ACL IP访问控制列表配置实验

1、IP访问控制列表配置目录：第一个任务的：验证测试5第二个任务的：交换机的验证测试9第三个任务的：扩展访问验证测试14最后-总结：15 表示重要的一、IP标准访问控制列表的建立及应用 工作任务 你是学校网络管理员，学校的财务处、教师办公室和校办企业财务科分属不同的3个网段，三个部门之间通过路由器进行信息传递，为了安全起见，学校领导要求你对网络的数据流量进行控制，实现校办企业财务科的主机可以访问财务处的主机，但是教师办公室主机不能访问财务处主机。 首先对两路由器进行基本配置，实现三个网段可以相互访问；然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表，允许192.168.1.

2、0网段（校办企业财务科）主机发出的数据包通过，不允许网段（教师办公室）主机发出的数据包通过，最后将这一策略加到路由器RouterB的Fa 0端口，如图所示。第1步：基本配置路由器RouterA：R enableR #configure terminalR(config)#hostname RouterARouterA (config)# line vty 0 4 VTY是路由器的远程登陆的虚拟端口,0 4表示可以同时打开5个会话,line vty 0 4是进入VTY端口,对VTY端口进行配置,比如说配置密码,RouterA (config-line)#loginRoute

3、rA (config-line)#password 100RouterA (config-line)#exitRouterA (config)# enable password 100RouterA (config)#interface fastethernet 0/0 RouterA (config-if)#ip address RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface s0/3/0 RouterA (config-if)

4、#ip address RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface s0/3/0 RouterA (config-if)#ip address RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#ip route 192.166.12

5、.2路由器RouterB：R enableR #configure terminalR(config)#hostname RouterBRouterB (config)# line vty 0 4 RouterB (config-line)#loginRouterB (config-line)#password 100RouterB (config-line)#exitRouterB (config)# enable password 100RouterB (config)#interface fastethernet 0/0 RouterB (config-if)#ip address 19

6、 RouterB (config-if)#no shutdownRouterB (config-if)#ExitRouterB (config)#interface s0/3/1 RouterB (config-if)#ip address RouterB (config-if)#no shutdownRouterB (config-if)#ExitRouterB (config)#ip route RouterB (con

7、fig)#ip route 第2步：在路由器RouterB上配置IP标准访问控制列表RouterB (config)#access-list 1 deny 55RouterB (config)#access-list 1 permit 55RouterB #show access-list 1第3步： 应用在路由器RouterB的Fa 0/0接口输出方向上RouterB (config)#interface fastethernet 0/0 R

8、outerB (config-if)#ip access-group 1 out 验证测试RouterB #show ip interface fastethernet 0/0 第4步：验证测试 在校企主机的命令提示符下Ping 0，能Ping通。 在老师办公室主机的命令提示符下Ping 0，不能Ping通。第二：任务如图所示， 首先对交换机进行基本配置，实现三个网段可以相互访问；然后对交换机配置IP标准访问控制列表，允许网段（校企财务科）主机发出的数据包通过，不允许网段（教师办公室）主机发出的数据包通过，

9、最后将这一策略加到交换机VLAN30的SVI端口输出方向上。根据拓扑图：第1步：交换机的基本配置Switch#configure terminalSwitch(config)#hostname s3550Switch(conifg)#ip routingSwitch(conifg)#vlan 10Switch(config-vlan)#exitSwitch(conifg)#vlan 20Switch(config-vlan)#exitSwitch(conifg)#interface fastethernet 0/1Switch(conifg-if)#switchport mode access

10、Switch(conifg-if)#switchport access vlan 10Switch(conifg-if)#exitSwitch(conifg)# interface fastethernet 0/6Switch(conifg-if)#switchport mode accessSwitch(conifg-if)#switchport access vlan 20Switch(config-vlan)#exitSwitch(conifg)# interface fastethernet 0/20Switch(conifg-if)#switchport mode accessSwi

11、tch(conifg-if)#switchport access vlan 30Switch(config-vlan)#exitSwitch(conifg)#Switch(config)#interface vlan 10Switch(conifg-if)#ip address Switch(conifg-if)#no shutdownSwitch(conifg-if)#exitSwitch(config)#interface vlan 20Switch(conifg-if)#ip address 255.255.255

