ACL IP访问控制列表配置实验

目录：

第一个任务的：验证测试    5

第二个任务的：交换机的验证测试    9

第三个任务的：扩展访问验证测试    14

最后---总结：    15

▲ 表示重要的

一、IP标准访问控制列表的建立及应用 

工作任务 

你是学校网络管理员，学校的财务处、教师办公室和校办企业财务科分属不同的3个网段，三个部门之间通过路由器进行信息传递，为了安全起见，学校领导要求你对网络的数据流量进行控制，实现校办企业财务科的主机可以访问财务处的主机，但是教师办公室主机不能访问财务处主机。

     首先对两路由器进行基本配置，实现三个网段可以相互访问；然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表，允许192.168.1.0网段（校办企业财务科）主机发出的数据包通过，不允许192.168.2.0网段（教师办公室）主机发出的数据包通过，最后将这一策略加到路由器RouterB的Fa 0端口，如图所示。

第1步：基本配置

路由器RouterA：

R >enable

R #configure terminal

R(config)#hostname RouterA

RouterA (config)# line vty 0 4 

VTY是路由器的远程登陆的虚拟端口,0 4表示可以同时打开5个会话,line vty 0 4是进入VTY端口,对VTY端口进行配置,比如说配置密码,

RouterA (config-line)#login

RouterA (config-line)#password 100

RouterA (config-line)#exit

RouterA (config)# enable password 100

RouterA (config)#interface fastethernet 0/0       

RouterA (config-if)#ip address 192.168.1.1 255.255.255.0

RouterA (config-if)#no shutdown

RouterA (config-if)#Exit

RouterA (config)#interface s0/3/0       

RouterA (config-if)#ip address 192.168.12.1 255.255.255.0

RouterA (config-if)#no shutdown

RouterA (config-if)#Exit

RouterA (config)#interface s0/3/0        

RouterA (config-if)#ip address 192.168.2.1 255.255.255.0

RouterA (config-if)#no shutdown

RouterA (config-if)#Exit

RouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2

路由器RouterB：

R >enable

R #configure terminal

R(config)#hostname RouterB

RouterB (config)# line vty 0 4 

RouterB (config-line)#login

RouterB (config-line)#password 100

RouterB (config-line)#exit

RouterB (config)# enable password 100

RouterB (config)#interface fastethernet 0/0        

RouterB (config-if)#ip address 192.168.3.1 255.255.255.0

RouterB (config-if)#no shutdown

RouterB (config-if)#Exit

RouterB (config)#interface s0/3/1       

RouterB (config-if)#ip address 192.168.12.2 255.255.255.0

RouterB (config-if)#no shutdown

RouterB (config-if)#Exit

RouterB (config)#ip route 192.168.1.0 255.255.255.0 192.166.12.1

RouterB (config)#ip route 192.168.2.0 255.255.255.0 192.166.12.1

第2步：▲在路由器RouterB上配置IP标准访问控制列表

RouterB (config)#access-list 1 deny 192.168.2.0 0.0.0.255

RouterB (config)#access-list 1 permit 192.168.1.0 0.0.0.255

RouterB #show access-list 1

第3步：▲ 应用在路由器RouterB的Fa 0/0接口输出方向上

RouterB (config)#interface fastethernet 0/0       

RouterB (config-if)#ip access-group 1 out  

验证测试

RouterB #show ip interface fastethernet 0/0     

第4步：▲验证测试

  在校企主机的命令提示符下Ping 192.168.3.10，能Ping通。

  在老师办公室主机的命令提示符下Ping 192.168.3.10，不能Ping通。

第二：任务如图所示，

     首先对交换机进行基本配置，实现三个网段可以相互访问；然后对交换机配置IP标准访问控制列表，允许192.168.1.0网段（校企财务科）主机发出的数据包通过，不允许192.168.2.0网段（教师办公室）主机发出的数据包通过，最后将这一策略加到交换机VLAN30的SVI端口输出方向上。

根据拓扑图：

第1步：交换机的基本配置

Switch#configure terminal

Switch(config)#hostname s3550

Switch(conifg)#ip routing

Switch(conifg)#vlan 10

Switch(config-vlan)#exit

Switch(conifg)#vlan 20

Switch(config-vlan)#exit

Switch(conifg)#interface fastethernet 0/1

Switch(conifg-if)#switchport mode access

Switch(conifg-if)#switchport access vlan 10

Switch(conifg-if)#exit

Switch(conifg)# interface fastethernet 0/6

Switch(conifg-if)#switchport mode access

Switch(conifg-if)#switchport access vlan 20

Switch(config-vlan)#exit

Switch(conifg)# interface fastethernet 0/20

Switch(conifg-if)#switchport mode access

Switch(conifg-if)#switchport access vlan 30

Switch(config-vlan)#exit

Switch(conifg)#

Switch(config)#interface vlan 10

Switch(conifg-if)#ip address 192.168.1.1 255.255.255.0

Switch(conifg-if)#no shutdown

Switch(conifg-if)#exit

Switch(config)#interface vlan 20

Switch(conifg-if)#ip address 192.168.2.1 255.255.255.0

Switch(conifg-if)#no shutdown

Switch(conifg-if)#exit

Switch(config)#interface vlan 30

Switch(conifg-if)#ip address 192.168.3.1 255.255.255.0

Switch(conifg-if)#no shutdown

Switch(conifg-if)#end

Switch#

查看三层交换机的路由表

Switch#show ip route

第2步：▲配置命名IP标准访问控制列表

Switch(config)#ip access-list standard ABC

      既可以 列表好，也可以 直接 名字就可以了

Switch(config-std-nacl)#deny 192.168.2.0 0.0.0.255

Switch(config-std-nacl)#permit 192.168.1.0 0.0.0.255

Switch(config-std-nacl)#exit

Switch(config)#interface vlan 30

Switch(config-if)# ip access-group ABC out

验证测试

Switch#show ip interface vlan 30

第3步：▲验证测试

  在PC1主机的命令提示符下Ping 192.168.3.10，能Ping通。

  在PC2主机的命令提示符下Ping 192.168.3.10，不能Ping通。

二、IP 【扩展访问控制列表】 的建立及应用

工作任务

你是学校网络管理员，学校的网管中心分别架设FTP、Web服务器，其中FTP服务器供教师专用，学生不可使用；

Web服务器教师和学生都可访问。

FTP及Web服务器、教师办公室和学生宿舍分属不同的3个网段，三个网段之间通过路由器进行信息传递，要求你对路由器进行适当设置实现网络数据流量控制。

首先对两路由器进行基本配置，实现三个网段相互访问；然后对离控制源地址较近的路由器RouterA配置IP扩展访问控制列表，不允许192.168.1.0网段（学生宿舍）主机发出的去192.168.3.0网段的FTP数据包通过，允许192.168.1.0网段主机发出的其它服务数据包通过，最后将这一策略加到路由器RouterA的Fa 0端口 ，如图所示 。

根据相应的图画出拓扑图：

第1步：基本配置

路由器RouterA：

R >enable

R #configure terminal

R(config)#hostname RouterA

RouterA (config)# line vty 0 4 

RouterA (config-line)#login

RouterA (config-line)#password 100

RouterA (config-line)#exit

RouterA (config)# enable password 100

RouterA (config)#interface fastethernet 0/0       

RouterA (config-if)#ip address 192.168.1.1 255.255.255.0

RouterA (config-if)#no shutdown

RouterA (config-if)#Exit

RouterA (config)#interface s0/3/0        

RouterA (config-if)#ip address 192.168.12.1 255.255.255.0

RouterA (config-if)#no shutdown

RouterA (config-if)#Exit

RouterA (config)#interface fastethernet 0/1        

RouterA (config-if)#ip address 192.168.2.1 255.255.255.0

RouterA (config-if)#no shutdown

RouterA (config-if)#Exit

RouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2

路由器RouterB：

R >enable

R #configure terminal

R(config)#hostname RouterB

RouterB (config)# line vty 0 4 

RouterB (config-line)#login

RouterB (config-line)#password 100

RouterB (config-line)#exit

RouterB (config)# enable password 100

RouterB (config)#interface  f 0/0        

RouterB (config-if)#ip address 192.168.3.1 255.255.255.0

RouterB (config-if)#no shutdown

RouterB (config-if)#Exit

RouterB (config)#interface s0/1        

RouterB (config-if)#ip address 192.168.12.2 255.255.255.0

RouterB (config-if)#no shutdown

RouterB (config-if)#Exit

RouterB (config)#ip route 192.168.1.0 255.255.255.0 192.166.12.1

RouterB (config)#ip route 192.168.2.0 255.255.255.0 192.166.12.1

第2步：▲在路由器RouterA上配置IP扩展访问控制列表

    ▲ 拒绝来自192.168.1.0 网段去192.168.3.0网段的FTP流量通过

RouterA (config)#access-list 101 deny TCP 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 eq FTP

   ▲ 还可以控制某一些端口的出入

允许其它服务的流量通过

     RouterA (config)#access-list 101 permit IP any any 

验证测试

     RouterA #show access-list 101

第3步：

     把访问控制列表应用在路由器RouterA的Fa 0/0接口输入方向上。

     RouterA(config)#interface fastethernet 0/0

     RouterA (config-if)#ip access-group 101 in

第4步：分别配置FTP和Web服务器

FTP服务器

Web服务器

第5步：验证测试

    在PC1主机的命令提示符下Ping 192.168.3.10，能Ping通。

但是发送FTP 包就不能通，如下图：

PC2

五、▲总结：

●本次实验难度不大，主要小心一下端口的配置，还有一些IP访问的规则就行了。

●WEB服务器配置时，要自己去定义发送FTP 数据包，这样才能测试到结果。

●RouterA (config)# line vty 0 4 

●VTY是路由器的远程登陆的虚拟端口,0 4表示可以同时打开5个会话,line vty 0 4是进入VTY端口,对VTY端口进行配置,比如说配置密码

●RouterB (config)#interface fastethernet 0/0      

    RouterB (config-if)#ip access-group 1 out  

    列表1所定义的条件应用到从本路由器禁止从此接口出去

●RouterA (config-line)#login

    RouterA (config-line)#password 100

    RouterA (config-line)#exit

    RouterA (config)# enable password 100

●配置进入路由器配置需要密码：而且不显示的

●▲易发生错误的是：交换机要启动路由协议

    Switch(conifg)#ip routing

●RouterA (config)#access-list 101 deny TCP 192.168.1.0 0.0.0.255  192.168.3.0 0.0.0.255 eq FTP

●▲把访问控制列表应用在路由器RouterA的Fa 0/0接口输入方向上。

    RouterA(config)#interface fastethernet 0/0

    RouterA (config-if)#ip access-group 101 in

●▲in和out都是对端口而言的。

    in表示进站，从外到内的进入端口的数据方向。一般是接收。【进入端口的数据方向】

    out表示出站，从内到外离开端口的数据方向。一般是发送。【离开端口的数据方向】