1.项目步骤
访问控制列表简称为ACL,它使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。ACL 分很多种,不同场合应用不同种类的ACL。要求根据图8-16所示的拓扑结构图搭建网络。允许172.16.0.0/24网络访问192.168.100.0/24网段所有主机,但是只允许其访问192.168.0.0/24网段中的server0的www服务。禁止172.16.1.0/24网段主机访问192.168.100.0/24网络,只禁止172.16.1.0/24网段主机访问192.168.0.0/24网段中的server0的FTP服务。分别采用编号的访问控制列表和命名的访问控制列表完成下面的各项实训任务,并验证结果的正确性。
前期准备按照拓扑图配置网络设备和计算机的地址,并开启服务器对应服务,设置路由器时钟频率 (具体操作略) 。
Router>en //进入特权模式
Router#configure terminal //进入全局配置模式
Router(config)#int f1/0 //进入端口
Router(config-if)#ip add 172.16.0.1 255.255.255.0 //配置ip及掩码
Router(config-if)#no shut //开启端口
Router(config-if)#int f0/0
Router(config-if)#ip add 172.16.1.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#int f4/0
Router(config-if)#ip add 202.102.1.1 255.255.255.252
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#route rip //使用rip路由协议
Router(config-router)#version 2 //使用rip协议第二版本
Router(config-router)#network 172.16.0.0 //配置关联网络
Router(config-router)#network 202.102.1.0
Router(config-router)#
Router>en
Router#conf t
Router(config)#int f4/0
Router(config-if)#ip add 202.102.1.2 255.255.255.252
Router(config-if)#no shut
Router(config-if)#int f1/0
Router(config-if)#ip add 192.168.0.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#int f0/0
Router(config-if)#ip add 192.168.100.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#route rip
Router(config-router)#version 2
Router(config-router)#network 192.168.0.0
Router(config-router)#network 192.168.100.0
Router(config-router)#network 202.102.1.0
Router(config-router)#exit
Router(config)#exit
2.项目调试
从PC0上ping PC2、Server0、Laptop0都通;
从PC1上ping PC2、Server0、Laptop0都通;
从PC0、PC1都可以访问Server0的WWW、FTP服务;
说明:
(1)允许172.16.0.0/24网络访问192.168.100.0/24、192.168.0.0/24网段所有主机,包括server0的www服务。
(2)允许172.16.1.0/24网段主机访问192.168.100.0/24、192.168.0.0/24网络,包括 server0的FTP服务。
(3)在Router1上配置编号的ACL,以实现相应的网络访问控制,并验证访问控制效果。
Router>en
Router#
Router#conf t
Router(config)#access-list 100 permit ip 172.16.0.0 0.0.0.255 192.168.100.0 0.0.0.255
Router(config)#access-list 100 permit tcp 172.16.0.0 0.0.0.255 host 192.168.0.2 eq www
Router(config)#access-list 100 deny ip 172.16.1.0 0.0.0.255 192.168.100.0 0.0.0.255
Router(config)#access-list 100 deny tcp 172.16.1.0 0.0.0.255 host 192.168.0.2 eq 21
Router(config)#access-list 100 permit ip 172.16.1.0 0.0.0.255 any
Router(config)#int f4/0
Router(config-if)#ip access-group 100 out
Router(config-if)#
Router#show ip access-lists
显示结果如下:
Extended IP access list 100
permit ip 172.16.0.0 0.0.0.255 192.168.100.0 0.0.0.255 (4 match(es))
permit tcp 172.16.0.0 0.0.0.255 host 192.168.0.2 eq www (34 match(es))
deny ip 172.16.1.0 0.0.0.255 192.168.100.0 0.0.0.255
deny tcp 172.16.1.0 0.0.0.255 host 192.168.0.2 eq ftp
permit ip 172.16.1.0 0.0.0.255 any
Router#show ip int f4/0
显示结果如下:
FastEthernet4/0 is up, line protocol is up (connected)
Internet address is 202.102.1.1/30
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is 100
Inbound access list is not set
……