【实验名称】
编号的标准IP访问列表
【实验目的】
掌握路由器上的编号的标准IP访问列表规则及配置
【实验功能】
实现网段间互相访问的安全控制
【实验设备】
路由器(2台)、V35线缆(1条)、交叉线(3条)
【实验拓扑】
【实验步骤】
Router 1
Router>enable
Router#configure terminal
Router(config)#interface fastEthernet 0/0
Router(config-if)#no shutdown
Router(config-if)#ip address 172.16.1.2 255.255.255.0
Router(config-if)#exit
Router(config)#interface fastEthernet 1/0
Router(config-if)#no shutdown
Router(config-if)#ip address 172.16.2.2 255.255.255.0
Router(config-if)#exit
Router(config)#interface serial 2/0
Router(config-if)#no shutdown
Router(config-if)#ip address 172.16.3.1 255.255.255.0
Router(config-if)#exit
Router(config)#router ospf 1
Router(config-router)#network 172.16.1.0 255.255.255.0 area 0
Router(config-router)#network 172.16.2.0 255.255.255.0 area 0
Router(config-router)#network 172.16.3.0 255.255.255.0 area 0
Router2
Router>enable
Router#configure terminal
Router(config)#interface serial 2/0
Router(config-if)#no shutdown
Router(config-if)#clock rate 64000
Router(config-if)#ip address 172.16.3.2 255.255.255.0
Router(config-if)#exit
Router(config)#interface fastEthernet 0/0
Router(config-if)#no shutdown
Router(config-if)#ip address 172.16.4.1 255.255.255.0
Router(config-if)#exit
Router(config)#router ospf 1
Router(config-router)#network 172.16.3.0 255.255.255.0 area 0
Router(config-router)#network 172.16.4.0 255.255.255.0 area 0
配置到这里 发现 全网互联互通
PC>ping 172.16.2.1
Pinging 172.16.2.1 with 32 bytes of data:
Reply from 172.16.2.1: bytes=32 time=94ms TTL=127
Reply from 172.16.2.1: bytes=32 time=63ms TTL=127
Ping statistics for 172.16.2.1:
Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 63ms, Maximum = 94ms, Average = 78ms
PC>ping 172.16.4.2
Pinging 172.16.4.2 with 32 bytes of data:
Reply from 172.16.4.2: bytes=32 time=110ms TTL=126
Reply from 172.16.4.2: bytes=32 time=94ms TTL=126
Reply from 172.16.4.2: bytes=32 time=93ms TTL=126
Reply from 172.16.4.2: bytes=32 time=94ms TTL=126
Ping statistics for 172.16.4.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 93ms, Maximum = 110ms, Average = 97ms
接下来是本章节重点!(以前都是想方设法让全网互联互通,现在开始通的要控制他不通,感觉是不是有点怪!呵呵)
我们现在做的就是控制 172.16.1.0 这个网段的PC 禁止访问172.16.4.0 这个网段的PC 其他的正常
(控制其他的都大同小异)!
控制 172.16.1.0 这个网段的PC 禁止访问172.16.4.0 这个网段的PC 我们在Router2上配置
现在有人会问: 为什么我要放在Router2上配置啊 Router1 不行嘛?
是这样的! 我们标准的访问控制列表 尽量放在靠近源! 因为如果我放在Router1上 那172.16.1.0 这个网段连我的路由器都出不了 他也就访问不了172.16.2.0 也就没有达到我们的效果! 如果我们放在Router2 F0/0口 那效果就不一样了 ! 大家仔细想想!
Router2
Router#configure terminal
Router(config)#access-list 1 deny 172.16.1.0 0.0.0.255 (拒绝172.16.1.0 这个网段 后面为 反掩码)
Router(config)#access-list 1 permit any (允许其他所有的访问)
Router(config)#interface fastEthernet 0/0
Router(config-if)#ip access-group 1 out (把访问控制列表1 应用到接口 )
这时发现
PC>ping 172.16.2.1
Pinging 172.16.2.1 with 32 bytes of data:
Reply from 172.16.2.1: bytes=32 time=47ms TTL=127
Reply from 172.16.2.1: bytes=32 time=63ms TTL=127
Reply from 172.16.2.1: bytes=32 time=63ms TTL=127
Reply from 172.16.2.1: bytes=32 time=62ms TTL=127
Ping statistics for 172.16.2.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 47ms, Maximum = 63ms, Average = 58ms
PC>ping 172.16.4.2
Pinging 172.16.4.2 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 172.16.4.2:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
PC1 可以PING通 PC2 但是PING不通 PC3
原创:胡斌
我会从简单到难的发表一些我学过的知识,希望能给一些想入门的朋友帮助,也希望找一些志同道合的朋友、老师 给我些指教。 QQ 276200261!