路由技术ACL任务一编号的标准IP访问列表模拟器环境Word格式.docx
《路由技术ACL任务一编号的标准IP访问列表模拟器环境Word格式.docx》由会员分享,可在线阅读,更多相关《路由技术ACL任务一编号的标准IP访问列表模拟器环境Word格式.docx(18页珍藏版)》请在冰豆网上搜索。
编号的标准IP访问列表。
【实验目的】
掌握路由器上编号的标准IP访问列表规则及配置。
【背景描述】
你是一个公司的网络管理员,公司的经理部、财务部门和销售部门分属不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部门进行访问,但经理部可以对财务部门进行访问。
PC1代表经理部的主机,PC2代表销售部门的主机、PC3代表财务部门的主机。
【技术原理】
IPACL(IP访问控制列表或IP访问列表)是实现对流经路由器或交换机的数据包根据一定的规则进行过滤,从而提高网络可管理性和安全性。
IPACL分为两种:
标准IP访问列表和扩展IP访问列表。
标准IP访问列表可以根据数据包的源IP地址定义规则,进行数据包的过滤。
扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。
IPACL基于接口进行规则的应用,分为:
入栈应用和出栈应用。
入栈应用是指由外部经该接口进行路由器的数据包进行过滤。
出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。
IPACL的配置有两种方式:
按照编号的访问列表,按照命名的访问列表。
标准IP访问列表编号范围是1~99、1300~1999,扩展IP访问列表编号范围是100~199、2000~2699。
【实现功能】
实现网段间互相访问的安全控制。
【实验设备】
R1762路由器(两台)、V.35线缆(1条)、直连线或交叉线(3条)
【实验拓扑】
0012.JPG(17.36KB)
2008-11-517:
22
【实验步骤】
准备步骤:
按照实验拓扑图完成网络构建,注意选择合适的路由器设备。
实验拓扑中的路由器设备选型
步骤1.
基本配置。
RouterA基本配置
R1762(config)#hostnameRouterA
RouterA(config)#interfacefastEthernet0/0
RouterA(config-if)#ipadd192.168.1.1255.255.255.0
RouterA(config-if)#noshutdown
RouterA(config-if)#interfacefastEthernet1/0
RouterA(config-if)#ipadd192.168.2.1255.255.255.0
RouterA(config-if)#interfaceserial2/0
RouterA(config-if)#ipadd192.168.3.1255.255.255.0
RouterA(config-if)#clockrate64000
RouterA(config-if)#end
测试命令:
showipinterfacebrief。
RouterA#showipintbrief
!
观察接口状态
【记录实验结果】
RouterB基本配置
RouterB(config)#interfacefastEthernet0/0
RouterB(config-if)#ipadd192.168.4.2255.255.255.0
RouterB(config-if)#noshutdown
RouterB(config-if)#exit
RouterB(config)#interfaceserial2/0
RouterB(config-if)#ipadd192.168.3.2255.255.255.0
RouterB(config-if)#end
RouterB#showipintbrief
配置静态路由
RouterA(config)#iproute192.168.4.0255.255.255.0serial2/0
RouterB(config)#iproute0.0.0.00.0.0.0serial2/0
showiproute。
RouterA#show
iproute
查看路由表信息
Codes:
C-connected,S-static,
R-RIP
。
Gatewayoflastresortisnoset
C
172.16.1.0/24isdirectlyconnected,FastEthernet1/0
172.16.1.1/32islocalhost.
172.16.2.0/24isdirectlyconnected,FastEthernet1/1
172.16.2.1/32islocalhost.
172.16.3.0/24isdirectlyconnected,serial1/2
172.16.3.1/32islocalhost.
S
172.16.4.0/24isdirectlyconnected,serial1/2
RouterB#showiproute
S*
0.0.0.0/24isdirectlyconnected,serial1/2
172.16.3.2/32islocalhost.
172.16.4.0/24isdirectlyconnected,FastEthernet1/0
172.16.4.1/32islocalhost.
全网连通性测试:
当完成上面的配置操作后,PC1和PC2都和PC3是连通的。
如下图所示,注意设置正确的默认网关和IP地址。
PC1:
Ping192.168.4.22
【记录实验结果】
PC2:
PING192.168.4.22
PC3:
PING192.168.1.5
PING192.168.2.8
步骤2.配置标准IP访问控制列表。
特别提醒注意:
ACL的配置是在RouterB(Rb)上完成
RouterB(config)#access-list1deny192.168.2.00.0.0.255
拒绝来自192.168.2.0网段的流量通过,即拒绝来自销售部的访问
RouterB(config)#access-list1permit192.168.1.00.0.0.255
允许来自192.168.1.0网段的流量通过,即允许来自经理部的访问
RouterB(config)#access-list1denyany
禁止来任何网段的流量通过
【验证测试】
RouterB#showaccess-lists1
Router#shaccess-lists1
StandardIPaccesslist1
deny192.168.2.00.0.0.255(2match(es))
permit192.168.1.00.0.0.255(14match(es))
denyany(5match(es)
步骤3.
把访问控制列表在接口下应用。
RouterB(config-if)#ipaccess-group1out
在接口下出栈流量调用访问控制列表
验证测试:
RouterB#showipinterfacefastEthernet0/0
FastEthernet0/0
IPinterfacestateis:
UP
IPinterfacetypeis:
BROADCAST
IPinterfaceMTUis:
1500
IPaddressis:
192.168.4.2/24(primary)
IPaddressnegotiateis:
OFF
Outgoingaccesslistis1.
查看访问列表在接口上的应用(注:
因设备软件版本差异,实际显示信息可能与文档中的内容不符,继续完成后续实验操作即可。
)
Inboundaccesslistisnotset.
Router#shipinterfacef0/0
FastEthernet0/0isup,lineprotocolisup(connected)
Internetaddressis192.168.4.2/24
Broadcastaddressis255.255.255.255
Addressdeterminedbysetupcommand
MTUis1500
Helperaddressisnotset
Directedbroadcastforwardingisdisabled
Outgoingaccesslistis1
Inboundaccesslistisnotset
………………………………………………..
Router#
步骤4.
验证测试。
Ping测试结果:
192.168.2.0网段的主机不能ping通192.168.4.0网段的主机;
192.168.1.0网段的主机能ping通172.16.4.0网段的主机)。
注意:
根据拓扑图进行计算机上的TCP/IP配置。
【注意事项】
*
升级会员 