ACL IP访问控制列表配置实验

1、IP访问控制列表配置目录：第一个任务的：验证测试5第二个任务的：交换机的验证测试9第三个任务的：扩展访问验证测试14最后-总结:15 表示重要的一、IP标准访问控制列表的建立及应用 工作任务 你是学校网络管理员，学校的财务处、教师办公室和校办企业财务科分属不同的3个网段，三个部门之间通过路由器进行信息传递，为了安全起见,学校领导要求你对网络的数据流量进行控制，实现校办企业财务科的主机可以访问财务处的主机，但是教师办公室主机不能访问财务处主机。 首先对两路由器进行基本配置，实现三个网段可以相互访问；然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表，允许192。168.1。

2、0网段（校办企业财务科）主机发出的数据包通过，不允许192。168。2.0网段（教师办公室)主机发出的数据包通过,最后将这一策略加到路由器RouterB的Fa 0端口，如图所示。第1步：基本配置路由器RouterA：R enableR configure terminalR（config）#hostname RouterARouterA (config）# line vty 0 4 VTY是路由器的远程登陆的虚拟端口,0 4表示可以同时打开5个会话，line vty 0 4是进入VTY端口，对VTY端口进行配置，比如说配置密码,RouterA （configline）loginRouterA

3、(config-line)password 100RouterA (config-line）exitRouterA (config) enable password 100RouterA (config）interface fastethernet 0/0 RouterA (configif）ip address 192.168。1.1 255.255。255.0RouterA （config-if)#no shutdownRouterA (config-if)ExitRouterA （config)interface s0/3/0 RouterA (configif)#ip address

4、192。168。12.1 255.255。255.0RouterA （configif)no shutdownRouterA （configif）ExitRouterA （config)interface s0/3/0 RouterA （configif)ip address 192.168。2。1 255。255.255.0RouterA （config-if)no shutdownRouterA (configif）ExitRouterA (config）#ip route 192。168.3.0 192.166。12。2路由器RouterB：R enableR

5、 #configure terminalR(config）#hostname RouterBRouterB (config） line vty 0 4 RouterB （config-line）loginRouterB (config-line）#password 100RouterB (config-line）#exitRouterB （config）# enable password 100RouterB （config)#interface fastethernet 0/0 RouterB （config-if）#ip address 255.255.255。0R

6、outerB (config-if）no shutdownRouterB (configif)ExitRouterB （config)interface s0/3/1 RouterB (config-if）#ip address 192。168.12。2 255。255.255。0RouterB (configif)no shutdownRouterB (configif）ExitRouterB (config）#ip route 192。168。1。0 255。255.255。0 192。166。12。1RouterB (config）ip route 192。168。2。0 255。255

7、。255。0 192。166。12.1第2步：在路由器RouterB上配置IP标准访问控制列表RouterB (config）#accesslist 1 deny 192.168.2。0 55RouterB (config)access-list 1 permit 192.168.1。0 0。0.0。255RouterB #show access-list 1第3步： 应用在路由器RouterB的Fa 0/0接口输出方向上RouterB （config)#interface fastethernet 0/0 RouterB （config-if)ip access-group 1

8、 out 验证测试RouterB #show ip interface fastethernet 0/0 第4步：验证测试 在校企主机的命令提示符下Ping 192。168。3。10，能Ping通。 在老师办公室主机的命令提示符下Ping 192.168.3。10，不能Ping通。第二：任务如图所示, 首先对交换机进行基本配置，实现三个网段可以相互访问；然后对交换机配置IP标准访问控制列表，允许192.168.1。0网段(校企财务科）主机发出的数据包通过，不允许192.168。2。0网段（教师办公室)主机发出的数据包通过，最后将这一策略加到交换机VLAN30的SVI端口输出方向上。根据拓扑图:

9、第1步：交换机的基本配置Switchconfigure terminalSwitch(config）#hostname s3550Switch(conifg)ip routingSwitch(conifg)vlan 10Switch（config-vlan)#exitSwitch(conifg)vlan 20Switch(config-vlan）#exitSwitch(conifg）#interface fastethernet 0/1Switch（conifg-if）switchport mode accessSwitch(conifgif）#switchport access vlan 1

10、0Switch(conifgif)#exitSwitch（conifg）# interface fastethernet 0/6Switch(conifg-if)switchport mode accessSwitch（conifgif）#switchport access vlan 20Switch(config-vlan)#exitSwitch(conifg)# interface fastethernet 0/20Switch（conifgif）#switchport mode accessSwitch(conifgif）switchport access vlan 30Switch(c

