第十七章 扩展 IP 访问控制列表配置

实验目标

    理解标准 IP 访问控制列表的原理及功能；
    掌握编号的标准 IP 访问控制列表的配置方法；

实验背景

    你是公司的网络管理员，公司的经理部、财务部们和销售部门分属于不同的 3 个网段，三部门之间用路由器进行信息传递， 为了安全起见， 公司领导要求销售部门不能对财务部进行访问，但经理部可以对财务部进行访问。
    PC1 代表经理部的主机、 PC2 代表销售部的主机、 PC3 代表财务部的主机。

技术原理

    访问列表中定义的典型规则主要有以下：源地址、目标地址、上层协议、时间区域；扩展 IP 访问列表（编号 100-199、2000、2699）使用以上四种组合来进行转发或阻断分组；可以根据数据包的源 IP、目的 IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。
扩展 IP 访问列表的配置包括以下两部：
    定义扩展 IP 访问列表
    将扩展 IP 访问列表应用于特定接口上

实验步骤

    新建 Packet Tracer 拓扑图
    （1）分公司出口路由器与外路由器之间通过 V.35 电缆串口连接， DCE 端连接在 R2 上，配置其时钟频率 64000；主机与路由器通过交叉线连接。
    （2）配置 PC 机、服务器及路由器接口 IP 地址。
    （3）在各路由器上配置静态路由协议，让 PC 间能相互 ping 通，因为只有在互通的前提下才涉及到访问控制列表。
    （4）在 R2 上配置编号的 IP 扩展访问控制列表。
    （5）将扩展 IP 访问列表应用到接口上、 。
    （6）验证主机之间的互通性。

实验设备

    PC 1 台； Server-PT 1 台； Router-PT 3 台；交叉线； DCE 串口线
 

实践
 

实验拓扑图， IP地址和标准访问控制一样，在最后面的PC机换成了服务器，也不用管，只用配置它的ip地址即可

设置路由器基本配置，设置IP地址，还有rip协议等等

设置扩展ACL配置

错误示范，如果这样配那么我们测试时会发现我们配了个鸡毛

测试

使用PC0 ping 服务器（successful）, 登陆网页（successful）

大家自己试一试

使用PC1 ping 服务器（deny）, 登陆网页（successful）