利用 IP 扩展访问列表实现应用服务的访问限制

【实训目的】

掌握在交换机上编号的扩展IP访问列表规则及配置。

【背景描述】

你是学校的网络管理员，在3560-24交换机上连着学校提供 Telnet的服务器，另外还连接着学生宿舍楼和教工宿舍楼，学校规定 学生不能对服务器进行Telnet访问，而教工则没有此限制。

提示：设R1为学校服务器，R2为教工宿舍楼的路由，R3为学生宿舍楼的路由

步骤1 设计拓扑结构

 

步骤 2 三个路由器的基本配置

按拓扑上的表示给三台路由器对应的端口配置 ip，以及给每个路由器 配 置 相 应 的 静 态 默 认 路 由 。

R1:

R2:

R3:

 

对于 R1，由于需要做 telnet 服务器，要配置登录用户数和登录密码

R1:

步骤 3 在三层交换机上将端口划分到相应 VLAN，并能够使全网互

通

先分别创建 3 个 vlan，分别为 vlan10，vlan20，vlan30

 

然后将 0/1， 0/2，0/3 三个端口绑定相应的 vlan，并给每个端口按拓扑图所示配置 相应的 ip 地址。

 

 

步骤 4 在三层交换机上配置访问列表

 ！在列表号为 110 的扩展访问列表上禁止 192.168.30.0 到 192.168.10.0 网段的 telnet 访问S1#access-list 110 permit ip any any   !允许其它的访问  ！在 vlan 30 上加入 110 的规则

步骤五 测试

1. 在三台路由器上，ping 全网各个端口都可以通；

R1：

 

R2:

 

R3:

2.在交换机上

3、R2 利用 telnet 访问 R1 可以输入密码登录，但 R3 不能 telent 登 录 R1。

 

R3#telnet 192.168.10.2

！R3 telnet R1 失败，但 R3 仍可以 ping 通全网