根据教材P67,也就是下面PPT的内容,写出网络布线系统设计方案,并上交电子版到教师机上。
网络实训
2. 综合布线系统设计
(1)实验目的。了解EIA/TIA-568A商业建筑物通信
①新建办公大楼共六层,信息点122个。一楼22个,二楼20
个,三楼26个,四楼18个,五楼16个,六楼20个。
格式如下:
煤焦企业网络布线系统方案设计
学号:201020201107
姓名:张南
访问控制列表(Access Control List ,简称ACL)既是控制网络通信流量的手段,也是网络安全策略的一个组成部分。每一个ACL列表可以由一条或若干条指令组成,对于任一个被检查的数据包,依次用每一指令进行匹配,一旦获得匹配,则后续的指令将被忽略。
路由器为不同的网络协议定义不同的ACL列表。为了标识与不同的网络协议对应的ACL,可以采用数字标识的方式。在使用ACL数字标识时,必须为每一协议的访问控制列表分配唯一的数字,并保证该数字值在所规定的范围内。标准IP协议的ACL取值范围:1-99;扩展IP协议的ACL取值范围:100-199。
1标准ACL的相关知识
标准ACL是指基于数据包中的源IP地址进行简单的包过滤的访问控制列表,其通过检查数据包的源地址,来确定是允许还是拒绝基于网络、子网络或主机IP地址的某一协议簇通过路由器的接口。
(1)标准ACL列表的定义
Router(config)# access-list access-list-number {deny | permit} source [source-wildcard ][log] Access-list-num:ACL号(1-99)
Deny:若测试条件成立,则拒绝相应的数据包
Permit:若测试条件成立,则接受相应的数据包
Source:源IP地址(网络或主机均可)
Source-wildcard:与源IP地址配合使用的通配掩码
Log:是否就ACL事件生成日志
(2)标准ACL列表的接口配置
Router(config-if)#ip access-group access-list-number {in | out}
此命令用于将已经定义的标准ACL列表应用于相应的路由器端口。
in:指定相应的ACL被用于对从该接口进入的数据包进行处理。
out:指定相应的ACL被用于对从该接口流出的数据包进行处理。
注:在路由器的每一个端口,对每个协议、在每个方向上只能指定一个ACL列表
2扩展ACL的相关知识
扩展ACL是对标准ACL功能上的扩展,其不仅可以基于源和目标IP地址数据包的测试,还可基于协议类型和TCP端口号进行数据包的测试,从而较标准的ACL提供了更强大的包过滤功能和设置上的灵活性
扩展ACL通常用于下列情况
●指定源和目标地址的包过滤
●指定协议类型的包过滤
●指定传输层端口号的包过滤
(1)扩展ACL列表的定义
Router(config)#access-list access-list-number {permit | deny} protocol source [source-mask destination destination-mask][ operator operand] [established] [precedence priority] [tos type of service]
参数含义:
access-list-number:ACL表号(100-199)
protocol:指定协议,如IP、TCP、UDP等
source /destination:源/目的IP地址(网络或主机也可以)
source /destination-mask:与上述IP地址配合使用的通配掩码
operator:表示关系如lt小于、gt大于、eq相等、neq不相等operand:端口号,如80、21等
established:若数据包使用一个已建立连接,则允许TCP通信通过Priority:设置数据包的优先级0-7
type of service:设定服务类型0-15
(2)扩展ACL列表的接口配置
Router(config-if)#ip access-group access-list-number {in | out}
参数含义同标准ACL定义
二、实验内容和步骤
(一)
实验内容
1设网络拓扑图如上,已经按下列要求配置完IP地址
Router_A: f0/0为10.1.1.1/24 f0/1为192.168.10.1/24
Router_B: f0/0为10.1.1.2/24 f0/1为192.168.30.1/24
PC1的IP为192.168.10.2/24;
即IP为192.168.10.2
子网掩码为:255.255.255.0
将网关设置成:192.168.10.1
PC2的IP为192.168.10.3/24;
即IP为192.168.10.3
子网掩码为:255.255.255.0
将网关设置成:192.168.10.1
PC3的IP为192.168.30.2/24;
即IP为192.168.30.2
子网掩码为:255.255.255.0
将网关设置成:192.168.30.1
PC4的IP为192.168.30.3/24;
即IP为192.168.30.3
子网掩码为:255.255.255.0
将网关设置成:192.168.30.1
1.请配置两个路由器的路由,使PC2与PC4互联互通。
RA(config)#ip route 192.168.30.0 255.255.255.0 f0/0
RB(config)# ip route 192.168.10.0 255.255.255.0 f0/0
使用ping 测试PC2与PC4是否相通,应该相通。
2扩展的访问列表
3. 阻止PC2访问PC4:
RA(config)#access-list 101 deny icmp 192.168.10.3 255.255.255.0 192.168.30.3 255.255.255.0 echo
RA(config)#access-list 101 permit ip any any
RA(config)#interface f0/0
RA(config-if)#ip access-group 101 out
4.查看访问控制,并截图到Word中。
RA#show access-list 101
4.使用ping 测试PC2与PC4是否相通
PC2pingPC4
PC2#ping 192.168.30.3 (不通)(请求echo包被禁止)
可是
PC4pingPC2
PC4#ping 192.168.10.3 (通) 这是为什么?
