路由与交换技术课程设计报告

1、信息工程学院路由与交换技术课程设计报告题目:访问控制ACL在企业内的应用专业：信息管理与信息系统班级:10级姓名：xxx 学号：xxxxxxxxxx完成时间：20123年 7 月 日指导教师:xxx、选题目的和意义选题的目的：ACL技术在路由器中被广泛采用，它是一种基于包过滤的流控制 技术。标准访问控制列表通过把源地址、目的地址及端口号作为数据包 检查的基本元素，并可以规定符合条件的数据包是否允许通过.ACL通常应用在企业的出口控制上，可以通过实施ACL，可以有效的部署企业网络出网策略。随着局域网内部网络资源的增加，一些企业已经开始 使用ACL来控制对局域网内部资源的访问能力，进而来保障这些资

2、源的 安全性。ACL技术可以有效的在三层上控制网络用户对网络资源的访问，它 可以具体到两台网络设备间的网络应用， 也可以按照网段进行大范围的 访问控制管理，为网络应用提供了一个有效的安全手段。一方面，采用ACL技术，网络管理员需要明确每一台主机及工 作站所在的IP子网并确认它们之间的访问关系，适用于网络终端数量 有限的网络。对于大型网络，为了完成某些访问控制甚至不得不浪费很 多的IP地址资源。同时，巨大的网络终端数量，同样会增加管理的复杂 度和难度。另一方面，维护ACL不仅耗时，而且在较大程度上增加路由 器开销。访问控制列表的策略性非常强，并且牵涉到网络的整体规划， 它的使用对于策略制定及网络

3、规划的人员的技术素质要求比较高。因 此，是否采用ACL技术及在多大的程度上利用它，是管理效益与网络安 全之间的一个权衡。访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令 列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、AppleTalk等。这 张表 中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了 对某种访问进行控制.ACL可以限制网络流量、提高网络性能；ACL可 以提供对通信流量的控制手段 ；ACL是提供网络安全访问的基本手 段;ACL可以在路由器端口处决定哪种类型的通信流量被转发或 被阻塞。目前有两种主

4、要的ACL:标准ACL和扩展ACL。标准的ACL使 用199以及13001999之间的数字作为表号，扩展的ACL使用 100199以及20002699之间的数字作为表号。标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某 一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信 流量。扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员 如果希望做到“允许 外来的 Web通信流量通过，拒绝外来的FTP和 Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL 不能控制这么精确。路由器工作在网络层，是信息出入的必经之路，能有效的防止外部用户对局

5、域网的安全访问.同时可以限制网络流量，也可以限制局域网内的用户或设备使 用网络资源。因此，网络路由过滤对网络的安全具有举足轻重的作用。目前大部分的路由器都是通过访问控制列表技术来允许或拒绝报文通过。当 路由器的访问控制列表的安全特性被充分利用时，路由器将变成一个有效的、稳 定的、安全的、坚固的防御体系，既能抵御外部的攻击，又能限制内部用户对 外部的非法访问，在很大程度上提高了网络的安全性.因此，可以说访问控制列 表是网络防御外来攻击的第一道关卡。本文以某企业真实拓扑图为例，讨论如何利用路由器的访问控制列表技术提 高网络的安全性。2访问控制列表（ACL）访问控制列表是应用在路由器接口的指令列表，

6、这些指令列表用来告诉路由 器哪些数据包可以接收，哪些数据包需要拒绝。至于数据包是被接收还是被拒绝， 可以由类似于源地址、目的地址、端VI号、协议等特定指示条件来决定。通过灵 活地增加访问控制列表，ACL可以当作一种网络控制的有力工具，用来过滤流入 和流出路由器接口的数据包。选题的意义：本次实验主要通过理解上述ACL的意义及功能，通过自己配置ACL来实现 对任意网段的数 据的阻塞和对任意网段的ping服务进行阻塞，以达到学会ACL 基本配置，理解ACL的功能及实现为目的.本文以某企业真实拓扑图为例，讨论 如何利用路由器的访问控制列表技术提高网络的安全性。访问控制列表的作用：各种数据在其上快速通过

