ACL实验访问控制列表 下载本文

ACL访问控制列表实验

什么是访问控制列表?

访问控制列表(ACL)是应用在路由器接口的指令列表,用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。ACL是路由器中不可缺少的另一大功能,主要应用在边界路由器跟防火墙路由器。 实验拓扑图

RouterA RouterB

S0/0 S0/1 F0/0 F0/1 A B C C D E F

router A 的IP地址: F0/1 172.1.1.1/24(主机网关地址)

S0/0 192.168.1.1/24

router B 的IP地址: S0/1 192.168.1.2/24

F0/0 172.2.2.1/24(主机网关地址)

host A的IP地址: 172.1.1.2/24 host B的IP地址: 172.1.1.3/24

host C的IP地址: 172.1.1.4/24 host D的IP地址: 172.2.2.2/24

host E的IP地址: 172.2.2.3/24 host F的IP地址:

172.2.2.4/24 实验要求:

1. ACL能正常工作的前提是所有主机都能ping通。(采用RIP路由协议)

2. 路由器的基本配置: 1)设置路由器接口IP地址。2) 配置RIP路由

3. 根据以上拓扑划分出的2个网段,要求禁止主机F访问172.1.1.0/24网段。该如何实现?.

一、 实验步骤:

路由器的基本配置: 1)、设置路由器接口IP地址。 1.

router A 的配置:

router B的配置:

2.配置RIP路由: router A 的配置:

router B的配置:

3.接下来测试一下host A 、host B 、host C、host D、host E 、host F是否都能互相ping 通 ,如果都能互通我们再做下面的步骤。

4.标准访问控制列表:要求禁止主机F访问172.1.1.0/24网段。 对 router A 进行配置:

关于命令行的解释:(课本P117) Router(config)#access-list

{permit|deny} {test-conditions}

其中access-list-number就是列表号,范围为1~99(扩展的访问控制列表列表号为100~199),permit(允许)和deny(拒绝)必须选其一,test-conditions为设定的比较条件,如本实验的access-list 1 deny 172.2.2.4 0.0.0.0,创建一条列表,列表号为1,拒绝172.2.2.4主机的访问,0.0.0.0为反转掩码(上节课讲过);假设要禁止172.2.2.0/24整个网段所有的主机访问172.1.1.0/24网段,那么访问控制列表为access-list 2 deny 172.2.2.0 0.0.0.255。access-list 1 permit any,意思是允许除了172.2.2.4以外的任何主机访问。 在建立完访问控制列表后,要在接口上应用它 Router(config-if)#{protocol}

access-group access-list-number

access-list-number {in|out},如本实验在F0/1接口上的应用,Router(config-if)#ip access-group 1 out,说明IP协议在访问列表1上应用,数据流的方向是从F0/1口流出。关于数据流

进流出的判断,即in|out的选择,请结合拓扑图理解。

查看配置 : 试比较各种查看ACL的命令,且分别说出它们的区别。

5.测试:

用主机F 去 ping 172.1.1.0/24网段,如果主机F不能ping通的主机,而其他主机可以ping通则实验成功 。 6. 删除ACL:

router ( config )# no access-list 1

注意:在删除一个ACL之前要先查看该ACL应用在哪个接口的哪个方向上,先清除应用之后再作删除。

Router(config-if)# no ip access-group 1 out 四、思考

1.如果是3个路由器组成的拓扑图又应该如何配置? host A、B 属于172.1.1.0/24 网段 ;host C、D属于172.2.2.0/24网段;

host E、F 属于172.3.3.0/24 网段。

要求禁止172.3.3.0/24 网段上所有的用户访问172.1.1.0/24 网段,应该如何配置标准ACL或者扩展ACL?你