NSD cisco高级路由与交换技术--2014.8.15

实验01：标准ACL与标准命名ACL

实验目标： 通过配置ACL实现对个体主机的访问控制 

实验环境:

实验步骤：

一、如图配置主机的ip地址和网关

二、在路由器router1上进行如下配置

1、配置路由器的接口ip

2、配置动态路由

3、配置标准ACL

全局：access-list  1  deny  192.168.1.1  0.0.0.0

全局：access-list  1  permit  192.168.1.0  0.0.0.255

4、将ACL应用与接口

Int  f0/0  ip  access-group  1  in

结果验证：用主机1去ping主机4，不能ping通

用主机2和主机3去ping主机4，可以ping通

三、删除access-list 1

No access-list 1

四、配置标准命名acl

查看控制列表

五、插入一条命令

结果验证：在控制列表中多了一条

用主机1和主机2分别去ping主机4

问题与总结：

注意要在接口模式配置：ip  access-group  名字  in或out

实验02：扩展ACL和扩展命名ACL

实验目标：通过配置ACL实现对个体主机的访问控制

实验环境：

实验步骤：

一、如图连接设备和配置主机ip地址和网关

1、router 1：全局：int  f0/1

             Ip address 192.168.1.254 255.255.255.0

             No shutdown

             int  f0/0

             Ip address 192.168.2.1 255.255.255.0

             No shutdown

2、router 2：全局: int  f0/1

             Ip address 192.168.2.2 255.255.255.0

             No shutdown

             int  f0/0

             Ip address 192.168.3..1 255.255.255.0

             No shutdown

2、router 3：全局: int  f0/1

             Ip address 192.168.3.2 255.255.255.0

             No shutdown

             int  f0/0

             Ip address 192.168.4.254 255.255.255.0

             No shutdown

二、配置动态路由

1、 router 1：全局router rip

             version 2

             no auto-summary

             network 192.168.1.0

             network 192.168.2.0

2、 router 2：全局router rip

             version 2

             no auto-summary

             network 192.168.2.0

             network 192.168.3.0

3、 router 3：全局router rip

             version 2

             no auto-summary

             network 192.168.3.0

             network 192.168.4.0

三、在http服务列表的右边 填写ip192.168.4.1

四、分别配置三个路由器端口ip（基本相同只要注意端口的变化）

interface FastEthernet0/0

 ip address 192.168.1.254 255.255.255.0

interface FastEthernet0/0

 ip address 192.168.1.254 255.255.255.0

五、配置三台路由器的动态ip配置（基本相同只要注意端口的变化）

router rip

 version 2

 network 192.168.1.0

 network 192.168.2.0

 no auto-summary

六、在路由1上配置扩展ACP

PC1只允许访问192.168.4.1的web服务，不许访问其他服务，允许pc1以外的其他主机访问所有

Router(config)#Access-list  100  permit  tcp  host  192.168.1.1  host  192.168.4.1  eq  80

Router(config)#Access-list  100  deny  ip  host  192.168.1.1  host  192.168.4.1

Router(config)#Access-liat  100  permit  ip  192.168.1.0  0.0.0.255  host  192.168.4.1 

Router(config-if)#ip access-group 100 in

结果验证：用主机1去访问192.168.4.1

用主机1去ping服务器，ping不通

七、在路由器1上配置扩展命名ACP

PC1只允许访问192.168.4.1的web服务，不许访问其他服务，允许pc1以外的其他主机访问所有

ip access-list extended nsd1407

 Router(config-ext-nacl)#permit tcp host 192.168.1.1 host 192.168.4.1 eq 80

 Router(config-ext-nacl)#deny ip host 192.168.1.1 host 192.168.4.1

 Router(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 host 192.168.4.1

添加不允许pc2访问192.168.4.1的其他服务

Router(config-ext-nacl)#25 deny ip host 192.168.1.2 host 192.168.4.1

结果验证：主机1可以访问192.168.4.1的web服务

用主机1去ping 192.168.4.1

主机2不可以访问

用主机3去访问可以访问

主机3去ping服务器

问题与总结：

注意要在接口模式配置：ip  access-group  名字  in或out