ACL(访问控制列表)(一)
访问控制列表———ACL
- ACL (访问控制列表)案例
- 实验拓扑图
- [IP地址规划表]
- 【案例实施】
- 基本配置
- 1.1 路由器Router1基本配置
- 1.2 Router2 的基本配置
- 配置RIP
- 使用ping命令验证网络是否连通
- 使用标准访问控制列表
ACL(访问控制列表):控制网络流量,按规则过滤数据报文,提高网络安全性
本文中所用的软件为:Cisco Packet Tracer 6.3
本次实验先不配置两层交换机,只配置路由器,采用动态路由协议。
后期的文章中会有配置交换机的实验步骤
ACL (访问控制列表)案例
某公司网络中,行政部、销售部和财务部门分别属于不同的3个子网,3个子网之间使用路由器进行互联。
行政部所在的子网为172.16.1.0/24,销售部所在的子网为172.16.2.0/24,财务部所在的子网为172.16.4.0/24。
考虑到信息安全的问题,要求销售部门不能对财务部门进行访问,但行政部可以对财务部门进行访问。
实验拓扑图
[IP地址规划表]
Router 1 和Router 2 的IP地址与 PC 1 、PC 2、PC 3 的网关相同
【案例实施】
基本配置
1.1 路由器Router1基本配置
Router 1:
Router1>
Router1>en
Router1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#int f0/0
Router1(config-if)#ip add 172.16.1.2 255.255.255.0
Router1(config-if)#no shut
Router1(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
Router1(config-if)#
Router1(config-if)#exit
Router1(config)#
Router1(config)#int f1/0
Router1(config-if)#ip add 172.16.2.2 255.255.255.0
Router1(config-if)#no shut
Router1(config-if)#
%LINK-5-CHANGED: Interface FastEthernet1/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to up
Router1(config-if)#ex
Router1(config)#int s2/0
Router1(config-if)#ip add 172.16.3.1 255.255.255.0
Router1(config-if)#no shut
%LINK-5-CHANGED: Interface Serial2/0, changed state to down
Router1(config-if)#ex
Router1(config)#ex
Router1#ex
配置完Router 1 需要检查一下接口配置和状态
验证测试:验证接口的配置和状态
Router1#show ip interface brief
由于Router1 只使用了三个接口(F0/0、F0/1、s2/0) 所以只有三个接口显示配置状态
注意观察接口IP地址和子网掩码以及是否启用(状态up)
通过查看接口的配置可以得到:Router1 F 0/0 接口是开启的,F 1/0 接口是开启的,s 2/0 接口是关闭的的
1.2 Router2 的基本配置
Router 2:
Router2>
Router2>en
Router2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router2(config)#int s2/0
Router2(config-if)#ip add 172.16.3.2 255.255.255.0
Router2(config-if)#no shut
Router2(config-if)#
Router2(config-if)#
%LINK-5-CHANGED: Interface Serial2/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to up
Router2(config-if)#ex
Router2(config)#int f0/0
Router2(config-if)#ip add 172.16.4.2 255.255.255.0
Router2(config-if)#no shut
Router2(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
Router2(config-if)#ex
Router2(config)#ex
Router2#ex
配置完Router 2 需要检查一下接口配置和状态
验证测试:验证接口的配置和状态
Router2#show ip interface brief
注意观察接口IP地址和子网掩码以及是否启用(状态up)
配置完这步之后,实验拓扑图为以下状态:
配置RIP
本实验中需要配置动态路由选择协议(RIP)
Router 1 配置 RIP
Router1>
Router1>en
Router1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#router rip ! 开启rip协议进程
Router1(config-router)#network 172.16.1.0 ! 申明本设备的直连网段
Router1(config-router)#network 172.16.2.0
Router1(config-router)#network 172.16.4.0
Router1(config-router)#version 2 ! 定义rip协议v2
Router1(config-router)#no auto-summary ! 关闭路由信息的自动汇总
Router1(config-router)#
Router 2 配置 RIP
Router2>
Router2>en
Router2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router2(config)#router rip
Router2(config-router)#network 172.16.1.0
Router2(config-router)#network 172.16.2.0
Router2(config-router)#network 172.16.4.0
Router2(config-router)#version 2
Router2(config-router)#no auto-summary
Router2(config-router)#ex
Router2(config)#ex
Router2#ex
使用ping命令验证网络是否连通
之后我们要对这三台主机相互进行网络连通测试,可以在命令行使用Ping命令来相互Ping其他主机的IP地址,如果可以Ping通,则说明两个主机之间的网络是可以连通的,即可以相互访问,如果不通,则不能相互访问。
下面讲解 如何在Cisco Packet Tracer 中进入命令行界面,并使用Ping 命令进行网络连通测试
此时我们点击一个PC机(例如PC1),点击Desktop 进入以下界面
点击 Command Prompt 进入命令行界面
打开之后 在命令行输入 ping 172.16.4.1
显示以下界面 则为ping通
需要查看每台PC 是否都可以ping通
PC1 ping PC3
ping 172.16.4.1
PC1 ping PC2
ping 172.16.2.1
按照上面的步骤进入PC2 的命令行界面
输入ping 命令
例如
PC2 ping PC3
ping 172.16.4.1
PC2 ping PC1
ping 172.16.1.1
按照上面的步骤进入PC3 的命令行界面
输入ping 命令
例如
PC3 ping PC1
ping 172.16.1.1
PC3 ping PC2
如上图全部可以ping通
配置动态路由协议成功
使用标准访问控制列表
Router2>en
Router2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router2(config)#access-list 1 deny 172.16.2.0 0.0.0.255
Router2(config)#access-list permit 172.16.1.0 0.0.0.255
Router2(config)#int f 0/0
Router2(config-if)#ip access-group 1 out
Router2(config-if)#ex
Router2(config)#ex
Router2#
在上述命令中
Router2(config)#int f 0/0 命令中的接口为:
配置的Router 2 上连着PC 3 交换机的接口
测试
用PC2 ping PC4
如下图所示
则表明 PC2 不能访问PC4 即 销售部不能访问财政部
用PC1 ping PC4 如下图所示
则表明 PC1 能访问PC4 即 行政部能访问财政部
上述结果达到了要求:
要求销售部门不能对财务部门进行访问,但行政部可以对财务部门进行访问