5. 去掉访问控制列表,在RA上
RouterA(config)# no access-list 101
6. 使用ping 测试PC2与PC4是否相通
PC2#ping 192.168.30.3 (通) (去掉访问控制列表,就通了)
PC2pingPC4
7.查看访问控制,并截图到Word中。
RA#show access-list 101
(二)根据如下的拓扑图,进行配置
1设网络拓扑图如上,已经按下列要求配置完IP地址
Router_A: f0/0为10.1.1.1/24 f0/1为192.168.10.1/24
Router_B: f0/0为10.1.1.2/24 f0/1为192.168.30.1/24
PC1的IP为192.168.10.2/24;
即IP为192.168.10.2
子网掩码为:255.255.255.0
将网关设置成:192.168.10.1
PC2的IP为192.168.10.3/24;
即IP为192.168.10.3
子网掩码为:255.255.255.0
将网关设置成:192.168.10.1
PC3的IP为192.168.30.2/24;
即IP为192.168.30.2
子网掩码为:255.255.255.0
将网关设置成:192.168.30.1
PC4的IP为192.168.30.3/24;
即IP为192.168.30.3
子网掩码为:255.255.255.0
将网关设置成:192.168.30.1
1. Server0的IP为19
2.168.30.10
子网掩码为:255.255.255.0
将网关设置成:192.168.30.1
2.请配置两个路由器的路由。
RA(config)#ip route 192.168.30.0 255.255.255.0 f0/0
RB(config)# ip route 192.168.10.0 255.255.255.0 f0/0
3.在PC1的浏览器输入如下地址,可以看到,PC1可以访问WEB服务器。
4在RA上进行如下配置,禁止PC1访问WEB服务器,
Router(config)#access-list 102 deny tcp 192.168.10.2 255.255.255.0 192.168.30.10 255.255.255.0 eq www
Router(config)#access-list 102 permit ip any any
Router(config)#interface f0/0
Router(config-if)#ip access-group 102 out
Router(config-if)#exit
5.查看访问控制,并截图到Word中。
RA#show access-list 102
5. 在PC1的浏览器输入如下地址:http:// 192.168.30.10 ,可PC1还可以访问WEB服务器吗?在PC2的浏览器输入如下地址:http:// 192.168.30.10 ,可以访问WEB服务器吗?
6.参考前面的方式,去掉访问控制,看看PC1能否访问WEB服务器吗?
7.根据如下拓扑结构,自己设计一个配置,使得PC1不能访问Server0上的WEB服务器,但却能访问Server1上的WEB服务器,并自己设计Server0和Server1上的WEB服务
器的网页内容,使之能够进行区别。并进行检验,并将结果截图写入Word中。
(三)实验报告提交
.将以自己“学号+姓名”的文件夹,提交到教师机上,该文件夹中应包括两个文件,一个是以“姓名”命名的”.pka”文件,另一个是以“学号+姓名”命名word文件。
四、实验材料的提交与成绩评定
1、本实验的实验报告一份(电子版或纸质版一份,具体形式由任课教师确定,格式参考学院统一实验报告)
2、实验源程序一份,请表明题号(电子版)
备注:做下一次实验之时提交上一次实验的材料,由各班学习委员以班为单位收集并上交任课教师。
3、实验成绩总分为30分,由指导老师根据学生实验表现和实验材料进行评定,本门课程结束后实验平均成绩(实验总成绩/实验次数)按照30%的比例记入期末考试总成绩。
Packet Tracer 5.2实验(十三) 扩展IP访问控制列表配置 一、实验目标 ?理解扩展IP访问控制列表的原理及功能; ?掌握编号的扩展IP访问控制列表的配置方法; 二、实验背景 分公司和总公司分别属于不同的网段,部门之间用路由器进行信息传递,为了安全起见,分公司领导要求部门主机只能访问总公司服务器的WWW服务,不能对其使用ICMP服务。 三、技术原理 访问列表中定义的典型规则主要有以下:源地址、目标地址、上层协议、时间区域; 扩展IP访问列表(编号为100~199,2000~2699)使用以上四种组合来进行转发或阻断分组;可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤; 扩展IP访问列表的配置包括以下两步: ?定义扩展IP访问列表 ?将扩展IP访问列表应用于特定接口上 四、实验步骤 实验步骤
1、分公司出口路由器与外部路由器之间通过V.35电缆串口连接,DCE端连接在R2 上,配置其时钟频率64000;主机与路由器通过交叉线连接; 2、配置PC机、服务器及路由器接口IP地址; 3、在各路由器上配置静态路由协议,让PC间能互相ping通,因为只有在互通的前 提下才能涉及到访问控制列表; 4、在R2上配置编号的IP扩展访问控制列表; 5、将扩展IP访问列表应用到接口上; 6、验证主机之间的互通性; R1: Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname R1 R1(config)#int fa0/0 R1(config-if)#ip add 192.168.1.1 255.255.255.0 //配置端口IP地址 R1(config-if)#no shut %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