7、，今天的网络就好比一条复杂的高速公路，各 种数据在其上快速通过，为了正确的规划流量，保证网络的畅通,安全.为了正确的规划流量，保证网络的畅通，安全。我们就要设一些禁行 标志、 规定单行线等等，标志、规定单行线等等，这就是网络上的ACL其实在网络上 有很多种方法可以实现以上的作用，其实在网络上有很多种方法可以实现以上 的作用，但是最简单易行的还是访问控制列表。还是访问控制列表。访问控制列表：就是用来在使用路由技术的网络里,识别和 过滤那些由某些 网络发出的或者被发送出去到某些网络的符合我们所规定条件的数据流量，符 合我们所规定条件的数据流量，以决定这些数据流量是应该转发还是应该丢弃 的技术。该转

8、发还是应该丢弃的技术。由于以上的定义我们可以看出，在路由器上实现ACL就是一种实现防火墙 的手段。ACL的应用放置在路由器的接口上，预先把建好的ACL放置在路由 器的接口上，对接口上进方向或 者出方向的数据包进行过滤，但是访问控制列 表只能过滤经过路 者出方向的数据包进行过滤，路由器的数据包，路由器的数 据包，不能过滤其本身产生的数据包。不能过滤其本身产生的数据包。二、主要研究内容本次实验设计在cisco packet tracer这款虚拟配置电脑平台的软件上操作的.要求用1841路由器，2950-24交换机，以及6台PC机，连接3个网络192。168.10.0/24，192。168.1。0/

9、30，192。168。11。0/24；本文以某企业真实拓扑图为例，讨论如何利用路由器的访问控制列表技术提 高网络的安全性。本次实验LAN_B只允许LAN_A的访问，拒绝其他网段的数据.ACL的配置可分为两个步骤：在全局配置模式下，使用下列命令创建ACLRouter(config)# access-list access-listnumber ( permit/deny testconditions其中accesslist-number为ACL的序列号。人们使用较频繁的序列号是 标准的 IP ACL(199)和扩展的 IPACL (100-199).注意，在路由器中，如果使用ACL的序列号进行配

10、置，则列表不能插入 或删除行(动态编辑).如果列表要插入或删除一行，必须先去掉ACL，然后 重新配置。在接口模式下，使用access-group命令将第一步中创建的ACL应用到 某一接口上。Router(config-if) # ip access-group access一list-number in/out其中,in和out参数可以控制接口中不同方向的数据包，ACL在一个接口 可以进行双向控制即配置两条命令，一条in，一条out，但是在一个接口的一 个方向上，只能有一个ACL控制。注意，把定义好的ACL应用在网络的什么地方，是能否实现原有的目的 和有效地减少不必要的通信流量的关键。通常情况

11、下标准的ACL要尽量靠近 目的端；扩展的ACL要尽量靠近源端。当然这不是绝对的，具体放在哪个位 置，要根据具体的情况分析.ACL技术可以有效的在三层上控制网络用户对网络资源的访问，它可以 具体到两台网络设备间的网络应用，也可以按照网段进行大范围的访问控 制管理，为网络应用提供了一个有效的安全手段。三、方案设计（小四号黑体，段前3磅，段后1磅,行间距20磅）本次实验设计在cisco packet tracer这款虚拟配置电脑平台的软件上操作的。要求用1841路由器，295024交换机，以及6台PC机，连接3个网络 192。168.10.0/24，192。168.1.0/30，192.168。11

12、。0/24;本次实验LAN_B只允许LAN_A的访问，拒绝其他网段的数据。1）某企业真实拓扑图如下:理后-上二；汩1：&匚皈PC-T；二rpc.e jIS. 168. ID.3 B. It 制顺理后-上二；汩1：&匚皈PC-T；二rpc.e jIS. 168. ID.3 B. It 制顺sOM：,2化主匕史fO/：Q段我.11.咖JFC-:T j_/jF2-:TFCF5:：E图1-12） IP地址规划:网络PC机或端口IP地址子网掩码1PC_A192.168。10.1/24255.255。255.0PC_B192。168.10。2/24PC_E192。168。10.3/242S0/0/0(Ro

13、uter0)192。168.1.1/30255.255。255。252S0/0/0(Routerl)192.168。1.2/303PC_C192。168。11。1/24255。255.255.0PC_D192。168.11.2/24PC_F192.168。11。3/24表1-13）关键技术及实现原理ACL信息点间通信和内外网络的通信都是企业网络中必不可少的业务需 求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问 特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL （访问控 制列表）可以过滤网络中的流量，控制访问的一种网络技术手段。实际上，ACL 的本质就是用于

