地址和默认网关。

步骤 6：在网络中配置 RIP 路由并检验端到端连通性

a. 在 Router 1 上启用 RIP 路由协议并配置其通告连接的两个网络。 b. 在 Router 2 上启用 RIP 路由协议并配置其通告连接的全部三个网络。 c. 从 Host 1 Ping Router 2 上的两个环回接口。

从 Host 1 发出的 ping 是否成功？__________

如果答案为否定，则检查路由器和主机的配置纠正错误。重新执行 ping 操作，直到两台主机都成功。

步骤 7：配置并测试标准 ACL

在本实验拓扑中，R2 上的环回接口用于模拟连接到该路由器的两个 C 类网络。ACL 将用于控制对这两个子网的访问。loopback 0 接口代表管理工作站所在的网络，loopback 1 接口代表限制访问的工程网络。 在此网络中，192.168.200.0/24 子网除了其它用户工作站之外，至少还必须包含一台管理工作站。应该为管理工作站分配静态 IP 地址 192.168.200.10。用户工作站则使用网络中的其余 IP 地址。 ACL 应该允许管理工作站访问连接到 R2 的网络，但不允许 192.168.200.0 网络中的其它主机访问这些网络。 本实验使用标准 ACL 并将其保存于 R2 中，因为 R2 距离目的地址最近。

a. 在 R2 上创建标准 ACL，用于访问连接的网络。此 ACL 应该允许 192.168.200.10 主机访问而拒绝所有其它主机。

R2(config)#access-list 1 permit 192.168.200.10 R2(config)#access-list 1 deny any

注意：访问控制列表末尾隐含的 deny 也能执行与此相同的功能。但是，向 ACL 添加该行有助于将其记录下来，因此被视为一种良好的做法。通过明确添加此语句，匹配该语句的数据包数量会予以记录，管理员也就可以看到拒绝的数据包数量。

b. 创建 ACL 后，必须将其应用于路由器的接口。使用 Serial 0/0/0 接口允许对 192.168.1.0 和 192.168.2.0 两个网络实施控制。潜在的流量会流入该接口；因此，要在入站方向应用 ACL。 R2(config)#interface serial 0/0/0 R2(config-if)#ip access-group 1 in

c. 创建并应用 ACL 后，在 R2 上使用 show access-lists 命令查看 ACL。 是否有任一行 ACL 语句存在匹配？ __________ R2#show access-lists Standard IP access list 1 10 permit 192.168.200.10

20 deny any

show access-lists 命令的输出是否显示了创建的 ACL？ __________

show access-lists 命令的输出是否显示了 ACL 的应用方式？ __________

d. 使用 show ip interface s0/0/0 命令显示 ACL 的应用情况。 通过 show ip interface 命令的输出可以得知有关 ACL 的什么信息？ ________________________________________________________________________________

步骤 8：测试 ACL

a. 从 Host 1 ping 环回地址 192.168.1.1。 ping 是否成功？__________

b. 从 Host 1 ping 环回地址 192.168.2.1。 ping 是否成功？__________

c. 再次发出 show access-list 命令。

第一行 ACL 语句 (permit) 有多少匹配？ __________ R2#show access-lists Standard IP access list 1

permit 192.168.200.10 (16 matches) deny any

第二行 ACL 语句 (deny) 有多少匹配？ __________

d. 使用 show ip route 命令查看 R2 上的路由表。

路由表中目前缺少哪条路由？ ________________________________________

由于 ACL 只允许来自 192.168.200.10 的数据包，因此路由表中缺少该路由。R1 发送的 RIP 更新数 据包由该路由器的 Serial 0/0/0 接口 192.168.100.1 发出，因此被 ACL 拒绝。由于 ACL 阻止了通告 192.168.200.0 网络的 R1 RIP 更新，所以 R2 无法得知 192.168.200.0 网络。ACL 没有阻止先前完成的 ping。它们失败的原因是 R2 无法返回应答；R2 不知道如何到达 192.168.200.0 网络。 通过本例就能明白，为什么必须仔细编写 ACL 并彻底测试其功能。

e. 在 R2 上重新创建 ACL，允许接受 R1 发送的路由更新。 R2(config)#no access-list 1

R2(config)#access-list 1 permit 192.168.200.10 R2(config)#access-list 1 permit 192.168.100.1 R2(config)#access-list 1 deny any

f. 从 Host 1 Ping 192.168.1.1 和 192.168.2.1。 现在，ping 是否成功？___________

g. 将 Host 1 的 IP 地址更改为 192.168.200.11。

h. 再次从 Host 1 Ping 192.168.1.1 和 192.168.2.1。 ping 是否成功？__________

再次使用 show access-lists 命令显示 ACL。 192.168.100.1 ACL 语句是否存在匹配？ __________

注意：在特权执行提示符后使用 clear ip access-list counters 命令可以清除 ACL 计数。

步骤 9：思考

a. 访问控制列表为何需要仔细规划和测试？

_______________________________________________________________________________ b. 标准 ACL 的主要局限性是什么？

_______________________________________________________________________________

步骤 10：导出配置日志及设备运行状态清单

Router1-Session Router2-Session Router1_running-config Router2_running-config