实验内容:
公司的经理部(C3)、财务部(C1)和销售部(C2)分别属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部不能对财务部进行访问,但经理部可以对财务部和销售部进行访问。
1.构建实验网络拓扑,并标注端口及配置信息。
2.对路由器R1和R2进行配置,并查看记录接口状态、路由信息。
3.通过VPCS虚拟机,为每个PC机配置IP地址和子网掩码,检查各主机的连通性。
4.在R1上配置标准ACL,测试各主机之间的连通性,并记录结果。
5.把R1上的ACL去掉,再测试各主机之间的连通性,并记录结果。
6.在R2上配置标准ACL,测试各主机之间的连通性,并记录结果。
7.把R2上的ACL去掉,再测试各主机之间的连通性,并记录结果。
实验结果:
在各端口配置IPACL后,PC2不能访问PC1,即销售部不能对财务部进行访问,达到实验要求,在去掉IPACL后,各主机之间的通信恢复正常。
【注意事项】
1.注意在访问控制列表中的网络掩码是反掩码。
2.标准访问列表要应用在尽量靠近目标的地址的接口。
3.标准ACL的编号范围是1-99、1300-1999,扩展访问列表的编号范围是100-199、2000-2999。
4.IPACL基于接口应用时,分为入栈和出栈两个方向,命令分别为in和out。
R1的基本配置:
R1>en
R1#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
R1(config)#inters0/0
R1(config-if)#ipadd10.1.2.1255.255.255.0
R1(config-if)#noshut
R1(config-if)#clockrate64000
*Mar100:01:16.087:%LINK-3-UPDOWN:InterfaceSerial0/0,changedstatetoup
*Mar100:01:17.087:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/0,changedstatetoup
R1(config-if)#interf1/0
R1(config-if)#ipadd192.168.1.2255.255.255.0
*Mar100:01:42.579:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/0,changedstatetodown
R1(config-if)#ipadd192.168.1.2255.255.255.0
R1(config-if)#noshut
R1(config-if)#
R1(config-if)#inte
*Mar100:01:49.399:%LINK-3-UPDOWN:InterfaceFastEthernet1/0,changedstatetoup
*Mar100:01:50.399:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet1/0,changedstatetoup
R1(config-if)#interf2/0
R1(config-if)#ipadd192.168.3.2255.255.255.0
R1(config-if)#noshut
R1(config-if)#
*Mar100:02:15.315:%LINK-3-UPDOWN:InterfaceFastEthernet2/0,changedstatetoup
*Mar100:02:16.315:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet2/0,changedstatetoup
R1(config-if)#exit
R1(config)#iproute192.168.2.0255.255.255.010.1.2.2~~~~~~~~~~~~~~~~~~~~~配置静态路由
R1(config)#exit
查看R2接口状态和路由信息
R1#showipinterbrief
InterfaceIP-AddressOK?MethodStatusProtocol
Serial0/010.1.2.1YESmanualupdown
Serial0/1unassignedYESunsetadministrativelydowndown
Serial0/2unassignedYESunsetadministrativelydowndown
Serial0/3unassignedYESunsetadministrativelydowndown
FastEthernet1/0192.168.1.2YESmanualupup
FastEthernet2/0192.168.3.2YESmanualupup
R1#
R1#showiproute
Codes:C-connected,S-static,R-RIP,M-mobile,B-BGP
D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterarea
N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2
E1-OSPFexternaltype1,E2-OSPFexternaltype2
i-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-2
ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticroute
o-ODR,P-periodicdownloadedstaticroute
Gatewayoflastresortisnotset
C192.168.1.0/24isdirectlyconnected,FastEthernet1/0
C192.168.3.0/24isdirectlyconnected,FastEthernet2/0
R1#
^
R2的基本配置:
R2>en
R2#
R2#
R2#
R2#configt
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
R2(config)#
R2(config)#
R2(config)#
R2(config)#
R2(config)#
R2(config)#
R2(config)#interf1/0
R2(config-if)#ipadd192.168.2.2255.255.255.0
R2(config-if)#noshut
R2(config-if)#inters
*Mar100:35:25.047:%LINK-3-UPDOWN:InterfaceFastEthernet1/0,changedstatetoup
*Mar100:35:26.047:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet1/0,changedstatetoup
R2(config-if)#inters0/0
R2(config-if)#ipadd10.1.2.2255.255.255.0
R2(config-if)#noshut
R2(config-if)#
*Mar100:35:49.267:%LINK-3-UPDOWN:InterfaceSerial0/0,changedstatetoup
*Mar100:35:50.267:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/0,changedstatetoup
R2(config-if)#exit
R2(config)#iproute192.168.1.0255.255.255.010.1.2.1
R2(config)#iproute192.168.3.0255.255.255.010.1.2.1
