项目三 实验3 IP访问控制列表的配置

项目三 实验3 IP访问控制列表的配置 一、标准IP访问控制列表的配置

【实验目的】

（1）理解IP访问控制列表的原理及功能；

（2）掌握编号的标准IP访问控制列表的配置方法； 【实验技术原理】

IP ACL（IP访问控制列表或IP访问列表）是实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性；

IP ACL分为两种：标准IP访问列表和扩展IP访问列表，编号范围分别为1～99、1300～1999，100～199、2000～2699；

标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤； 扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤；

IP ACL 基于接口进行规则的应用，分为：入栈应用和出栈应用； 【实现功能】

实现网段间互相访问的安全控制； 【实验背景描述】

你是公司的网络管理员，公司的经理部、财务部门和销售部分别属于不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部进行访问，但经理部可以对财务部进行访问；

PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机 【实验设备】

R1700（2台），PC（2台）、直连线（3条）、V.35线（1条） 【实验内容】

（1）按照拓扑进行网络连接 （2）配置路由器接口IP地址 （3）配置路由器ospf动态路由

（4）配置编号的IP标准访问控制列表 （5）将访问列表应用到接口 【实验拓扑图】

【实验步骤】

（1）配置路由器R1、R2接口IP地址； （2）配置R1、R2 的ospf动态路由； R1(config)# router ospf 10

R1(config-router)#network 172.16.1.0 0.0.0.255 area 0 R1(config-router)#network 172.16.2.0 0.0.0.255 area 0

R1(config-router)#network 172.16.3.0 0.0.0.3 area 0 R2(config)# router ospf 10

R2(config-router)#network 172.16.4.0 0.0.0.255 area 0 R2(config-router)#network 172.16.3.0 0.0.0.3 area 0

用show ip route查看路由表，此时有直连路由，如R1 R1#show ip route

验证测试

①用销售部主机172.16.2.8ping财务部主机172.16.4.2，能ping通； ②用经理部主机172.16.1.2ping财务部主机172.16.4.2，能ping通；

（3）R2配置编号的IP标准访问控制列表

R2(config)#access-list 1 deny 172.16.2.0 0.0.0.255 ！拒绝来自172.16.2.0网段的流量通过

R2(config)#access-list 1 permit 172.16.1.0 0.0.0.255 ！允许来自172.16.1.0网段的流量通过

验证测试

R2#show access-lists 1

Standard IP access list 1

1 deny 172.16.2.0 0.0.0.255 (0 matches) 1 permit 172.16.1.0 0.0.0.255 (0 matches) （4）将访问列表应用到接口

R2(config)#interface fastethernet 1/0 R2(config-if)#ip access-group 1 out 【实验测试】

（1）用销售部主机172.16.2.8ping财务部主机172.16.4.2，不能ping通； （2）用经理部主机172.16.1.2ping财务部主机172.16.4.2，能ping通； 【实验问题】

（1） 访问控制列表能否应用到其他接口，结果会怎样？ （2） 为什么标准访问控制列表要尽量靠近目的地址的接口？ （3） 访问控制列表应用到接口时，in和out方向有什么不同？ 【实验注意事项】

（1）注意在访问控制列表的网络掩码是反掩码；

（2）标准控制列表要应用在尽量靠近目的地址的接口；

二、 IP扩展访问列表

【实验目的】

（1）理解IP访问控制列表的原理及功能； （2）掌握扩展IP访问控制列表的配置方法； （3）掌握将扩展访问控制列表绑定到路由器端口的方法 【实验技术原理】

IP ACL（IP访问控制列表或IP访问列表）是实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性；

IP ACL分为两种：标准IP访问列表和扩展IP访问列表，编号范围分别为1～99、1300～1999，100～199、2000～2699；

标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤； 扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤；

IP ACL 基于接口进行规则的应用，分为：入栈应用和出栈应用； 【实现功能】

实现网段间互相访问的安全控制；

【实验背景描述】

你是公司的网络管理员，公司的生产部、业务部分别属于不同的网段，公司领导要求生产部门不能访问互联网，但可以访问互联网上的WEB服务器和FTP服务器61.5.8.10，业务部访问互联网不受限制。 【实验设备】

R1700（2台），PC（2台）、直连线（3条）、V.35线（1条） 【实验拓扑图】

PC1

生产部

172.16.1.10/24

172.16.3.1/32 S1/2

Ra

Rb S1/2

172.16.3.2/32

PC3

F1/1 61.5.8.1/24

WWW/FTP Server

172.16.1.1/24 F1/0

172.16.2.1/24 F1/1 PC2

业务部

172.16.2.10/24

Ra代表公司出口路由器，Rb代表internet路由器，PC1代表生产部的主机、PC2业务部的主机、PC3代表互联网上的WWW/FTP服务器。 【实验内容】

（1）按照拓扑进行网络连接 （2）配置路由器接口IP地址

（3）配置路由器ospf动态路由 （4）配置IP扩展访问控制列表 （5）将访问列表应用到接口 【实验步骤】

（1）配置路由器Ra、Rb接口IP地址； Ra基本配置：

red-giant(config)#hostname Ra

Ra(config)#interface fastethernet 1/0

Ra (config-if)#ip address 172.16.1.1 255.255.255.0 Ra (config-if)#no shutdown

Ra (config-if)#exit

Ra(config)#interface fastethernet 1/1

Ra (config-if)#ip address 172.16.2.1 255.255.255.0 Ra (config-if)#no shutdown Ra (config-if)#exit

