建立访问控制列表(cisco)

实验一

问题描述：用标准ACL实现172.16.1.0网段主机可以访问172.16.3.0网段的主机，172.16.2.0网段主机不能访问172.16.3.0网段的主机。

拓扑图

步骤1：配置各接口地址

Router(config)#hostname Router0
Router0(config)#int s0/0/1
Router0(config-if)#ip add 172.16.2.1 255.255.255.0
Router0(config-if)#clock rate 64000
Router0(config-if)#no sh
Router0 (config-if)#exit
Router0 (config) #int f0/1
Router0 (config-if)#ip add 172.16.1.1 255.255.255.0
Router0 (config-if)#no sh
Router0 (config-if)#exit

Router(config)#hostname Router1
Router1(config)#int f0/1
Router1(config-if)#ip add 172.16.3.1 255.255.255.0
Router1(config-if)#no sh
Router1(config-if)#exit
Router1(config)#int s0/0/1
Router1(config-if)#ip add 172.16.2.2 255.255.255.0
Router1(config-if)#no sh
Router1(config-if)#exit

步骤2：配置静态路由

Router0(config)#ip route 172.16.3.0 255.255.255.0 172.16.2.2
Router1(config)#ip route 172.16.1.0 255.255.255.0 172.16.2.1

步骤3：验证静态路由配置

Router0(config)#do show ip route
静态路由表

Router1(config)#do show ip route

静态路由表

步骤4：配置标准IP访问控制列表

(1)172.16.2.0网段的主机不能ping通172.16.3.0网段的主机
Router1(config)#access-list 2 deny 172.16.2.0 0.0.0.255
(2)172.16.1.0网段的主机能ping通172.16.3.0网段的主机
Router1(config)#access-list 2 permit 172.16.1.0 0.0.0.255

步骤5：把访问控制列表在接口上应用

Router1(config)#int f0/1
Router1(config-if)#ip access-group 2 out

步骤6:验证测试

(1)172.16.2.0网段的主机不能ping通172.16.3.0网段的主机

测试结果

(2)172.16.1.0网段的主机能ping通172.16.3.0网段主机

测试结果

实验二

问题描述：使用扩展ACL实现实验一

拓扑图

步骤1：配置各接口地址

步骤2：配置静态路由

Router0(config)#ip route 172.16.3.0 255.255.255.0 172.16.2.2
Router1(config)#ip route 172.16.1.0 255.255.255.0 172.16.2.1

步骤3：验证静态路由配置

Router0(config)#do show ip route
静态路由表
Router1(config)#do show ip route

步骤4：配置扩展IP访问控制列表

Router(config)#ip access-list extended 101
Router(config-ext-nacl)#deny tcp 172.16.2.0 0.0.0.255 host 172.16.3.22 eq ftp
Router(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 172.16.3.22 eq ftp
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#exit

步骤5：把访问控制列表在接口上应用

Router(config)#int f0/1
Router(config-if)#ip access-group 101 out

步骤7:验证测试

(1)在PC0访问172.16.3.22的FTP服务

测试结果

(2)修改步骤4的内容

Router(config)#ip access-list extended 101
Router(config-ext-nacl)#deny tcp 172.16.1.0 0.0.0.255 host 172.16.3.22 eq ftp
Router(config-ext-nacl)#permit tcp 172.16.2.0 0.0.0.255 host 172.16.3.22 eq ftp
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#exit

在PC0访问172.16.3.22的FTP服务

测试结果

实验三

问题描述：
你是公司的网络管理员，公司的经理部、财务部门和销售部分别属于不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部进行访问，但经理部可以对财务部进行访问。PC1代表经理部的主机，PC2代表销售部的主机，PC3代表财务部的主机。

拓扑图

步骤1：配置各接口地址

Router(config)#hostname Router1
Router1(config)#int f0/0
Router1(config-if)#ip add 172.16.1.1 255.255.255.0
Router1(config-if)#no sh
Router1(config-if)#exit
Router1(config)#int f0/1
Router1(config-if)#ip add 172.16.2.1 255.255.255.0
Router1(config-if)#no sh
Router1(config-if)#exit
Router1(config)#int s0/0/1
Router1(config-if)#ip add 172.16.3.1 255.255.255.252
Router1(config-if)#clock rate 64000
Router1(config-if)#no sh
Router1(config-if)#exit

Router(config)#hostname Router2
Router2(config)#int f0/1
Router2(config-if)#ip add 172.16.4.1 255.255.255.0
Router2(config-if)#no sh
Router2(config-if)#exit
Router2(config)#int s0/0/1
Router2(config-if)#ip add 172.16.3.2 255.255.255.252
Router2(config-if)#no sh
Router2(config-if)#exit

步骤2：配置静态路由

Router1(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2
Router2(config)#ip route 172.16.1.0 255.255.255.0 172.16.3.1
Router2(config)#ip route 172.16.2.0 255.255.255.0 172.16.3.1