ACL配置实验

network

ACL配置实验 2007-06-10 18:50:50
　标签：实验 ACL配置　

版权声明：原创作品，如需转载，请与作者联系。否则将追究法律责任。

实验要求 标准访问控制列表： 只允许网段1和网段2之间互相访问 扩展访问控制列表： 只允许网段1(10.10.1.0/24)访问R2路由器内部的WWW服务和PING服务，拒绝访问该服务器上的其他服务； 只允许网段2(10.10.2.0/24)访问R3路由器内部的TFTP服务和PING服务，拒绝访问该服务器上的其他服务。 做访问控制列表实验之前我已经在各个路由器上配置了动态路由协议，使整个网 络拓扑是连通的。所以，大家在做访问控制列表实验之前，先配置好路由(动态/ 静态)，网络运行正常后再配置访问控制列表 标准访问控制列表配置： 只允许网段1和网段2之间互相访问 R1配置： R1#conf t R1(config)#access-list 1 deny 10.10.1.0 0.0.0.255 R1(config)#access-list 1 deny 10.10.2.0 0.0.0.255 R1(config)#access-list 1 permit any R1(config)#int f0/0 R1(config-if)#ip access-group 1 out 测试： 在PC1上ping PC2(10.10.2.1) PC1#ping 10.10.2.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.10.2.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 108/227/312 ms 测试结果为可以访问 在PC1上PING R2路由器的内部网络(172.16.1.1) PC1#ping 172.16.1.1   Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds: U.U.U Success rate is 0 percent (0/5) 测试结果是不能访问 在PC2上PING PC1(10.10.1.1) PC2#ping 10.10.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.10.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 72/176/216 ms 测试结果为可以访问 在PC2上PING R3路由器的内部网络(172.16.5.1) PC2#ping 172.16.5.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.5.1, timeout is 2 seconds: U.U.U Success rate is 0 percent (0/5) 测试结果为不能访问 扩展访问控制列表配置： 只允许网段1(10.10.1.0/24)访问R2路由器内部的WWW服务和PING服务，拒绝访问 该服务器上的其他服务； 只允许网段2(10.10.2.0/24)访问R3路由器内部的TFTP服务和PING服务，拒绝访问 该服务器上的其他服务。 因为先前我们已经配置了一个标准访问控制列表，为了不影响下一步的实验，现 在我们先将其删除 R1#show access-lists Standard IP access list 1     10 deny   10.10.1.0, wildcard bits 0.0.0.255 (8 matches)     20 deny   10.10.2.0, wildcard bits 0.0.0.255 (16 matches)     30 permit any R1#conf t R1(config)#int f0/0 R1(config-if)#no ip access-group 1 out R1(config-if)#exit    R1(config)#no access-list 1 R1(config)#end R1#show access-lists R1# 好了，现在我们开始配置扩展的访问控制列表了，根据上面的要求来做 R1配置： R1#conf t R1(config)#access-list 101 permit tcp 10.10.1.0 0.0.0.255 host                     172.16.1.1 eq 80         R1(config)#access-list 101 permit icmp 10.10.1.0 0.0.0.255 host                 172.16.1.1       R1(config)#access-list 101 permit udp 10.10.2.0 0.0.0.255 host            172.16.5.1 eq 69 R1(config)#access-list 101 permit icmp 10.10.2.0 0.0.0.255 host             172.16.5.1 echo         R1(config)#access-list 101 permit icmp 10.10.2.0 0.0.0.255 host             172.16.5.1 echo-reply R1(config)#int f0/0 R1(config-if)#ip access-group 101 out R1(config-if)#end R1#show access-lists Extended IP access list 101     10 permit tcp 10.10.1.0 0.0.0.255 host 172.16.1.1 eq www     20 permit icmp 10.10.1.0 0.0.0.255 host 172.16.1.1     30 permit udp 10.10.2.0 0.0.0.255 host 172.16.5.1 eq tftp     40 permit icmp 10.10.2.0 0.0.0.255 host 172.16.5.1 echo     50 permit icmp 10.10.2.0 0.0.0.255 host 172.16.5.1 echo-reply 测试： PC1: 在PC1上PING R2路由器内部网段的WEB服务器(172.16.1.1) PC1#ping 172.16.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 148/268/420 ms 测试结果为可以PING 在PC1上PING R3路由器内部网段的TFTP服务器(172.16.5.1) PC1#ping 172.16.5.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.5.1, timeout is 2 seconds: U.U.U Success rate is 0 percent (0/5) 测试结果为不可以PING PC2： 在PC2上PING R2路由器内部网段的WEB服务器(172.16.1.1) PC2#ping 172.16.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds: U.U.U Success rate is 0 percent (0/5) 测试结果为不可以PING 在PC2上PING R3路由器内部网段的TFTP服务器(172.16.5.1) PC2#ping 172.16.5.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.5.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 288/317/384 ms 测试结果为可以PING