项目三 实验3 IP访问控制列表的配置.docx
9页
本文格式为Word版,下载可任意编辑项目三 实验3 IP访问控制列表的配置 工程三 测验3 IP访问操纵列表的配置 一、标准IP访问操纵列表的配置 【测验目的】 (1)理解IP访问操纵列表的原理及功能; (2)掌管编号的标准IP访问操纵列表的配置方法; 【测验技术原理】 IP ACL(IP访问操纵列表或IP访问列表)是实现对流经路由器或交换机的数据包根据确定的规矩举行过滤,从而提高网络可管理性和安好性; IP ACL分为两种:标准IP访问列表和扩展IP访问列表,编号范围分别为1~99、1300~1999,100~199、2000~2699; 标准IP访问列表可以根据数据包的源IP地址定义规矩,举行数据包的过滤; 扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规矩,举行数据包的过滤; IP ACL 基于接口举行规矩的应用,分为:入栈应用和出栈应用; 【实现功能】 实现网段间彼此访问的安好操纵; 【测验背景描述】 你是公司的网络管理员,公司的经理部、财务部门和销售片面别属于不同的3个网段,三部门之间用路由器举行信息传递,为了安好起见,公司领导要求销售部门不能对财务部举行访问,但经理部可以对财务部举行访问; PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机 【测验设备】 R1700(2台),PC(2台)、直连线(3条)、V.35线(1条) 【测验内容】 (1)按照拓扑举行网络连接 (2)配置路由器接口IP地址 (3)配置路由器ospf动态路由 (4)配置编号的IP标准访问操纵列表 (5)将访问列表应用到接口 【测验拓扑图】 【测验步骤】 (1)配置路由器R1、R2接口IP地址; (2)配置R1、R2 的ospf动态路由; R1(config)# router ospf 10 R1(config-router)#network 172.16.1.0 0.0.0.255 area 0 R1(config-router)#network 172.16.2.0 0.0.0.255 area 0 R1(config-router)#network 172.16.3.0 0.0.0.3 area 0 R2(config)# router ospf 10 R2(config-router)#network 172.16.4.0 0.0.0.255 area 0 R2(config-router)#network 172.16.3.0 0.0.0.3 area 0 用show ip route查看路由表,此时有直连路由,如R1 R1#show ip route 验证测试 ①用销售部主机172.16.2.8ping财务部主机172.16.4.2,能ping通; ②用经理部主机172.16.1.2ping财务部主机172.16.4.2,能ping通; (3)R2配置编号的IP标准访问操纵列表 R2(config)#access-list 1 deny 172.16.2.0 0.0.0.255 !拒绝来自172.16.2.0网段的流量通过 R2(config)#access-list 1 permit 172.16.1.0 0.0.0.255 !允许来自172.16.1.0网段的流量通过 验证测试 R2#show access-lists 1 Standard IP access list 1 1 deny 172.16.2.0 0.0.0.255 (0 matches) 1 permit 172.16.1.0 0.0.0.255 (0 matches) (4)将访问列表应用到接口 R2(config)#interface fastethernet 1/0 R2(config-if)#ip access-group 1 out 【测验测试】 (1)用销售部主机172.16.2.8ping财务部主机172.16.4.2,不能ping通; (2)用经理部主机172.16.1.2ping财务部主机172.16.4.2,能ping通; 【测验问题】 (1) 访问操纵列表能否应用到其他接口,结果会怎样? (2) 为什么标准访问操纵列表要尽量靠近目的地址的接口? (3) 访问操纵列表应用到接口时,in和out方向有什么不同? 【测验留神事项】 (1)留神在访问操纵列表的网络掩码是反掩码; (2)标准操纵列表要应用在尽量靠近目的地址的接口; 二、 IP扩展访问列表 【测验目的】 (1)理解IP访问操纵列表的原理及功能; (2)掌管扩展IP访问操纵列表的配置方法; (3)掌管将扩展访问操纵列表绑定到路由器端口的方法 【测验技术原理】 IP ACL(IP访问操纵列表或IP访问列表)是实现对流经路由器或交换机的数据包根据确定的规矩举行过滤,从而提高网络可管理性和安好性; IP ACL分为两种:标准IP访问列表和扩展IP访问列表,编号范围分别为1~99、1300~1999,100~199、2000~2699; 标准IP访问列表可以根据数据包的源IP地址定义规矩,举行数据包的过滤; 扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规矩,举行数据包的过滤; IP ACL 基于接口举行规矩的应用,分为:入栈应用和出栈应用; 【实现功能】 实现网段间彼此访问的安好操纵; 【测验背景描述】 你是公司的网络管理员,公司的生产部、业务片面别属于不同的网段,公司领导要求生产部门不能访问互联网,但可以访问互联网上的WEB服务器和FTP服务器61.5.8.10,业务部访问互联网不受限制。
