ip扩展访问列表实现应用服务的访问限制.doc

1、实训（验）项目单班级：网络 101 姓名：马云云 学号：201005250115项目编号 1 项目名称 IP 扩展访问列表实现应用服务的访问限制实训对象 网络 101课程名称 认证专题培训 教材 网络安全、电子教材及教案地点 网络专业实验室工会二楼侧厅【实验名称】命名的扩展 IP 访问列表【实验目的】掌握交换机上命名的扩展 IP 访问列表规则及配置【背景描述】你是学校的网络管理员，在 3550-24 交换机上连着学校的提供 WWW 和 FTP 的服务器，另外还连接着学生宿舍楼和教工宿舍楼，学校规定学生只能对服务器进行 FTP 访问，不能进行 WWW 访问，教工则没有此限制。【实验设备】S355

2、0 交换机（1 台）PC（3 台） 、直线（3 条）【技术原理】IP ACL(IP 访问控制列表或 IP 访问列表)是实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性。IP ACL 分为两种：标准 IP 访问列表和扩展 IP 访问列表。标准 IP 访问列表可以根据数据包的源 IP 地址定义规则，进行数据包的过滤。扩展 IP 访问列表可以根据数据包的源 IP、目的 IP、源端口，目的端口，协议来定义规则，进行数据包的过滤。IP ACL 基于接口进行规则的应用，分为：入栈应用和出栈应用。入栈应用是指有外部经该接口进行路由器的数据包进行过滤。出栈应用是指路由器从该

3、接口向外转发数据时进行数据包的过滤。IP ACL 的配置有两种方式：按照编号的访问列表，按照命名的访问列表。标准 IP 访问列表编号范围是：199、13001999 ，扩展 IP 访问列表编号范围是：100199、20002699.【拓扑结构】F0/15F0/10 F0/05 【实现功能】实现网段间互相访问的安全控制。【实验步骤命令总结】步骤 1，基本配置S3550-24enableS3550-24#congf terS3550-24(congfig)#vlan 10S3550-24(congfig-vlan )#name serverS3550-24(congfig)#vlan 20S355

4、0-24(congfig-vlan )#name students S3550-24(congfig)#int fas 0/5S3550-24(congfig-if )#switchport mode access S3550-24(congfig-if )#switchport access vlan 10S3550-24(congfig )#int fas 0/10S3550-24(congfig-if )# switchport mode access S3550-24(congfig-if )#switchport access vlan 20S3550-24(congfig )#in

5、t fas 0/15S3550-24(congfig-if )# switchport mode access S3550-24(congfig-if )#switchport access vlan 30S3550-24(congfig )#int vlan 10S3550-24(congfig-if )#ip add 192.168.10.1 255.255.255.0S3550-24(congfig-if )#no shutdown S3550-24(congfig )#int vlan 20S3550-24(congfig-if )#ip add 192.168.20.1 255.25

6、5.255.0S3550-24(congfig-if )#no shutdown S3550-24(congfig)#int vlan 30S3550-24(congfig-if )#ip add 192.168.30.1 255.255.255.0S3550-24(congfig-if )#no shutdown步骤 2，配置扩展 IP 访问控制列表S3550-24(congfig )#ip access-list extanded denystudentwww !定义命名扩展访问列表S3550-24(congfig-ext-nacl )#deny tcp 192.168.30.0 0.0.

7、0.255 192.168.10.0 0.0.0.255 eq wwwS3550-24(congfig-ext-nacl )#permit ip any any !允许其他服务验证命令：S3550-24# show ip access-lists denystudentwww步骤 3，把访问控制列表在接口下应用。S3550-24(congfigl )#int vlan 30S3550-24(congfig-if )#ip access-group denystudentwww in 步骤 4，配置 Web 服务器（详见选学实验内容）步骤 5，验证测试分别在学生网段和教师宿舍网段使用 1 台主机，访问 Web 服务器。测试发现学生网段不能访问网页，教学宿舍网段可以访问网页。【注意事项】1， 注意控制列表要在接口下应用；2， 要注意 deny 某个网段后要 peimit 其他网段。【参考配置】show running-config !查看配置所以信息得分 考核人签名 日期 年 月 日