实验7-4 (ACL)基于专家的访问控制列表

曾巧文 发布于:2011-11-25 10:39 分类:计算机网络 标签: ACL

1.实验背景

出于安全考虑,某企业网络管理员需要按物理地址及网络地址禁止某些主机访问某服器,但允许其他主机访问,现在需要在交换机上做相应配置,通过基于物理地址和网络地址及可选的协议端口对网络访问进行控制,提高网络的安全性。                

7-6   基于专家的访问控制列表配置环境图

【实验设备】

S 2126G(1)R2624(1)

本实验以1S2126G交换机和1R2624路由器为例。PCIPC2IP地址分别为172.16.1.1/24172.16.1.3/24,缺省网关为172.16,1.2/24,服务器(Server)IP地址和缺省网关分别为160.16.1.1/24160.16.1.2/24,路由器的接口F0FlIP地址分别为160.16.1.2/24160.16.1.2/24

3.实验步骤

1) 在交换机上定义专家级访问列表,输入如下代码:

Switch(config)#expert access-list extended e1    //定义专家级访问列表e1

Switch(config-ext-nacl)#deny ip host 172.16.1.1 host OOeO.9823.9526 host 160.16.1.1 any  //禁止Ip地址和MAC地址为172.16.1.1OOeO.9823.9526的主机访问,地址为160.16.1.1的主机

Switch(config-ext-nacl)#permit any any any any

验证测试:验证访问列表配置

Switch#show access-lists e1    //显示专家级访问列表el
Expert access list:el
deny ip host 172.16.1.1 host 00e0.9823.9526 host 160.16.1.1 any
permit ip any any any any
或
Switch#show running-config    //此处只列出相应配置
expert access-list extended el
  deny ip host 172.16.1.1 host 00e0.9823.9526 host 1 60.16.1.1 any
  permit ip any any any any

2) 在接口上应用专家级访问列表,输入如下代码:

Switch(config)#interface fastethernet 0/l  //进入接口Fo/1配置模式
Switch(config-if)#expert access-group el in  //在接口F0/1的入方向上应用专家级访问列表e1

验证测试:验证接口上应用的访问列表

Switch#show access-group

Interface  inbound access-list  outbound access-list

――――   ―――――――――― ――――――――――――

 Fa0l    el

3) 测试访问列表的效果,输入如下代码:

C\\>ping 160.16.1.1    //验证PCI不能访问服务器160.16.1.1

然后再输入如下代码:

C:\>ping 172.16.1.3    //验证PCI能访问PC2(172.16.1.3)

最后输入如下代码:

c:\>ping 160.16.1.1    //验证PC2能访问服务器160.16.1.1

3. 注意事项

1)专家级访问列表用于过滤二层和三层、四层数据流:

2)专家级访问列表可以使用源MAc地址、目的MAc地址、以太网类型、源IP、目的IP、及可选的协议类型信息作为匹配的条件。

4 小结与思考

    ACL访问控制列表多应用与网络中进行流量控制和网络安全方面的控制,是网络中应用非常广泛的技术。通过本次实验学习,我们要理解ACL的工作原理,反掩码的计算,以及标准访问控制列表和扩展访问控制列表的不同用途。

     思考:查阅资料,实现扩展访问控制列表对网络协议类型和目的IP地址还有时间段上的控制。

版权所有:《曾巧文博客-关注互联网IT技术,记录生活点滴》 => 《实验7-4 (ACL)基于专家的访问控制列表
本文地址://qiaowen.net/post-1126.html
除非注明,文章均为 《曾巧文博客-关注互联网IT技术,记录生活点滴》 原创,欢迎转载!转载请注明本文地址,谢谢。

有 4482 人浏览,获得评论 0 条

发表评论:

Powered by emlog 粤ICP备12040901号

>>本作品采用-知识共享署名-非商业-禁止演绎-协议-进行许可 |站点地图 | | | | 开放分类目录 |