11、onfigvlan)exitSwitch（conifg）Switch（config）interface vlan 10Switch（conifg-if)#ip address 192。168。1.1 255。255.255.0Switch（conifg-if）#no shutdownSwitch(conifg-if）#exitSwitch（config)interface vlan 20Switch(conifgif)#ip address 192.168。2.1 Switch(conifg-if）no shutdownSwitch（conifg-if)exitSwi

12、tch（config)interface vlan 30Switch（conifgif）ip address 192.168。3.1 255。255。255.0Switch（conifgif）#no shutdownSwitch(conifg-if)#endSwitch查看三层交换机的路由表Switchshow ip route第2步：配置命名IP标准访问控制列表Switch（config)#ip accesslist standard ABC 既可以 列表好,也可以 直接 名字就可以了Switch（configstd-nacl)deny 192.168.2。0 0。0。0。255Switch

13、（config-stdnacl)#permit 192。168。1。0 55Switch(config-std-nacl)#exitSwitch（config)interface vlan 30Switch（configif) ip access-group ABC out验证测试Switch#show ip interface vlan 30第3步:验证测试 在PC1主机的命令提示符下Ping 192。168.3.10，能Ping通。 在PC2主机的命令提示符下Ping 192.168。3.10，不能Ping通。二、IP 【扩展访问控制列表】 的建立及应用工作任务你是学校网络管

14、理员,学校的网管中心分别架设FTP、Web服务器,其中FTP服务器供教师专用，学生不可使用;Web服务器教师和学生都可访问。FTP及Web服务器、教师办公室和学生宿舍分属不同的3个网段，三个网段之间通过路由器进行信息传递，要求你对路由器进行适当设置实现网络数据流量控制。首先对两路由器进行基本配置，实现三个网段相互访问；然后对离控制源地址较近的路由器RouterA配置IP扩展访问控制列表,不允许192.168.1。0网段（学生宿舍）主机发出的去192.168.3。0网段的FTP数据包通过，允许192。168.1。0网段主机发出的其它服务数据包通过，最后将这一策略加到路由器RouterA的Fa 0

15、端口 ，如图所示 。根据相应的图画出拓扑图：第1步：基本配置路由器RouterA：R enableR configure terminalR(config)#hostname RouterARouterA (config)# line vty 0 4 RouterA (config-line）#loginRouterA (configline）password 100RouterA (config-line）exitRouterA （config）# enable password 100RouterA (config）interface fastethernet 0/0 RouterA (c

16、onfigif）#ip address 192.168。1.1 255.255.255。0RouterA （config-if）#no shutdownRouterA （configif）ExitRouterA (config）#interface s0/3/0 RouterA （configif）ip address 192。168.12.1 255.255.255。0RouterA (config-if)no shutdownRouterA （config-if）#ExitRouterA (config)#interface fastethernet 0/1 RouterA (config

17、-if)ip address 192。168.2。1 255.255.255。0RouterA (config-if)#no shutdownRouterA （configif)#ExitRouterA （config)#ip route 192.168。3。0 255。255.255.0 192.166。12.2路由器RouterB:R >enableR configure terminalR（config)hostname RouterBRouterB （config） line vty 0 4 RouterB (configline）loginRouterB (configline

18、）#password 100RouterB (configline)#exitRouterB （config)# enable password 100RouterB （config）interface f 0/0 RouterB (config-if）#ip address 192。168.3。1 255.255。255。0RouterB (configif)#no shutdownRouterB (configif）ExitRouterB (config）#interface s0/1 RouterB (config-if)#ip address 192。168.12.2 255。255。

19、255。0RouterB （config-if）no shutdownRouterB （configif)ExitRouterB (config)ip route 192。168.1.0 192。166.12.1RouterB （config）#ip route 192。168.2.0 255.255。255.0 第2步:在路由器RouterA上配置IP扩展访问控制列表 拒绝来自192。168。1。0 网段去192。168。3。0网段的FTP流量通过RouterA （config）#accesslist 101 deny TCP 192.16

20、8。1.0 0。0。0.255 192。168。3.0 0。0.0。255 eq FTP 还可以控制某一些端口的出入允许其它服务的流量通过 RouterA (config)access-list 101 permit IP any any 验证测试 RouterA #show access-list 101第3步: 把访问控制列表应用在路由器RouterA的Fa 0/0接口输入方向上. RouterA（config)#interface fastethernet 0/0 RouterA (config-if）ip accessgroup 101 in第4步：分别配置FTP和Web服务器FTP服务器Web服务器第5步:验证测试 在PC1主机的命令提示符下Ping 192.168.3。10，能Ping通。但是发送FTP 包就不能通,如下图：PC2五、总结：l 本次实验难度不大,主要小心一下端口的配置,还有一些IP访问的规则就行了.l WEB服务器配置时，要自己去定义发送FTP 数据包，这样才能测试到结果。l RouterA （config） line vty 0 4 l VTY