《网络互联技术》课程实验指导书 实验十一:标准访问控制列表配置 当网络管理员想要阻止某一网络的所有通信流量时,或者允许来自某一特定网络的所有通信流量时,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表实现这一目标。 标准ACL检查可以过滤被路由的数据包的源地址、从而允许或拒绝基于网络、子网或主机IP地址的某一协议簇通过路由器出口。 一、网络拓朴 二、实验内容 1、在路由器的E 0/0口添加“ACL 访问控制列表6”并对转出(从路由器端口出来转向交换机或主机)的数据包进行过滤,实现功能:禁止将HostC、HostD的数据包通过路由器E 0/0 口转发到HostA、HostB。其结果是:(对于TCP数据包来说,访问是双向的,只要A不能访问B,则B也将不能访问A) ●HostA和HostB之间可以通信,但无法访问HostC、HostD。 ●HostC和HostD之间可以通信,但无法访问HostA、HostB。 2、在路由器的E 0/1口添加“ACL 访问控制列表10”并对转出(从路由器端口出来转向
交换机或主机)的数据包进行过滤,实现功能:禁止HostA、HostC访问Server E服务器。 由于标准ACL访问控制列表只能根据数据包的源地址来过滤通信流量,因此,应该将ACL 访问控制列表放置离目标地址最近的地方。 三、实验目的 1、掌握标准访问控制列表的原理 2、掌握标准访问控制列表的配置 四、实验设备 1、一台台思科(Cisco)3620路由器 2、两台思科(Cisco)2950二层交换机 3、思科(Cisco)专用控制端口连接电缆 4、四台安装有windows 98/xp/2000操作系统的主机 5、一台提供WWW服务的WEB服务器 6、若干直通网线与交叉网线 五、实验过程(需要将相关命令写入实验报告) 1、根据上述图示进行交换机、路由器、主机的连接 2、设置主机的IP地址、子网掩码和默认网关 3、配置路由器接口 Router> enable Router# configure terminal Router(config)# interface ethernet 0/0 Router(config-if)# ip address 192.168.1.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)# exit Router(config)# interface ethernet 0/1 Router(config-if)# ip address 192.168.3.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)# exit Router(config)# interface ethernet 0/2 Router(config-if)# ip address 192.168.2.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)#exit 4、配置访问控制列表6并将之添加到Ethernet 0/0接口的out方向上 Router(config)# access-list 6 deny 192.168.2.0 0.0.0.255 Router(config)# access-list 6 permit any
A公司组建了局域网。该局域网划分了两个VLAN,分别是VLAN10和VLAN20,VLAN10用于公司的管理部门,而VLAN20用于公司普通员工。为了提高公司普通员工工作效率,公司规定VLAN20中的主机不能访问公司外部的WWW资源。下图中模拟了两个WWW资源,分别是BBS服务和WWW服务。整个网络统一用一台DNS服务器实现域名解析功能。 1、Switch1设置 Switch1>en Switch1#conf t Switch1(config)#vlan 10 Switch1(config-vlan)#vlan 20 Switch1(config-vlan)#inter f0/10 Switch1(config-if)#switchport access vlan 10 Switch1(config-if)#inter f0/20 Switch1(config-if)#switchport access vlan 20 Switch1(config-if)#inter f0/1 Switch1(config-if)#switchport mode trunk 2、RTA设置 RTA>en RTA#conf t RTA(config)#inter s0/0 RTA(config-if)#clock rate 64000 RTA(config-if)#ip addr 200.199.198.37 255.255.255.252 RTA(config-if)#no shut RTA(config-if)#inter f0/0 RTA(config-if)#no shut RTA(config-if)#inter f0/0.1 RTA(config-subif)#encapsulation dot1q 10 RTA(config-subif)#ip addr 192.168.1.1 255.255.255.128
一、实验项目名称 访问控制列表ACL配置实验 二、实验目的 对路由器的访问控制列表ACL 进行配置。 三、实验设备 PC 3 台;Router-PT 3 台;交叉线;DCE 串口线;Server-PT 1 台; 四、实验步骤 标准IP访问控制列表配置: 新建Packet Tracer 拓扑图 (1)路由器之间通过V.35 电缆通过串口连接,DCE 端连接在R1 上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置路由器接口IP 地址。 (3)在路由器上配置静态路由协议,让三台PC 能够相互Ping 通,因为只有在互通的前提下才涉及到方控制列表。 (4)在R1 上编号的IP 标准访问控制。 (5)将标准IP 访问控制应用到接口上。 (6)验证主机之间的互通性。 扩展IP访问控制列表配置: 新建Packet Tracer 拓扑图 (1)分公司出口路由器与外路由器之间通过V.35 电缆串口连接,DCE 端连接在R2 上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置PC 机、服务器及路由器接口IP 地址。 (3)在各路由器上配置静态路由协议,让PC 间能相互ping 通,因为只有在互通的前提下才涉及到访问控制列表。 (4)在R2 上配置编号的IP 扩展访问控制列表。 (5)将扩展IP 访问列表应用到接口上。 (6)验证主机之间的互通性。 五、实验结果 标准IP访问控制列表配置: PC0: PC1:
PC2:
PC1ping:
