实验22 利用IP扩展访问列表实现远程访问限制

广东科学技术职业学院 锐捷网络安全实验室

实验二十二 利用IP扩展访问列表实现远程访问限制

试验目的：

掌握在路由器上命名的扩展IP访问列表规则及配置。

背景描述：

你是一个公司的网络管理员，公司允许管理员远程telnet来管理设备，为了安全起见要禁止192.168.1.0/24这个网段的人员远程telnet到路由器上。请你用扩展ACL来完成这一功能。

技术原理：

IP ACL（IP访问控制列表或IP访问列表）是实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性。

IP ACL分为两种：标准IP访问列表和扩展IP访问列表。

标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤。

扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。

IP ACL基于接口进行规则的应用，分为：入栈应用和出栈应用。 入栈应用是指由外部经该接口进行路由器的数据包进行过滤。 出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。

IP ACL的配置有两种方式：按照编号的访问列表，按照命名的访问列表。

标准IP访问列表编号范围是1~99、1300~1999，扩展IP访问列表编号范围是100~199、2000~2699。

试验设备：

RG-RSR20 一台、PC 1台、网线若干

试验拓扑图：

1

广东科学技术职业学院 锐捷网络安全实验室

实验步骤及要求：

1、配置各路由器用户名和接口IP地址。 RACK1_RSR20_1(config)#hostname R1 R1(config)#interface f0/0

R1(config-if)#ip add 192.168.1.1 255.255.255.0 R1(config-if)#no shut R1(config-if)#end

R1(config)#line vty 0 4

R1(config-line)#password xixihaha R1(config-line)#login R1(config-line)#end R1#

2、在PC上ping R1

2

广东科学技术职业学院 锐捷网络安全实验室

3、在PC上telnet 到路由器R1

4、在R1上配置扩展访问控制列表

R1(config)#ip access-list extended 100

R1(config-ext-nacl)#deny tcp any 192.168.1.0 0.0.0.255 eq telnet R1(config-ext-nacl)#permit ip any any R1(config-ext-nacl)#exit R1(config)#inter f0/0

R1(config-if)#ip access-group 100 in R1(config-if)#end

5、测试

3

广东科学技术职业学院 锐捷网络安全实验室

7、试验完成

【注意事项】

? 注意在访问控制列表的网络掩码是反掩码。

? 扩展控制列表要应用在尽量靠近源地址的接口。 ? 要注意deny某个网段后要peimit其他网段

4