12、.0Switch(conifg-if)#no shutdownSwitch(conifg-if)#exitSwitch(config)#interface vlan 30Switch(conifg-if)#ip address Switch(conifg-if)#no shutdownSwitch(conifg-if)#endSwitch#查看三层交换机的路由表Switch#show ip route第2步：配置命名IP标准访问控制列表Switch(config)#ip access-list standard ABC 既可以 列表好，也可以

13、直接 名字就可以了Switch(config-std-nacl)#deny 55Switch(config-std-nacl)#permit 55Switch(config-std-nacl)#exitSwitch(config)#interface vlan 30Switch(config-if)# ip access-group ABC out验证测试Switch#show ip interface vlan 30第3步：验证测试 在PC1主机的命令提示符下Ping 0，能Ping通。 在PC

14、2主机的命令提示符下Ping 0，不能Ping通。二、IP 【扩展访问控制列表】 的建立及应用工作任务你是学校网络管理员，学校的网管中心分别架设FTP、Web服务器，其中FTP服务器供教师专用，学生不可使用；Web服务器教师和学生都可访问。FTP及Web服务器、教师办公室和学生宿舍分属不同的3个网段，三个网段之间通过路由器进行信息传递，要求你对路由器进行适当设置实现网络数据流量控制。首先对两路由器进行基本配置，实现三个网段相互访问；然后对离控制源地址较近的路由器RouterA配置IP扩展访问控制列表，不允许网段（学生宿舍）主机发出的去192.168.

15、3.0网段的FTP数据包通过，允许网段主机发出的其它服务数据包通过，最后将这一策略加到路由器RouterA的Fa 0端口 ，如图所示 。根据相应的图画出拓扑图：第1步：基本配置路由器RouterA：R enableR #configure terminalR(config)#hostname RouterARouterA (config)# line vty 0 4 RouterA (config-line)#loginRouterA (config-line)#password 100RouterA (config-line)#exitRouterA (config)#

16、 enable password 100RouterA (config)#interface fastethernet 0/0 RouterA (config-if)#ip address RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#interface s0/3/0 RouterA (config-if)#ip address RouterA (config-if)#no shutdownRou

17、terA (config-if)#ExitRouterA (config)#interface fastethernet 0/1 RouterA (config-if)#ip address RouterA (config-if)#no shutdownRouterA (config-if)#ExitRouterA (config)#ip route 路由器RouterB：R enableR #configure terminalR(config)#hostname R

18、outerBRouterB (config)# line vty 0 4 RouterB (config-line)#loginRouterB (config-line)#password 100RouterB (config-line)#exitRouterB (config)# enable password 100RouterB (config)#interface f 0/0 RouterB (config-if)#ip address RouterB (config-if)#no shutdownRouterB (config-if)

19、#ExitRouterB (config)#interface s0/1 RouterB (config-if)#ip address RouterB (config-if)#no shutdownRouterB (config-if)#ExitRouterB (config)#ip route RouterB (config)#ip route 第2步：在路由器RouterA上配置IP扩展访

20、问控制列表 拒绝来自 网段去网段的FTP流量通过RouterA (config)#access-list 101 deny TCP 55 55 eq FTP 还可以控制某一些端口的出入允许其它服务的流量通过 RouterA (config)#access-list 101 permit IP any any 验证测试 RouterA #show access-list 101第3步： 把访问控制列表应用在路由器RouterA的Fa 0/0接口输入方向上。 RouterA(config)#interface fastethernet 0/0 RouterA (config-if)#ip access-group 101 in第4步：分别配置FTP和Web服务器FTP服务器Web服务器第5步：验证测试 在PC1主机的命令提示符下Ping 0，能Ping通。但是发送FTP 包就不能通，如下图： PC2五、总结：l 本次实验难度不大，主要小心一下端口的配置，还有一些IP访问的规则就行了。l WEB服务器配置时，要自己去定义发送FTP 数据包，这样才能测试到结果。l RouterA (config)# line vty 0 4 l