R2(config)#exit
R2#
查看R2接口状态和路由信息
R2#showiproute
Codes:C-connected,S-static,R-RIP,M-mobile,B-BGP
D-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterarea
N1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2
E1-OSPFexternaltype1,E2-OSPFexternaltype2
i-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-2
ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticroute
o-ODR,P-periodicdownloadedstaticroute
Gatewayoflastresortisnotset
10.0.0.0/24issubnetted,1subnets
C10.1.2.0isdirectlyconnected,Serial0/0
S192.168.1.0/24[1/0]via10.1.2.1
C192.168.2.0/24isdirectlyconnected,FastEthernet1/0
S192.168.3.0/24[1/0]via10.1.2.1
R2#showipinterbrief
InterfaceIP-AddressOK?MethodStatusProtocol
Serial0/010.1.2.2YESmanualupup
Serial0/1unassignedYESunsetadministrativelydowndown
Serial0/2unassignedYESunsetadministrativelydowndown
Serial0/3unassignedYESunsetadministrativelydowndown
FastEthernet1/0192.168.2.2YESmanualupup
FastEthernet2/0unassignedYESunsetadministrativelydowndown
R2#
R2#
配置PC
(1)在R1上配置标准ACL,并将ACL应用到R1接口s0/0出栈方向,查看和记录访问列表的详细信息,如下图所示:
R1#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
R1(config)#access-list1deny192.168.1.00.0.0.255
R1(config)#access-list1permit192.168.3.00.0.0.255
R1(config)#ints0/0
R1(config-if)#ipaccess-group1out
R1(config-if)#end
R1#showaccess-lists1
(2)通过VPCS虚拟机,测试三台主机的连通性,测试得知PC1和PC3能相互ping通,PC1和PC2不能相互ping通,PC2和PC3能相互ping通,如下图所示:
(1)把R1上的s0/0接口下的ACL去掉,如下所示:
R1(config)#ints0/0
R1(config-if)#noipaccess-group1out
(2)通过VPCS虚拟机,再次测试三台主机的连通性,测试得知他们之间能够相互访问,如下图所示:
(1)在R2上配置标准ACL,并将ACL应用到RouteB接口s0/0入栈方向,查看和记录访问列表的详细信息,如下图所示:
R2#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
R2(config)#access-list1deny192.168.1.00.0.0.255
R2(config)#access-list1permit192.168.3.00.0.0.255
R2(config)#ints0/0
R2(config-if)#ipaccess-group1in
R2(config-if)#end
R2#showaccess-lists1
(2)通过VPCS虚拟机,测试三台主机的连通性,测试得知PC1和PC3能相互ping通,PC1和PC2不能相互ping通,PC2和PC3能相互ping通,如下图所示:
(1)把R2上的s0/0接口下的ACL去掉,如下所示:
R2#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
R2(config)#ints0/0
R2(config-if)#noipaccess-group1in
R2(config-if)#end
(2)通过VPCS虚拟机,再次测试三台主机的连通性,测试得知PC1和PC2之间恢复正常,彼此之间能够相互访问,如下图所示:
(1)在RouteB上配置标准ACL,并将ACL应用到RouteB接口f1/0出栈方向,查看和记录访问列表的详细信息,如下图所示:
R2#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
R2(config)#access-list1deny192.168.1.00.0.0.255
R2(config)#access-list1permit192.168.3.00.0.0.255
R2(config)#intf1/0
R2(config-if)#ipaccess-group1out
R2(config-if)#end
R2#showaccess-lists1
(2)通过VPCS虚拟机,测试三台主机的连通性,测试得知PC1和PC3能相互ping通,PC1和PC2不能相互ping通,PC2和PC3能相互ping通,如下图所示:
(1)把R2上的f1/0接口下的ACL去掉,如下所示:
R2#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
R2(config)#intf1/0
R2(config-if)#noipaccess-group1out
(2)通过VPCS虚拟机,再次测试三台主机的连通性,测试得知PC1和PC2之间恢复正常,彼此之间能够相互访问,如下图所示:
【实验分析】
在路由器RouteA的s0/0端口出栈方向应用ip访问控制时,由于PC1和PC3连接在同一个路由器RouteA上,接入的端口没有任何限制,因此可以相互ping通;在PC1和PC2之间RouteA的s0/0端口出栈方向应用了ip访问控制,限制了与PC1的地址相符合的网段的包从该端口出去,但PC2送的包能到达PC1,因此不能相互ping通;而s0/0端口所应用的ip访问控制,允许了PC3所在网段的包通过,所以PC2和PC3能相互ping通。
在路由器RouteB的s0/0端口入栈方向应用ip访问控制时,由于PC1和PC3连接在同一个路由器RouteA上,接入的端口没有任何限制,因此可以相互ping通;在PC1和PC2之间RouteB的s0/0端口入栈方向应用了ip访问控制,限制了与PC1的地址相符合的网段的包从该端口进去,但PC2送的包能到达PC1,因此不能相互ping通;而s0/0端口所应用的ip访问控制,允许了PC3所在网段的包通过,所以PC2和PC3能相互ping通。
在路由器RouteB的f1/0端口出栈方向应用ip访问控制时,由于PC1和PC3连接在同一个路由器RouteA上,接入的端口没有任何限制,因此可以相互ping通;在PC1和PC2之间RouteB的f1/0端口出栈方向应用了ip访问控制,限制了与PC1的地址相符合的网段的包从该端口出去,但PC2送的包能到达PC1,因此不能相互ping通;而s0/0端口所应用的ip访问控制,允许了PC3所在网段的包通过,所以PC2和PC3能相互ping通。
当ip访问控制从各端口去掉后,一切恢复正常,就能够相互ping通了。