实验目标
- 理解标准IP访问控制列表的原理及功能
- 掌握编号的标准IP访问控制列表的配置方法
实验背景
-
三个部门A、B、C分属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求A不能对C进行访问,但是B部门可以对C访问。
-
pc1代表A主机、pc2代表B主机、pc3代表C主机
技术原理
-
访问列表中定义的电影规则主要有以下:源地址、目标地址、上层协议、时间区域:
-
扩展IP访问列表(编号 100~199、2000、2699)使用以上四种组合来进行转发或阻断分组;可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则、进行数据包的过滤。
-
扩展IP访问列表的配置包括以下两步
定义扩展IP访问列表
将扩展IP访问列表应用于特定接口上
实验步骤
-
新建packet tracer拓扑图
-
分公司出口路由与外路由器之间通过v35电缆串口连接,DCE端连接在R2上,配置其始终频率64000,主机与路由器通过交叉线连接
-
配置PC机、服务器及路由器接口IP地址
-
在各路由器上配置静态路由器协议,让PC间能相互ping通,因为只有在互通的前提下才涉及到访问控制列表。
-
在r2上配置编号的IP扩展访问控制列表
-
在扩展IP访问列表应用到接口上
-
验证主机之间的互通性
实验设备
pc 1台,server-pt 1台 router-pt 3台;交叉线:DCE串口线
架构图
- pc0
ip 172.16.1.2
submask 255.255.255.0
gateway 172.16.1.1
- server0
ip 172.165.4.2
submask 255.255.255.0
gateway 172.16.4.1
- router0
en
conf t
host r0
int fa 0/0
ip address 172.16.1.1 255.255.255.0
no shutdown
int fa 1/0
ip address 172.16.2.1 255.255.255.0
no shutdown
exit
- router1
en
conf t
host r1
int fa 1/0
ip address 172.16.2.2 255.255.255.0
no shutdown
int s 2/0
ip address 172.16.3.1 255.255.255.0
no shutdown
clock rate 64000
- router2
en
conf t
host r2
int s 2/0
ip address 172.16.3.2 255.255.255.0
no shutdown
int fa 0/0
ip address 172.16.4.1 255.255.255.0
no shutdown
- router0
ip route 0.0.0.0 0.0.0.0 172.16.2.2
- router2
exit
ip route 0.0.0.0 0.0.0.0 172.16.3.1
- router1
exit
ip route 172.16.1.0 255.255.255.0 172.16.2.1
ip route 172.16.4.0 255.255.255.0 172.16.3.2
end
show ip route
- pc0
ping 172.16.4.2 success
web http://172.16.4.2
- router1
conf t
access-list 100 permit tcp host 172.16.1.2 host 172.16.4.2 eq www
access-list 100 deny icmp host 172.16.1.2 host 172.16.4.2 echo
int s 2/0
ip access-group 100 out
end
- pc0
web: http://172.16.4.2 success
ping 172.16.4.2 reply from 172.16.2.2
网友评论