实验名称
配置标准IP ACL
实验目的
使用标准IP ACL实现简单的访问控制
要求:
- 只允许行政部访问财务部服务器和WWW服务器,而销售部都不能访问。
配置思路:
1、先对网络进行网络互通配置,并对全网互通进行测试。
2、在完成网络互通的基础上,追加ACL的配置并验证ACL的有效性。
需求分析
标准IP ACL可以根据配置的规则对网络中的数据进行过滤
实验拓扑
注:这里的路由器是使用的2811型号,因为此台路由器需要用到三个接口,装好模块就会有f1/0接口出现。
预备知识
路由器基本配置、标准IP ACL原理及配置。
实验原理
标准IP ACL可以对数据包的源IP地址进行检查。当应用了ACL的接口接收或发送数据包时,将根据接口配置的ACL规则对数据进行检查,并采取相应的措施,允许通过或拒绝通过,从而达到访问控制的目的,提高网络安全性。
实验步骤
首先对PC机和服务器配上IP地址和网关,各IP地址已在拓扑图中给出
行政主机
销售主机
主机0
财务服务器
WWW服务器
路由器1
Router(config)#interface FastEthernet0/0
Router(config-if)#ip address 172.16.1.1 255.255.255.240
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface FastEthernet0/1
Router(config-if)#ip address 172.16.2.2 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface FastEthernet1/0
Router(config-if)#no shutdown
Router(config-if)#ip address 172.16.3.1 255.255.255.0
Router(config-if)exit
Router(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2
Router(config)#ip route 172.16.1.16 255.255.255.240 172.16.3.2
路由器0
Router(config)#int f0/0
Router(config-if)#ip add 172.16.3.2 255.255.255.0
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#int f0/1
Router(config-if)#ip add 172.16.4.1 255.255.255.0
Router(config-if)#ip access-group 1 out //应用ACL
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#int f1/0
Router(config-if)#ip add 172.16.1.17 255.255.255.240
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1
Router(config)#access-list 1 deny 172.16.2.0 0.0.0.255 //拒绝来自销售部172.16.2.0/24子网的流量通过
Router(config)#access-list 1 permit 172.16.1.0 0.0.0.255 //允许来自行政部172.16.1.0/24子网的流量通过
Router(config)#access-list 1 permit 172.16.1.16 0.0.0.15 //允许来自主机0172.16.1.16/28子网的流量通过
验证测试
行政部可以ping通两台服务器
销售部ping不同两台服务器
本次实验到这就结束了