14、描述一个IP数据包、以太网数据帧若干特征的集 合。然后根 据这些集合去匹配网络中的流量（由大量数据包组成），同时根据策 略来“允 许”或者“禁止”.作用：ACL可以限制网络流量、提高网络性能.ACL提供对通信流量的控制手段。ACL是提供网络安全访问的基本手段.ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。ACL的分类（基于IP）标准ACL标准型ACL只能匹配源IP地址，在应用中有三种匹配的 方式：1、any,指任意地址2、netmask，指定某个IP网段3、src_range,指定 IP 的地址范围 配置命令：ip accesslist standard name 标准 ACL

15、, name 为名字 （permit | deny any permit | deny end-ip扩展型ACL扩展型ACL可匹配多个条目，常用的项目有源、目的IP, 源、目的端口号，以及ip协议号（种类）等，可以用来满足绝大多数的应用. 在一个条件中，这些项目的前后顺序如下：协议号，源ip地址，源端口号， 目的ip地址，目的端 口号。配置命令：ip access-list extended name permit I deny ip I icmp I tcp I udp any | network | src_rangesrc_port any | network | src_range d

16、st_port2） EigrpEIGRP： Enhanced Interior Gateway Routing Protocol 艮口 增强内部网关路由线 路协议。也翻译为 加强型内部网关路由协议.EIGRP是Cisco公司的私有协 议.Cisco公司是该协议的发明者和唯一具备该协议解释和修改权的厂商。EIGRP结合了链路状态和距离矢量型路由选择协议的Cisco专用协议，采用弥散 修正算法（DUAL ）来实现快速收敛，可以不发送定期的路由更新信息以减少带 宽的占用，支持Appletalk、IP、Novell和NetWare等多种网络层协议。是Cisco的私有路由协议，它综合了距离矢量和链路状态

17、2者的优点，它 的特点包括：快速收敛链路状态包(Link-State Packet, LSP)的转发是不依靠路由计算的，所以 大型网络可以较为快速的进行收敛。它只宣告链路和链路状态，而不宣告路由， 所以即使链路发生了变化，不会引起该链路的路由被宣告.但是链路状态路由协 议使用的是Dijkstra算法，该算法比较复杂，并且和其他路由协议单独计算路由 相比较占CPU和内存资源,EIGRP采用弥散更新算法(diffusingcomputations ), 通过多个路由器并行的进行路由计算,这样就可以在无环路产生的情况下快速的 收敛。2。减少带宽占用EIGRP不作周期性的更新，它只在路由的路径和速度发

18、生变化以后做 部分更新.当路径信息改变以后，DUAL只发送那条路由信息改变了的更新，而 不是发送整个路由表.和更新传输到一个区域内的所有路由器上的链路状态路由 协议相比,DUAL只发送更新给需要该更新信息的路由器。在WAN低速链路 上,EIGRP可能会占用大量带宽，默认只占用链路带宽50%,之后发布的IOS允许 使用命令ip bandwidthpercent eigrp来修改这一默认值.3。支持多种网络层协议EIGRP通过使用“协议相关模块(即 protocol-dependentmodule)，可以支持 IPX，ApplleTalk， IP，IPv6 和 NovellNetware 等协议.

19、4。无缝连接数据链路层协议和拓扑结构EIGRP不要求对OSI参考模型的层2协议做特别的配置。不像 OSPF,OSPF对不同的层2协议要做不同配置，比如以太网和帧中继,EIGRP能够 有效的工作在LAN和WAN中，而且EIGRP保证网络及不会产生环路(loop-free); 而且配置起来很简单;支持VLSM；它使用组播和单播，不使用广播，这样做节 约了带宽；它使用和IGRP 一样的度的算法，但是是32位长的；它可以做非等 价的路径的负载平衡.四、主要设备命令配置1).配置使得各PC机之间可以相互通信routerA配置文档：RouterenableRouter#configure terminal

