IP访问控制列表配置
目录:
第一个任务的:验证测试 ............................................................................................................... 3 第二个任务的:交换机的验证测试 ............................................................................................... 6 第三个任务的:扩展访问验证测试 ............................................................................................. 10 最后---总结: ................................................................................................................................. 12 ▲ 表示重要的
一、IP标准访问控制列表的建立及应用
工作任务
你是学校网络管理员,学校的财务处、教师办公室和校办企业财务科分属不同的3个网段,三个部门之间通过路由器进行信息传递,为了安全起见,学校领导要求你对网络的数据流量进行控制,实现校办企业财务科的主机可以访问财务处的主机,但是教师办公室主机不能访问财务处主机。
首先对两路由器进行基本配置,实现三个网段可以相互访问;然后对距离
控制目的地址较近的路由器RouterB配置IP标准访问控制列表,允许192.168.1.0网段(校办企业财务科)主机发出的数据包通过,不允许192.168.2.0网段(教师办公室)主机发出的数据包通过,最后将这一策略加到路由器RouterB的Fa
0端口,如图所示。
第1步:基本配置
路由器RouterA:
R >enable
R #configure terminal
R(config)#hostname RouterA RouterA (config)# line vty 0 4
是路由器的远程登陆的虚拟端口,0 4表示可以同时打开5个会话,line vty 0 4是进入VTY端口,对VTY端口进行配置,比如说配置密码,
VTY
RouterA (config-line)#login
RouterA (config-line)#password 100 RouterA (config-line)#exit
RouterA (config)# enable password 100
RouterA (config)#interface fastethernet 0/0
RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit
RouterA (config)#interface s0/3/0
RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit
RouterA (config)#interface s0/3/0
RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit
RouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2
路由器RouterB:
R >enable
R #configure terminal
R(config)#hostname RouterB RouterB (config)# line vty 0 4 RouterB (config-line)#login
RouterB (config-line)#password 100 RouterB (config-line)#exit
RouterB (config)# enable password 100
RouterB (config)#interface fastethernet 0/0
RouterB (config-if)#ip address 192.168.3.1 255.255.255.0 RouterB (config-if)#no shutdown RouterB (config-if)#Exit
RouterB (config)#interface s0/3/1
RouterB (config-if)#ip address 192.168.12.2 255.255.255.0
RouterB (config-if)#no shutdown RouterB (config-if)#Exit
RouterB (config)#ip route 192.168.1.0 255.255.255.0 192.166.12.1 RouterB (config)#ip route 192.168.2.0 255.255.255.0 192.166.12.1
第2步:▲在路由器RouterB上配置IP标准访问控制列表
RouterB (config)#access-list 1 deny 192.168.2.0 0.0.0.255 RouterB (config)#access-list 1 permit 192.168.1.0 0.0.0.255 RouterB #show access-list 1
第3步:▲ 应用在路由器RouterB的Fa 0/0接口输出方向上
RouterB (config)#interface fastethernet 0/0 RouterB (config-if)#ip access-group 1 out 验证测试
RouterB #show ip interface fastethernet 0/0
第4步:▲验证测试
在校企主机的命令提示符下Ping 192.168.3.10,能Ping通。
在老师办公室主机的命令提示符下Ping 192.168.3.10,不能Ping通。
第二:任务如图所示,
首先对交换机进行基本配置,实现三个网段可以相互访问;然后对交换机配置IP标准访问控制列表,允许192.168.1.0网段(校企财务科)主机发出的数据包通过,不允许192.168.2.0网段(教师办公室)主机发出的数据包通过,最后将这一策略加到交换机VLAN30的SVI端口输出方向上。
根据拓扑图:
第1步:交换机的基本配置 Switch#configure terminal
Switch(config)#hostname s3550 Switch(conifg)#ip routing Switch(conifg)#vlan 10 Switch(config-vlan)#exit Switch(conifg)#vlan 20 Switch(config-vlan)#exit
Switch(conifg)#interface fastethernet 0/1 Switch(conifg-if)#switchport mode access Switch(conifg-if)#switchport access vlan 10 Switch(conifg-if)#exit
Switch(conifg)# interface fastethernet 0/6 Switch(conifg-if)#switchport mode access Switch(conifg-if)#switchport access vlan 20 Switch(config-vlan)#exit
Switch(conifg)# interface fastethernet 0/20
Switch(conifg-if)#switchport mode access Switch(conifg-if)#switchport access vlan 30 Switch(config-vlan)#exit Switch(conifg)#
Switch(config)#interface vlan 10
Switch(conifg-if)#ip address 192.168.1.1 255.255.255.0 Switch(conifg-if)#no shutdown Switch(conifg-if)#exit
Switch(config)#interface vlan 20
Switch(conifg-if)#ip address 192.168.2.1 255.255.255.0 Switch(conifg-if)#no shutdown Switch(conifg-if)#exit
Switch(config)#interface vlan 30
Switch(conifg-if)#ip address 192.168.3.1 255.255.255.0 Switch(conifg-if)#no shutdown Switch(conifg-if)#end Switch#
查看三层交换机的路由表 Switch#show ip route
第2步:▲配置命名IP标准访问控制列表
Switch(config)#ip access-list standard ABC
既可以 列表好,也可以 直接 名字就可以了 Switch(config-std-nacl)#deny 192.168.2.0 0.0.0.255 Switch(config-std-nacl)#permit 192.168.1.0 0.0.0.255 Switch(config-std-nacl)#exit Switch(config)#interface vlan 30
Switch(config-if)# ip access-group ABC out 验证测试
Switch#show ip interface vlan 30