51标准ACL访问控制列表实验一(编号方式)

1、5.1标准acl访问控制列表实验一（编号方式）【项目情境】假设你是某公司的网络管理员，公司的销售部（172.16.1.0网段），经理部（172. 16. 2. 0网段），财务部（172. 16. 4. 0网段）分别屈于3个不同的网段，为了安全 起见，公司领导要求销售部不能对财务部进和访问，但经理部可以对财务部进行访问。 要求使用编号方式进行标准acl的制定和应用。【项目目的】1. 了解标准访问控制列表进行网络流量的控制原理和方法。2. 掌握编号方式标准访问控制列表的制定规则与配置方法，记忆编号的范围。3. 掌握网段和主机在制定规则时的命令区别。4. 掌握访问控制列表的在不同端口上进行应用的区别

2、和应用原则。【相关设备】路由器两台、v. 35线缆一对、pc机3台、交叉线3根。【项目拓扑】172. 16.1.2/24pc1、駅严二喰屛=皿172. 16.2. 1/24dcef0/l-2621xmrouter a2621xm routerbso/1 h 巴mpc-ptpc3172.16.2.2/24pc-ptpc2dte【项目任务】1如上图搭建网络环境，并对两个路由器关闭电源，分别扩展一个同异步高速串口 模块（w1c-2t） o两个路由器z间使用v. 35的同步线缆连接，routera的s0/1 口连接的 是dce端,routerb的s0/1 口连接的是dte端。配置routera和rou

3、terb的s0/1 口地 址，在routera的s0/1 口上配置同步时钟为64000。配置其他端口及设备的地址，pc机要配置默认网关。2. 在routera上配置缺省路由为172. 16. 3. 2；在routerb上配置缺省路由为172. 16. 3. io测试所有设备之间的联通性(应该全通)o3设置标准1p访问控制列表(编号方式)，使得172.16.2.0/24网段可以访问 172. 16. 4. 0/24网段，但是172. 16. 1. 0/24网段不可以访问172. 16. 4. 0/24网段。查看 配置和端口的状态,并测试结果(pci ping pc3不通,但pci ping pc

4、2通，pc2 ping pc3 通)o把pc1的地址改成172. 16. 1. 3, ping pc3也不通。4删除上述acl,再重新设置标准ip访问控制列表(编号方式),使得pc2可以访 问pc3,但是pc1不可以访问pc3。注意与上一步定义acl规则时的区别，源ip使用主 机方式指定，不是网段。查看配置和端口的状态，并测试结杲。把pc1的地址改成 172. 16. 1.3, ping pc3 可以通。5. 最后把配置以及ping的结果截图打包，以“学号姓名”为文件名，提交作业。6. 使用锐捷设备(2、3人一组)完成上面的步骤。【实验命令】1. 在routera上配置缺少路由为172. 16

5、. 3.2；在routerb上配置缺少路由为 172. 16. 3. lor1 (config)fiip route 0. 0. 0. 0 0. 0. 0. 0 172. 16. 3. 2r2 (config) #ip route 0. 0. 0. 0 0. 0. 0. 0 172. 16. 3. 12设置标准ip访问控制列表(编号方式)，使得172.16.2.0/24网段可以访问 172. 16. 4. 0/24 网段,但是 172. 16. 1. 0/24 网段不可以访问 172. 16. 4. 0/24 网段。源 ip 使用网段方式指定，注意命令中的反掩码。(1) 定义规则：r2(con

6、fig)#access-list 10 deny 172. 16. 1. 0 0. 0. 0. 255r2(config)#access-list 10 permit 172. 16. 2. 0 0. 0. 0. 255r2(config)#acccss-list 10 permit any(2) 应用端口:r2(config)#interface fastethernet 0/0r2(config-if)#ip access-group 10 outr2#show acccss-lists3. 查看acl配置和端口的状态或 r2#show ip acccss-listsr2#show ip

7、interface fastethernet 0/0 或 r2#show runningconfig4. 删除指定的标准acl (编号方式)r2(config)#no access-list 105. 设置标准ip访问控制列表(编号方式),使得pc2可以访问pc3,但是pc1不可以 访问pc3。定义acl规则时源ip使用主机方式指定，不是网段，注意host的使用，不 需要反掩码。(1) 定义规则：r2(config)#access-list 10 deny host 172.16. 1. 2r2(config)#access-list 10 permit host 172. 16. 2. 2r

8、2(config)#acccss-list 10 permit any(2) 应用端口:r2(config)#interface fastethernet 0/0r2 (config)#ip access-group 10 out【注意事项】l定义规则时，每条规则的顺序不同，其结果大不一样。所以要注意每条规则的而 后顺序，有不符合自己的设计或要求时，要将某条规则先no掉，再重新设置。2. 按从头到尾，至顶向下的方式进行匹配：匹配成功马上停止，立刻使用该规则的 “允许、拒绝”。3. 一切未被允许的就是禁止的：路由器或三层交换机缺省允许所有的信息流通过； 而防火墙缺省封锁所有的信息流，然后对希望提

9、供的服务逐项开放。4. 定义规则时选择的路由器(或三层交换机)与应用规则吋选择的端口要以保护对 象最近为原则，应用的时候是入栈还是出栈要看信息是从路由器(或三层交换机)流入还 是流出为判断标准。【配置结果】1. routcrbttshow access-lists (源 ip 使用网段方式指定)standard ip access list 10deny 172. 16. 1.0 0. 0. 0. 255permit 172. 16. 2.0 0. 0. 0. 255permit any2. routerbfishow access-lists (源 ip 使用主机方式指定)standard

10、ip access list 10deny host 172. 16. 1. 2 (3 match (es) permit host 172.16.2. 2 (4 match(cs) permit any (4 match(es)3. routerb#show running-configbuilding configuration.current configuration : 607 bytes version 12. 2no service password-encryption hostname routcrbip ssh version 1interface fastethernet0/0ip address 172. 16. 4. 1 255. 255. 255. 0ip access-group 10 outduplex autospeed autointerface fastetherneto/1no ip addressduplex autospeed autoshutdowninterface serial0/0no ip addressshutdowninterface scrialo/1ip address 172. 16. 3.2 255. 255. 255. 0ip classlessip route 0. 0.