PC0ping: PC1ping: 扩展IP 访问控制列表配置:PC0: Server0:
考试题型 选择题20个(共40分)、填空题10个(共10分)、简单题5个(共20分)、计算题1个(共10分),论述题2个(共20分) 复习要点 第一讲网络管理概论复习要点 1.网络管理的主要功能? 按照国际标准化组织(ISO)的定义,网络管理主要包括五个方面工作,即故障管理、配置管理、计费管理、性能管理、安全管理。 2.网络管理系统的组成?(自己完善) 网络管理系统可以抽象为管理者、管理协议、管理信息库和管理代理四部分组成。 管理者:发出指令与操作 管理协议:通信方式与操作命令的约定(SNMP) 管理代理:驻留在被管实体的进程,负责接收指令,通知事件 管理信息库(MIB):被管对象信息集合 3.SNMP模型的组成与模型图?(自己完善) SNMP管理模型的关键元素: 网管站(Network Management Station):对网络设备发送各种查询报文,并接收来自被管设备的响应及陷阱(trap)报文 代理(Agent):响应查询报文、通过Trap主动发送报文 管理信息库(MIB)
注意:SNMP协议基于UDP协议的,常用的端口为UDP161,162端口 MIB 数据库中的信息由代理(Agent )收集 第二讲 网络规划与设计复习要点 1.网络规划的主要内容?(自己完善) 基础平台设计: 网络逻辑结构设计:协议与标准、网络的拓扑结构、IP 地址规划、虚拟局域网(VLAN )设计、冗余设计等,网络物理结构设计:网络设备、网络服务器、综合布线等服务平台设计:操作系统的选择,网络服务的设计(WWW 、Email 、DNS 、DHCP 等)安全管理平台设计:防火墙、入侵检测系统等设计。 2.IP 地址分类 网络地址:192.168.0.0 有限广播地址:255.255.255.255 回送地址:127.0.0.1(本机地址) 私有地址: 3.子网划分 子网划分方法: (1)确定子网位。 (2)验证主机位。
实验5 标准ACL配置与调试 1.实验目标 在这个实验中,我们将在Cisco 2611XM路由器上配置标准ACL。通过该实验我们可以进一步了解ACL的定义和应用,并且掌握标准ACL的配置和调试。 2.实验拓扑 实验的拓扑结构如图1所示。 图1 ACL实验拓扑结构 3.实验要求 根据图1,设计标准ACL,首先使得PC1所在的网络不能通过路由器R1访问PC2所在的网络,然后使得PC2所在的网络不能通过路由器R2访问PC1所在的网络。本实验各设备的IP地址分配如下: ⑴路由器R1: s0/0:192.168.100.1/24 fa0/0:10.1.1.1/8 ⑵计算机PC1: IP:10.1.1.2/8 网关:10.1.1.1 ⑶路由器R2: s0/0:192.168.100.2/24
fa0/0:172.16.1.1/16 ⑷计算机PC2: IP:172.16.1.2/16 网关:172.16.1.1 4.实验步骤 在开始本实验之前,建议在删除各路由器的初始配置后再重新启动路由器。这样可以防止由残留的配置所带来的问题。在准备好硬件以及线缆之后,我们按照下面的步骤开始进行实验。 ⑴按照图1进行组建网络,经检查硬件连接没有问题之后,各设备上电。 ⑵按照拓扑结构的要求,给路由器各端口配置IP地址、子网掩码、时钟(DCE端),并且用“no shutdown”命令启动各端口,可以用“show interface”命令查看各端口的状态,保证端口正常工作。 ⑶设置主机A和主机B的 IP地址、子网掩码、网关,完成之后,分别ping自己的网关,应该是通的。 ⑷为保证整个网络畅通,分别在路由器R1和R2上配置rip路由协议:在R1和R2上查看路由表分别如下: ①R1#show ip route Gateway of last resort is not set R 172.16.0.0/16 [120/1] via 192.168.100.2, 00:00:08, Serial0/0 C 192.168.100.0/24 is directly connected, Serial0/0 C 10.0.0.0/8 is directly connected, FastEthernet0/0 ②R2#show ip route Gateway of last resort is not set C 192.168.100.0/24 is directly connected, Serial0/0 R 10.0.0.0/8 [120/1] via 192.168.100.1, 00:00:08, Serial0/0 C 172.16.0.0/16 is directly connected, FastEthernet0/0 ⑸ R1路由器上禁止PC2所在网段访问:
课设5:访问控制列表ACL的配置 【实验目的】: 1.熟悉掌握网络的基本配置连接 2.对网络的访问性进行配置 【实验说明】: 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL定义的。访问控制列表是偶permit/deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。 【实验设备】: 【实验过程记录】:
步骤1:搭建拓扑结构,进行配置 (1)搭建网络拓扑图: (2 虚拟机名IP地址Gateway PC0 PC1 PC2 PC3 PC4 上节课的实验已经展示了如何配置网关和IP地址,所以本次实验将不再展示,其配置对应数据见上表。 (3)设置路由信息并测试rip是否连通
三个路由器均做route操作。 对rip结果进行测试,测试结果为连通。
(4)连通后对访问控制列表ACL进行配置 代码如下: Route(config)#route rip Route(config-route)#net Route(config-route)#net Route(config-route)#exit Route(config)#access-list 1 deny Route(config)#access-list 1 permit any Route(config)#int s3/0 Route(config-if)#ip access-group 1 in Route(config-if)#end
步骤2:检验线路是否通畅 将访问控制列表ACL配置完成后点开PC0进行ping操作,ping 。 检验结果:结果显示目的主机不可达,访问控制列表ACL配置成功。
