建立访问控制列表(cisco)

时间:2024-12-13 21:33:20

实验一

问题描述:用标准ACL实现172.16.1.0网段主机可以访问172.16.3.0网段的主机,172.16.2.0网段主机不能访问172.16.3.0网段的主机。

拓扑图 拓扑图

步骤1:配置各接口地址

Router(config)#hostname Router0
Router0(config)#int s0/0/1
Router0(config-if)#ip add 172.16.2.1 255.255.255.0
Router0(config-if)#clock rate 64000
Router0(config-if)#no sh
Router0 (config-if)#exit
Router0 (config) #int f0/1
Router0 (config-if)#ip add 172.16.1.1 255.255.255.0
Router0 (config-if)#no sh
Router0 (config-if)#exit

Router(config)#hostname Router1
Router1(config)#int f0/1
Router1(config-if)#ip add 172.16.3.1 255.255.255.0
Router1(config-if)#no sh
Router1(config-if)#exit
Router1(config)#int s0/0/1
Router1(config-if)#ip add 172.16.2.2 255.255.255.0
Router1(config-if)#no sh
Router1(config-if)#exit

步骤2:配置静态路由

Router0(config)#ip route 172.16.3.0 255.255.255.0 172.16.2.2
Router1(config)#ip route 172.16.1.0 255.255.255.0 172.16.2.1

步骤3:验证静态路由配置

Router0(config)#do show ip route
静态路由表

Router1(config)#do show ip route

静态路由表

步骤4:配置标准IP访问控制列表

(1)172.16.2.0网段的主机不能ping通172.16.3.0网段的主机
Router1(config)#access-list 2 deny 172.16.2.0 0.0.0.255
(2)172.16.1.0网段的主机能ping通172.16.3.0网段的主机
Router1(config)#access-list 2 permit 172.16.1.0 0.0.0.255

步骤5:把访问控制列表在接口上应用

Router1(config)#int f0/1
Router1(config-if)#ip access-group 2 out

步骤6:验证测试
(1)172.16.2.0网段的主机不能ping通172.16.3.0网段的主机

测试结果

(2)172.16.1.0网段的主机能ping通172.16.3.0网段主机

测试结果


实验二

问题描述:使用扩展ACL实现实验一

拓扑图 拓扑图

步骤1:配置各接口地址

Router(config)#hostname Router0
Router0(config)#int s0/0/1
Router0(config-if)#ip add 172.16.2.1 255.255.255.0
Router0(config-if)#clock rate 64000
Router0(config-if)#no sh
Router0 (config-if)#exit
Router0 (config) #int f0/1
Router0 (config-if)#ip add 172.16.1.1 255.255.255.0
Router0 (config-if)#no sh
Router0 (config-if)#exit

Router(config)#hostname Router1
Router1(config)#int f0/1
Router1(config-if)#ip add 172.16.3.1 255.255.255.0
Router1(config-if)#no sh
Router1(config-if)#exit
Router1(config)#int s0/0/1
Router1(config-if)#ip add 172.16.2.2 255.255.255.0
Router1(config-if)#no sh
Router1(config-if)#exit

步骤2:配置静态路由

Router0(config)#ip route 172.16.3.0 255.255.255.0 172.16.2.2
Router1(config)#ip route 172.16.1.0 255.255.255.0 172.16.2.1

步骤3:验证静态路由配置

Router0(config)#do show ip route
静态路由表
Router1(config)#do show ip route
静态路由表

步骤4:配置扩展IP访问控制列表

Router(config)#ip access-list extended 101
Router(config-ext-nacl)#deny tcp 172.16.2.0 0.0.0.255 host 172.16.3.22 eq ftp
Router(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 172.16.3.22 eq ftp
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#exit

步骤5:把访问控制列表在接口上应用

Router(config)#int f0/1
Router(config-if)#ip access-group 101 out

步骤7:验证测试
(1)在PC0访问172.16.3.22的FTP服务

测试结果

(2)修改步骤4的内容

Router(config)#ip access-list extended 101
Router(config-ext-nacl)#deny tcp 172.16.1.0 0.0.0.255 host 172.16.3.22 eq ftp
Router(config-ext-nacl)#permit tcp 172.16.2.0 0.0.0.255 host 172.16.3.22 eq ftp
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#exit

在PC0访问172.16.3.22的FTP服务

测试结果


实验三

问题描述:
你是公司的网络管理员,公司的经理部、财务部门和销售部分别属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部进行访问,但经理部可以对财务部进行访问。PC1代表经理部的主机,PC2代表销售部的主机,PC3代表财务部的主机。

拓扑图拓扑图

步骤1:配置各接口地址

Router(config)#hostname Router1
Router1(config)#int f0/0
Router1(config-if)#ip add 172.16.1.1 255.255.255.0
Router1(config-if)#no sh
Router1(config-if)#exit
Router1(config)#int f0/1
Router1(config-if)#ip add 172.16.2.1 255.255.255.0
Router1(config-if)#no sh
Router1(config-if)#exit
Router1(config)#int s0/0/1
Router1(config-if)#ip add 172.16.3.1 255.255.255.252
Router1(config-if)#clock rate 64000
Router1(config-if)#no sh
Router1(config-if)#exit

Router(config)#hostname Router2
Router2(config)#int f0/1
Router2(config-if)#ip add 172.16.4.1 255.255.255.0
Router2(config-if)#no sh
Router2(config-if)#exit
Router2(config)#int s0/0/1
Router2(config-if)#ip add 172.16.3.2 255.255.255.252
Router2(config-if)#no sh
Router2(config-if)#exit

步骤2:配置静态路由

Router1(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2
Router2(config)#ip route 172.16.1.0 255.255.255.0 172.16.3.1
Router2(config)#ip route 172.16.2.0 255.255.255.0 172.16.3.1

步骤3:验证静态路由配置

Router1(config)#do show ip route
静态路由表
Router2(config)#do show ip route
静态路由表

步骤4:配置标准IP访问控制列表

Router2(config)#ip access-list standard 2
Router2(config-std-nacl)#deny 172.16.2.0 0.0.0.255
Router2(config-std-nacl)#permit 172.16.1.0 0.0.0.255

步骤5:把访问控制列表在接口上应用

Router2(config)#int f0/1
Router2(config-if)#ip access-group 2 out
Router2(config-if)#exit

步骤6:验证PC1可以访问PC3,但PC2不能访问PC3
验证PC1:

测试结果

验证PC2:

测试结果