20、Enter configuration commands, one per line. End with CNTL/Z.Router ( config)#hostname RouterARouterA(config)#int S0/0/0RouterA (config-if) # ip address 255。255。255.252RouterA(configif) # clock rate 64000RouterA ( configif )# no shutdownRouterA ( config-if)# exitRouterA(config ) #int f0/0RouterA(conf

21、ig-if)#ip address 192。168。10.254 255.255。255。0RouterA(config-if )# no shutdownRouterA # config tEnter configuration commands,one per line. End with CNTL/Z.RouterA ( config)#router eigrp 1RouterA(config-router) #network 192。168。1.0RouterA(config-router)# network 192.168。10.0RouterA(configrouter)#no a

22、utoRouterA(config-router) #no auto-summaryRouterA ( config-router )# exitrouterB的配置文档：Router) enableRouter#configure terminalEnter configuration commands, one per line。End with CNTL/Z。Router(config)#hostname RouterBRouterB (config)#int s0/0/0RouterB (configif) #ip address 192.168。1.2 255.255。255.252

23、RouterB ( config-if) # no shutdown%LINK-5-CHANGED: Interface Serial0/0/0, changed state to upRouterB(configif)#%LINEPROTO-5UPDOWN: Line protocol on Interface Serial0/0/0, changedstate to upRouterB ( config-if) # exitRouterB(config)#int f0/0RouterB(config-if)#ip address 192。168.11.254 255。255。255。0Ro

24、uterB ( configif)# no shutdownRouterB # config tEnter configuration commands, one per line. End with CNTL/Z。RouterB (configrouter)#network RouterB(configrouter)#% DUAL-5-NBRCHANGE: IP-EIGRP 1: Neighbor 192.168。1.1 (Serial0/0/0)is up: new adjacencyRouterB (config-router)# network 192。168.11。0RouterB

25、( config-router) # no autoRouterB ( config-router) # no autosummary%DUAL-5NBRCHANGE: IPEIGRP 1: Neighbor 192。168。1.1(Serial0/0/0) is up: new adjacencyRouterB ( config-router )# exitRouterB ( config )# exit先查看RouterA和RouterB上的路由表：RouterALIOlXPhysical Config CLIIOS Command Line InterfaceJAL-5-NERCHANG

26、E; IP-IICRP 1; Neighbcr 15Z.1S3.1.Z (5eriaLO/O/3J is down; Inter tm关 Goodbye received% DUAL-5-NBRCHANGE: IP-HGRP 1: Neighbcr (5eriaL0/0/n is up: new adj acncyRoitarshow ip routeColes: C - connected S - static, I - IGRPf R - RIPf M - nubiler B - B&P D - EZGRP, EX - EI&RI external, 0 - OSPF, IA - OSPF

27、 inter arsa I1 - OSPF IfSSA ssten-al type 1, N2 - OSPF NSSA external Type 2 31 - OSPF exterr.al type 1, EZ - OSPF external 口ypm I, E ECP ;-IS-IS, LI - IS-If level-1, LZ - IS-IS level-2, la - IS-IS intei area - candidate defaultf U - per-user stati: roue, q - ODA ? - periodic doT.Tiloated static rout

28、eGa-eway of last resort is net set/30 is suhn&tted, 1 siibnetsC is directly connected, SeriaL0/0/JC /24 if directly CQimected, FastEthernetO/JD 152.1S8.11.0/24 90/Z17Z41S via , 00;00;lB, Serial0/0/0 如心JVtC叩 yPasteRouterBHfxRouterBPhysical Config lliIOS Command Line InterfaceLIL- IL n IJ UI

29、1 J_ i y U LIL-1 L #%DUAL-.5-ETERCHAI-IGE : IP-HI&RP 1: NelghL-or 13Z_ 16S. 1_ 1 ( SerlalO/n/n ；i is up : 口已w adj ac encyP.out erE (c on f ig-r out er J 堂 e x itP.out-erE (c口nf igj #exit% STS-COMFTC_T : Conf igur ad f mm consnlQ by confolafi.oi.it eirEip it oi.iteCod s: C - uonjinczbud. S - staticI

30、-工 GRF. P. - R 工 M - motiilu. B - EGPD - EIGRP, EX - ElGRP external - f IA - ospf inter area N1 - LiSPF NS SA external 七 ypm 1, N - OSPF NSSA external t-e El - OSPF external type： 1. EE - OSPF external 匕ype Z E - EGP i - IS-IS, LI - IS-IS level-L, LZ - IS-IS level-Z, ia - IS-IS inter area * - c aiid