一、时间安排 2016年1月18日-1月22日期末考试 2016年1月19日-1月25日阅卷 2016年1月8 日-1月26日成绩录入 二、考试题型 选择题20个(共40分)、填空题10个(共10分)、简单题5个(共20分)、计算题1个(共10分),论述题2个(共20分) 三、考试知识点(请同学们一定要认真复习,该记住的一定要记住,如果会做也不要太早提前交卷,考试时间是2个小时,尽量在一个半小时以后才可以交卷哦!,还有不要想着抄袭,不要空着,加油!!!!) 四、复习要点 第一讲网络管理概论复习要点 1.网络管理的主要功能? 按照国际标准化组织(ISO)的定义,网络管理主要包括五个方面工作,即故障管理、配置管理、计费管理、性能管理、安全管理。 2.网络管理系统的组成?(自己完善) 网络管理系统可以抽象为管理者、管理协议、管理信息库和管理代理四部分组成。 管理者:发出指令与操作 管理协议:通信方式与操作命令的约定(SNMP) 管理代理:驻留在被管实体的进程,负责接收指令,通知事件 管理信息库(MIB):被管对象信息集合 3.SNMP模型的组成与模型图?(自己完善) SNMP管理模型的关键元素: 网管站(Network Management Station):对网络设备发送各种查询报文,并接收来自被管设备的响应及陷阱(trap)报文
代理(Agent ):响应查询报文、通过Trap 主动发送报文 管理信息库(MIB) 注意:SNMP协议基于UDP协议的,常用的端口为UDP161,162端口 MIB 数据库中的信息由代理(Agent )收集 第二讲 网络规划与设计复习要点 1.网络规划的主要内容?(自己完善) 基础平台设计: 网络逻辑结构设计:协议与标准、网络的拓扑结构、IP 地址规划、虚拟局域网(VLAN )设计、冗余设计等,网络物理结构设计:网络设备、网络服务器、综合布线等服务平台设计:操作系统的选择,网络服务的设计(WWW 、Email 、DNS 、DHCP 等)安全管理平台设计:防火墙、入侵检测系统等设计。 2.IP 地址分类 网络地址:192.168.0.0 有限广播地址:255.255.255.255 回送地址:127.0.0.1(本机地址) 私有地址: 3.子网划分 子网划分方法: (1)确定子网位。 (2)验证主机位。
如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。 如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台W I N D O W S服务器来做远程路由访问配置。 。 ? 。 则 由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化A C L知识。
1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 。 则 。 的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 标准访问列表:
访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的A C L 标准访问控制列表的格式 99 。 。 址 。192.168.1.00.0.0.25 5 通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。
小提示:对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯,可以省去我们输入host 命令。 标准访问控制列表实例一 , 。 的 。 经过设置后E1端口就只容许来自172.16.4.13这个IP地址的数据包传输出去了。来自其他IP地址的数据包都无法通过E1传输。 小提示:由于CISCO默认添加了DENY ANY的语句在每个ACL中,所以上面的access-list 1 deny any这句命令可以省略。另外在路由器连接网络不多的情况下也可以在E0端口使用ip access-group 1 out命令来宣告,宣告结果和上面最后两句命令效果一样。 标准访问控制列表实例二
第七讲防火墙与NA T配置 (1)包过滤防火墙工作原理 (2)NAT工作原理 (3)在配置NA T时,是ACL还是NA T TABLE 确定哪些内网主机的地址将被转换(4)防火墙分类(包过滤和状态防火墙) (5)NAT的特点(功能) 节约IP地址 提高内网安全性 (6)配置包过滤防火墙的主要步骤(一,制定访问规则二,将访问规则作用在某个接口上) (7)访问控制列表中的反掩码中,0表示网段需要比较,1表示主机,不需要比较 第六讲广域网 (1)PPP协议时TCP/IP中那一层协议(数据链路层协议) (2)PPP协议组包含哪些部分(LCP ,NCP, 验证协议PAPCHAP) (3)广域网数据链路层协议包括哪几种(PPP HDLC, ISDN,帧中继) (4)PPP验证方式有哪几种,PAP CHAP ,他们之间的区别 前者是明文验证,或者是密文验证。如果验证配置正确,显示接口信息,会发现IPCP OPENED, 如果配置有误,验证没有通过,会有IPCP INITIAL (5) 在配置验证过程中,如果只配置了主验证方,不配被验证方,通信正常么?(不正常)如果不配置主验证方,只配置被验证方,通信正常么(正常) (6)LOCAL-USER代表哪一方的用户(对方) (7)广域网常见的几种数据传输方式(点到点,电路交换,分组交换) 第五讲 (1)路由器的功能(寻路,转发) (2)如何查看路由器的型号和软硬件版本,DIS VERSION) (3)第一次拿到路由器,有几种方式登录上去(一种,CONSOLE) (4)如何更改路由器名称 (5)如何配置路由器的IP地址(如果配置交换机IP地址) (6)避免环路常用的措施是什么(水平分割,毒性逆转) (7)路由协议的分类(RIP ,OSPF) (8)缺省路由概念 第四讲 (1)缺省情况下,交换机上的所有端口属于哪一个VLAN(VLAN1) (2)Vlan最大编号是多少(4096) (3)交换机端口链路类型分为(ACCESS, TRUNK,,HYBRID) (4)什么是广播域(接收同样广播消息的节点的集合。) (5)Vlan基本功能是什么(隔离广播域) (6)不同VLAN之间互通为什么要用路由 (7)VLAN分类 (8)三层交换机基本功能(vlan内部二层交换,vlan间路由,vlan划分) (9)何种情况下需要在设备上配置静态路由(无动态路由协议情况下要到达非直连网段) (10)查看路由表的命令是什么 (11)用什么命令查看具体VLAN所包含的端口(DIS VLAN 2) 第三讲
