标准ACL和扩展ACL的应用 简单介绍和实验

访问控制列表(ACL)

读取第三层、第四层包头信息

根据预先定义好的规则对包进行过滤

 

访问控制列表在接口应用的方向

出：已经过路由器的处理 正离开路由器接口的数据包

入：已到达路由器接口的数据包 将被路由器处理

 

访问控制列表的类型

标准访问控制列表

基于源IP地址过滤数据包

标准访问控制列表的访问控制列表号是1-99

扩展访问控制列表

基于源IP地址、目的IP地址、指定协议、端口和标志来过滤数据包

扩展访问控制列表的访问控制列表号是100-199

命名访问控制列表

命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号

 

实验拓扑

 

R1配置

 

R2配置

 

R3配置

 

PC的IP 配置

PC1

 

PC2

 

PC3

 

测试连通性

 

R1上设置访问控制列表

 

PC1 ping PC2

 

修改PC1 IP地址后再尝试 ping成功

 

公司网络建设要求

使用C类地址规划网络、每个部门使用一个VLAN

为设备分配管理地址

限定不同的部门能访问的服务器

财务部只能访问财务部服务器

生产部只能访问生产部服务器

限制Telnet登录，登录用户名为test,密码为test123

只有网管可以使用远程桌面、Telnet、 SSH等登录方式管理服务器

要求所有部门之间不能互通，但可以和网管互通

 

拓扑图

 

SW1的配置

SW2的配置

 

R1的配置

 

MSW1(记得开启ip routing)

 

PC1的IP配置

 

PC2的IP配置

 

PC3的IP配置

 

server1的IP配置

 

server2的IP配置

 

server3的IP配置

 

网管的IP配置

 

PC1 ping server1 成功 其他PC也都能ping通相应的server服务器

 

PC1 ping server2成功 其他PC也都能ping通不相应的server服务器

 

配置ACL访问控制列表

 

验证连通性 PC1只能ping通server1 不能访问其他部门的服务器

PC2只能ping通server2 不能访问其他部门的服务器

PC3只能ping通server3 不能访问其他部门的服务器

 

在MSW1上开启远程登陆

 

配置进入特权模式的密码

 

用PC机尝试远程登陆  需要用户名密码

 

网管机可以ping通所有服务器

网管可以ping通所有部门

各个部门之间不能互通