5.1 标准ACL访问控制列表实验一(编号方式).doc

5.1 标准ACL访问控制列表实验一(编号方式)【项目情境】 假设你是某公司的网络管理员，公司的销售部（172.16.1.0网段），经理部（172.16.2.0网段），财务部（172.16.4.0网段）分别属于3个不同的网段，为了安全起见，公司领导要求销售部不能对财务部进和访问，但经理部可以对财务部进行访问。要求使用编号方式进行标准ACL的制定和应用。【项目目的】1.了解标准访问控制列表进行网络流量的控制原理和方法。2.掌握编号方式标准访问控制列表的制定规则与配置方法，记忆编号的范围。3.掌握网段和主机在制定规则时的命令区别。4.掌握访问控制列表的在不同端口上进行应用的区别和应用原则。【相关设备】 路由器两台、V.35线缆一对、PC机3台、交叉线3根。【项目拓扑】【项目任务】1.如上图搭建网络环境，并对两个路由器关闭电源，分别扩展一个同异步高速串口模块(WIC-2T)。两个路由器之间使用V.35的同步线缆连接，RouterA的S0/1口连接的是DCE端，RouterB的S0/1口连接的是DTE端。配置RouterA和RouterB的S0/1口地址，在RouterA的S0/1口上配置同步时钟为64000。配置其他端口及设备的地址，PC机要配置默认网关。2.在RouterA上配置缺省路由为172.16.3.2；在RouterB上配置缺省路由为172.16.3.1。测试所有设备之间的联通性(应该全通)。3.设置标准IP访问控制列表（编号方式），使得172.16.2.0/24网段可以访问172.16.4.0/24网段，但是172.16.1.0/24网段不可以访问172.16.4.0/24网段。查看配置和端口的状态，并测试结果(PC1 ping PC3不通，但PC1 ping PC2通，PC2 ping PC3通)。把PC1的地址改成172.16.1.3，ping PC3也不通。4.删除上述ACL，再重新设置标准IP访问控制列表（编号方式），使得PC2可以访问PC3，但是PC1不可以访问PC3。注意与上一步定义ACL规则时的区别，源IP使用主机方式指定，不是网段。查看配置和端口的状态，并测试结果。把PC1的地址改成172.16.1.3，ping PC3可以通。5.最后把配置以及ping的结果截图打包，以“学号姓名”为文件名，提交作业。6.使用锐捷设备（2、3人一组）完成上面的步骤。【实验命令】1.在RouterA上配置缺少路由为172.16.3.2；在RouterB上配置缺少路由为172.16.3.1。R1(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.2R2(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.12.设置标准IP访问控制列表（编号方式），使得172.16.2.0/24网段可以访问172.16.4.0/24网段，但是172.16.1.0/24网段不可以访问172.16.4.0/24网段。源IP使用网段方式指定，注意命令中的反掩码。(1)定义规则：R2(config)#access-list 10 deny 172.16.1.0 0.0.0.255R2(config)#access-list 10 permit 172.16.2.0 0.0.0.255R2(config)#access-list 10 permit any(2)应用端口：R2(config)#interface fastethernet 0/0R2(config-if)#ip access-group 10 out3.查看ACL配置和端口的状态R2#show access-lists 或R2#show ip access-listsR2#show ip interface fastethernet 0/0 或R2#show running-config4.删除指定的标准ACL(编号方式)R2(config)#no access-list 105.设置标准IP访问控制列表(编号方式)，使得PC2可以访问PC3，但是PC1不可以访问PC3。定义ACL规则时源IP使用主机方式指定，不是网段，注意host的使用，不需要反掩码。(1)定义规则：R2(config)#access-list 10 deny host 172.16.1.2R2(config)#access-list 10 permit host 172.16.2.2R2(config)#access-list 10 permit any(2)应用端口：R2(config)#interface fastethernet 0/0R2(config)#ip access-group 10 out【注意事项】 1.定义规则时，每条规则的顺序不同，其结果大不一样。所以要注意每条规则的前后顺序，有不符合自己的设计或要求时，要将某条规则先no掉，再重新设置。2.按从头到尾，至顶向下的方式进行匹配：匹配成功马上停止，立刻使用该规则的“允许、拒绝”。3.一切未被允许的就是禁止的：路由器或三层交换机缺省允许所有的信息流通过；而防火墙缺省封锁所有的信息流，然后对希望提供的服务逐项开放。 4.定义规则时选择的路由器(或三层交换机)与应用规则时选择的端口要以保护对象最近为原则，应用的时候是入栈还是出栈要看信息是从路由器(或三层交换机)流入还是流出为判断标准。【配置结果】 1.RouterB#show access-lists (源IP使用网段方式指定)Standard IP access list 10 deny 172.16.1.0 0.0.0.255 permit 172.16.2.0 0.0.0.255permit any2.RouterB#show access-lists (源IP使用主机方式指定)Standard IP access list 10 deny host 172.16.1.2 (3 match(es) permit host 172.16.2.2 (4 match(es) permit any (4 match(es)3.RouterB#show running-config Building configuration.Current configuration : 607 bytesversion 12.2no service password-encryptionhostname RouterBip ssh version 1interface FastEthernet0/0 ip address 172.16.4.1 255.255.255.0 ip access-group 10 out duplex auto speed autointerface FastEthernet0/1 no ip address duplex auto speed auto shutdowninterface Serial0/0 no ip address shutdowninterface Serial0/1 ip address 172.16.3.2 255.255.255.0ip classlessip route 0.0.0.0 0.0.