实验环境说明: 1、将路由器R1的Fa0/0接口的ip设为:192.168.0.1/24;将S1/2接口的ip设为:192.168.1.1/24; 2、将路由器R2的Fa0/0接口的ip设为:192.168.2.2/24;将S1/2接口的ip设为:192.168.1.2/24; 3、将路由器R3的Fa0/0接口的ip设为:192.168.0.3/24;关闭其路由功能,模拟PC使用; 实验结果要求: 1、在R2上做访问控制列表,使R3不能telnet到R2; 2、在R1上做访问控制列表,使R1不能ping通R2 。 实验拓扑图: 实验环境的基本配置: R1配置清单: 1、为R1的Fa0/0接口配置IP,并设为全双工模式: R1(config)#int fa0/0 R1(config-if)#speed 100 R1(config-if)#duplex full
R1(config-if)#ip add 192.168.0.1 255.255.255.0 R1(config-if)#no shut R1(config-if)#exit 2、为R1的S1/2接口配置IP: R1(config)#int s1/2 R1(config-if)#ip add 192.168.1.1 255.255.255.0 R1(config-if)#no shut R1(config-if)#exit R2的配置清单: 1、为R2的Fa0/0接口配置IP,并设为全双工模式: R2(config)#int fa0/0 R2(config-if)#speed 100 R2(config-if)#duplex full R2(config-if)#ip add 192.168.2.2 255.255.255.0 R2(config-if)#no shut R2(config-if)#exit 2、为R2的S1/2接口配置IP: R2(config)#int s1/2 R2(config-if)#ip add 192.168.1.2 255.255.255.0 R2(config-if)#no shut R2(config-if)#exit 3、在R2上增加一条静态路由以实现和R3通信: R2(config)#ip route 192.168.0.0 255.255.255.0 192.168.1.1 4、在R2上设置用户密码和线路密码,为下一步的telnet服务:R2(config)#enable password 123456 R2(config)#line vty 0 4 R2(config-line)#password 123456 R3的配置清单:
IP访问控制列表配置 目录: 第一个任务的:验证测试 (3) 第二个任务的:交换机的验证测试 (6) 第三个任务的:扩展访问验证测试 (10) 最后---总结: (12) ▲表示重要的 一、IP标准访问控制列表的建立及应用 工作任务 你是学校网络管理员,学校的财务处、教师办公室和校办企业财务科分属不同的3个网段,三个部门之间通过路由器进行信息传递,为了安全起见,学校领导要求你对网络的数据流量进行控制,实现校办企业财务科的主机可以访问财务处的主机,但是教师办公室主机不能访问财务处主机。 首先对两路由器进行基本配置,实现三个网段可以相互访问;然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表,允许192.168.1.0网段(校办企业财务科)主机发出的数据包通过,不允许192.168.2.0网段(教师办公室)主机发出的数据包通过,最后将这一策略加到路由器RouterB的Fa
0端口,如图所示。 第1步:基本配置 路由器RouterA: R >enable R #configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 VTY是路由器的远程登陆的虚拟端口,04表示可以同时打开5个会话,line vty 04是进入VTY端口,对VTY端口进行配置,比如说配置密码, RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethernet 0/0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2 路由器RouterB: R >enable R #configure terminal R(config)#hostname RouterB RouterB (config)# line vty 0 4 RouterB (config-line)#login RouterB (config-line)#password 100 RouterB (config-line)#exit RouterB (config)# enable password 100 RouterB (config)#interface fastethernet 0/0 RouterB (config-if)#ip address 192.168.3.1 255.255.255.0 RouterB (config-if)#no shutdown RouterB (config-if)#Exit RouterB (config)#interface s0/3/1 RouterB (config-if)#ip address 192.168.12.2 255.255.255.0
