IP访问控制列表配置实验Word格式文档下载.docx
《IP访问控制列表配置实验Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《IP访问控制列表配置实验Word格式文档下载.docx(9页珍藏版)》请在冰点文库上搜索。
enable
R#configureterminal
R(config)#hostnameRouterA
RouterA(config)#linevty04
RouterA(config-line)#login
RouterA(config-line)#password100
RouterA(config-line)#exit
RouterA(config)#enablepassword100
RouterA(config)#interfacefastethernet0/0注释:
fa0
RouterA(config-if)#ipaddress192.168.1.1255.255.255.0
RouterA(config-if)#noshutdown
RouterA(config-if)#Exit
RouterA(config)#interfacefastethernet0/1注释:
fa1
RouterA(config-if)#ipaddress192.168.12.1255.255.255.0
RouterA(config)#interfacefastethernet1/0注释:
fa2
RouterA(config-if)#ipaddress192.168.2.1255.255.255.0
RouterA(config)#iproute192.168.3.0255.255.255.0192.166.12.2
路由器RouterB:
R(config)#hostnameRouterB
RouterB(config)#linevty04
RouterB(config-line)#login
RouterB(config-line)#password100
RouterB(config-line)#exit
RouterB(config)#enablepassword100
RouterB(config)#interfacefastethernet0/0注释:
RouterB(config-if)#ipaddress192.168.3.1255.255.255.0
RouterB(config-if)#noshutdown
RouterB(config-if)#Exit
RouterB(config)#interfacefastethernet0/1注释:
RouterB(config-if)#ipaddress192.168.12.2255.255.255.0
RouterB(config)#iproute192.168.1.0255.255.255.0192.166.12.1
RouterB(config)#iproute192.168.2.0255.255.255.0192.166.12.1
第2步:
在路由器RouterB上配置IP标准访问控制列表
RouterB(config)#access-list1deny192.168.2.00.0.0.255
RouterB(config)#access-list1permit192.168.1.00.0.0.255
验证测试
RouterB#showaccess-list1
第3步:
应用在路由器RouterB的Fa0/0接口输出方向上
RouterB(config-if)#ipaccess-group1out
RouterB#showipinterfacefastethernet0/0注释:
第4步:
在PC1主机的命令提示符下Ping192.168.3.10,能Ping通。
在PC2主机的命令提示符下Ping192.168.3.10,不能Ping通。
任务如图所示,首先对交换机进行基本配置,实现三个网段可以相互访问;
然后对交换机配置IP标准访问控制列表,允许192.168.1.0网段(校企财务科)主机发出的数据包通过,不允许192.168.2.0网段(教师办公室)主机发出的数据包通过,最后将这一策略加到交换机VLAN30的SVI端口输出方向上。
交换机的基本配置
Switch#configureterminal
Switch(config)#hostnames3550
S3550(conifg)#iprouting
S3550(conifg)#vlan10
S3550(config-vlan)#exit
S3550(conifg)#vlan20
S3550(conifg)#interfacefastethernet0/1
S3550(conifg-if)#switchportmodeaccess
S3550(conifg-if)#switchportaccessvlan10
S3550(conifg-if)#exit
S3550(conifg)#interfacefastethernet0/6
S3550(conifg-if)#switchportaccessvlan20
S3550(conifg)#interfacefastethernet0/20
S3550(conifg-if)#switchportaccessvlan30
S3550(conifg)#
S3550(config)#interfacevlan10
S3550(conifg-if)#ipaddress192.168.1.1255.255.255.0
S3550(conifg-if)#noshutdown
S3550(config)#interfacevlan20
S3550(conifg-if)#ipaddress192.168.2.1255.255.255.0
S3550(config)#interfacevlan30
S3550(conifg-if)#ipaddress192.168.3.1255.255.255.0
S3550(conifg-if)#end
S3550#
查看三层交换机的路由表
S3550#showiproute
配置命名IP标准访问控制列表
S3550(config)#ipaccess-liststandardABC
S3550(config-std-nacl)#deny192.168.2.00.0.0.255
S3550(config-std-nacl)#permit192.168.1.00.0.0.255
S3550(config-std-nacl)#exit
S3550(config-if)#ipaccess-groupABCout
S3550#showipinterfacevlan30
二、IP扩展访问控制列表的建立及应用
工作任务
你是学校网络管理员,学校的网管中心分别架设FTP、Web服务器,其中FTP服务器供教师专用,学生不可使用;
Web服务器教师和学生都可访问。
FTP及Web服务器、教师办公室和学生宿舍分属不同的3个网段,三个网段之间通过路由器进行信息传递,要求你对路由器进行适当设置实现网络数据流量控制。
首先对两路由器进行基本配置,实现三个网段相互访问;
然后对离控制源地址较近的路由器RouterA配置IP扩展访问控制列表,不允许192.168.1.0网段(学生宿舍)主机发出的去192.168.3.0网段的FTP数据包通过,允许192.168.1.0网段主机发出的其它服务数据包通过,最后将这一策略加到路由器RouterA的Fa0端口,如图所示。
在路由器RouterA上配置IP扩展访问控制列表
拒绝来自192.168.1.0网段去192.168.3.0网段的FTP流量通过
RouterA(config)#access-list101denyTCP192.168.1.00.0.0.255
192.168.3.00.0.0.255eqFTP
允许其它服务的流量通过
RouterA(config)#access-list101permitIPanyany
RouterA#showaccess-list101
把访问控制列表应用在路由器RouterA的Fa0/0接口输入方向上。
RouterA(config)#interfacefastethernet0/0
RouterA(config-if)#ipaccess-group101in
分别配置FTP和Web服务器
第5步: