实验八 IP访问列表
网络拓扑
 
  clip_p_w_picpath002
实验内容
 
标准访问列表只对数据包的源地址进行规则匹配。标准访问列表应该支持各种规则定义和规则排列。
实验配置
 
标准访问列表的格式如下:
access-list list_number { permit | deny } address [ wildcard-mask ]
在接口上应用访问列表
操作
操作
指定接口上过滤接收报文的规则
ip access-group listnumber in
取消接口上过滤接收报文的规则
no ip access-group listnumber in
指定接口上过滤发送报文的规则
ip access-group listnumber out
取消接口上过滤发送报文的规则
no ip access-group listnumber out
 
实验方法
 
1) 被测设备和标准设备的串行口背靠背连接,封装PPP协议。
2) 被测设备上定义访问列表10,第一条规则为允许主机192.168.170.5,第二条规则否定以奇数结尾的主机(192.168.170.1 0.0.0.254),第三条规则为允许以偶数结尾的主机(192.168.170.0 0.0.0.254),缺省规则为否定。
3) 被测设备的以太网端口应用访问列表10,对进来的数据包进行规则过滤。
4) 配置PC的缺省网关,被测设备、标准设备分别增加到对方局域网的路由。
5) 将PC1的IP地址设为192.168.170.5。
6) PC 1 ping 192.168.180.2。
7) 将PC1的IP地址设为192.168.170.6。
8) PC 1 ping 192.168.180.2。
9) 将PC1的IP地址设为192.168.170.7。
10) PC 1 ping 192.168.180.2。
11) 取消访问列表10应用在被测设备的以太网端口,将访问列表10应用在被测设备的串行端口上,对出去的数据包进行规则过滤。
12) 重复步骤5)到步骤10)。
测试结果
 
1) 步骤6)中,测试应该成功。
2) 步骤8)中,测试应该成功。
3) 步骤10)中,测试应该失败。
网络拓扑
       
 
被测设备
 
标准设备
 
  clip_p_w_picpath003
实验内容
扩展访问列表可以对数据包的源目的地址、端口以及对控制比特位进行规则匹配。扩展访问列表应该支持各种规则定义和规则排列。
实验配置
扩展访问列表的格式如下:
access-list listnumber { permit | deny } protocol source source-wildcard-mask destination destination-wildcard-mask [ operator operand ]
在接口上应用访问列表
操作
操作
指定接口上过滤接收报文的规则
ip access-group listnumber in
取消接口上过滤接收报文的规则
no ip access-group listnumber in
指定接口上过滤发送报文的规则
ip access-group listnumber out
取消接口上过滤发送报文的规则
no ip access-group listnumber out
实验方法
1) 被测设备和标准设备的串行口背靠背连接,封装PPP协议。
2) 被测设备上定义应用在以太网进来或者串行口出去的数据包访问列表100,规则定义如下:第一条规则,permit tcp 192.168.170.5 0.0.0.0 gt 1024 192.168.168.2 0.0.0.0 eq Telnet;第二条规则,permit udp 192.168.170.5 0.0.0.0 eq 69 192.168.168.168.0 0.0.0.254 gt 1024;第三条规则,deny tcp any 192.168.180.0 0.0.0.255 syn;第四条规则,permit tcp any 192.168.180.0 0.0.0.255;第五条规则,permit icmp any 192.168.180.0 0.0.0.255 8;缺省规则为否定。
3) 被测设备的以太网端口应用访问列表10,对进来的数据包进行规则过滤。
4) 配置PC的缺省网关,被测设备、标准设备分别增加到对方局域网的路由。
5) PC 1 Telnet 192.168.168.2。
6) PC 1 Telnet 192.168.180.2。
7) 标准设备上载配置文件到192.168.170.5。
8) PC 1 Ping 192.168.180.2。
9) PC 1 Ping 192.168.168.2。
10) 取消访问列表10应用在被测设备的以太网端口,将访问列表10应用在被测
设备的串行端口上,对出去的数据包进行规则过滤。
11) 重复步骤5)到步骤9)。
实验结果
 
1) 步骤5)中,Telnet应该成功。
2) 步骤6)中,Telnet应该失败。
3) 步骤7)中,TFTP上载应该成功。
4) 步骤8)中,Ping 应该成功。
5) 步骤9)中,Ping 应该失败。