实验七 访问列表配置

预备知识:

ACL指令的放置顺序是很重要的。

当路由器在决定是否转发或者阻止数据报的时候,Cisco的IOS软件,按照ACL中指令的顺序依次检查数据报是否满足某一个指令条件。

当检测到某个指令条件满足的时候,就不会再检测后面的指令条件。

两个步骤:

? 创建ACL

? 在路由器端口上应用ACL(端口绑定)

标准ACL使用表号范围1-99

只检查源地址。

应放置在接近目的的位置。

扩展ACL使用表号范围100~199

可检查源地址和目的地址

可检查第四层的端口号

应放置在接近源的位置上。

clip_image001

一、实验目的

学习使用ACL(访问控制列表)来控制网络访问。

二、实验设备

路由器三台,pc两台,连线若干

三、实验内容

1、按上图连接好网络,设置好主机名。

2、设置主机IP:A:f0:192.168.1.1/24,s0:200.1.1.1/30

B: s0:200.1.2.1/30;s1:200.1.1.2/30

C:s1:200.1.2.2/30;f0:192.168.2.1/24

Ftp server:192.168.1.2/24 gateway:192.168.1.1/24

Web server:192.168.2.2/24 gateway:192.168.2.1/24

3、启动RIP协议,通告每个接口的网络。

4、创建访问列表1,限制net1的用户访问Web server。

语法为:router(config)#access-list number permit|deny source--ip|host

Router(config-if)#ip access-group in|out //在接口上应用访问控制列表,限制在进入接口的方向或从接口出去的方向的数据流

5、创建访问列表101,限制 net4用户telnet 到net4,并阻止net4用户访问net1的FTP服务器。

语法为:Router(config)# access-list access_list_number {permit|deny} protocol source source_mask destination destination_mask operator operand [established]

6、验证配置.

Router#show ip route

Router#Show access-lists

Router#Sh ip interface

在net1的ftp上ping net4 的web server。

在net4上telnet net1 的ftp服务器,并访问net1的ftp服务器。