访问控制列表(ACL)
读取第三层、第四层包头信息
根据预先定义好的规则对包进行过滤
访问控制列表在接口应用的方向
出:已经过路由器的处理 正离开路由器接口的数据包
入:已到达路由器接口的数据包 将被路由器处理
访问控制列表的类型
标准访问控制列表
基于源IP地址过滤数据包
标准访问控制列表的访问控制列表号是1-99
扩展访问控制列表
基于源IP地址、目的IP地址、指定协议、端口和标志来过滤数据包
扩展访问控制列表的访问控制列表号是100-199
命名访问控制列表
命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号
实验拓扑
R1配置
R2配置
R3配置
PC的IP 配置
PC1
PC2
PC3
测试连通性
R1上设置访问控制列表
PC1 ping PC2
修改PC1 IP地址后再尝试 ping成功
公司网络建设要求
使用C类地址规划网络、每个部门使用一个VLAN
为设备分配管理地址
限定不同的部门能访问的服务器
财务部只能访问财务部服务器
生产部只能访问生产部服务器
限制Telnet登录,登录用户名为test,密码为test123
只有网管可以使用远程桌面、Telnet、 SSH等登录方式管理服务器
要求所有部门之间不能互通,但可以和网管互通
拓扑图
SW1的配置
SW2的配置
R1的配置
MSW1(记得开启ip routing)
PC1的IP配置
PC2的IP配置
PC3的IP配置
server1的IP配置
server2的IP配置
server3的IP配置
网管的IP配置
PC1 ping server1 成功 其他PC也都能ping通相应的server服务器
PC1 ping server2成功 其他PC也都能ping通不相应的server服务器
配置ACL访问控制列表
验证连通性 PC1只能ping通server1 不能访问其他部门的服务器
PC2只能ping通server2 不能访问其他部门的服务器
PC3只能ping通server3 不能访问其他部门的服务器
在MSW1上开启远程登陆
配置进入特权模式的密码
用PC机尝试远程登陆 需要用户名密码
网管机可以ping通所有服务器
网管可以ping通所有部门
各个部门之间不能互通
