安徽工业经济职业技术学院 31715

访问控制列表ACL

一、实验背景


假设有如下一个网络,其中主机B作为客户机,主机A作为提供关键资源的服务器。为了安全起见,要求信任区域主机B可以可以访问服务器A,而其他非信任网段的主机不可以访问服务器A

二、实验目的


1.理解ACL的作用。

2.掌握标准的和扩展的ACL配置方法。


三、实验内容


1.配置标准ACL。

2.配置扩展ACL。


四、实验环境


1.硬件环境

(1)PC机2台;

(2)2811路由器两台;

(3)路由器的Console口与计算机COM1口连接线1根;

(4)路由器同步串口线一根。

2.网络拓扑如图


安徽工业经济职业技术学院 31715_第1张图片

五、实验步骤 

1.打开路由器A和路由器B的RIP路由,使主机A与主机B能够相互

ping通,具体配置如下: 配置主机A的直接路由信息 Configure terminal 

(1)hostname A  进入全局配置模式 

interface fastethernet 1/0 进入F1/0接口模式

ip address 172.16.1.1 255.255.255.0配置接口地址

no shutdown 

interface fastethernet 1/1 进入F1/1接口模式

ip address 172.16.1.1 255.255.255.0配置接口地址

no shutdown

(2)配置主机B的直接路由信息 Configure terminal 

hostname B  进入全局配置模式 

interface fastethernet 1/0 进入F1/0接口模式 

ip address 172.16.3.1 255.255.255.0 配置接口地址 no shutdown 

interface fastethernet 1/1 进入F1/1接口模式 

ip address 172.16.2.1 255.255.255.0配置接口地址 no shutdown 

(3)配置非直接的网络的动态路由 主机A: 

configure terminal router Rip version 2 

(config-router)#network 172.16.1.0 (config-router)#network 172.16.2.0

主机B: 

configure terminal router Rip version 2 

network 172.16.1.0 network 172.16.2.0  

2.配置路由器A基本访问列表 

A(config)#access-list 1 permit 172.16.3.0 0.0.0.255 创建访问列表1,规则是允许源地址为172.16.3.0,子网掩码的反码为0 0.0.0.255的网段的主机的数据包 

A(config)#access-list 1deny0.0.0.0 255.255.255.255 添加规则,禁止任何网段的数据包 

A(config)#interface fastethernet 0        进入快速以太网F0接口配置模式 A(config-if)#ip access-group 1 in将访问列表1入栈应用到F0口 3.测试1 

主机A与主机B应可以相互ping通,但是路由器网段172.16.2.0不能ping通主机A。 

4.配置路由器B扩展访问列表 

B(config)#access-list 101 deny tcp 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255

你可能感兴趣的:(安徽工业经济职业技术学院 31715)