第14章扩展IP访问控制列表配置 技术原理 访问列表中定义的典型规则主要有以下:源地址、目标地址、上层协议、时间区域。 扩展IP访问列表(编号100-199,2000-2699)使用以上四种组合来进行转发或阻断分组;可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。 扩展IP访问列表的配置包括以下两步: 定义扩展IP访问列表。 将扩展IP访问列表应用于特定接口上。 实验步骤 新建Packet Tracer拓扑图(如下图) (1)分公司出口路由器与外部路由器之间通过V.35串口电缆连接,DCE端连接在R2上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置PC机、服务器及路由器接口IP地址。 (3)在各路由器上配置静态路由协议,让PC间能相互ping通,因为只有在互通的前提下才能涉及到访问控制列表。 (4)在R2上配置编号的IP扩展访问控制列表。 (5)将扩展IP访问列表应用到接口上。 (6)验证主机之间的互通性。 路由器0: Router>en Router#conf t Router(config)#int fastEthernet 0/0 Router(config-if)#ip address 172.16.1.1 255.255.255.0 Router(config-if)#no shut
Router(config-if)#exit Router(config)#int f 1/0 Router(config-if)#ip address 172.16.2.1 255.255.255.0 Router(config-if)#no shut Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.2.2(设置默认静态路由)Router(config)#end 路由器1: Router>en Router#conf t Router(config)#int f 0/0 Router(config-if)#ip address 172.16.2.2 255.255.255.0 Router(config-if)#no shut Router(config-if)#exit Router(config)#int s 2/0 Router(config-if)#ip address 172.16.3.1 255.255.255.0 Router(config-if)#no shut Router(config-if)#clock rate 64000 Router(config-if)#exit Router(config)#ip route 172.16.1.0 255.255.255.0 172.16.2.1(设置静态路由)Router(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2(设置静态路由)Router(config)#end Router#show ip route 172.16.0.0/24 is subnetted, 4 subnets S 172.16.1.0 [1/0] via 172.16.2.1 C 172.16.2.0 is directly connected, FastEthernet0/0 C 172.16.3.0 is directly connected, Serial2/0 S 172.16.4.0 [1/0] via 172.16.3.2 Router#conf t Router(config)#access-list ? <1-99> IP standard access list <100-199> IP extended access list Router(config)#access-list 100 ? deny Specify packets to reject permit Specify packets to forward remark Access list entry comment Router(config)#access-list 100 p Router(config)#access-list 100 permit ? eigrp Cisco's EIGRP routing protocol icmp Internet Control Message Protocol ip Any Internet Protocol
0分计。 4. 实验报告文件以PDF 格式提交。 【实验题目】访问控制列表(ACL )实验。 【实验目的】 1. 掌握标准访问列表规则及配置。 2. 掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4(P190),请写出步骤0安装与建立FTP 、WEB ,的步骤,并完成P192~P193的测试要求。 【实验要求】 重要信息信息需给出截图, 注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图: 【实验设备】 路由器一台,PC 5台(其中两台作为WWW Server 和FTP Server )。 【实验原理】 基于时间的ACL 是在各种ACL 规则(标准ACL 、扩展ACL 等)后面应用时间段选项(time-range )以实现基于时间段的访问控制。当ACL 规则应用了时间段后,只有在此时间范围内规则才能生效。此外,只有配置了时间段的规则才会在指定的时间段内生效,其他未引用时间段的规则将不受影响。 要基于时间的ACL 一生效,一般需要下面的配置步骤。
(1)定义时间段及时间范围。 (2)ACL自身的配置,即将详细的规则添加到ACL中。 (3)应用ACL,将设置好的ACL添加到相应的端口中。 【实验步骤】 步骤0: (1)配置3台PC(PC1、PC2和Manager)的IP地址、掩码、网关。 (2)检查PC与服务器的连通性如何? PC与服务器无法连通,因为还未安装FTP Server和WWW Server和配置路由器。 (3)在服务器上安装FTP Server和WWW Server。FTP Server需至少创建一个用户名和口令。 FTP Server我们选择Serv-U,下载安装后见如下界面。
