1、扩展访问控制列表配置实验注意:前一讲“标准 IP 访问控制列表”是在路由器上对来自某一个 IP 源地址的数据包的允许或拒绝转发。这一讲说的是在某一个具体层面上允许或拒绝转发数据包。实验背景学院出口路由器 R2 与学校路由器 R1 之间通过 V.35 线串口连接。学校服务器上有各种服务,比如 WWW、FTP 、TELNET 等。现为了网络安全,仅允许学院 PC 机访问学校服务器上的 WWW 服务,其他一概拒绝,包括 ICMP 协议(即不允许从 PC 机 ping 服务器) 。技术原理 访问控制列表中定义的典型规则主要有以下:源地址、目标地址、上层协议、时间区域; 扩展 IP 访问列表(编号为 1
2、00-199,2000-2699 )使用以上四种组合来进行转发或阻断分组;根据数据包的源 IP、目的 IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。 扩展 IP 访问列表的配置包括以下两步: 定义扩展 IP 访问列表 将扩展 IP 访问列表应用于特定接口上 实验步骤1、 拓扑图2、 配置 PC 机、服务器、路由器 R1 和 R2 的接口 IP 地址PC 机 IP:172.16.1.2 子网掩码:255.255.255.0 网关:172.16.1.1R1 Fa0/0 端口 IP:172.168.1.1 子网掩码:255.255.255.0R1 Fa1/0 端口 IP:172.168.
3、2.1 子网掩码:255.255.255.0R2 Fa0/0 端口 IP:172.168.2.2 子网掩码:255.255.255.0R2 Se2/0 端口 IP:172.168.3.1 子网掩码:255.255.255.0 时钟频率 64000R3 Se2/0 端口 IP:172.168.3.2 子网掩码:255.255.255.0R3 Fa1/0 端口 IP:172.16.4.2 子网掩码:255.255.255.0 网关:172.16.4.13、 在路由器 R1、R2、R3 上配置静态路由协议,实现全网通信。(1) 、进入 R1 全局配置视图Router(config)#host R1
4、;修改名称R1(config)#ip rout 172.16.3.0 255.255.255.0 172.16.2.2 ;到 3.0 网段的静态路由R1(config)#ip rout 172.16.4.0 255.255.255.0 172.16.2.2 ;到 4.0 网段的静态路由(2) 、进入 R3 全局配置视图Router(config)#host R3 ;修改名称R3(config)#ip rout 172.16.1.0 255.255.255.0 172.16.3.1 ;到 1.0 网段的静态路由R3(config)#ip rout 172.16.2.0 255.255.255.0
5、 172.16.3.1 ;到 2.0 网段的静态路由(3) 、进入 R2 全局配置视图Router(config)#host R2 ;修改名称R2(config)#ip rout 172.16.1.0 255.255.255.0 172.16.2.1 ;到 1.0 网段的下一跳是2.1R2(config)#ip rout 172.16.4.0 255.255.255.0 172.16.3.2 ;到 4.0 网段的下一跳是3.24、 PC 机和服务器间能相互 ping 通自此 PC 与服务器之间可以相互 ping 通。而且 PC 机可以访问服务器的 WWW服务。单击 PC 机-选择 WEB 浏览
6、器-在 URL 地址栏输入 “172.16.4.2”,应该可以看到服务器上网页的内容:Welcome to Cisco Packet Tracer, the best thing since. Packet Tracer 4.x. Quick Links: A small page Copyrights Image page Image现在要限制 PC 机 ping 服务器及其他通信,仅允许 PC 机访问服务器上的WWW 服务。5、 在 R2 上配置编号的 IP 扩展访问控制列表并且将其应用到接口。使得 PC 机能够访问服务器的 WWW 服务,但是不能通过 ICMP 协议。R2(config)
7、#access-list 100 permit tcp host 172.16.1.2 host 172.16.4.2 eq www解释:access-list 100 创建编号为 100 的扩展访问控制列表permit tcp 因为要访问 Web 服务器,而 Web 服务器应用的是 TCP 协议,所以在这里要允许 TCP 协议。host 172.16.1.2 源主机host 172.16.4.2 目标主机eq www 匹配一个指定的端口号。这里 eq 是匹配一个指定的端口号命令。www 是 WWW 服务的端口号,也可以写成 80。R2(config)#access-list 100 deny
8、 icmp host 172.16.1.2 host 172.16.4.2 解释:deny icmp 拒绝 ICMP 协议。因为 ping 命令是 ICMP 协议,所以要拒绝这个协议,这样源主机就不能 ping 目标主机了。R2(config)#int S2/0 ;进入 S2/0 端口R2(config-if)#ip access-group 100 out ;解释:将编号 100 的扩展访问控制列表应用到 S2/0 的输出端口上。6、 验证 PC 机 ping 服务器的互通性。在 PC 上 ping 服务器不通: Ping 172.16.4.2 不通在 PC 机上可以访问服务器的 WWW 服务。单击 PC 机- 选择 WEB 浏览器-在URL 地址栏输入“172.16.4.2” ,应该可以看到服务器上网页的内容:Welcome to Cisco Packet Tracer, the best thing since. Packet Tracer 4.x. Quick Links: A small page Copyrights Image page Image根据视频内容整理。视频来源:http:/
