实验目标
理解标准IP访问控制列表的原理及功能;
掌握编号的标准IP访问控制列表的配置方法;
实验背景
你是公司的网络管理员,公司的经理部、财务部们和销售部门分属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部进行访问,但经理部可以对财务部进行访问。
PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机。
技术原理
ACLs的全称为接入控制列表(Access Control Lists),也称访问控制列表(Access Lists),俗称防火墙,在有的文档中还称包过滤。ACLs通过定义一些规则对网络设备接口上的数据包文进行控制;允许通过或丢弃,从而提高网络可管理型和安全性;
IP ACL分为两种:标准IP访问列表和扩展IP访问列表,编号范围为1~99、1300~1999、100~199、2000~2699;
标准IP访问控制列表可以根据数据包的源IP地址定义规则,进行数据包的过滤;
扩展IP访问列表可以根据数据包的原IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤;
IP ACL基于接口进行规则的应用,分为:入栈应用和出栈应用;
实验步骤
新建Packet Tracer拓扑图
(1)路由器之间通过V.35电缆通过串口连接,DCE端连接在R1上,配置其时钟频率64000;主机与路由器通过交叉线连接。
(2)配置路由器接口IP地址。
(3)在路由器上配置静态路由协议,让三台PC能够相互Ping通,因为只有在互通的前提下才涉及到方控制列表。
(4)在R1上编号的IP标准访问控制
(5)将标准IP访问控制应用到接口上。
(6)验证主机之间的互通性。
实验设备
PC 3台;Router-PT 2台;交叉线;DCE串口线;
1.配置PC1
IP: 172.16.1.2
Submask: 255.255.255.0
Gateway: 172.16.1.1
2.配置PC2
IP: 172.16.2.2
Submask: 255.255.255.0
Gateway: 172.16.2.1
3.配置PC3
IP: 172.16.4.2
Submask: 255.255.255.0
Gateway: 172.16.4.1
4.配置路由器Router0
//配置Router0联通的端口
Router>en
Router#conf t
Router(config)#int fa 0/0
Router(config-if)#ip address 172.16.1.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#int fa 1/0
Router(config-if)#ip address 172.16.2.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#int s 2/0
Router(config-if)#ip address 172.16.3.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#clock rate 64000
Router(config-if)#exit
//配置Router0路由IP转发表,使路由转发来自跃点172.16.3.2的172.16.4.0目标段数据
Router(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2
5.配置路由器Router1
//配置Router1联通的端口
Router>en
Router#conf t
Router(config)#int s 2/0
Router(config-if)#ip address 172.16.3.2 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#int fa 0/0
Router(config-if)#ip address 172.16.4.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
//配置Router1路由IP转发表,使路由转发来自跃点172.16.3.1的所有IP段的数据
Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1
6.使用PC1 ping PC3,ping通;使用PC2 ping PC3,ping通
7.我们需要使得PC1可以ping通PC3,而PC2不能ping通PC3,因此我们需要配置一下路由器Router0
//配置Router的IP准入
Router(config)# ip access-list standard cisco //配置准入口令
Router(config-std-nacl)# permit 172.16.1.0 0.0.0.255 //设置准入IP
Router(config-std-nacl)# deny 172.16.2.0 0.0.0.255 //设置拒接接入IP
Router(config-std-nacl)# conf t
Router(config)# int s 2/0
Router(config-if)# ip access-group cisco out //向serial2/0 接口发布准入口令
8.我们使用PC1 ping PC3,ping通;使用PC2 ping PC3,ping不通
本实验主要目的是学会使用标准IP访问控制列表的配置方法。