实验名称
配置扩展IP ACL。
实验目的
使用扩展IP ACL实现高级的访问控制
需求分析
扩展IP ACL可以根据配置的规则对网络中的数据进行过滤
预备知识
路由器基本配置、扩展IP ACL原理及配置
实验原理
扩展IP ACL可以对数据包的源IP地址、目的IP地址、协议、源端口、目的端口进行检查。由于扩展IP ACL能够提供更多对数据包的检查项,所以扩展IP ACL常用于高级的、复杂访问控制。当应用ACL的接口接收或发送报文时,将根据接口配置的ACL规则对数据进行查,并采取相应的措施,允许通过或拒绝通过,从而达到访问控制的目的,提高网络安全性。
实验拓扑
实验步骤
给PC机和服务器配上IP地址的网关
Server0
Server1
PC0
Router(config)#interface FastEthernet0/0
Router(config-if)#ip address 200.1.1.254 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface FastEthernet0/1
Router(config-if)#ip address 192.168.1.254 255.255.255.0
Router(config-if)#ip access-group 100 in
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#access-list 100 permit tcp any host 200.1.1.1 eq ftp /(20) 20可代替ftp //允许来自所有的子网到达FTP Server(200.1.1.1)的流量
Router(config)#access-list 100 permit tcp any host 200.1.1.1 eq 21
Router(config)#access-list 100 deny tcp any host 200.1.1.2 eq www //拒绝来自所有的子网到达WWW Server(200.1.1.2)的流量
Router(config)#access-list 100 permit tcp any host 200.1.1.1 eq www //允许来自所有的子网到达WWW Server(200.1.1.1)的流量
R1 (config)#access-list 100 permit tcp 192.168.1.1 0.0.0.255 host 200.1.1.2 eq ftp //允许192.168.1.1/24子网的到达FTP Server(172.16.4.2)的流量
这里只是一些举例子,想让谁访问不想让谁访问都是可以自由配置的,不必纠结上面所举例的
实验验证
PC0能够访问Server0的WWW Server
访问WWW Server里面的内容可以直接设置,红框里面可以任意打,不过中文会显示?号
PC0访问不了Server1的WWW Server
PC0能够访问Server0的FTP Server
FTP的用户和密码可以在服务器上设置,填上用户和密码点击添加就可以了
实验到此就结束了