13 
虚拟仿真──配置思科 ACL 技术

1.项目步骤

访问控制列表简称为ACL,它使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。ACL 分很多种,不同场合应用不同种类的ACL。要求根据图8-16所示的拓扑结构图搭建网络。允许172.16.0.0/24网络访问192.168.100.0/24网段所有主机,但是只允许其访问192.168.0.0/24网段中的server0的www服务。禁止172.16.1.0/24网段主机访问192.168.100.0/24网络,只禁止172.16.1.0/24网段主机访问192.168.0.0/24网段中的server0的FTP服务。分别采用编号的访问控制列表和命名的访问控制列表完成下面的各项实训任务,并验证结果的正确性。

图8-16 配置访问控制列表随堂实训拓扑图

前期准备按照拓扑图配置网络设备和计算机的地址,并开启服务器对应服务,设置路由器时钟频率 (具体操作略) 。

(1)Router0的基本配置:
Router>en                   //进入特权模式

Router#configure terminal   //进入全局配置模式

Router(config)#int f1/0     //进入端口

Router(config-if)#ip add 172.16.0.1 255.255.255.0  //配置ip及掩码

Router(config-if)#no shut   //开启端口

Router(config-if)#int f0/0

Router(config-if)#ip add 172.16.1.1 255.255.255.0

Router(config-if)#no shut

Router(config-if)#int f4/0

Router(config-if)#ip add 202.102.1.1 255.255.255.252

Router(config-if)#no shut

Router(config-if)#exit

Router(config)#route rip                  //使用rip路由协议

Router(config-router)#version 2           //使用rip协议第二版本

Router(config-router)#network 172.16.0.0  //配置关联网络

Router(config-router)#network 202.102.1.0   

Router(config-router)#
(2)Router1的基本配置:
Router>en

Router#conf t

Router(config)#int f4/0

Router(config-if)#ip add 202.102.1.2 255.255.255.252

Router(config-if)#no shut

Router(config-if)#int f1/0

Router(config-if)#ip add 192.168.0.1 255.255.255.0

Router(config-if)#no shut

Router(config-if)#int f0/0

Router(config-if)#ip add 192.168.100.1 255.255.255.0

Router(config-if)#no shut

Router(config-if)#exit

Router(config)#route rip

Router(config-router)#version 2

Router(config-router)#network 192.168.0.0

Router(config-router)#network 192.168.100.0

Router(config-router)#network 202.102.1.0

Router(config-router)#exit

Router(config)#exit

2.项目调试

从PC0上ping PC2、Server0、Laptop0都通;

从PC1上ping PC2、Server0、Laptop0都通;

从PC0、PC1都可以访问Server0的WWW、FTP服务;

说明:

(1)允许172.16.0.0/24网络访问192.168.100.0/24、192.168.0.0/24网段所有主机,包括server0的www服务。

(2)允许172.16.1.0/24网段主机访问192.168.100.0/24、192.168.0.0/24网络,包括 server0的FTP服务。

(3)在Router1上配置编号的ACL,以实现相应的网络访问控制,并验证访问控制效果。

在Router1上配置ACL。
Router>en

Router#

Router#conf t

Router(config)#access-list 100 permit ip 172.16.0.0 0.0.0.255 192.168.100.0 0.0.0.255

Router(config)#access-list 100   permit tcp 172.16.0.0 0.0.0.255 host 192.168.0.2 eq www

Router(config)#access-list 100 deny ip 172.16.1.0 0.0.0.255 192.168.100.0 0.0.0.255

Router(config)#access-list 100 deny tcp 172.16.1.0 0.0.0.255 host 192.168.0.2 eq 21

Router(config)#access-list 100 permit ip 172.16.1.0 0.0.0.255 any

Router(config)#int f4/0

Router(config-if)#ip access-group 100 out

Router(config-if)#
查看ACL。
Router#show ip access-lists

显示结果如下:

Extended IP access list 100

  permit ip 172.16.0.0 0.0.0.255 192.168.100.0 0.0.0.255 (4 match(es))

  permit tcp 172.16.0.0 0.0.0.255 host 192.168.0.2 eq www (34 match(es))

  deny ip 172.16.1.0 0.0.0.255 192.168.100.0 0.0.0.255

  deny tcp 172.16.1.0 0.0.0.255 host 192.168.0.2 eq ftp

  permit ip 172.16.1.0 0.0.0.255 any
Router#show ip int f4/0

显示结果如下:

FastEthernet4/0 is up, line protocol is up (connected)

    Internet address is 202.102.1.1/30

    Broadcast address is 255.255.255.255

    Address determined by setup command

    MTU is 1500

    Helper address is not set

    Directed broadcast forwarding is disabled

    Outgoing access list is 100

    Inbound  access list is not set

……