实验7-2 (ACL)扩展的访问控制列表的配置

曾巧文 发布于:2011-11-11 13:37 分类:计算机网络 标签: ACL

1.实验背景

假设在我们学校有规定,大一的新生所在网段不能访问学校的WEB服务器;同时我们学校规定大一新生所在网段室192.168.10.0/24;学校WEB服务器所在网段是192.168.20.0/24,通过配置扩展的访问控制规则,我们可以实现对网络特定服务访问的安全控制。

2.实验环境

  扩展的访问控制列表的配置

7-4    扩展的访问控制列表配置环境图

【实验设备】R2624R2620路由器1

本实验首先要配置路由器Fa0Fa1端口的IP地址为192.168.10.1192.168.20.1,这两个个端口分别连接2个不同的网段;然后在路由器上配置扩展ACL,拒绝来自192.168.10.0网段访问192.168.20.0WEB服务器,但是允许其他流量通过,最后把该访问控制列表应用在端口Fa0

3.实验步骤

1) 基本配置

Red-Gaint >
Red-Gaint > enable
Red-Gaint # configure  terminal
Red-Gaint (config) # hostname  R1
R1 (config) # interface fastEthernet 0    //进入Fa0接口
R1 (config-if) # ip address 192.168.10.1 255.255.255.0 // 配置Fa0的IP地址
R1 (config-if) # no shutdown       //开启接口Fa0
R1 (config-if) # interface fastEthernet 1   //进入Fa1接口
R1 (config-if) # ip add 192.168.20.1 255.255.255.0   //配置Fa1的IP地址
R1 (config-if) # no shutdown     //开启接口Fa1
R1 (config-if) # end

测试命令:

R1 # show ip interface brief   // 观察接口状态
Interface    IP-Address   OK?   Method   Staus               Protocol
Fastethernet0  192.168.10.0  YES   manual   up                    up
Fastethernet1  192.168.20.0  YES   manual   up                    up
Fastethernet2  unassigned    YES   unset   administratively down  down
Fastethernet3  unassigned    YES   unset   administratively down  down
Serial0        unassigned    YES   unset   administratively down  down
Serial1        unassigned    YES   unset   administratively down  down

2) 配置扩展的IP访问控制列表

R1(config) # access-list 101 deny tcp 192.168.10.0  0.0.0.255  192.168.20.0  0.0.0.255  eq  web //拒绝来自192.168.10.0网段访问192.168.20.0WEB服务器

R1(config)# access-list 101 permit ip any any  //允许其他流量通过

测试验证

R1 # show access-lists 101
Extended  IP access-list 101
         deny tcp 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 eq web
         Permit ip any any

3)把访问控制列表在接口下应用

R1(config)# interface fastEthernet 0

R1(config-if) # ip access-group 101 in   //在访问控制列表接口下入栈流量调用

思考题:请大家考虑一下,如果要将访问控制规则应用在端口Fa1上,这时应该如何改写访问控制规则?如果流量控制由in改为out,这时又会怎样呢?

测试验证:

R1(config)#Show ip interface f0
   FasterEthernet0 is up,line protocol is up
Internet sddress is 192.168.10.1/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper address is not set
Directed broadcast forwarding is disabled
Outgoing access list is not set
Inbound access list is 101

4.注意事项

1) 注意在访问控制列表的网络掩码是反掩码

2) 标准控制列表要应用在尽量靠近目的地址的接口

3) 注意标准访问控制列表的编号是从199

版权所有:《曾巧文博客-关注互联网IT技术,记录生活点滴》 => 《实验7-2 (ACL)扩展的访问控制列表的配置
本文地址://qiaowen.net/post-1124.html
除非注明,文章均为 《曾巧文博客-关注互联网IT技术,记录生活点滴》 原创,欢迎转载!转载请注明本文地址,谢谢。

有 4432 人浏览,获得评论 0 条

发表评论:

Powered by emlog 粤ICP备12040901号

>>本作品采用-知识共享署名-非商业-禁止演绎-协议-进行许可 |站点地图 | | | | 开放分类目录 |