TCPIP路由交换技术（第二版）课件 项目9.3 利用ACL管理网络的数据流

项目9利用访问控制列表管理网络的数据流授课教师：肖

杨吉林交通职业技术学院实战任务9.3利用ACL管理网络的数据流9.3.1实施条件项目背景你是一个公司的网络管理员，公司的经理部、财务部门和销售部门分属不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部门进行访问，但经理部可以对财务部门进行访问。

实施条件标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤。根据实验室的实际情况项目可使用实体设备或PacketTracer模拟器完成。本项目使用PacketTracer模拟器完成。设计的网络拓扑结构如图所示。其中PC1代表经理部的主机，PC2代表销售部门的主机、PC3代表财务部门的主机。

9.3.2数据规划IP地址规划表数据规划物理链路规划表数据规划9.3.3实施步骤实施步骤1.连接网络项目实施主要步骤1.路由器基本配置R1、R2基本配置、IP接口地址配置等（略）2.路由表配置配置静态路由R1(config)#iproute

172.16.4.0255.255.255.0

serial

0/3/0R2(config)#iproute

172.16.1.0255.255.255.0

serial

0/3/0R2(config)#iproute

172.16.2.0255.255.255.0

serial

0/3/03.配置标准IP访问控制列表R2(config)#ipaccess-liststandard

1R2(config-std-nacl)#permit

172.16.1.00.0.0.255//允许来自172.16.1.0网段的流量通过R2(config-std-nacl)#deny

172.16.2.00.0.0.255//拒绝来自172.16.2.0网段的流量通过4.把访问控制列表在出口应用R2(config)#interfacefastEthernet

1/0R2(config-if)#ipaccess-group

1

out

//在接口下访问控制列表出栈流量调用项目实施主要步骤5.查看路由器的状态信息（1）显示路由器系统及版本信息R2#showversion（2）显示当前运行的配置参数R2#showrunning-config（3）显示路由器路由表R2#showiproute（4）显示访控列表具体表项R2#showaccess-lists1项目实施主要步骤项目实施过程6.保存路由器的状态配置文件R2#

write

R2#copyrunning-configstartup-config9.3.4项目测试项目测试1.设置PC1、PC2、PC3的IP地址(具体配置过程略)2.网络通信测试（1）显示访控列表具体表项R2#showipaccess-lists1StandardIPaccesslist1permit172.16.1.00.0.0.255(10match(es))deny172.16.2.00.0.0.255(22match(es))项目测试（2）测试PC1与PC3的网络通信状态（3）测试P2与PC3的网络通信状态（略）思政小课堂信息基础设施的安全公平正义法律意识社会责任ACL的设置可以有效地防止未经授权的用户入侵系统，从而保护国家关键信息基础设施的安全。ACL可以根据不同的需求进行灵活配置，实现不同用户对网络资源的个性化权限管理。要树立在网络安全领域实现公平和正义的思想。在配置ACL时，需要遵循相关的法律法规和网络安全政策，确保网络行为符合法律要求。增强依法办事、遵守法律规范的意识。为了降低ACL的使