实验1 配置标准 IP ACL
【实验步骤】
步骤 1 R1 基本配置。
R1#configure terminal
R1 (config)#interface fastEthernet 1/0
R1 (config-if)#ip address 172.16.1.1 255.255.255.0
R1 (config-if)#exit
R1 (config)#interface fastEthernet 1/1
R1 (config-if)#ip address 172.16.2.1 255.255.255.0
R1 (config-if)#exit
R1 (config)#interface serial 1/2
R1 (config-if)#ip address 172.16.3.1 255.255.255.0
R1 (config-if)#exit
步骤 2 R2 基本配置。
R2#configure terminal
R2 (config)#interface serial 1/2
R2 (config-if)#ip address 172.16.3.2 255.255.255.0
R2 (config-if)#exit
R2 (config)#interface fastEthernet 1/0
R2 (config-if)#ip address 172.16.4.1 255.255.255.0
R2 (config-if)#exit
步骤 3 查看 R1、R2 接口状态。
R1#show ip interface brief
Interface IP-Address(Pri) OK? Status
serial 1/2 172.16.3.1/24 YES UP
serial 1/3 no address YES DOWN
FastEthernet 1/0 172.16.1.1/24 YES UP
FastEthernet 1/1 172.16.2.1/24 YES UP
Null 0 no address YES UP
R2#show ip interface brief
Interface IP-Address(Pri) OK? Status
serial 1/2 172.16.3.2/24 YES UP
serial 1/3 no address YES DOWN
FastEthernet 1/0 172.16.4.1/24 YES UP
FastEthernet 1/1 no address YES DOWN
Null 0 no address YES UP
步骤 4 在 R1、R2 上配置静态路由。
R1(config)#ip route 172.16.4.0 255.255.255.0 serial 1/2
R2(config)#ip route 172.16.1.0 255.255.255.0 serial 1/2
R2(config)#ip route 172.16.2.0 255.255.255.0 serial 1/2
实验 19 配置标准 IP ACL ·68·
步骤 5 配置标准 IP ACL。
对于标准 IP ACL,由于只能对报文的源 IP 地址进行检查,所以为了不影响源端的其他 通
信,通常将其放置到距离目标近的位置,在本实验中是 R2 的 F1/0 接口。
R2(config)#access-list 1 deny 172.16.2.0 0.0.0.255
!拒绝来自销售部 172.16.2.0/24 子网的流量通过
R2(config)#access-list 1 permit 172.16.1.0 0.0.0.255
!允许来自行政部 172.16.1.0/24 子网的流量通过
步骤 6 应用 ACL。
R2(config)#interface fastEthernet 1/0
R2(config-if)#ip access-group 1 out
步骤 7 验证测试。
在行政部主机(172.16.1.0/24)ping 财务部主机,可以 ping 通。在销售部主机(172.16.2.0/24)
ping 财务部主机,不能 ping 通。
实验二 配置扩展 IP ACL
【实验步骤】
步骤 1 R1 基本配置。
R1#configure terminal
R1 (config)#interface fastEthernet 1/0
R1 (config-if)#ip address 172.16.1.1 255.255.255.0
R1 (config-if)#exit
R1 (config)#interface fastEthernet 1/1
R1 (config-if)#ip address 172.16.2.1 255.255.255.0
R1 (config-if)#exit
R1 (config)#interface serial 1/2
R1 (config-if)#ip address 172.16.3.1 255.255.255.0
R1 (config-if)#exit
步骤 2 R2 基本配置。
R2#configure terminal
R2 (config)#interface serial 1/2
R2 (config-if)#ip address 172.16.3.2 255.255.255.0
R2 (config-if)#exit
R2 (config)#interface fastEthernet 1/0
R2 (config-if)#ip address 172.16.4.1 255.255.255.0
R2 (config-if)#exit
步骤 3 查看 R1、R2 接口状态。
R1#show ip interface brief
Interface IP-Address(Pri) OK? Status
serial 1/2 172.16.3.1/24 YES UP
serial 1/3 no address YES DOWN
FastEthernet 1/0 172.16.1.1/24 YES UP
FastEthernet 1/1 172.16.2.1/24 YES UP
Null 0 no address YES UP
R2#show ip interface brief
Interface IP-Address(Pri) OK? Status
serial 1/2 172.16.3.2/24 YES UP
serial 1/3 no address YES DOWN
FastEthernet 1/0 172.16.4.1/24 YES UP
FastEthernet 1/1 no address YES DOWN
Null 0 no address YES UP
步骤 4 在 R1、R2 上配置静态路由。
实验 20 配置扩展 IP ACL ·73·
R1 (config)#ip route 172.16.4.0 255.255.255.0 serial 1/2
R2 (config)#ip route 172.16.1.0 255.255.255.0 serial 1/2
R2 (config)#ip route 172.16.2.0 255.255.255.0 serial 1/2
步骤 5 配置扩展 IP ACL。
对于扩展 IP ACL,由于可以对数据包中的多个元素进行检查,所以可以将其放置到距离源
端近的位置,在本实验中是 R1 的 S1/2 接口。
R1 (config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 172.16.4.2 eq ftp
R1 (config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 172.16.4.2 eq
ftp-data
!允许来自宿舍网 172.16.1.0/24 子网的到达 FTP Server ( 172.16.4.2 )的流量
R1 (config)#access-list 100 permit tcp 172.16.2.0 0.0.0.255 host 172.16.4.2 eq ftp
R1 (config)#access-list 100 permit tcp 172.16.2.0 0.0.0.255 host 172.16.4.2 eq
ftp-data
!允许来自教工网 172.16.2.0/24 子网的到达 FTP Server ( 172.16.4.2 )的流量
R1 (config)#access-list 100 permit tcp 172.16.2.0 0.0.0.255 host 172.16.4.3 eq www
!允许来自教工网 172.16.2.0/24 子网的到达 WWW Server(172.16.4.3)的流量
步骤 6 应用 ACL
R1 (config)#interface serial 1/2
R1 (config-if)#ip access-group 100 out
步骤 7 在主机上安装 FTP Server 和 WWW Server。
步骤 8 验证测试。
在宿舍网主机上可以访问 FTP Server,但是不能访问 WWW Server。在教工网主机
(172.16.2.0/24)上 FTP Server 和 WWW Server 都可以访问到。