2020年戰(zhàn)略管理基于ACL的訪問控制及安全策略的設計試驗報告

1、（戰(zhàn)略管理）基于ACL的 訪問控制及安全策略的設 計實驗報告20XX年XX月峯年的企業(yè)咨詢咸問經驗.經過實戰(zhàn)驗證可以藩地執(zhí)行的卓越萱理方案.值得您下載擁有實驗報告課程名稱思科路由器開放實驗實驗名稱基于ACL的訪問控制及安全策略的設計實驗實驗時間2012年 6 月 2-3 日實驗報告實驗名稱基于ACL的訪問控制及安全策略的設計實驗實驗類型開放實驗實驗學時16實驗時間2012.6.1-2012.6.2實驗目的和要求訪問控制列表(AccessControlList ，ACL)是路由器和交換機接口的指令列表，用 來控制端口進出的數據包。驗要求學生掌握訪問控制列表的配置，理解ACL的執(zhí)行過程；能夠根據A

2、CL設計安全的網絡。實驗要求完成以下工作：1. 標準ACL。實驗目標：本實驗拒絕 student所在網段訪問路由器 R2，同時只允 許主機teacher訪問路由器 R2的tel net服務。2. 擴展ACL實驗：實驗目標：學生不能訪問ftp,但能訪問www，教師不受限制。3. 防止地址欺騙。夕卜部網絡的用戶可能會偽裝自己的ip地址，比如使用內部網的合 法IP地址或者回環(huán)地址作為源地址，從而實現非法訪問。解決辦法：將可能偽裝到的 ip地址拒絕掉。、實驗環(huán)境（實驗設備）PC機，且安裝CiscoPacketTracer 軟件或者是真實的思科網絡設備（路由器交換機）三、實驗原理及內容壹基本ACL實驗：

3、1.標準ACL。實驗目標：本實驗拒絕student所在網段訪問路由器R2，同時只允許主機teacher訪問路由器 R2的tel net服務。實驗拓補圖如下:實驗配置如下:Routere nRouter#c onftEn terc on figuratio ncomma nds, on eperl in e.E ndwithCNTL/Z.Router(co nfig)#hostR1R1(co nfig)# in tfO/OR1(co nfig-if)#ipaddR1(co nfig-if)# noshut%LINK-5-CHANGED:l nter

4、faceFastEthernetO/O,cha ngedstatetoup%LINEPROTO-5-UPDOWN:Li neprotocolo nln terfaceFastEthernet0/0,cha ngedstatetoupR1(co nfig-if)#exitR1(co nfig)#i nts0/0/0R1(co nfig-if)#ipaddR1(co nfig-if)#clockrate64000R1(co nfig-if)# noshut%LINK-5-CHANGED:I nterfaceSerialO/O/O,cha ngeds

5、tatetodow nR1(co nfig-if)#exitR1(co nfig)#routereigrp100R1(co nfig-router)# network55R1(co nfig-router)# networkR1(c on fig-router)# no autoR1(c on fig-router)#e ndR1#%SYS-5-CONFIG:Co nfiguredfromco nsolebyco nsoleR1#copyr un startDesti natio nfile namestartup-c on fig?

6、Buildi ngcon figurati on.OKRoutere nRouter#c onftEn terc on figuratio ncomma nds, on eperl in e.E ndwithCNTL/Z.Router(co nfig)#hostR2R2(co nfig)#i ntsO/O/1R2(co nfig-if)#ipaddR2(co nfig-if)# noshut%LINK-5-CHANGED:l nterfaceSerial0/0/1,cha ngedstatetoupR2(co nfig-if)#%LINEPRO

7、TO-5-UPDOWN:Li neprotocolo nln terfaceSerial0/0/1,cha ngedstatetoupR2(co nfig-if)#exitR2(co nfig)#i nts0/0/0R2(co nfig-if)#ipaddR2(co nfig-if)#clockrate64000R2(co nfig-if)# noshut%LINK-5-CHANGED:l ntefaceSerialO/O/O,cha ngedstatetodow nR2(co nfig-if)#exitR2(co nfig)# in tfO/

