实验01:标准ACL与标准命名ACL

实验目标: 通过配置ACL实现对个体主机的访问控制 

实验环境:

NSD cisco高级路由与交换技术--2014.8.15_第1张图片

实验步骤:

一、如图配置主机的ip地址和网关

二、在路由器router1上进行如下配置

1、配置路由器的接口ip

NSD cisco高级路由与交换技术--2014.8.15_第2张图片

2、配置动态路由


wKioL1PwqNfi_LhHAABov47cTWY688.jpg

3、配置标准ACL

全局:access-list  1  deny  192.168.1.1  0.0.0.0

全局:access-list  1  permit  192.168.1.0  0.0.0.255

4、将ACL应用与接口

Int  f0/0  ip  access-group  1  in

结果验证:用主机1去ping主机4,不能ping通

NSD cisco高级路由与交换技术--2014.8.15_第3张图片

用主机2和主机3去ping主机4,可以ping通

NSD cisco高级路由与交换技术--2014.8.15_第4张图片

三、删除access-list 1

No access-list 1

四、配置标准命名acl

NSD cisco高级路由与交换技术--2014.8.15_第5张图片

查看控制列表

wKiom1Pwp7-R92tyAABLhmdVx3s563.jpg

五、插入一条命令

wKiom1PwqHviTC60AABIOCj8PNg919.jpg

结果验证:在控制列表中多了一条

wKioL1PwqNmyP9mcAABP-GX-JnE392.jpg

用主机1和主机2分别去ping主机4

NSD cisco高级路由与交换技术--2014.8.15_第6张图片

NSD cisco高级路由与交换技术--2014.8.15_第7张图片

问题与总结:

注意要在接口模式配置:ip  access-group  名字  in或out

实验02:扩展ACL和扩展命名ACL

实验目标:通过配置ACL实现对个体主机的访问控制

实验环境:

NSD cisco高级路由与交换技术--2014.8.15_第8张图片

实验步骤:

一、如图连接设备和配置主机ip地址和网关

1、router 1:全局:int  f0/1

             Ip address 192.168.1.254 255.255.255.0

             No shutdown

             int  f0/0

             Ip address 192.168.2.1 255.255.255.0

             No shutdown

2、router 2:全局: int  f0/1

             Ip address 192.168.2.2 255.255.255.0

             No shutdown

             int  f0/0

             Ip address 192.168.3..1 255.255.255.0

             No shutdown

2、router 3:全局: int  f0/1

             Ip address 192.168.3.2 255.255.255.0

             No shutdown

             int  f0/0

             Ip address 192.168.4.254 255.255.255.0

             No shutdown

二、配置动态路由

1、 router 1:全局router rip

             version 2

             no auto-summary

             network 192.168.1.0

             network 192.168.2.0

2、 router 2:全局router rip

             version 2

             no auto-summary

             network 192.168.2.0

             network 192.168.3.0

3、 router 3:全局router rip

             version 2

             no auto-summary

             network 192.168.3.0

             network 192.168.4.0

三、在http服务列表的右边 填写ip192.168.4.1

NSD cisco高级路由与交换技术--2014.8.15_第9张图片

四、分别配置三个路由器端口ip(基本相同只要注意端口的变化)

interface FastEthernet0/0

 ip address 192.168.1.254 255.255.255.0

interface FastEthernet0/0

 ip address 192.168.1.254 255.255.255.0

五、配置三台路由器的动态ip配置(基本相同只要注意端口的变化)

router rip

 version 2

 network 192.168.1.0

 network 192.168.2.0

 no auto-summary

六、在路由1上配置扩展ACP

PC1只允许访问192.168.4.1的web服务,不许访问其他服务,允许pc1以外的其他主机访问所有

Router(config)#Access-list  100  permit  tcp  host  192.168.1.1  host  192.168.4.1  eq  80

Router(config)#Access-list  100  deny  ip  host  192.168.1.1  host  192.168.4.1

Router(config)#Access-liat  100  permit  ip  192.168.1.0  0.0.0.255  host  192.168.4.1 

Router(config-if)#ip access-group 100 in

结果验证:用主机1去访问192.168.4.1

NSD cisco高级路由与交换技术--2014.8.15_第10张图片

用主机1去ping服务器,ping不通

NSD cisco高级路由与交换技术--2014.8.15_第11张图片

七、在路由器1上配置扩展命名ACP

PC1只允许访问192.168.4.1的web服务,不许访问其他服务,允许pc1以外的其他主机访问所有

ip access-list extended nsd1407

 Router(config-ext-nacl)#permit tcp host 192.168.1.1 host 192.168.4.1 eq 80

 Router(config-ext-nacl)#deny ip host 192.168.1.1 host 192.168.4.1

 Router(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 host 192.168.4.1

添加不允许pc2访问192.168.4.1的其他服务

Router(config-ext-nacl)#25 deny ip host 192.168.1.2 host 192.168.4.1

结果验证:主机1可以访问192.168.4.1的web服务

NSD cisco高级路由与交换技术--2014.8.15_第12张图片

用主机1去ping 192.168.4.1

NSD cisco高级路由与交换技术--2014.8.15_第13张图片

主机2不可以访问

NSD cisco高级路由与交换技术--2014.8.15_第14张图片

用主机3去访问可以访问

NSD cisco高级路由与交换技术--2014.8.15_第15张图片

主机3去ping服务器

NSD cisco高级路由与交换技术--2014.8.15_第16张图片

问题与总结:

注意要在接口模式配置:ip  access-group  名字  in或out