IP标准及扩展访问控制列表配置

技术

证

掌握网络安全策略布置原则，掌握IP标准及扩展访问控制列表配置技能，能够根据实际需求准确配置IP访问控制列表，具体包括以下几个方面。

（1）了解IP标准及扩展访问控制列表的功能及用途。

（2）掌握IP标准访问控制列表配置技能。

（3）掌握IP扩展访问控制列表配置技能。

二、实验设备及环境

首先对两路由器进行基本配置，实现三个网段可以相互访问；然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表，允许192.168.1.0网段（校办企业财务科）主机发出的数据包通过，不允许192.168.2.0网段（教师办公室）主机发出的数据包通过，最后将这一策略加到路由器RouterB的Fa 0端口，如图12.1所示。

三、实验步骤

模块12.1  IP标准访问控制列表的建立及应用

第1步：基本配置。

路由器RouterA。

路由器RouterB。

查验路由表，此时可以看到路由器的路由表中既包含直连路由，也包含静态路由。

第2步：在路由器RouterB上配置Ilp标准访问控制列表。拒绝来自192.168.2.0网段的流量通过。

允许来自192.168.1.0网段的流量通过。

第3步：把访问控制列表应用在路由器RouterB的Fa 0接口输出方向上。

第4步：验证测试。

在PC1主机的命令提示符下Ping 192.168.3.10，能Ping通。

在PC2主机的命令提示符下Ping 192.168.3.10，不能Ping通。

对于任务2，首先对交换机进行基本配置，实现三个网段可以相互访问；然后对交换机配置IP标准访问控制列表，允许192.168.1.0网段（校企财务科）主机发出的数据包通过，不允许192.168.2.0网段（教师办公室）主机发出的数据包通过，最后将这一策略加到交换机VLAN30的SVI端口输出方向上，如图12.2所示。

第1步：交换机的基本配置。

图12.2交换机IP标准访问控制列表

查看三层交换机路由表。

第2步：配置命名IP标准访问控制列表。

验证测试。

第3步：验证测试。

在PC1主机的命令提示符下Ping 192.168.3.10，能Ping通。

在PC2主机的命令提示符下Ping 192.168.3.10，不能Ping通。

模块12.2 IP扩展访问控制列表的建立及应用

首先对两路由器进行基本配置，实现三个网段相互访问；然后对离控制源地址较近的路由器RouterA配置IP扩展访问控制列表，不允许192.168.1.0网段（学生宿舍）主机发出的去192.168.3.0网段的FTP数据包通过，允许192.168.1.0网段主机发出的其他服务数据包通过，最后将这一策略加到路由器RouterA的Fa 0端口，如图12.4所示。

第一步：基本配置。

路由器RouteA。

路由器RouterB。

第二步：在路由器RouterA上配置ip扩展访问控制列表。

对于任务2，首先对三层交换机进行基本配置，实现三个网段可以相互访问；然后在三层交换机上配置IP扩展访问控制列表，不允许192.168.1.0网段（学生宿舍）主机发出的去192.168.3.0网段的FrP数据包通过，允许192.168.1.0网段主机发出的其他服务数据包通过，最后将这一策略加到三层交换机的VLAN10的SVI端口输入方向上，如图12.5所示。

图12.5交换机IP扩展访问控制列表配置过程如下所述。

第1步：交换机的基木配置。

查看三层交换机路由表。

第2步：配置命名iP扩展访问控制列表。

第3步：把访问控制列表应用在交换机SwitchA的VLAN10的SVI接口输入方向上。

验证测试。

第4步：分别配置FTP及Web服务器（在做实训时也可将FIT及Web服务器放置在一台机器上）。

第5步：验证测试。

分别在学生网段和教师网段上使用1台主机访问FI'P及Web服务器，则学生主机只能访问Web服务器，教师主机都可以访问。