8、OR2(co nfig-if)#ipaddR2(co nfig-if)# noshutR2(co nfig-if)#%LINK-5-CHANGED:I ntefaceFastEthernetO/O,cha ngedstatetoupR2(co nfig-if)#exit%LINEPROTO-5-UPDOWN:Li neprotocolo nln tefaceFastEthernetO/O,cha ngedstatetoupR2(co nfig)#routereigrp100R2(co nfig-router)# netR2

9、(co nfig-router)#%DUAL-5-NBRCHANGE:IP-EIGRP100:Neighbor(Serial0/0/1)isup: newadjace ncyR2(co nfig-router)# netR2(co nfig-router)# net55R2(c on fig-router)# no autoR2(co nfig-router)#%DUAL-5-NBRCHANGE:IP-EIGRP100:Neighbor(Serial0/0/1)isup: newadja

10、ce ncyR2(c on fig-router)#exitR2(co nfig)#exitR2#%SYS-5-CONFIG:Co nfiguredfromco nsolebyco nsoleR2#copyr un startDesti natio nfile namestartup-con fig?Buildi ngcon figurati on.OKRoutere nRouter#c onftEn terc on figuratio ncomma nds, on eperl in e.E ndwithCNTL/Z.Router(co nfig)#hostR3R3(co nfig)#i nt

11、s0/0/1R3(co nfig-if)#ipaddR3(co nfig-if)# noshutR3(co nfig-if)#%LINK-5-CHANGED:l nterfaceSerial0/0/1,cha ngedstatetoupR3(co nfig-if)#exitR3(co nfig)# in tfO/OR3(co nfig-if)#ipaddR3(co nfig-if)# noshutR3(co nfig-if)#%LINK-5-CHANGED:I nterfaceFastEtherne

12、tO/O,cha ngedstatetoup%LINEPROTO-5-UPDOWN:Li neprotocolo nln terfaceFastEthernet0/0,cha ngedstatetoupR3(co nfig-if)#exitR3(co nfig)#routereigrp100PCpi ngR3(co nfig-router)# net55R3(co nfig-router)# netR3(c on fig-router)# no autoR3(co nfig-router)#%DUAL-5-NBR

13、CHANGE:IP-EIGRP100:Neighbor(Serial0/0/1)isup: newadjace ncyR3(c on fig-router)#e ndR3#%SYS-5-CONFIG:Co nfiguredfromco nsolebyco nsoleR3#copyr un startDesti natio nfile namestartup-c on fig?Buildi ngcon figurati on.OK，應該配ACL之前，stude nt 去pin gR2 的三個接口的ip地址，也能夠 pi ng 服務器ping得通。R2

14、#c onftEn terc on figuratio ncomma nds, on eperl in e.E ndwithCNTL/Z.R2(co nfig)#access-list1de ny55R2(c on fig)#access-list1permita nyR2(co nfig)#i nts0/0/1R2(c on fig-if)#ipaccess-group1i nR2(co nfig-if)#exitR2(co nfig)#l in evtyO4R2(co nfig-lin e)#password501R2(co nfig-li ne)#lo

15、ginR2(c on fig-l in e)#access-class2 inR2(co nfig-li ne)#e ndR2#%SYS-5-CONFIG:Co nfiguredfromco nsolebyco nsoleR2#copyr un startDesti natio nfile namestartup-c on fig?Buildi ngcon figurati on.，應該配ACL之后，stude nt 去pin gR2 的三個接口的ip地址，也能夠 pi ng 服務器 pi ng 不通。PCpi ngPin gi ng10.20.16

16、8.7with32bytesofdata:Requesttimedout.Requesttimedout.Requesttimedout.Requesttimedout.Pin gstatisticsfor:Packets:Se nt=4,Received=0,Lost=4(100%loss),OKPin gi ngwith32bytesofdata:Requesttimedout.Requesttimedout.Requesttimedout.Requesttimedout.Pin gstatisticsfor:Packe

