实验一
问题描述:用标准ACL实现172.16.1.0网段主机可以访问172.16.3.0网段的主机,172.16.2.0网段主机不能访问172.16.3.0网段的主机。
拓扑图
步骤1:配置各接口地址
Router(config)#hostname Router0
Router0(config)#int s0/0/1
Router0(config-if)#ip add 172.16.2.1 255.255.255.0
Router0(config-if)#clock rate 64000
Router0(config-if)#no sh
Router0 (config-if)#exit
Router0 (config) #int f0/1
Router0 (config-if)#ip add 172.16.1.1 255.255.255.0
Router0 (config-if)#no sh
Router0 (config-if)#exit
Router(config)#hostname Router1
Router1(config)#int f0/1
Router1(config-if)#ip add 172.16.3.1 255.255.255.0
Router1(config-if)#no sh
Router1(config-if)#exit
Router1(config)#int s0/0/1
Router1(config-if)#ip add 172.16.2.2 255.255.255.0
Router1(config-if)#no sh
Router1(config-if)#exit
步骤2:配置静态路由
Router0(config)#ip route 172.16.3.0 255.255.255.0 172.16.2.2
Router1(config)#ip route 172.16.1.0 255.255.255.0 172.16.2.1
步骤3:验证静态路由配置
Router0(config)#do show ip route
Router1(config)#do show ip route
步骤4:配置标准IP访问控制列表
(1)172.16.2.0网段的主机不能ping通172.16.3.0网段的主机
Router1(config)#access-list 2 deny 172.16.2.0 0.0.0.255
(2)172.16.1.0网段的主机能ping通172.16.3.0网段的主机
Router1(config)#access-list 2 permit 172.16.1.0 0.0.0.255
步骤5:把访问控制列表在接口上应用
Router1(config)#int f0/1
Router1(config-if)#ip access-group 2 out
步骤6:验证测试
(1)172.16.2.0网段的主机不能ping通172.16.3.0网段的主机
(2)172.16.1.0网段的主机能ping通172.16.3.0网段主机
实验二
问题描述:使用扩展ACL实现实验一
拓扑图
步骤1:配置各接口地址
Router(config)#hostname Router0
Router0(config)#int s0/0/1
Router0(config-if)#ip add 172.16.2.1 255.255.255.0
Router0(config-if)#clock rate 64000
Router0(config-if)#no sh
Router0 (config-if)#exit
Router0 (config) #int f0/1
Router0 (config-if)#ip add 172.16.1.1 255.255.255.0
Router0 (config-if)#no sh
Router0 (config-if)#exit
Router(config)#hostname Router1
Router1(config)#int f0/1
Router1(config-if)#ip add 172.16.3.1 255.255.255.0
Router1(config-if)#no sh
Router1(config-if)#exit
Router1(config)#int s0/0/1
Router1(config-if)#ip add 172.16.2.2 255.255.255.0
Router1(config-if)#no sh
Router1(config-if)#exit
步骤2:配置静态路由
Router0(config)#ip route 172.16.3.0 255.255.255.0 172.16.2.2
Router1(config)#ip route 172.16.1.0 255.255.255.0 172.16.2.1
步骤3:验证静态路由配置
Router0(config)#do show ip route
Router1(config)#do show ip route
步骤4:配置扩展IP访问控制列表
Router(config)#ip access-list extended 101
Router(config-ext-nacl)#deny tcp 172.16.2.0 0.0.0.255 host 172.16.3.22 eq ftp
Router(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 172.16.3.22 eq ftp
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#exit
步骤5:把访问控制列表在接口上应用
Router(config)#int f0/1
Router(config-if)#ip access-group 101 out
步骤7:验证测试
(1)在PC0访问172.16.3.22的FTP服务
(2)修改步骤4的内容
Router(config)#ip access-list extended 101
Router(config-ext-nacl)#deny tcp 172.16.1.0 0.0.0.255 host 172.16.3.22 eq ftp
Router(config-ext-nacl)#permit tcp 172.16.2.0 0.0.0.255 host 172.16.3.22 eq ftp
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#exit
在PC0访问172.16.3.22的FTP服务
实验三
问题描述:
你是公司的网络管理员,公司的经理部、财务部门和销售部分别属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部进行访问,但经理部可以对财务部进行访问。PC1代表经理部的主机,PC2代表销售部的主机,PC3代表财务部的主机。
拓扑图
步骤1:配置各接口地址
Router(config)#hostname Router1
Router1(config)#int f0/0
Router1(config-if)#ip add 172.16.1.1 255.255.255.0
Router1(config-if)#no sh
Router1(config-if)#exit
Router1(config)#int f0/1
Router1(config-if)#ip add 172.16.2.1 255.255.255.0
Router1(config-if)#no sh
Router1(config-if)#exit
Router1(config)#int s0/0/1
Router1(config-if)#ip add 172.16.3.1 255.255.255.252
Router1(config-if)#clock rate 64000
Router1(config-if)#no sh
Router1(config-if)#exit
Router(config)#hostname Router2
Router2(config)#int f0/1
Router2(config-if)#ip add 172.16.4.1 255.255.255.0
Router2(config-if)#no sh
Router2(config-if)#exit
Router2(config)#int s0/0/1
Router2(config-if)#ip add 172.16.3.2 255.255.255.252
Router2(config-if)#no sh
Router2(config-if)#exit
步骤2:配置静态路由
Router1(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2
Router2(config)#ip route 172.16.1.0 255.255.255.0 172.16.3.1
Router2(config)#ip route 172.16.2.0 255.255.255.0 172.16.3.1
步骤3:验证静态路由配置
Router1(config)#do show ip route
Router2(config)#do show ip route
步骤4:配置标准IP访问控制列表
Router2(config)#ip access-list standard 2
Router2(config-std-nacl)#deny 172.16.2.0 0.0.0.255
Router2(config-std-nacl)#permit 172.16.1.0 0.0.0.255
步骤5:把访问控制列表在接口上应用
Router2(config)#int f0/1
Router2(config-if)#ip access-group 2 out
Router2(config-if)#exit