访问控制列表ACL
一、实验背景
假设有如下一个网络,其中主机B作为客户机,主机A作为提供关键资源的服务器。为了安全起见,要求信任区域主机B可以可以访问服务器A,而其他非信任网段的主机不可以访问服务器A
二、实验目的
1.理解ACL的作用。
2.掌握标准的和扩展的ACL配置方法。
三、实验内容
1.配置标准ACL。
2.配置扩展ACL。
四、实验环境
1.硬件环境
(1)PC机2台;
(2)2811路由器两台;
(3)路由器的Console口与计算机COM1口连接线1根;
(4)路由器同步串口线一根。
2.网络拓扑如图
五、实验步骤
1.打开路由器A和路由器B的RIP路由,使主机A与主机B能够相互
ping通,具体配置如下: 配置主机A的直接路由信息 Configure terminal
(1)hostname A 进入全局配置模式
interface fastethernet 1/0 进入F1/0接口模式
ip address 172.16.1.1 255.255.255.0配置接口地址
no shutdown
interface fastethernet 1/1 进入F1/1接口模式
ip address 172.16.1.1 255.255.255.0配置接口地址
no shutdown
(2)配置主机B的直接路由信息 Configure terminal
hostname B 进入全局配置模式
interface fastethernet 1/0 进入F1/0接口模式
ip address 172.16.3.1 255.255.255.0 配置接口地址 no shutdown
interface fastethernet 1/1 进入F1/1接口模式
ip address 172.16.2.1 255.255.255.0配置接口地址 no shutdown
(3)配置非直接的网络的动态路由 主机A:
configure terminal router Rip version 2
(config-router)#network 172.16.1.0 (config-router)#network 172.16.2.0
主机B:
configure terminal router Rip version 2
network 172.16.1.0 network 172.16.2.0
2.配置路由器A基本访问列表
A(config)#access-list 1 permit 172.16.3.0 0.0.0.255 创建访问列表1,规则是允许源地址为172.16.3.0,子网掩码的反码为0 0.0.0.255的网段的主机的数据包
A(config)#access-list 1deny0.0.0.0 255.255.255.255 添加规则,禁止任何网段的数据包
A(config)#interface fastethernet 0 进入快速以太网F0接口配置模式 A(config-if)#ip access-group 1 in将访问列表1入栈应用到F0口 3.测试1
主机A与主机B应可以相互ping通,但是路由器网段172.16.2.0不能ping通主机A。
4.配置路由器B扩展访问列表
B(config)#access-list 101 deny tcp 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255