ACL(访问控制列表)(一)

访问控制列表———ACL

  • ACL (访问控制列表)案例
    • 实验拓扑图
    • [IP地址规划表]
    • 【案例实施】
      • 基本配置
        • 1.1 路由器Router1基本配置
        • 1.2 Router2 的基本配置
      • 配置RIP
      • 使用ping命令验证网络是否连通
      • 使用标准访问控制列表

ACL(访问控制列表):控制网络流量,按规则过滤数据报文,提高网络安全性

本文中所用的软件为:Cisco Packet Tracer 6.3
本次实验先不配置两层交换机,只配置路由器,采用动态路由协议。
后期的文章中会有配置交换机的实验步骤

ACL (访问控制列表)案例

某公司网络中,行政部、销售部和财务部门分别属于不同的3个子网,3个子网之间使用路由器进行互联。
行政部所在的子网为172.16.1.0/24,销售部所在的子网为172.16.2.0/24,财务部所在的子网为172.16.4.0/24。
考虑到信息安全的问题,要求销售部门不能对财务部门进行访问,但行政部可以对财务部门进行访问。

实验拓扑图

ACL(访问控制列表)(一)_第1张图片

[IP地址规划表]

ACL(访问控制列表)(一)_第2张图片
Router 1 和Router 2 的IP地址与 PC 1 、PC 2、PC 3 的网关相同

【案例实施】

基本配置

1.1 路由器Router1基本配置

Router 1:
Router1>
Router1>en
Router1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router1(config)#int f0/0
Router1(config-if)#ip add 172.16.1.2 255.255.255.0
Router1(config-if)#no shut

Router1(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

Router1(config-if)#
Router1(config-if)#exit
Router1(config)#
Router1(config)#int f1/0
Router1(config-if)#ip add 172.16.2.2 255.255.255.0
Router1(config-if)#no shut

Router1(config-if)#
%LINK-5-CHANGED: Interface FastEthernet1/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to up

Router1(config-if)#ex
Router1(config)#int s2/0
Router1(config-if)#ip add 172.16.3.1 255.255.255.0
Router1(config-if)#no shut

%LINK-5-CHANGED: Interface Serial2/0, changed state to down
Router1(config-if)#ex
Router1(config)#ex
Router1#ex

配置完Router 1 需要检查一下接口配置和状态
验证测试:验证接口的配置和状态
Router1#show ip interface brief
ACL(访问控制列表)(一)_第3张图片
由于Router1 只使用了三个接口(F0/0、F0/1、s2/0) 所以只有三个接口显示配置状态
注意观察接口IP地址和子网掩码以及是否启用(状态up)
通过查看接口的配置可以得到:Router1 F 0/0 接口是开启的,F 1/0 接口是开启的,s 2/0 接口是关闭的的

1.2 Router2 的基本配置

Router 2:
Router2>
Router2>en
Router2#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router2(config)#int s2/0
Router2(config-if)#ip add 172.16.3.2 255.255.255.0
Router2(config-if)#no shut

Router2(config-if)#
Router2(config-if)#
%LINK-5-CHANGED: Interface Serial2/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to up

Router2(config-if)#ex
Router2(config)#int f0/0
Router2(config-if)#ip add 172.16.4.2 255.255.255.0
Router2(config-if)#no shut

Router2(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

Router2(config-if)#ex
Router2(config)#ex
Router2#ex


配置完Router 2 需要检查一下接口配置和状态
验证测试:验证接口的配置和状态
Router2#show ip interface brief
ACL(访问控制列表)(一)_第4张图片
注意观察接口IP地址和子网掩码以及是否启用(状态up)

配置完这步之后,实验拓扑图为以下状态:
ACL(访问控制列表)(一)_第5张图片

配置RIP

本实验中需要配置动态路由选择协议(RIP)
Router 1 配置 RIP

Router1>
Router1>en
Router1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router1(config)#router rip   ! 开启rip协议进程
Router1(config-router)#network 172.16.1.0  ! 申明本设备的直连网段
Router1(config-router)#network 172.16.2.0 
Router1(config-router)#network 172.16.4.0 
Router1(config-router)#version 2           ! 定义rip协议v2
Router1(config-router)#no auto-summary     ! 关闭路由信息的自动汇总
Router1(config-router)#

Router 2 配置 RIP

Router2>
Router2>en
Router2#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router2(config)#router rip
Router2(config-router)#network 172.16.1.0
Router2(config-router)#network 172.16.2.0
Router2(config-router)#network 172.16.4.0
Router2(config-router)#version 2
Router2(config-router)#no auto-summary
Router2(config-router)#ex
Router2(config)#ex
Router2#ex

使用ping命令验证网络是否连通

之后我们要对这三台主机相互进行网络连通测试,可以在命令行使用Ping命令来相互Ping其他主机的IP地址,如果可以Ping通,则说明两个主机之间的网络是可以连通的,即可以相互访问,如果不通,则不能相互访问。
下面讲解 如何在Cisco Packet Tracer 中进入命令行界面,并使用Ping 命令进行网络连通测试
此时我们点击一个PC机(例如PC1),点击Desktop 进入以下界面
ACL(访问控制列表)(一)_第6张图片

ACL(访问控制列表)(一)_第7张图片
点击 Command Prompt 进入命令行界面
ACL(访问控制列表)(一)_第8张图片

打开之后 在命令行输入 ping 172.16.4.1
显示以下界面 则为ping通
需要查看每台PC 是否都可以ping通
PC1 ping PC3
ping 172.16.4.1
ACL(访问控制列表)(一)_第9张图片
PC1 ping PC2
ping 172.16.2.1
ACL(访问控制列表)(一)_第10张图片
按照上面的步骤进入PC2 的命令行界面
输入ping 命令
例如

PC2 ping PC3
ping 172.16.4.1
ACL(访问控制列表)(一)_第11张图片
PC2 ping PC1
ping 172.16.1.1
ACL(访问控制列表)(一)_第12张图片
按照上面的步骤进入PC3 的命令行界面
输入ping 命令
例如
PC3 ping PC1
ping 172.16.1.1
ACL(访问控制列表)(一)_第13张图片
PC3 ping PC2
ACL(访问控制列表)(一)_第14张图片

如上图全部可以ping通
配置动态路由协议成功

使用标准访问控制列表

Router2>en
Router2#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router2(config)#access-list 1 deny 172.16.2.0 0.0.0.255        
Router2(config)#access-list permit 172.16.1.0 0.0.0.255
Router2(config)#int f 0/0   
Router2(config-if)#ip access-group 1 out
Router2(config-if)#ex
Router2(config)#ex
Router2#

在上述命令中
Router2(config)#int f 0/0 命令中的接口为:

ACL(访问控制列表)(一)_第15张图片
配置的Router 2 上连着PC 3 交换机的接口

测试
用PC2 ping PC4
如下图所示
ACL(访问控制列表)(一)_第16张图片

则表明 PC2 不能访问PC4 即 销售部不能访问财政部

用PC1 ping PC4 如下图所示

ACL(访问控制列表)(一)_第17张图片
则表明 PC1 能访问PC4 即 行政部能访问财政部

上述结果达到了要求:
要求销售部门不能对财务部门进行访问,但行政部可以对财务部门进行访问

你可能感兴趣的:(计算机网络技术)