实验目标
- 理解标准IP访问控制列表的原理及功能;
- 掌握编号的标准IP访问控制列表的配置方法。
实验背景
你是公司的网络管理员,公司的经理部、财务部们和销售部门分属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部进行访问,但经理部可以对财务部进行访问。
PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机。
技术原理
ACLs的全称为接入控制列表(Access Control Lists),也称访问控制列表(Access Lists),俗称防火墙,在有的文档中还称包过滤。ACLs通过定义一些规则对网络设备接口上的数据包文进行控制;允许通过或丢弃,从而提高网络可管理性和安全性;
IP ACL分为两种:标准IP访问列表和扩展IP访问列表,编号范围为1~99、1300~1999、100~199、2000~2699;
标准IP访问控制列表可以根据数据包的源IP地址定义规则,进行数据包的过滤;
扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤;
IP ACL基于接口进行规则的应用,分为:入栈应用和出栈应用。
实验步骤
- 新建Packet Tracer拓扑图
- 路由器之间通过V.35电缆通过串口连接,DCE端连接在R1上,配置其时钟频率64000;主机与路由器通过交叉线连接。
- 配置路由器接口IP地址。
- 在路由器上配置静态路由协议,让三台PC能够相互Ping通,因为只有在互通的前提下才涉及到方控制列表。
- 在R1上编号的IP标准访问控制。
- 将标准IP访问控制应用到接口上。
- 验证主机之间的互通性。
实验设备
PC 3台;Router-PT 2台;交叉线 3条;DCE串口线 1条
PC1
IP:
172.16.1.2
Submask:
255.255.255.0
Gageway:
172.16.1.1
PC2
IP:
172.16.2.2
Submask:
255.255.255.0
Gageway:
172.16.2.1
PC3
IP:
172.16.4.2
Submask:
255.255.255.0
Gageway:
172.16.4.1
R0
//配置Router0连通的端口
Router>en
Router#conf t
Router(config)#inter fa 0/0
Router(config-if)#ip address 172.16.1.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#inter fa 1/0
Router(config-if)#ip address 172.16.2.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#inter s 2/0
Router(config-if)#ip address 172.16.3.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#clock rate 64000
Router(config-if)#exitR1
//配置Router1连通的端口
Router>en
Router#conf t
Router(config)#inter serial 2/0
Router(config-if)#ip address 172.16.3.2 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#inter fa 0/0
Router(config-if)#ip address 172.16.4.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exitR0
//配置Router0路由IP转发表,使路由转发来自跃点172.16.3.2的172.16.4.0目标段数据
Router(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2R1
//配置Router1路由IP转发表,使路由转发来自跃点172.16.3.1的所有IP段的数据
Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1
PC0
ping 172.16.4.2 (success)
PC1
ping 172.16.4.2 (success)
R0
//配置Router的IP准入
Router(config)# ip access-list standard cisco //配置准入口令
Router(config-std-nacl)# permit 172.16.1.0 0.0.0.255 //设置准入IP
Router(config-std-nacl)# deny 172.16.2.0 0.0.0.255 //设置拒接接入IP
Router(config-std-nacl)# conf t
Router(config)# int s 2/0
Router(config-if)# ip access-group cisco out //向serial2/0 接口发布准入口令
PC0
ping 172.16.4.2 (success)
PC1
ping 172.16.4.2 (reply from 172.16.2.1: Destination host unreachable)
原文链接:http://7c0bab95.wiz03.com/share/s/1Y2WKl218k5e2gpBCl2BeEsq2nUJk52dl4qh23qaVe0tVQ2T