21【工程实验室】【利用访问列表进行VTY访问限制】.pdfVIP

实验 利用访问列表进行VTY 访问限制 【实验名称】 利用访问列表进行 VTY 访问限制 【实验目的】 掌握在路由器上使用 ACL 进行 VTY 访问控制，增强路由器的安全性。 【背景描述】 你是一家大公司的 IT 管理员，公司有很分公司在全国各地，你需要在路由器上配置 VTY 进行远程登录，但由于远程登录的不安全性，为加强其安全性能，所以需要指定某个 IP 地 址可以访问。 【需求分析】 指定只有 IP 地址为 172.16.1.10 和 172.16.1.11 的地址才可以远程登录路由器。 【实验拓扑】 图10-4 实验拓扑图 【预备知识】 路由器基本配置知识、访问控制列表知识 【实验设备】 路由器 2 台 PC 3 台 直连线 3 条 【实验原理】 IP ACL （IP 访问控制列表或 IP 访问列表）是实现对流经路由器或交换机的数据包根据 一定的规则进行过滤。从而提高网络可管理性和安全性。 IP ACL 分为两种：标准 IP 访问列表和扩展 IP 访问列表。标准 IP 访问列表可以根据数 据包的源 IP 地址定义规则，进行数据包的过滤。扩展 IP 访问列表可以根据数据包的源 IP、 目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。 IP ACL 基于接口进行规则的应用，分为入栈应用和出栈应用。入栈应用是指由外部经 该接口进行路由器的数据包进行过滤。出栈应用是指路由器从该接口向外转发数据时进行数 据包的过滤。IP ACL 的配置有两种方式：按照编号的访问列表，按照命名的访问列表。标 准 IP 访问列表编号范围是 1~99、1300~1999，扩展 IP 访问列表编号范围是 100~199、 2000~2699 。 访问控制列表总的说起来有下面三个作用，我们来具体讨论一下： 安全控制：允许一些分合匹配规则的数据包通过访问的同时而拒绝另一部分不符合匹配 规则的数据包。 举个例子说一下财务部的数据库服务器，上面的数据应该来说是比较机密 的，不是说谁都可以访问上面的数据的，这个时候就需要用到访问控制列表，在此列表中定 义那些主机可以访问财务部数据库服务器，当此列表外的主机访问此服务器的时候，就会被 路由器过滤掉。 流量过滤：此功能是防止一些不必要的数据包通过路由器，来提高网络的带宽的利用率， 数据流量标识：此功能是对公司有两条或两条以上的网络链路时，访问控制列表与路由 策略等来实现分工，让不同的数据包选择不同的链路， 【实验步骤】 第一步：路由器基本配置 R1 (config)# interface FastEthernet 0/0 R1 (config-if)#ip address 172.16.3.1 255.255.255.0 R2 (config)#interface FastEthernet 0/0 R2 (config-if)#ip address 172.16.3.2 255.255.255.0 R2 (config)#interface FastEthernet 0/1 R2 (config-if)#ip address 172.16.1.1 255.255.255.0 第二步：配置远程登录 R1 (config)#enable password ruijie R1 (config)#line vty 0 4 R1(config-line)#password ruijie R1(config-line)#login 第三步：配置路由 R1 (config)#ip route 0.0.0.0 0.0.0.0 172.16.3.2 R2 (config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1 第四步：配置访问控制列表 R1 (config)#access-list 10 permit host 172.16.1.10 R1 (config)#access-list 10 permit host 172.16.1.11 R1 (config)#access-list 10 deny any R1 (config)#line vty 0 4 R1(config-line)# ac