7、扩展访问控制列表实验.doc

扩展访问控制列表配置实验注意：前一讲“标准IP访问控制列表”是在路由器上对来自某一个IP源地址的数据包的允许或拒绝转发。这一讲说的是在某一个具体层面上允许或拒绝转发数据包。实验背景 学院出口路由器R2与学校路由器R1之间通过V.35线串口连接。学校服务器上有各种服务，比如WWW、FTP、TELNET等。现为了网络安全，仅允许学院PC机访问学校服务器上的WWW服务，其他一概拒绝，包括ICMP协议（即不允许从PC机ping服务器）。技术原理l 访问控制列表中定义的典型规则主要有以下：源地址、目标地址、上层协议、时间区域；l 扩展IP访问列表（编号为100-199，2000-2699）使用以上四种组合来进行转发或阻断分组；根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。l 扩展IP访问列表的配置包括以下两步：l 定义扩展IP访问列表l 将扩展IP访问列表应用于特定接口上 实验步骤1、 拓扑图 2、 配置PC机、服务器、路由器R1和R2的接口IP地址PC机IP： 子网掩码： 网关：R1 Fa0/0端口IP：子网掩码：R1 Fa1/0端口IP：子网掩码：R2 Fa0/0端口IP：子网掩码：R2 Se2/0端口IP：子网掩码： 时钟频率64000R3 Se2/0端口IP：子网掩码：R3 Fa1/0端口IP： 子网掩码： 网关：3、 在路由器R1、R2、R3上配置静态路由协议，实现全网通信。（1）、进入R1全局配置视图 Router(config)#host R1 ；修改名称 R1(config)#ip rout ；到3.0网段的静态路由R1(config)#ip rout ；到4.0网段的静态路由（2）、进入R3全局配置视图Router(config)#host R3 ；修改名称 R3(config)#ip rout ；到1.0网段的静态路由R3(config)#ip rout ；到2.0网段的静态路由（3）、进入R2全局配置视图Router(config)#host R2 ；修改名称 R2(config)#ip rout ；到1.0网段的下一跳是2.1 R2(config)#ip rout ；到4.0网段的下一跳是3.24、 PC机和服务器间能相互ping通 自此PC与服务器之间可以相互ping通。而且PC机可以访问服务器的WWW服务。单击PC机-选择WEB浏览器-在URL地址栏输入“”，应该可以看到服务器上网页的内容： Welcome to Cisco Packet Tracer, the best thing since. Packet Tracer 4.x. Quick Links: A small page Copyrights Image page Image现在要限制PC机ping服务器及其他通信，仅允许PC机访问服务器上的WWW服务。5、 在R2上配置编号的IP扩展访问控制列表并且将其应用到接口。使得PC机能够访问服务器的WWW服务，但是不能通过ICMP协议。 R2(config)#access-list 100 permit tcp host host eq www解释：access-list 100 创建编号为100的扩展访问控制列表 permit tcp 因为要访问Web服务器，而Web服务器应用的是TCP协议，所以在这里要允许TCP协议。 host 源主机 host 目标主机 eq www 匹配一个指定的端口号。这里eq是匹配一个指定的端口号命令。www是WWW服务的端口号，也可以写成80。R2(config)#access-list 100 deny icmp host host 解释：deny icmp 拒绝ICMP 协议。因为ping命令是ICMP协议，所以要拒绝这个协议，这样源主机就不能ping目标主机了。 R2(config)#int S2/0；进入S2/0端口 R2(config-if)#ip access-group 100 out ；解释：将编号100的扩展访问控制列表应用到S2/0的输出端口上。6、 验证PC机ping服务器的互通性。在PC上ping 服务器不通：Ping 不通在PC机上可以访问服务器的WWW服务。单击PC机-选择WEB浏览器-在URL地址栏输入“”，应该可以看到服务器上网页的内容：Welcome to Cisco Packet Tracer, the best thing s