Ra (config)#interface serial 1/2

Ra (config-if)#ip address 172.16.3.1 255.255.255.0 Ra (config-if)#no shutdown

Ra (config-if)#exit

Rb基本配置：

red-giant(config)#hostname Rb

Rb (config)#interface fastethernet 1/1

Rb (config-if)#ip address 61.5.8.1 255.255.255.0 Rb (config-if)#no shutdown Rb (config-if)#exit

Rb (config)#interface serial 1/2 Rb (config-if)#clock rate 64000

Rb (config-if)#ip address 172.16.3.2 255.255.255.0 Rb (config-if)#no shutdown Rb (config-if)#exit

（2）配置Ra、Rb的ospf动态路由；

Ra(config)# router ospf 10

Ra(config-router)#network 172.16.1.0 0.0.0.255 area 0 Ra(config-router)#network 172.16.2.0 0.0.0.255 area 0 Ra(config-router)#network 172.16.3.0 0.0.0.3 area 0 Rb(config)# router ospf 10

Rb(config-router)#network 172.16.3.0 0.0.0.3 area 0

Rb(config-router)#network 61.5.8.0 0.0.0.255 area 0

用show ip route查看路由表，此时应有直连路由。 验证测试

② 用生产部主机172.16.1.10 ping WEB服务器61.5.8.10，能ping通； ②用业务部主机172.16.2.10 ping WEB服务器61.5.8.10，能ping通；

（3）在Ra上配置IP扩展访问控制列表

Ra(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 61.5.8.10 eq 80

Ra(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 61.5.8.10 eq 20

Ra(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 61.5.8.10 eq 21

Ra(config)#access-list 100 permit ip 172.16.2.0 0.0.0.255 any

（4）将访问列表应用到接口 Ra(config)#int s 1/2

Ra(config-if)#ip access-group 100 out

Ra(config-if)#end

【实验测试与验证】

1.分别按下列地址规划结果配置相应计算机的IP地址 PC1：172.16.1.10/24 网关：172.16.1.1 PC2：172.16.2.10/24 网关：172.16.2.1 2. 架设一台服务器(IP地址为61.5.8.10/24，网关为61.5.8.1)，开通WWW服务和FTP服务。

3. 从生产部的主机PC1(172.16.1.10)上通过IE可访问PC3（61.5.8.10）上的WWW/FTP服务，但PC1却无法ping通PC3主机IP地址。

4. 从业务部的主机PC2(172.16.2.10)上通过IE可访问PC3（61.5.8.10）上的WWW服务，同时PC2也可以ping通PC3主机IP地址。。 【实验问题】

（1）访问控制列表能否应用到其他接口，结果会怎样？ （2）为什么扩展访问控制列表要尽量靠近源地址的接口？

（3）访问控制列表应用到接口时，in和out方向有什么不同？ 【实验注意事项】

（1）注意在访问控制列表的网络掩码是反掩码；

（2）扩展控制列表要应用在尽量靠近源地址的接口； （3）访问控制列表要在接口下应用；

Ra(config-if)#end

【实验测试与验证】

1.分别按下列地址规划结果配置相应计算机的IP地址 PC1：172.16.1.10/24 网关：172.16.1.1 PC2：172.16.2.10/24 网关：172.16.2.1 2. 架设一台服务器(IP地址为61.5.8.10/24，网关为61.5.8.1)，开通WWW服务和FTP服务。

3. 从生产部的主机PC1(172.16.1.10)上通过IE可访问PC3（61.5.8.10）上的WWW/FTP服务，但PC1却无法ping通PC3主机IP地址。

4. 从业务部的主机PC2(172.16.2.10)上通过IE可访问PC3（61.5.8.10）上的WWW服务，同时PC2也可以ping通PC3主机IP地址。。 【实验问题】

（1）访问控制列表能否应用到其他接口，结果会怎样？ （2）为什么扩展访问控制列表要尽量靠近源地址的接口？

（3）访问控制列表应用到接口时，in和out方向有什么不同？ 【实验注意事项】

（1）注意在访问控制列表的网络掩码是反掩码；

（2）扩展控制列表要应用在尽量靠近源地址的接口； （3）访问控制列表要在接口下应用；

本文来源：https://www.bwwdw.com/article/cpvv.html