【测验设备】 R1700(2台),PC(2台)、直连线(3条)、V.35线(1条) 【测验拓扑图】 PC1 生产部 172.16.1.10/24 172.16.3.1/32 S1/2 Ra Rb S1/2 172.16.3.2/32 PC3 F1/1 61.5.8.1/24 /FTP Server 172.16.1.1/24 F1/0 172.16.2.1/24 F1/1 PC2 业务部 172.16.2.10/24 Ra代表公司出口路由器,Rb代表internet路由器,PC1代表生产部的主机、PC2业务部的主机、PC3代表互联网上的/FTP服务器 【测验内容】 (1)按照拓扑举行网络连接 (2)配置路由器接口IP地址 (3)配置路由器ospf动态路由 (4)配置IP扩展访问操纵列表 (5)将访问列表应用到接口 【测验步骤】 (1)配置路由器Ra、Rb接口IP地址; Ra根本配置: red-giant(config)#hostname Ra Ra(config)#interface fastethernet 1/0 Ra (config-if)#ip address 172.16.1.1 255.255.255.0 Ra (config-if)#no shutdown Ra (config-if)#exit Ra(config)#interface fastethernet 1/1 Ra (config-if)#ip address 172.16.2.1 255.255.255.0 Ra (config-if)#no shutdown Ra (config-if)#exit Ra (config)#interface serial 1/2 Ra (config-if)#ip address 172.16.3.1 255.255.255.0 Ra (config-if)#no shutdown Ra (config-if)#exit Rb根本配置: red-giant(config)#hostname Rb Rb (config)#interface fastethernet 1/1 Rb (config-if)#ip address 61.5.8.1 255.255.255.0 Rb (config-if)#no shutdown Rb (config-if)#exit Rb (config)#interface serial 1/2 Rb (config-if)#clock rate 64000 Rb (config-if)#ip address 172.16.3.2 255.255.255.0 Rb (config-if)#no shutdown Rb (config-if)#exit (2)配置Ra、Rb的ospf动态路由; Ra(config)# router ospf 10 Ra(config-router)#network 172.16.1.0 0.0.0.255 area 0 Ra(config-router)#network 172.16.2.0 0.0.0.255 area 0 Ra(config-router)#network 172.16.3.0 0.0.0.3 area 0 Rb(config)# router ospf 10 Rb(config-router)#network 172.16.3.0 0.0.0.3 area 0 Rb(config-router)#network 61.5.8.0 0.0.0.255 area 0 用show ip route查看路由表,此时应有直连路由。
验证测试 ② 用生产部主机172.16.1.10 ping WEB服务器61.5.8.10,能ping通; ②用业务部主机172.16.2.10 ping WEB服务器61.5.8.10,能ping通; (3)在Ra上配置IP扩展访问操纵列表 Ra(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 61.5.8.10 eq 80 Ra(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 61.5.8.10 eq 20 Ra(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 61.5.8.10 eq 21 Ra(config)#access-list 100 permit ip 172.16.2.0 0.0.0.255 any (4)将访问列表应用到接口 Ra(config)#int s 1/2 Ra(config-if)#ip access-group 100 out Ra(config-if)#end 【测验测试与验证】 1.分别按以下地址规划结果配置相应计算机的IP地址 PC1:172.16.1.1。
