实训八 标准ACL配置与调试.doc

实训八 标准ACL配置与调试1实训目标在这个实训中，我们将在思科路由器上配置标准ACL。通过该实训我们可以进一步了解ACL的定义和应用，并且掌握标准ACL的配置和调试。2实训拓扑实训的拓扑结构如图1所示。图1 ACL实训拓扑结构3实训要求根据图1，设计标准ACL，首先使得PC1所在的网络不能通过路由器R1访问PC2所在的网络，然后使得PC2所在的网络不能通过路由器R2访问PC1所在的网络。本实训各设备的IP地址分配如下： 路由器R1：s0/0:192.168.100.1/24 fa0/0:10.1.1.1/8 计算机PC1：IP：10.1.1.2/8网关：10.1.1.1 路由器R2：s0/0:192.168.100.2/24 fa0/0:172.16.1.1/16 计算机PC2：IP：172.16.1.2/16网关：172.16.1.4实训步骤在开始本实训之前，建议在删除各路由器的初始配置后再重新启动路由器。这样可以防止由残留的配置所带来的问题。在准备好硬件以及线缆之后，我们按照下面的步骤开始进行实训。 按照图1进行组建网络，经检查硬件连接没有问题之后，各设备上电。 按照拓扑结构的要求，给路由器各端口配置IP地址、子网掩码、时钟（DCE端），并且用“no shutdown”命令启动各端口，可以用“show interface”命令查看各端口的状态，保证端口正常工作。 设置主机A和主机B的 IP地址、子网掩码、网关，完成之后，分别ping自己的网关，应该是通的。 为保证整个网络畅通，分别在路由器R1和R2上配置rip路由协议：在R1和R2上查看路由表分别如下： R1#show ip routeGateway of last resort is not setR 172.16.0.0/16 120/1 via 192.168.100.2, 00:00:08, Serial0/0C 192.168.100.0/24 is directly connected, Serial0/0C 10.0.0.0/8 is directly connected, FastEthernet0/0R2#show ip routeGateway of last resort is not setC 192.168.100.0/24 is directly connected, Serial0/0R 10.0.0.0/8 120/1 via 192.168.100.1, 00:00:08, Serial0/0C 172.16.0.0/16 is directly connected, FastEthernet0/0 R1路由器上禁止PC2所在网段访问：在路由器R1上配置如下：R1(config)#access-list 1 deny 172.16.0.0 0.0.255.255R1(config)# access-list 1 permit anyR1(config)#interface s0/0R1(config-if)#ip access-group 1 in【问题1】：为什么要配置“access-list 1 permit any”？测试上述配置：此时在PC2上ping路由器R1，应该是不同的，因为访问控制列表“1”已经起了作用，结果如图2所示：图2 在PC2上ping路由器R1的结果【问题2】：如果在PC2上ping PC1，结果应该是怎样的？查看定义ACL列表：R1#show access-listsStandard IP access list 1 deny 172.16.0.0, wildcard bits 0.0.255.255 (26 matches) check=276permit any (276 matches) 查看ACL在s0/0作用的方向：R1#show ip interface s0/0Serial0/0 is up, line protocol is up Internet address is 192.168.100.1/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Multicast reserved groups joined: 224.0.0.9 Outgoing access list is not set Inbound access list is 1 Proxy ARP is enabled 【问题3】：如果把ACL作用在R1的fa0/0端口，相应的配置应该怎样改动？【问题4】：如果把上述配置的ACL在端口s0/0上的作用方向改为“out”，结果会怎样？ 成功后在路由器R1上取消ACL，转为在R2路由器上禁止PC1所在网段访问：在R2上配置如下：R2(config)#access-list 2 deny 10.0.0.0 0.255.255.255R2(config)# access-list 2 permit anyR2(config)#interface fa0/0R2(config-if)#ip access-group 2 out测试和查看结果的操作和步骤基本相同，这里不再赘述。【问题5】：当我们把ACL作用的路由器的某个接口上时，“in”和“out”的参照对象是谁？5实训问题参考答案【问题1】：因为定义ACL时，路由器隐含拒绝所有，如果没有该语句，则会拒绝所有的数据包通过R1的s0/0，而我们的目的只是拒绝来自特定的网络的数据包。【问题2】：如果在PC2上ping PC1，结果应该是不通的，应为ping命令执行的时候，发送“request”数据包，同时需要“reply”数据包，所以只要一个方向不通，则整个ping命令的结果就不通。【问题3】：如果把ACL作用在R1的fa0/0端口，相应的配置应该是：R1(config)#inter