17、ts:Se nt=4,Received=0,Lost=4(100%loss),配ACL之后，teacher機能夠telnetR2，效果如下。PCtel netTryi ng.Ope nUserAccessVerificatio nPassword:501R2e n%Nopasswordset.R2但只允許teacher機telnetR2，在R3上telnetR2 不成功。R3#tel netTryi ng.%Connection refusedbyremotehostR3#tel net192.16

18、8.12.2Tryi ng.%Connection refusedbyremotehostR3#tel netTryi ng%Connection refusedbyremotehost 在student 機上telnetR2 不成功。PCtel netTryi ng.%Connection timedout;remotehost no tresp ondingPCtel netTryi ng.%Connection timedou

19、t;remotehost no tresp ondingPCtel netTryi ng.%Connection timedout;remotehost no tresp onding 在R1上telnetR2 不成功。R1#tel netTryi ng.%Connection refusedbyremotehostR1#tel netTryi ng.%Connection refusedbyremotehostR1#tel netT

20、ryi ng.%Connection refusedbyremotehostTeacher 機：PCtel netTryi ng.Ope nCo nn ectio ntoclosedbyforeig nhostPCtel netTryi ng.%Connection timedout;remotehost no tresp ondingPCtel net0Tryin g0.%Connection timedout;

21、remotehost no tresp ondingR1#te In etTryi ng.0pe nCo nn ectio ntoclosedbyforeig nhostR1#tel netTryi ng.Ope nCo nn ecti on toclosedbyforeig nhostR3enR3#tel netTryi ng.Ope nCo nn ectio ntoclosedbyfore

22、ig nhostR3#tel netTryi ng%Connection timedout;remotehost no tresp ondingSERVERtel netTryi ng.%Connection refusedbyremotehostSERVERtel netTryi ng.%Connection refusedbyremotehostSERVERte In etTryi ng.%Connectio

23、n refusedbyremotehostSERVERtel netTryi ng.Ope nCo nn ectio ntoclosedbyforeig nhostSERVERte In etTryi ng.%Connection timedout;remotehost no tresp ondingSERVERtel netTryi ng.Ope nCo nn ecti on toclosedbyforei

24、g nhostSERVERtel netTryi ng.0pe nCo nn ectio ntoclosedbyforeig nhostSERVERtel net0Tryi ng0.%Connection refusedbyremotehostSERVER教師不受限制。2擴展ACL實驗：實驗目標：學生不能訪問 ftp,但能訪問www 實驗拓補圖如下： 實驗配置如下：R2#shaccess-listsSta ndardlPaccesslistlden y55pe

25、rmita ny (11match(es)Stan dardIPaccesslist2permithost0R2#shru nin terfaceSerialO/O/1ipaddressipaccess-groupli n!lin evty04access-class2 inpassword501logi n!刪除ACL :R2#c onftEn terc on figurati on comma nds, on eperli ne.E ndwithCNTL/Z.R2(co nfig)#i ntsO/O/1R2(c on f

26、ig-if)# noipaccess-group1i nR2(co nfig-if)#exitR2(c on fig)# no access-list1R2(co nfig)#l in evty04R2(c on fig-l in e)# no access-class2 inR2(c on fig-li ne)# no passwordR2(co nfig-if)#exitR2(c on fig)# no access-list2能夠用 shaccess-lists 禾口 shrun 查見。R2#shaccess-listsR2#shru nR2#copyr un startDesti na

27、tio nfile namestartup-c on fig?Buildi ngcon figurati on.OK配ACL之前測試:student的pc機測試結果如下：PCpi ngPin gi ngwith32bytesofdata:Replyfrom:bytes=32time=203msTTL=126Replyfrom:bytes=32time=141msTTL=126Replyfrom:bytes=32time=157msTTL=126Replyfrom:

28、bytes=32time=143msTTL=126Pin gstatisticsfor:Packets:Se nt=4,Received=4,Lost=0(0%loss),Approximatero un dtriptimesi nmilli-sec on ds:Minimu m=141ms,Maximum=203ms,Average=161msstude nt 機上測試：PCftpTryi ngtoco nn ect.Conn ectedto220-WelcometoPTFtpserverUsern am