31、i dat e de f ault, U - per-us er st at i c route F o - UDP.P - periodic duTmloaded static routeCat QT-Ty o 1itqsoft is iiat sst1SE _ 168 1 _ u/30 is sUbneuued. 1 suljneusC13Z. 16S_ 1. is dlrtji-t.ly CiZiiinecteil, Serlain/n/oD 192-16LlLi-0./Z4 90./21T2416 via 192 _ 168.1.100:00:10, SerialO/Li/OC 19Z

32、_ 16EL 11- 0/Z4 is directly coniiected FastEthernetU/OP.out erE itV |Copy Paste图13PC_A 访问 PC_F 以及 192。168.1。2192.168。1.0 的网络访问 LAN_Bf RouterA. Xi!Physical Config CUIOS Command Line InterfaceElilL女ARouLerAeiHouterAping 19M6S.il.2Typ己 escape seence to 曲口什.Eeniing 5r lOO-jyt.G ICMP Echos to 192.1S8.1U,

33、 tint out H 2 seconds: .iiiiSuczess rate is 80 percent ：4/5)f round-trip nin/avc/max = 78/82/33 msRouEgg Typm escape secjience to abort.Seniing 5r 100-jyte ICMP Echos to , timeout M Z seconds: .iiiiSuczess rite is 80 percent ：4/5，round-trip nin/avc/maK = 78/3C/34 msuterASping 19M68.il.3Typm escape s

34、eance to abort.Sending 5r 100-byte ICHP Echos to , tineout is I seconds: 11111Success rate is 100 percent (E/E). round-trip min/avg/maK = 93/S3/94 msHou:erA#|Copy PasteI图1-53)本次实验LAN_B只允许LAN_A的访问，拒绝其他网段的数据.Router (config-if)#access-list 1 permit 192。168.10。0 0.0。0.255分析我们应该将此访问列表放置在哪个网络的位置能最好的实现此功能设

35、想一：将定义的ACL放置在RouterA的f0/0接口时，RouterAenRouterA#config tEnter configuration commands, one per line。 End with CNTL/Z.RouterA(config)# access-list 1 permit 192。168.10。1 0.0.0。255RouterA (config)#exitRouterA #%SYS5-CONFIG_I： Configured from console by consoleRouterA#config tEnter configuration commands,

36、one per line。End with CNTL/Z。RouterA(config )# int f0/0RouterA(config-if) # ip accessgroup 1 inRouterA(configif) # exitRouterA (config) # exit%SYS-5CONFIG_I: Configured from console by consoleRouterA # show accRouterA # show accesslistsStandard IP access list 1permit 192。168.10.0 0.0.0。255设想二：将定义的AC

37、L放置在RouterA的s0/0/0接口时；RouterA ( config ) # int s0/0/0RouterA (configif)#ip accessgroup 1 outRouterA(configif)#exitRouterA (config)#exitRouterA#show access-listsStandard IP access list 1permit 192。168。10。0 0.0。0。255设想三：将定义的ACL放置在RouterB的s0/0/0接口时；RouterB # config tEnter configuration commands, one pe

38、r line. End with CNTL/Z。RouterB (config)#accRouterB(config)# accesslist 1 permit 192.168.10。0RouterB(configif)#ip accRouterB(configif)#ip accessgroup 1 inRouterB ( configif) #exitRouterB(config) #exit%SYS-5-CONFIG_I: Configured from console by consoleRouterB # show% DUAL5NBRCHANGE: IP-EIGRP 1： Neigh

39、bor 192。168。1.1 (Serial0/0/0) is down： holding time expiredaccRouterB#show access-listsStandard IP access list 1permit host 192.168.10。0%SYS5CONFIG_I： Configured from console by consoleRouterB#show ip routeCodes: C connected, S static, I IGRP, R RIP, M - mobile, B BGPD - EIGRP, EX EIGRP external, O

40、OSPF, IA - OSPF inter area N1 OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 OSPF external type 1, E2 OSPF external type 2, E EGPi - IS-IS, L1 - IS-IS level1, L2 IS-IS level2, ia - IS-IS inter area* - candidate default, U - peruser static route, o ODRP periodic downloaded static routeG

