ACL(访问控制列表)实例二
ACL(访问控制列表)实例二
- 实例题目
- 实验拓扑图
- [IP地址规划表]
- 案例实施
- 基本配置
- 1.1 路由器Router1的配置
- 1.2 路由器Router2的配置
- 1.3 路由器Router3的配置
- 配置RIP
- Router 1 配置 RIP
- Router 2 配置 RIP
- Router 3 配置 RIP
- 使用标准访问控制列表
上一篇文章ACL(访问控制列表)(一) 讲解了标准访问控制列表的配置
这次将通过一个实例来完成 扩展访问控制列表
实例题目
某单位网络的拓扑结构示意图如图所示。网络采用RIP协议。
要求使用访问控制列表禁止网络192.168.20.0/24上的主机访问网络192.168.10.0/24。
使用访问控制列表禁止网络192.168.20.0/24上的主机访问10.10.10.0/24上的Web服务,但允许访 问其他服务器。
实验拓扑图
[IP地址规划表]
案例实施
基本配置
1.1 路由器Router1的配置
Router1>en
Router1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#int f0/0
Router1(config-if)#ip add 10.10.10.254 255.255.255.0
Router1(config-if)#no shut
Router1(config-if)#ex
Router1(config)#int s3/0
Router1(config-if)#ip add 192.168.2.1 255.255.255.0
Router1(config-if)#no shut
%LINK-5-CHANGED: Interface Serial3/0, changed state to down
Router1(config-if)#ex
Router1(config)#int s2/0
Router1(config-if)#ip add 192.168.1.1 255.255.255.0
Router1(config-if)#no shut
%LINK-5-CHANGED: Interface Serial2/0, changed state to down
Router1(config-if)#ex
Router1(config)#
1.2 路由器Router2的配置
Router2>
Router2>en
Router2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router2(config)#int s2/0
Router2(config-if)#ip add 192.168.1.2 255.255.255.0
Router2(config-if)#no shut
Router2(config-if)#
%LINK-5-CHANGED: Interface Serial2/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to up
Router2(config-if)#ex
Router2(config)#int f0/0
Router2(config-if)#ip add 192.168.10.254 255.255.255.0
Router2(config-if)#no shut
Router2(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
Router2(config-if)#ex
Router2(config)#
Router2(config)#int s3/0
Router2(config-if)#ip add 192.168.3.1 255.255.255.0
Router2(config-if)#no shut
%LINK-5-CHANGED: Interface Serial3/0, changed state to down
Router2(config-if)#ex
Router2(config)#ex
Router2#
%SYS-5-CONFIG_I: Configured from console by console
1.3 路由器Router3的配置
Router3>en
Router3#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router3(config)#int f0/0
Router3(config-if)#ip add 192.168.20.254 255.255.255.0
Router3(config-if)#no shut
Router3(config-if)#ex
Router3(config)#int s3/0
Router3(config-if)#ip add 192.168.3.2 255.255.255.0
Router3(config-if)#no shut
Router3(config-if)#ex
Router3(config)#int s2/0
Router3(config-if)#ip add 192.168.2.2 255.255.255.0
Router3(config-if)#
Router3(config-if)#no shut
Router3(config-if)#
%LINK-5-CHANGED: Interface Serial2/0, changed state to up
Router3(config-if)#ex
Router3(config)#ex
Router3#
%SYS-5-CONFIG_I: Configured from console by console
配置RIP
Router 1 配置 RIP
Router1>en
Router1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#router rip
Router1(config-router)#network 192.168.10.0
Router1(config-router)#network 192.168.20.0
Router1(config-router)#network 192.168.1.0
Router1(config-router)#network 192.168.2.0
Router1(config-router)#network 192.168.3.0
Router1(config-router)#network 10.10.10.0
Router1(config-router)#version 2
Router1(config-router)#no auto-summary
Router1(config-router)#ex
Router1(config)#ex
Router1#
%SYS-5-CONFIG_I: Configured from console by console
Router 2 配置 RIP
Router2>en
Router2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router2(config)#router rip
Router2(config-router)#network 192.168.10.0
Router2(config-router)#network 192.168.20.0
Router2(config-router)#network 10.10.10.0
Router2(config-router)#network 192.168.1.0
Router2(config-router)#network 192.168.2.0
Router2(config-router)#network 192.168.3.0
Router2(config-router)#version 2
Router2(config-router)#no auto-summary
Router2(config-router)#ex
Router2(config)#ex
Router2#
%SYS-5-CONFIG_I: Configured from console by console
Router2#ex
Router 3 配置 RIP
Router3>
Router3>en
Router3#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router3(config)#router rip
Router3(config-router)#network 192.168.10.0
Router3(config-router)#network 192.168.20.0
Router3(config-router)#network 10.10.10.0
Router3(config-router)#network 192.168.1.0
Router3(config-router)#network 192.168.2.0
Router3(config-router)#network 192.168.3.0
Router3(config-router)#version 2
Router3(config-router)#no auto-summary
Router3(config-router)#ex
Router3(config)#ex
Router3#
%SYS-5-CONFIG_I: Configured from console by console
使用ping命令验证网络是否连通
这一步在上一篇文章中讲过,就不在详细的说了
经过以上步骤,各个机器应都可以ping 通
使用标准访问控制列表
1.使用访问控制列表禁止网络192.168.20.0/24上的主机访问网络192.168.10.0/24。
路由器R2的Fa0/0口的out方向上进行配置
路由器R2上定义标准访问控制列表:
Router2>
Router2>en
Router2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router2(config)#access-list 50 deny 192.168.20.0 0.0.0.255
Router2(config)#access-list 50 permit any
Router2(config)#int f0/0
Router2(config-if)#ip access-group 50 out
Router2(config-if)#ex
Router2(config)#ex
Router2#
%SYS-5-CONFIG_I: Configured from console by console
ex
2.使用访问控制列表禁止网络192.168.20.0/24上的主机访问10.10.10.0/24上的Web服务,但允许访问其他服务器。
分析:这里使用扩展访问控制列表实现。
扩展访问控制列表可以对数据包的源地址、目的地址、协议或接口号进行检查。扩展访问控制列表要应用到靠近源网络的位置,以便在出口处进行检查。
所以在路由器R3的Fa0/0口的in方向上进行配置
路由器R3上定义扩展访问控制列表:
Router3>
Router3>en
Router3#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router3(config)#access-list 110 deny tcp 192.168.20.0 0.0.0.255 10.10.10.0 0.0.0.255 eq 80
Router3(config)#access-list 110 permit ip any any
Router3(config)#int f0/0
Router3(config-if)#ip access-group 110 in
Router3(config-if)#ex
Router3(config)#ex
Router3#
%SYS-5-CONFIG_I: Configured from console by console
ex
注意:上述两条语句次序不可以调整。一旦调整,则所有的IP数据包都可以通过了,起不到【禁止网络192.168.20.0/24上的主机访问10.10.10.0/24上的Web服务】的作用。
在PC2上访问10.10.10.2 不会出现任何信息或者重新**Request Timeout **说明已经达到 “禁止网络192.168.20.0/24上的主机访问10.10.10.0/24上的Web服务 ” 的目的
在PC1上访问10.10.10.1 时,出现以下信息,则说明PC1 可以访问10.10.10.0/24上的Web服务
