第十四章 扩展IP访问控制列表配置

实验目标

• 理解标准IP访问控制列表的原理及功能
• 掌握编号的标准IP访问控制列表的配置方法

实验背景

• 三个部门A、B、C分属于不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求A不能对C进行访问，但是B部门可以对C访问。

• pc1代表A主机、pc2代表B主机、pc3代表C主机

技术原理

• 访问列表中定义的电影规则主要有以下：源地址、目标地址、上层协议、时间区域：

• 扩展IP访问列表（编号 100~199、2000、2699）使用以上四种组合来进行转发或阻断分组；可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则、进行数据包的过滤。

• 扩展IP访问列表的配置包括以下两步
  定义扩展IP访问列表
  将扩展IP访问列表应用于特定接口上

实验步骤

• 新建packet tracer拓扑图

• 分公司出口路由与外路由器之间通过v35电缆串口连接，DCE端连接在R2上，配置其始终频率64000，主机与路由器通过交叉线连接

• 配置PC机、服务器及路由器接口IP地址

• 在各路由器上配置静态路由器协议，让PC间能相互ping通，因为只有在互通的前提下才涉及到访问控制列表。

• 在r2上配置编号的IP扩展访问控制列表

• 在扩展IP访问列表应用到接口上

• 验证主机之间的互通性

实验设备

pc 1台，server-pt 1台 router-pt 3台；交叉线：DCE串口线

架构图

• pc0

ip 172.16.1.2
submask 255.255.255.0
gateway 172.16.1.1

• server0

ip 172.165.4.2
submask 255.255.255.0
gateway 172.16.4.1

• router0

en 
conf t
host r0
int fa 0/0
ip address 172.16.1.1 255.255.255.0
no shutdown
int fa 1/0
ip address 172.16.2.1 255.255.255.0
no shutdown
exit

• router1

en
conf t
host r1
int fa 1/0
ip address 172.16.2.2 255.255.255.0
no shutdown
int s 2/0
ip address 172.16.3.1 255.255.255.0
no shutdown
clock rate 64000

• router2

en
conf t
host r2
int s 2/0
ip address 172.16.3.2 255.255.255.0
no shutdown
int fa 0/0
ip address 172.16.4.1 255.255.255.0
no shutdown

• router0

ip route 0.0.0.0 0.0.0.0 172.16.2.2

• router2

exit
ip route 0.0.0.0 0.0.0.0 172.16.3.1

• router1

exit
ip route 172.16.1.0 255.255.255.0 172.16.2.1
ip route 172.16.4.0 255.255.255.0 172.16.3.2
end
show ip route

• pc0

ping 172.16.4.2 success
web http://172.16.4.2

• router1

conf t
access-list 100 permit tcp host 172.16.1.2 host 172.16.4.2 eq www
access-list 100 deny icmp host 172.16.1.2 host 172.16.4.2 echo
int s 2/0
ip access-group 100 out
end

• pc0

web: http://172.16.4.2 success
ping 172.16.4.2 reply from 172.16.2.2