41、ateway of last resort is not set192.168。1.0/30 is subnetted, 1 subnetsC 192。168.1.0 is directly connected, Serial0/0/0D 192。168.10.0/24 90/2172416 via 192.168。1.1, 00:03： 12, Serial0/0/0C 192.168。11.0/24 is directly connected, FastEthernet0/0此时显示：%DUAL-5-NBRCHANGE： IP-EIGRP 1: Neighbor 192.168。1.1 (

42、Serial0/0/0) is down: holding time expired再次查看路由表RouterB#show ip routeCodes: C connected, S static, I - IGRP, R - RIP, M - mobile B BGPD - EIGRP, EX EIGRP external, O OSPF, IA OSPF inter areaN1 - OSPF NSSA external type 1, N2 OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external typ

43、e 2, E EGPi - ISIS, L1 - IS-IS level1, L2 - IS-IS level-2, ia ISIS inter area* candidate default, U - per-user static route, o - ODRP periodic downloaded static routeGateway of last resort is not set192.168。1.0/30 is subnetted, 1 subnetsC is directly connected, Serial0/0/0C192.168。11.0/24 is directl

44、y connected, FastEthernet0/0在RouterA 上此时显示：DUAL-5NBRCHANGE: IP-EIGRP 1： Neighbor 192.168。1.2 (Serial0/0/0) is down: retry limit exceeded%DUAL5NBRCHANGE: IP-EIGRP 1: Neighbor 192。168。1.2 (Serial0/0/0) is up： new adjacency%DUAL-5NBRCHANGE: IPEIGRP 1： Neighbor 192。168。1.2 (Serial0/0/0) is down: retry l

45、imit exceeded%DUAL-5NBRCHANGE: IPEIGRP 1： Neighbor 192.168。1.2 (Serial0/0/0) is up： new adjacency%DUAL-5NBRCHANGE: IP-EIGRP 1: Neighbor 192。168。1。2 (Serial0/0/0) is down: retry limit exceeded%DUAL5NBRCHANGE: IP-EIGRP 1: Neighbor (Serial0/0/0) is up： new adjacency显示路由表：RouterAenRouterA # show ip rout

46、eCodes: C connected, S - static, I IGRP, R - RIP, M mobile, B - BGPD EIGRP, EX EIGRP external, O - OSPF, IA - OSPF inter areaN1 OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGPi IS-IS, L1 - ISIS level-1, L2 - ISIS level-2, ia IS-I

47、S inter area大 一candidate default, U - peruser static route, o ODRP - periodic downloaded static routeGateway of last resort is not set192.168。1.0/30 is subnetted, 1 subnetsC 192.168。1.0 is directly connected, Serial0/0/0C 192。168.10.0/24 is directly connected, FastEthernet0/0RouterA#%DUAL5NBRCHANGE:

48、 IP-EIGRP 1: Neighbor 192.168。1。2 (Serial0/0/0) is down： retry limit exceeded设想四：将定义的ACL放置在RouterB的f0/0接口时；RouterB # config tEnter configuration commands, one per line。End with CNTL/Z。Lffi. 1GB. L0.Lffi. 1GB. L0.1/24五、测试结果与分析（通过运行截图分析）accEEE-list 1 pernit 192.L6S. 1D.0 0.D.0.2S554D 顾Mm./24PC-PT PC_C

49、PC-PTPC-B yLK.1GB.L0.2/24L1卫吒Route rArauterA fD/O ip 3ccess_grDq)1 inPC-PT1E41RouterfiyE. Ltti. 11.4PC-PT PC_DPC-PT图1-6标准ACL放置位置之设想一此时测试:Phys calConfigCDUUlibUlVcopyPaste图18图UUlibUlVcopyPaste图18图18IOS Command Line InterfaceLUirrTU_L-iJIlliqi-LI. yi-lLI UHLUUIlbUXb! UyP.QUterAjJcaiifig tEnter confiij

50、uration CLiiiiiiaiids one per litie. End witli CNTL/E.巨rA i： c iinfig )2int f0/0P.out e rA (c inf ig- if)# accRouterA(config-if)#ip accP.out.erA(config-if) flip access-group 1 inRout-erA ( caniq-i J itsxitRout- e rA (c onf ig) Jex it% SYS-5-CONFIG I: Conf iiT-ired f roiii conso 1 e by consoleP.out e

