訪問控制實驗

實驗拓撲：

實驗要求：

1 如圖r1，r2，r3。所示網段如圖。r2 為企業邊緣路由器，為了內網的安全需要有以下安全策略。

2 r2 能夠telnet 到r3 的任意網段，但是r3 不能使用211.16.23.3 telnet 回r2，而使用210位址則可以。

3 拒絕所有通過r2 到r3 的追蹤，但是需要保證r1 追蹤r3 是能夠正常工作，而反之則不行。

4 為了防止欺騙***，需要在邊界路由器布置訪問策略，按照rfc1918，和rfc2827 的知道思想來做。

5 安全策略不應該影響基本的連通性，網路中使用ospf 協議。由於公司下午5 點以後不需要業務流通，希望5 點以後網路的流量不能進入到網路內。

實驗過程：

r1(config)#int e0/0

r1(config-if)#ip add 212.16.12.1 255.255.255.0

r1(config-if)#no shu

r1(config-if)#exit

r1(config)#router ospf 1

r1(config-router)#router-id 1.1.1.1

r1(config-router)#network 212.16.12.0 0.0.0.255 a 0

r1(config-router)#exit

r2(config)#int e0/0

r2(config-if)#ip add 212.16.12.2 255.255.255.0

r2(config-if)#no shu

r2(config-if)#exit

r2(config)#int e0/1

r2(config-if)#ip add 211.16.23.2 255.255.255.0

r2(config-if)#no shu

r2(config-if)#exit

r2(config)#router ospf 1

r2(config-router)#router-id 2.2.2.2

r2(config-router)#net 212.16.12.0 0.0.0.255 a 0

r2(config-router)#net 211.16.23.0 0.0.0.255 a 0

r3(config)#int e0/1

r3(config-if)#ip add 211.16.23.3 255.255.255.0

r3(config-if)#no shu

r3(config-if)#exit

r3(config)#int loop 0

r3(config-if)#ip add 210.10.10.10 255.255.255.0

r3(config-if)#no shu

r3(config-if)#exit

r3(config)#router ospf 1

r3(config-router)#router-id 3.3.3.3

r3(config-router)#net 211.16.23.0 0.0.0.255 a 0

r3(config-router)#net 210.10.10.0 0.0.0.255 a 0

第二步的過程

r2(config)#ip access-list extended d_tel

r2(config-ext-nacl)#deny tcp host 211.16.23.3 host 211.16.23.2 eq 23

r2(config-ext-nacl)#deny tcp host 211.16.23.3 host 212.16.12.2 eq telnet

r2(config-ext-nacl)#permit ip any any

r2(config)#int e0/1

r2(config-if)#ip access-group d_tel in

第三步的過程

拒絕 r2 到r3 的traceroute

r2(config)#ip access-list extended d_tra

r2(config-ext-nacl)#deny icmp host 211.16.23.3 host 211.16.23.2 unreachable

r2(config-ext-nacl)#deny icmp host 211.16.23.3 host 211.16.23.2 time-exceeded

r2(config-ext-nacl)#deny icmp host 211.16.23.3 host 212.16.12.2 time-exceeded

r2(config-ext-nacl)#deny icmp host 211.16.23.3 host 212.16.12.2 unreachable

r2(config-ext-nacl)#permit ip any any

拒絕 r3 到r1 的traceroute

r2(config)#ip access-list extended d_tra2

r2(config-ext-nacl)#deny icmp host 212.16.12.1 host 211.16.23.3 time-exceeded

r2(config-ext-nacl)#deny icmp host 212.16.12.1 host 211.16.23.3 unreachable

r2(config-ext-nacl)#permit ip any any

r2(config)#int e0/0

r2(config-if)#ip access-group d_tar2 in

r2(config)#int e0/1

r2(config-if)#ip access-group d_tra in

實驗效果截圖

第四步的過程

note：（rfc1918 規定的私有ip，rfc2827 規定的是內網已經使用的ip）

r2(config)#ip access-list extended d_rfc1918

r2(config-ext-nacl)#remark rfc1918

r2(config-ext-nacl)#deny ip 10.0.0.0 0.255.255.255 any

r2(config-ext-nacl)#deny ip 172.16.0.0 0.15.255.255 any

r2(config-ext-nacl)#deny ip 192.168.0.0 0.0.255.255 any

r2(config-ext-nacl)# permit ip any any

r2(config)#int e0/1

r2(config-if)#ip access-group d_rfc1918 in

r2(config)#ip access-list extended d_rfc2827

r2(config-ext-nacl)#deny ip 212.16.12.0 0.0.0.255 any

r2(config-ext-nacl)#permit ip any any

r2(config)#int e0/1

r2(config-if)#ip access-group rfc2827 in

第五步的過程

r2(config)#time-range deny

r2(config-time-range)#periodic daily 17:00 to 23:59

r2(config-time-range)#periodic daily 00:00 to 08:00

r2(config)#access-list 101 deny ip any any time-range deny

r2(config)#int e0/1

r2(config-if)#ip access-group 101 in

實驗效果截圖：

我們現在來把時間修改到18：00

r2#clock set 18:00:00 oct 12 2013

時間修改後ospf 鄰居自動down。

檔案訪問控制實驗

訪問控制是在共享環境下限制使用者對資源訪問的一種安全機制，一般作為對使用者身份鑑別之後的保護系統安全的第二道屏障，一般分為自主訪問控制和強制訪問控制。自主訪問控制是指資源擁有者擁有對資源訪問的控制權 強制訪問控制是指根據使用者和資源的安全級別來限制訪問。自主訪問控制一般採用訪問控制矩陣來表示使用者和...

訪問控制列表ACL簡單實驗

不允許10.1.1.3訪問10.1.3.0網路 r1 inte ce ethernet0 0 0ip address 10.1 12.1 24ar1 inte ce gigabitethernet0 0 0ip address 10.1 12.2 24inte ce gigabitethernet0...

ACL 訪問控制列表綜合實驗

實驗步驟 實驗完成 1.合理配置ip位址，使得全網互通 2.設定vlan，使得pc1在vlan 10，client 1在vlan 20 3.設定單臂路由，使得pc1，client 1能夠訪問外網 4.設定acl規則，實現如下要求 a.pc1可以ping通pc3，但是不能ping通server 1 b...