标准ACL,扩展ACL
实验01 ACL―标准访问控制列表
实验目标:通过配置标准访问控制列表实现不同主机的访问控制
实验环境:1台路由器,2台交换机,4台PC
实验步骤:
拓扑图如下
配置router1
创建ACL,不允许192.168.1.1访问所有网络服务,允许192.168.1.0的其他主机访问所有网络服务
将接口加入ACL
注:图中in表示,此接口为数据包进入路由器的接口,如果是数据包出路由器的接口则为out
PC1 ping PC4,结果为目标不可达
PC2 、PC3 ping PC4,结果为可以ping通
结果验证:ACL配置成功
问题经验总结:要将接口加入到ACL中,并且注意是in还是out
实验02 ACL―标准命名访问控制列表
实验目标:通过配置命名访问控制列表实现不同主机的不同的访问服务情况,并实现ACL条目的添加
实验环境:1台路由器,2台交换机,4台PC
实验步骤:
拓扑图如下
配置router1
创建ACL,不允许192.168.1.1访问所有网络服务,允许192.168.1.0的其他主机访问所有网络服务
将接口加入ACL
PC1 ping PC4,结果为目标不可达
PC2、PC3 ping PC4,结果为可以ping通
查看ACL配置
添加一条ACL条目使PC2也不能访问所有服务
查看ACL配置,可看到刚刚添加的ACL条目
PC2 ping PC4,结果为目标不可达
结果验证:标准命名访问控制列表可以添加ACL条目
问题经验总结:不要忘了将相应接口添加进ACL中
实验03 ACL―扩展访问控制列表
实验目标:通过配置扩展访问控制列表实现对不同主机更为详细的访问控制管理
实验环境:3台路由器,2台交换机,3台PC,1台服务器主机
实验步骤:
拓扑图如下
注:3台路由器都需配置RIP,服务器主机配置HTTP服务,域名为192.168.4.1
配置router2
创建ACL,使PC5不能访问server的HTTP服务,其他主机可以访问;允许所有主机访问其他服务
将接口加入ACL
查看ACL信息
PC5访问server的HTTP服务,结果为访问不到
PC6、PC7访问server的HTTP服务,结果为可访问
结果验证:通过配置扩展访问控制列表实现了对主机的更为具体的访问控制管理
问题经验总结:注意添加ACL条目的顺序,不能颠倒
实验04 ACL―扩展命名访问控制列表
实验目标:通过配置扩展命名访问控制列表实现对主机更为具体的访问控制并对ACL条目进行添加配置
实验环境:同实验03
实验步骤:
配置router2
创建ACL,允许PC5访问server的HTTP服务;不允许PC5访问server的其他服务;允许其他所有主机访问server的所有服务。将接口加入ACL
PC5访问server的HTTP服务,可以访问
PC6、PC7访问server的HTTP服务,可以访问
PC5 ping server,目标主机不可达
PC6、PC7 ping server,ping通
查看ACL信息
添加一条ACL,禁止PC6访问server的所有服务
查看ACL信息
PC6 访问 server的HTTP服务,结果为超时
PC6 ping server ,结果为目标不可达
结果验证:通过对扩展命名访问控制列表的配置实现了对主机的具体的访问管理,并可添加ACL条目以更方便灵活的管理访问控制
问题经验总结:注意条目的添加顺序