29、e:cisco331-Usernameok, needpasswordPassword:cisco230-Loggedin(passivemode On)ftpftpctrl+cPacketTracerPCComma ndLi nel.OPC也能夠以域配dns之后，也就是指定了服務器的ip地址和域名的對應關系之后, 名的方式登錄到ftp服務器。PCftpTryin gtoc onn ect.Conn ectedto220-WelcometoPTFtpserverUsern ame:cisco331-Usernameok, needpasswordPassword:cisc

30、o230-Loggedin(passivemode On)ftpexitIn validor non supportedcomma nd.ftpctrl+cPacketTracerPCComma ndLi ne1.0PCPCpi ng0Pin gi ng0with32bytesofdata:Replyfrom0:bytes=32time=188msTTL=125Replyfrom0:bytes=32time=172msTTL=125Replyfrom0:bytes=32time=187msTTL

31、=125Replyfrom0:bytes=32time=187msTTL=125Pin gstatisticsfor0:Packets:Se nt=4,Received=4,Lost=0(0%loss),Approximatero un dtriptimes in milli-secon ds:Mi nimum=172ms,Maximum=188ms,Average=183ms配dns之前，pingteacher的ip地址，但ping不了域名；配dns之后，ip地址和域名都能夠ping通。Teacher的域名，服務器的域名，student的域名。PCpi

32、 ngPin gi ng0with32bytesofdata:Replyfrom0:bytes=32time=156msTTL=125Replyfrom0:bytes=32time=159msTTL=125Replyfrom0:bytes=32time=172msTTL=125Replyfrom0:bytes=32time=156msTTL=125Pin gstatisticsfor0:Packets:Se nt=4,Received=4,Lost=0(0%loss),App

33、roximatero un dtriptimes in milli-secon ds:Minimu m=156ms,Maximum=172ms,Average=160msPCpi ngPin gi ngwith32bytesofdata:Replyfrom:bytes=32time=157msTTL=126Replyfrom:bytes=32time=156msTTL=126Replyfrom:bytes=32time=141msTTL=126Replyfrom:bytes=32tim

34、e=125msTTL=126Pin gstatisticsfor:Packets:Se nt=4,Received=4,Lost=0(0%loss),Approximatero un dtriptimes in milli-secon ds:Minimu m=125ms,Maximum=157ms,Average=144ms在student 上測試www服務。在student機的桌面，在WEB瀏覽器的地址欄里輸入/顯示網頁內容：CiscoPacketTracerWelcometonjuptfilmsite.youca ndow nl oa

35、dfilms.QuickLi nks:AsmallpageCopyrightsImagepageImage在student機的桌面，在 WEB瀏覽器的地址欄里輸入http:/，同樣能夠顯示網頁內容。teacher的pc機測試結果如下：PCpi ngPin gi ngwith32bytesofdata:Requesttimedout.Replyfrom:bytes=32time=143msTTL=126Replyfrom:bytes=32time=140msTTL=126Replyfrom10.20.168.

36、7:bytes=32time=127msTTL=126Pin gstatisticsfor:Packets:Se nt=4,Received=3,Lost=1(25%loss),Approximatero un dtriptimesi nmilli-sec on ds:Mi nimum=127ms,Maximum=143ms,Average=136ms在R1上配ACL oR1(co nfig)#access-list101de nytcp55hosteq21R1(co nfig)#access-list101de

37、nytcp55hosteq20R1(co nfig)#access-list101permitip55a nyR1(co nfig)# in tfO/OR1(c on fig-if)#ipaccess-group101i nR1#shaccess-listsExte ndedlPaccesslist101den ytcp55hosteqftpden ytcp55hosteq20permi

38、tip55a nyR1#shru nBuildi ngcon figurati on.Curren tcon figurati on:2004bytes!versio n12.4no servicetimestampslogdatetimemsecno servicetimestampsdebugdatetimemsecno servicepassword-e ncrypti on host nameRIin terfaceFastEthernetO/Oipaddressipaccess-grouplOli n