《网络互联技术》练习题 第七章:访问控制列表 一、填空题 1、________________是用于控制和过滤通过路由器的不同接口去往不同方向的信息流的一种机制。 2、访问控制列表主要分为____________和扩展访问控制列表。 3、访问控制列表最基本的功能是_____________。 4、标准访问控制列表的列表号范围是__________。 5、将 66 号列表应用到fastethernet 0/0接口的in方向上去,其命令是_________________________。 5、定义77 号列表,只禁止192.168.5.0网络的访问,其命令是______________________________________________。 6、基于时间的访问控制列表,定义时间范围的关键字主要有两个,它们是___________和__________。 二、选择题 1、标准访问控制列表应被放置的最佳位置是在()。 A、越靠近数据包的源越好 B、越靠近数据包的目的地越好 C、无论放在什么位置都行 D、入接口方向的任何位置 2、标准访问控制列表的数字标识范围是()。 A、1-50 B、1-99 C、1-100 D、1-199 3、标准访问控制列表以()作为判别条件。 A、数据包的大小 B、数据包的源地址 C、数据包的端口号 D、数据包的目的地址 4、IP扩展访问列表的数字标示范围是多少? ()。 A、0-99 B、1-99 C、100-199 D、101-200 5、下面哪个操作可以使访问控制列表真正生效:()。 A、将访问控制列表应用到接口上 B、定义扩展访问控制列表 C、定义多条访问控制列表的组合 D、用access-list命令配置访问控制列表 6、以下对思科系列路由器的访问列表设置规则描述不正确的是()。 A、一条访问列表可以有多条规则组成 B、一个接口只可以应用一条访问列表 C、对冲突规则判断的依据是:深度优先
目 录 课程表: (1) 开学、师资、教材、路由器及模块介绍 第一讲: (2) 资源环境及路由机架拓扑分析 (2) 第二讲:路由器及通信服务器的基本配置、思科认证 (5) 第三讲:路由器的各种密码设置及接口地址设置 (7) 第四讲:两地互连路由配置,路由变PC,模拟器的使用,静态路由 (9) 第五讲:三地互连路由配置,环回接口的使用,动态RIP路由 (16) 第六讲:路由器优化配置,默认路由,上下文帮助,IGRP路由协议 (22) 第七讲:有类路由与无类路由及IP地址的企业化应用 (28) 第八讲:EIGRP路由协议及CCNA认证考试及考题分析 (33) 第九讲:OSPF路由协议及MD7密码破解 (38) 第十讲:路由原理、编辑命令及网络案例故障分析 (40) 第十一讲:标准访问控制列表 (43) 第十二讲:扩展访问控制列表 (47) 第十三讲:命名及VTY访问控制列表,静态NAT (50) 第十四讲:动态NAT及端口NAT (53) 第十五讲:路由器的启动过程及特权密码破解 (58) 第十六讲:PPP配置、IOS及配置文件的升级与备份 (62) 第十七讲:帧中继的配置 (74) 第十八讲:帧中继的配置及排错 (78) 第十九讲:交换机的启动、工作原理及基本配置 (85) 第二十讲:交换机的安全配置 (86) 第二十一讲:交换机的VLAN配置 (90) 第二十二讲:单臂路由、VTP (96) 网络案例及通信服务器(总路由器)的配置 (97) 第二十三讲:综合练习 (105) ;
第二讲 路由器及通信服务器的基本配置 思科认证体系介绍 本课重点:掌握终端服务器及路由器的基本配置 实验一: COMM_SERV_RACK1>r1 回车 Translating "r1" 再回车 Trying r1 (1.1.1.1, 2001)... Open R1> --------------如要从该路由器返回到通信服务器 ctrl+shift+6 x ---返回到总路由器(通信服务器) show session -----显示会话数(占用了几个路由器) show host --------显示总路由器所连的设备代号 disconnect 1------主动释放某台路由器 show user --------显示连接到总路由器的用户 clear line 19 ---踢除某个用户 clear line 5 ----踢除5号线所连设备 quit/exit----------退出总路由器,释放所有路由器 实验二: R1: enable -----进入特权模式 disable-----从特权模式返回到用户模式 enable -----再次进入特权模式 config terminal----进入全局模式 exit ----返回上一层相当于DOS环境中的cd.. config terminal interface serial0 ---进入接口模式(26xx系列路由器如:r5则使用serial0/0) ip address 192.168.51.1 255.255.255.0 clock rate 64000 ----配置时钟(DCE) no shutdown -----------激活启用当前接口 end------返回到最顶层相当于DOS环境中的cd\ config terminal hostname r100----给路由器命名(区分大小写r1,从通信服务器转过来还用线名r1,非路由器名) end disable ping 192.168.xy.x/y !!!!!---拼通 .....---查错
实验报告如有雷同,雷同各方当次实验成绩均以0分计。 警示 2.当次小组成员成绩只计学号、姓名登录在下表中的。 3.在规定时间内未上交实验报告的,不得以其他方式补交,当次成绩按0分计。 4.实验报告文件以PDF格式提交。 【实验题目】访问控制列表(ACL)实验。 【实验目的】 1.掌握标准访问列表规则及配置。 2.掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4(P190),请写出步骤0安装与建立,的步骤,并完成P192~P193的测试要求。 【实验要求】 重要信息信息需给出截图,注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图: 【实验设备】 路由器一台,PC 5台(其中两台作为和)。 【实验原理】 基于时间的ACL是在各种ACL规则(标准ACL、扩展ACL等)后面应用时间段选 项(time-range)以实现基于时间段的访问控制。当ACL规则应用了时间段后,只有在 此时间范围内规则才能生效。此外,只有配置了时间段的规则才会在指定的时间段内生 效,其他未引用时间段的规则将不受影响。 要基于时间的ACL一生效,一般需要下面的配置步骤。 (1)定义时间段及时间范围。 (2)ACL自身的配置,即将详细的规则添加到ACL中。 (3)应用ACL,将设置好的ACL添加到相应的端口中。 【实验步骤】
步骤0: (1)配置3台PC(PC1、PC2和Manager)的IP地址、掩码、网关。(2)检查PC与服务器的连通性如何? PC与服务器无法连通,因为还未安装和和配置路由器。 (3)在服务器上安装和。需至少创建一个用户名和口令。 我们选择Serv-U,下载安装后见如下界面。 先新建域: