admin 管理员组

文章数量: 887021

【实验名称】在路由器上配置标准ACL

【实验目的】

掌握路由器上标准ACL的规则及配置。

实验任务

 实现网段间互访的安全控制。

实验原理

1)标准访问控制列表(ACL

标准ACL能通过使用IP包中的源IP地址进行简单的源地址过滤。

配置标准ACL需要在全局配置模式下进行,命令格式:

router (config) # access-list ACL_numberpermit | deny source_address dcard-mask

 

参数:

ACL_numberACL的编号,取值范围为1~99

关键字permitdeny表示允许或拒绝通过。

参数source address一个网络地址或一个主机地址。

参数dcard-mask: 通配符掩码(反掩码),与子网屏蔽码的方式相反。

2)应用访问控制列表到具体的端口上

访问控制列表配置完成后,要应用到路由器的具体端口上才能起作用。首先要进入要添加启用访问控制列表的端口,然后再执行以下命令:

routerconfig-if# ip access-group ACL_numberin | out

参数

ACL_number需要应用的ACL

in | out 对路由器而言数据流的方向。

【实验内容】

【实验拓扑】

 

实验时,按照拓扑进行网络的连接,注意主机和交换机连接的端口。

我自己在模拟器上画的实验拓扑如下图

 

 

【实验步骤】

 

步骤1. 路由器Route 0上的基本配置:

Route(config)#hostname Route0                      //路由器命名

Route0 (config)#interface f0/1

Route0(config-if) #no shutdown

Route0(config-if)#ip address 192.168.1.1 255.255.255.0  //给接口配置IP地址

Route0(config-if)#int s1/0

Route0 (config-if)#no shutdown

Route0(config-if)#clock rate 64000                   //配置时钟频率

Route0 (config-if)#ip add 10.1.2.1 255.255.255.0

Route0 (config-if)#exit

Route0 (config)#ip route 192.168.2.0 255.255.255.0 s1/0//配置静态路由

 

 

步骤2. 路由器Route 1上的基本配置:

Route(config)#hostname Route1 

Route1(config)#interface f 0/1

Route1(config-if) #no shutdown

Route1(config-if)#ip address 192.168.2.1 255.255.255.0  

Route1(config)#int s1/0

Route1(config-if)#no shutdown

Route1(config-if)#ip address 10.1.2.2 255.255.255.0

Route1(config-if)#exit

Route1(config)#ip route 192.168.1.0 255.255.255.0 s1/0  //配置静态路由

 

步骤3.做好上述配置后,测试PC1PC2之间的连通性,保证它们之间能够相互访问。

结果截图:

PC0 ping PC1成功

 

 

PC1 ping PC0成功

 

步骤4. Route 0上配置标准ACL

Route0 (config)#access-list 1 deny 192.168.1.0 0.0.0.255

//配置标准ACL,不允许192.168.1.0这个网段的流量

Route0 (config)# int s1/0

Route0(config-if)#ip access-group 1 out      //ACL应用到接口s1/0出栈方向

Route0 (config-if)#end

Route0 #show access-lists 1    //查看访问列表1的详细信息

结果截图:

 

 

步骤5. 测试:做好上述配置,再测试PC1PC2之间的连通性,若不能ping通,实验成功。

结果截图:

 

步骤6. Route0上的s1/0接口下的ACL去掉,再次检测PC1PC2之间的连通性。

Route0 (config)# int s1/0

Route0(config-if)#no ip access-group 1 out //把接口s1/0上的ACL去掉

本文标签: 路由 器上 标准 ACL