39、duplexautospeedautoStudent上配好acl后，再測Student能否訪問服務器的ftp服務和www服務。PCftpTryin gtoc onn ect.%Errorope nin gftp:/(Timedout)PacketTracerPCComma ndL in e1.0PC(Disc onn ecti ngfromftpserver)PCftpTryi ngtoco nn ect.%Errorope nin g/(Timedout)PacketTracerPCComma ndL in e1.0

40、PC(Disc onn ecti ngfromftpserver)PacketTracerPCComma ndL in e1.0說明student機已不能訪問服務器的ftp服務了。二高級ACL擴展ACL的應用1.防止地址欺騙。R1是內網的邊界路由器，R2是外網的邊界路由器。外部網絡的用戶可能會偽裝自己的ip地址，比如使用內部網的合法 IP地址或者回環(huán)地址作為源地址，從而實現非法訪問。解決辦法：將可能偽裝到的ip地址拒絕掉。Router(co nfig)#hostR1R1(co nfig)#i ntsO/O/1R1(co nfig-if)#ipadd255.255.255

41、.0R1(co nfig-if)#clockrate64000R1(co nfig-if)# noshutR1(co nfig)# in tfO/OR1(co nfig-if)#ipaddR1(co nfig-if)# noshutR1(co nfig)#routereigrp100R1(co nfig-router)# net*May1011:29:29.374:%DUAL-5-NBRCHANGE:IP-EIGRP(0)100:Neighbor(Serial0/0/1)isup:n ewadjace

42、ncyR1(co nfig-router)# netR1(c on fig-router)# no auto*May1011:29:57.010:IP-EIGRP(Default-IP-Rout in g-Table:100):Neighbornoton com mon sub netforFastEther netO/OR1(co nfig-router)#*May1011:30:00.666:%DUAL-5-NBRCHANGE:IP-EIGRP(0)100:Neighbor(Serial0/0/1)isres yn c:sum

43、maryc on figuredR1(co nfig-router)#*May1011:30:00.666:%DUAL-5-NBRCHANGE:IP-EIGRP(0)100:Neighbor(Serial0/0/1)isres yn c:summaryc on figured*May1011:30:10.942:IP-EIGRP(Default-IP-Rout in g-Table:100):Neighbornoton com mon sub netforFastEther netO/O*May1011:30:24.934:IP-EIGRP(Def

44、ault-IP-Rout in g-Table:100):Neighbornoton com mon sub netforFastEther net0/0*May1011:30:38.838:IP-EIGRP(Default-IP-Rout in g-Table:100):Neighbornoton com mon sub netforFastEther net0/0*May1011:30:53.090:IP-EIGRP(Default-IP-Rout in g-Table:100):Neighbornoton com mon

45、sub netforFastEther net0/0*May1011:31:07.222:IP-EIGRP(Default-IP-Rout in g-Table:100):Neighbornoton com mon sub netforFastEther net0/0/之上系統(tǒng)顯示異常的原因是網絡有環(huán)路，這里產生環(huán)路的連接是因為3560交換機和倆臺2950交換機分別用交叉線連接，三臺路由器倆倆連接，三臺路由器分別和三臺交換機連接。R1(c on fig)#ipaccess-listexte nded in gress-a ntspoofR1(co nfig-ext- na

46、cl)#de nyip55a nyR1(co nfig-ext- nacl)#de nyip55a nyR1(co nfig-ext- nacl)#de nyip55a ny/12, 至 U 55。R1(co nfig-ext- nacl)#de nyip55a ny阻止源地址為私有地址的所有通信流。R1(co nfig-ext- nacl)#de nyip224.0.0.