51、r A# show 旦匚P.out.arA#sIiotij access-1 ist.sStaiidard IP access lit. 1permit 152.1SS. lu.u ij.ij-U.255B.out.erA#ping 132.168-11.3Tqzie esc ap e seiuence to aln o rt.lending 5, lUU-Ja-e ICMP Ech-: to 13Z. 168,11.3Z t iiiiecut- if Z sscdiaIs:Sue 121!ssis 1UU pGrChjiit (5/5) r ri：ii.Uid-t.rip riin/avg/

52、iLLa-r = 62/78/94 ns分析：当将定义的ACL放置在RouterA的f0/0接口时；192。168。10. 0 网络可以访问 ；而且 192。168。1.0 网络也 可以访问192.168。11。0，所以这种设想不能满足用户要求，因为用户的目的 实际是只允许192。168。10. 0网络进入192。168.11。0，而上图的配置不能过 滤其他网段的数据进入LAN_B。ajcceis-LiEt 1 pejnii 132. L6B. 10.0 0 255192 膨 10.1/24PC_E图1-9标准ACL放置位置之设想二此时测试:Eout erA.13回区Eout erA.Phys

53、ical Config CLIIOS Command Line InterfaceA.% SYS - S- C ONFI G_I: C on f i ijpir e d from console by consoleP.out e rA# c on. f i g tEnt-er conf i.iration. ccinmaiids,. ons per 1 ine . 2nd i.-ith CNTL/E -P.uuterA (cunf ig) Sint s0/0/0P.uut e rA i： c on.fi g- i f J #ip an cP.uuterA (cuiif ig-i f) #ip

54、 access-group 1 outP.outerA (con.fig-i f) #exitP.uuterA (cuiif ig) #end% SYS - S- C ONFI G_1: Conf iizp.ired from console hy consoleP.uute rA#show ar cP.uute rA#show ac cess-listsStaiidsrd IP access list 1permit 192-168.10-0 0.0. U_ 2-55P.outerAspiiLg 13Z. 16E：. 11.1Typie escape seijuence to ort-Sen

55、ding .5. 1U U -brr. p I CM J1 Echos to 192-168. 11-1 t inie out is Z secunds: _ I i i iSuccess rate is 8 0 p ere ent (4/5) , romid-tr ip nin/ svg/iiiELX = 78/89/94 msP.out-erA#Copy Paste图 111分析:当将定义的ACL放置在RouterA的S0/0/0接口时;192.168.10。0 网络可以访问 192.168。11.0；而且 192。168.1。0 网络也 可以访问192.168。11.0,所以这种设想不能

56、满足用户要求，因为用户的目的实 际是只允许192。168.10。0网络进入192.168.11O 0,而上图的配置不能过滤其 他网段的数据进入LAN_B.PC-P-:：_E图1-12标准ACL放置位置之设想三此时测试:RouteiAPhysicalConfigiOS Command Line InterfaceJAL-S-NERCHAUCE: IP-EIGRP 1: Neighbor (SerialO/O/O) is up: new adjac=ncyTy?e escape sequence toSending 5, 100-bre ICMP E:hos m 192.16

57、E.11.tineout is Z seconds:Success rate is C percent (0/5JRQuterAlping 13Z.168.11.1Tye escape setptnce to abirt.Sending 5, lOO-bte I CUP Eqs 口口 192.16E. 11. tiueout is seconds;JAL-S-MEnCHAMGE: IP-EIGPP 1: Neighbor (SerialO/O/O) is down: retry limit exceededJAL-S-WERCHAWCI; IP-EIGR? 1; Neighbor 15Z.ie8.1.2 (SerialO/O/OJ is up: new adac=ncySuccess 皿e is C percent (0/5J l RouterMl图 1-14分析:当将定义的ACL放置在RouterB的S0/0/0接口时；如上图所示，当把过滤要求access-list 1 permit 192.168。10。0 0。0。0。255 应用在 RouterB 的 s0/0/0 接口(ip access-group 1 in)时，Neighbor 192。168.1.1 (Serial0/0/0) is down: holding time ex