DHCP+RIP+ACL访问控制列表实验配置

ACL 访问控制列表配置实例访问控制列表配置实例 1 拓扑结构 拓扑结构 2 Ip 地址分配 如图 均为地址分配 如图 均为 C 类类 192 168 X X 3 开启各端口 填写开启各端口 填写 ip 地址 地址 4 在在 R1 R3 R5 上配置上配置 DHCP 使其可以为网段内主机分配使其可以为网段内主机分配 ip 地址 具体配置地址 具体配置 如下 如下 Router config ip dhcp pool jiang 定义 dhcp 池 名为 jiang Router dhcp config network 192 168 0 0 255 255 255 0 分配的地址段 Router dhcp config default router 192 168 0 1 默认网关 Router dhcp config dns server 202 102 192 68 默认 dns Router dhcp config end 注意 注意 R3 上分配的是上分配的是 3 0 网段 网段 R5 上分配的是上分配的是 6 0 网段 网段 5 在路由器上配置路由协议 是网络互通 在路由器上配置路由协议 是网络互通 Router config router rip 采用 rip 协议 Router config router net 192 168 0 0 宣告直连网段 Router config router net 192 168 1 0 宣告直连网段 Router config router end 其它路由类似 在此不做赘述 配置完毕后使用其它路由类似 在此不做赘述 配置完毕后使用 ping 测试网络是否通畅 测试网络是否通畅 6 重点 重点 1 配置配置 acl 使使 192 168 0 0 网段不能网段不能 telnet 到到 R1 具体步骤具体步骤 在在 R1 上配置上配置 Router config access list 100 deny tcp 192 168 0 0 0 0 0 255 host 192 168 0 1 eq 23 Router config access list 100 deny tcp 192 168 0 0 0 0 0 255 host 192 168 1 1 eq 23 上面两步定义了扩展的 acl 标号为 100 拒绝了 0 网段的主机远程登录到 R1 telnet 使用的是 tcp 协议的 23 号端口 由于有两个端口接到该路由器 因此该在两个端口上都配置 Router config access list 100 permit ip any any 由于 acl 默认了一条拒绝所有的 ip 策略 所以上一条的意思是允许其它 ip 数据流通过 Router config int f0 0 Router config if ip access group 100 in 进入端口 绑定策略 注意 in 和 out 的区别此处应该使用 in Router config if end 结束 测试 测试 A 和和 B 主机无法主机无法 telnet 到到 R1 C D E 都可以 配置成功 都可以 配置成功 2 配置配置 acl 使使 C 主机无法访问主机无法访问 F 的的 web 服务器功能 服务器功能 具体步骤具体步骤 在在 R3 上配置上配置 Router config access list 101 deny tcp host 192 168 3 2 host 192 168 6 3 eq 80 Router config access list 101 permit ip any any Router config int f0 0 Router config if ip access group 101 in Router config if end 测试 测试 C 主机无法访问主机无法访问 F 的的 web 功能 功能 D 主机可以 配置成功 主机可以 配置成功 3 配置配置 acl 使本网段以外的主机不能使本网段以外的主机不能 ping 服务器服务器 F 具体步骤具体步骤 在在 R5 上配置上配置 Router config access list 102 deny icmp any host 192 168 6 3 Router config access list 102 permit ip any any Router config int f0 0 Router config if ip access group 102 out Router config end 此处使用到了 out 即 所有从 R5 上 f0 0 接口出来的 icmp 数据包被丢弃 4 配置配置 acl 使使 3 0 网段不能访问网段不能访问 0 网段 网段 具体步骤具体步骤 在在 R1 上配置上配置 Router config access list 1 deny 192 168 3 0 0 0 0 255 Router config access list 1 permit any Router config int f0 0 Router config if ip access group 1 out Router config if end 这个一个标准的访问控制列表 只能控制三层这个一个标准的访问控制列表 只能控制三层 ip 数据包 约束没有前面的数据包 约束没有前面的 扩展的访问控制列表严格 扩展的访问控制列表严格 大概就这样了 其中有几点值得注意 大概就这样了 其中有几点值得注意 1 标号 标准的标号 标准的 acl 是从是从 1 99 扩展的从扩展的从 100 199 2 在配置时 应将最为严格的语句放在最前面 因为执行顺序是从上到下 在配置时 应将最为严格的语句放在最前面 因为执行顺序是从上到下 否则无法实现预期的功能 否则无法实现预期的功能 3 配置标准的配置标准的