47、055a ny/阻止源地址為回環(huán)地址的所有通信流。阻止源地址為多目的地址的所有通信流。/4R1(co nfig-ext- nacl)#de nyip55a ny/鏈路本地地址。無法正常獲取地址時,會分配給你。例如：圖書館無線上網無法正常獲取地址，會得到這樣的地址。R1(co nfig-ext -n acl)#de nyiphostO.O.O.Oa ny阻止沒有列出源地址的通信流。R1(c on fig-ext- nacl)#permitipa nyanyR1(c on fig-ext -n acl)#exR1(c

48、o nfig)#i ntsO/O/1R1(c on fig-if)#ipaccess-group in gress-a ntspoofi nRouter(co nfig)#hostR2Router(co nfig)#i ntsO/O/1Router(co nfig-if)#ipaddRouter(c on fig-if)# no shutRouter(c on fig-if)#exR2(co nfig)# in tf0/0R2(co nfig-if)#ipaddR2(co nfig-if)# no

49、shutR2(co nfig-if)#exR2(co nfig)#routereigrp100R2(co nfig-router)# netR2(co nfig-router)# netR2(c on fig-router)# no auto在 R1 上，配好 acl，從 pc2pingpcl, 顯示：Relyfrom: Destinationhostunreachableping(pc1 的網關)，顯示：RequesttimeoutRelyfrom: Destinationhostun

50、reachableRequesttimeoutpi ngRelyfrom: Destinationnetunreachablepi ng能ping 通。pc2pc1防止非法探測所以外部網絡的非法訪問者對內部網絡發(fā)起攻擊前，通常會用ping或其他命令探測網絡，只要禁止從外部用ping traceroute等探測就能夠防范?？墒褂萌缦碌脑L問列表：access-list102de ny icmpa nyany echo阻止用ping探測網絡。access-list102de ny icmp

51、a nyany time-exceeded阻止用traceroute探測網絡。防止病毒傳播和黑客攻擊針對操作系統(tǒng)的漏洞，有些病毒程序和漏洞掃描軟件通過 UDP端口 135、137、138、1434 和TCP端口 135、137、139、445、4444、5554、9995、9996 等進行病毒傳播和攻擊，可設置如下的訪問控制列表阻止病毒傳播和黑客攻擊。有倆個路由器組建的網絡就能夠完成本實驗。access-list101de ny udpa nyany eq135access-list101de ny udpa nyany eq137access-list101de ny udpa nyany

52、eq138access-list101de ny udpa nyany eq1434access-list101de ny tcpa nyany eq135access-list101de ny tcpa nyany eq137access-list101de ny tcpa nyany eq139access-list101de ny tcpa nyany eq445access-list101de ny tcpa nyany eq4444access-list101de ny tcpa nyany eq5554access-list101de ny tcpa nyany eq9995acc

53、ess-list101de ny tcpa nyany eq9996access-list101permitipa nyany把ACL應用到路由器接口上：in terfacesO/O/1ipaccess-group101i n高級ACL實驗：控制上網時間，能夠用基于時間的ACL來實現。1定義時間范圍的名稱time-ra ngetime-ra nge-n ametime-ra nge:用來定義時間范圍的命令。time-ra nge-name:時間范圍名稱，用來標識時間范圍，以便于在后面的訪問列表中引用。2指定該時間范圍何時生效定義壹個時間周期periodicdays-of-the-weekhh:

54、mmtodays-of-the-weekhh:mmperiodic 主要是以星期為參數來定義時間范圍的壹個命令。它的參數主要有Mon day、Tuesday、Wednesday 、Thursday、Friday、Saturday、Sunday 中的壹個或者幾個的組合，也能夠是daily(每天)、weekday (周壹至周五)，或者 weeke nd (周末)。定義壹個絕對時間absolutestarthh:mmday mon thyeare ndhh:mmday mon thyearabsolute 該命令用來指定絕對時間范圍。它后面緊跟著 start和end倆個關鍵字。在這倆個關鍵字 后面的時間要以24小時制hh:mm 表示，日期要按照日/月/年來表示。如果省略 start及其后面的 時間，則表示和之相聯(lián)系的permit或deny語句立即生效，且壹直作用到end處的時間為止。如果省略end及其后面的時間，則表示和之相聯(lián)系的permit或deny語句在start處表示的時間開始生效，且且壹直進行下去。壹個時間范圍只能有壹個absolute 語句，可是能夠有幾個periodic 語句。例如如果我們需要在上圖中的R5上配置基于時間的 ACL，允許在星期壹到星期五的& 00至17 : 00的時間內能夠遠程登錄R2，則