实验目的:
掌握路由器上编号的标准 IP 访问列表规则及配置
实验设备和环境:
路由器(两台)、V.35 线缆(1 条)、直连线或交叉线(3 条),实际实验使用软件模拟实验
实验过程及步骤:(给出相应的实验环境拓扑图和实验说明,可另附页)
实验拓扑结构如图所示:
过程及步骤:
第一步:路由器基本配置
操作过程与结果如下:
第二步:配置路由
操作过程与结果如下:
第三步:配置标准 IP 访问控制列表
操作过程与结果如下:
第四步:验证测试
在没有配置 ACL 时,可以使用原地址为 172.16.1.1,目标地址为 172.16.4.10(此为连 接到 R2 接口 fa0/1 的一台主机),进行 ping 通信,如下所示:
配置 ACL 后的测试,如下所示:
ping(172.16.2.0 网段的主机不能 ping 通 172.16.4.0 网段的主机;172.16.1.0 网段的 主机能 ping 通 172.16.4.0 网段的主机)。
可以看到在配置ACL后处于172.16.2.0 网段的主机不能 ping 通 172.16.4.0 网段的主机;而处于172.16.1.0 网段的 主机能 ping 通 172.16.4.0 网段的主机。
显示R2#show access-lists
注:sh ip access-group interface fa0/1命令无法使用,现采取sh ip access-lists代替使用。
R1路由配置文件:
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname R1
!
spanning-tree mode pvst
!
interface Loopback0
ip address 172.16.1.1 255.255.255.0
!
interface Loopback1
ip address 172.16.2.1 255.255.255.0
!
interface FastEthernet0/0
ip address 172.16.3.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface Vlan1
no ip address
shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.3.2
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
end
R2路由配置文件:
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname R2
!
spanning-tree mode pvst
!
interface FastEthernet0/0
ip address 172.16.3.2 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 172.16.4.1 255.255.255.0
ip access-group 10 out
duplex auto
speed auto
!
interface Vlan1
no ip address
shutdown
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.3.1
!
!
access-list 10 deny 172.16.1.0 0.0.0.255
access-list 10 permit 172.16.2.0 0.0.0.255
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
end
实验总结(遇到的问题及解决办法、体会):
遇到问题:
第一次验证时发现无法ping通
解决办法:
发现文档中将IP 172.16.3.1重复设置了,修改R2的Fa0/0端口IP为172.16.3.2
遇到问题:
sh ip access-group interface fa0/1命令无法使用
解决办法:
现采取命令sh ip access-lists代替验证
这个实验的整个过程不是非常复杂,基本是依据文档操作即可,有了之前操作的经验,这一次操作也还算比较顺利,但还是出现了文档中指令与实际操作不符的问题,考虑可能是由于模拟软件的问题,我们更换了命令执行验证。通过本实验我了解了如何在路由器中配置IP 访问控制列表,从而实现对流经路由器或交换机的数据包进行过滤。在实验中根据验证结果可以看出我们设置的过滤规则已经生效,仅有172.16.2.0网段的主机可访问172.16.4.0网段,而172.16.1.0网段的则无法访问。