第13课-标准IP访问控制列表配置.doc

1、第13课：标准IP访问控制列表配置 注意：入栈端口和出栈端口实验目标。 理解标准IP访问控制列表的原理及功能;. 掌握编号的标准IP访问控制列表的配置方法；实验背景。 你是公司的网络管理员，公司的经理部、财务部门和销售部分别属于不同的3个网段，三部门之间用路由器进行信息传递,为了安全起见，公司领导要求销售部门不能对财务部进行访问，但经理部可以对财务部进行访问。 PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机。技术原理。 ACLs 的全称为接入控制列表(Access Control Lists），也称为访问列表（Access Lists)，俗称为防火墙，在有的文档中还称之

2、为包过滤.ACLs 通过定义一些规则对网络设备接口上的数据报文进行控制：允许通过或丢弃，从而提高网络可管理性和安全性；. IP ACL分为两种：标准IP访问列表和扩展IP访问列表，编号范围分别为199、13001999；100199、20002699；. 标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤；。 扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤;。 IP ACL 基于接口进行规则的应用，分为：入栈应用和出栈应用;实验步骤。 新建packet tracer 拓扑图（如图）（1)路由器之间通过V.35电缆通过串口连

3、接，DCE端连接在R1上，配置其时钟频率64000 ；主机与路由器通过交叉线连接。(2)配置路由器接口IP地址。(3）在路由器上配置静态路由协议，让三台pc能相互ping通，因为只有在互通的前提下才能涉及到访问控制列表。（4)在R1上配置编号的IP标准访问控制列表。（5)将标准IP访问列表应用到接口上.(6）验证主机之间的互通性。配置过程：第一步：首先配置三台PC的IP： 主机0的IP为172。16。1.2 255。255.255.0 172.16.1.1 主机1的IP为172。16。2.2 255.255.255.0 172。16。2.1 主机2的IP为172.16。4.2 255。255.

4、255。0 172。16。4。1路由器R1设置：Routerenable Router#configure terminal Router(config)#hostname R1R0（config）int fa 0/0R0(config-if）ip add 172.16。1。1 255.255.255。0R0(configif)#no shutdown R0（configif）int fa 1/0R0（config-if)ip add 172。16。2.1 255。255.255。0R0（configif)#no shutdown R0(configif)#int s 2/0R0（config

5、-if)ip add 172。16.3。1 255.255。255。0R0(configif)#no shutdown R0(configif)clock rate 64000路由器R2设置：Routerenable Router#configure terminal Router（config)#hostname R2R1(config）#int s 2/0R1（configif）#ip address 172.16。3。2 255.255。255.0R1(configif）#no shutdown R1(configif）#int fa 0/0R1（configif）#ip address

6、 172.16.4。1 255.255。255.0R1（config-if）no shutdown 第二步：接下来配置路由表，通过静态路由实现继续路由器R1设置：R0（config-if)#exit R0（config）#ip route 172。16.4。0 255.255.255。0 172.16.3.2 设置静态路由 继续路由器R2设置：R1（configif）#exit R1(config)ip route 0.0.0.0 0。0.0.0 172。16.3。1 设置缺省路由，下一跳的那个路由器上接了两个网段，因都要到达不好设置目标网络。R1(config）#end 测试：三台PC互通现

7、在第三步：在R1上配置基本访问控制列表（要求配置，主机1能访问主机3；主机2不能访问主机3）创建基本访问控制列表有两种方式，一种通过命名的方式来创建,另一种通过编号的方式来创建。在这里采用命名的方式来创建.R1enR1#configure terminal R1（config）#ip access-list standard mm (创建基本访问控制列表standard,名字为mm）R1(config-stdnacl) 进入访问控制列表模式/R1(configstd-nacl)#permit ? 允许 /A。B。C。D Address to match 允许某一个网段? / any Any s

8、ource host 允许任何的地址？ / host A single host address 允许某一个主机？R1（config-stdnacl）permit 172。16。1。0 0。0。0。255 (允许172。16。1.0网段)R1(config-stdnacl)#deny 172.16.2.0 0.0.0。255 (在这里这条可以不写，默认写完上面那一条以后，默认只让上面那条通过）R1（config-stdnacl）#end 注释：1、访问控制列表的网络掩码是反掩码；R1configure terminal 2、标准控制列表应用要尽量靠近目的地址的接口R1（config)int serial 2/0 （配置完访问控制列表后,需要在某个端口上应用一下。这里在出口端口上应用）R1(config-if)ip access-group mm out （应用指令，也是可以）R1(configif)end (说明：in:是互联网数据进入路由器） out:是路由器的数据经过此端口进入互联网）=ACL：防火墙功能可以限制某一款软件,某一个端口等等白名单：允许访问黑名单：禁止访问