实验内容:
公司的经理部(C3)、财务部(C1)和销售部(C2)分别属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部不能对财务部进行访问,但经理部可以对财务部和销售部进行访问。
1.构建实验网络拓扑,并标注端口及配置信息。
2.对路由器R1和R2进行配置,并查看记录接口状态、路由信息。
3.通过VPCS虚拟机,为每个PC机配置IP地址和子网掩码,检查各主机的连通性。
4.在R1上配置标准ACL,测试各主机之间的连通性,并记录结果。
5.把R1上的ACL去掉,再测试各主机之间的连通性,并记录结果。
6.在R2上配置标准ACL,测试各主机之间的连通性,并记录结果。
7.把R2上的ACL去掉,再测试各主机之间的连通性,并记录结果。
实验结果:
在各端口配置IPACL后,PC2不能访问PC1,即销售部不能对财务部进行访问,达到实验要求,在去掉IPACL后,各主机之间的通信恢复正常。
【注意事项】
1.注意在访问控制列表中的网络掩码是反掩码。
2.标准访问列表要应用在尽量靠近目标的地址的接口。
3.标准ACL的编号范围是1-99、1300-1999,扩展访问列表的编号范围是100-199、2000-2999。
4.IPACL基于接口应用时,分为入栈和出栈两个方向,命令分别为in和out。
R1(config-if)#ipadd192.168.3.2255.255.255.0R1(config-if)#noshutR1(config-if)#*Mar100:02:15.315:%LINK-3-UPDOWN:InterfaceFastEthernet2/0,changedstatetoup*Mar100:02:16.315:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet2/0,changedstatetoupR1(config-if)#exitR1(config)#iproute192.168.2.0255.255.255.010.1.2.2~~~~~~~~~~~~~~~~~~~~~配置静态路由R1(config)#exit查看R2接口状态和路由信息R1#showipinterbriefInterfaceIP-AddressOK?MethodStatusProtocolSerial0/010.1.2.1YESmanualupdownSerial0/1unassignedYESunsetadministrativelydowndownSerial0/2unassignedYESunsetadministrativelydowndownSerial0/3unassignedYESunsetadministrativelydowndownFastEthernet1/0192.168.1.2YESmanualupupFastEthernet2/0192.168.3.2YESmanualupupR1#R1#showiprouteCodes:C-connected,S-static,R-RIP,M-mobile,B-BGPD-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2i-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-2ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticrouteo-ODR,P-periodicdownloadedstaticroute
Gatewayoflastresortisnotset
C192.168.1.0/24isdirectlyconnected,FastEthernet1/0C192.168.3.0/24isdirectlyconnected,FastEthernet2/0R1#
^
R2的基本配置:R2>enR2#R2#R2#R2#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.R2(config)#R2(config)#R2(config)#R2(config)#R2(config)#R2(config)#R2(config)#interf1/0R2(config-if)#ipadd192.168.2.2255.255.255.0R2(config-if)#noshutR2(config-if)#inters*Mar100:35:25.047:%LINK-3-UPDOWN:InterfaceFastEthernet1/0,changedstatetoup*Mar100:35:26.047:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet1/0,changedstatetoupR2(config-if)#inters0/0R2(config-if)#ipadd10.1.2.2255.255.255.0R2(config-if)#noshutR2(config-if)#*Mar100:35:49.267:%LINK-3-UPDOWN:InterfaceSerial0/0,changedstatetoup*Mar100:35:50.267:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceSerial0/0,changedstatetoupR2(config-if)#exitR2(config)#iproute192.168.1.0255.255.255.010.1.2.1R2(config)#iproute192.168.3.0255.255.255.010.1.2.1R2(config)#exitR2#
查看R2接口状态和路由信息R2#showiprouteCodes:C-connected,S-static,R-RIP,M-mobile,B-BGPD-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2i-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-2ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticrouteo-ODR,P-periodicdownloadedstaticrouteGatewayoflastresortisnotset
10.0.0.0/24issubnetted,1subnets
C10.1.2.0isdirectlyconnected,Serial0/0S192.168.1.0/24[1/0]via10.1.2.1C192.168.2.0/24isdirectlyconnected,FastEthernet1/0S192.168.3.0/24[1/0]via10.1.2.1R2#showipinterbriefInterfaceIP-AddressOK?MethodStatusProtocolSerial0/010.1.2.2YESmanualupupSerial0/1unassignedYESunsetadministrativelydowndownSerial0/2unassignedYESunsetadministrativelydowndownSerial0/3unassignedYESunsetadministrativelydowndownFastEthernet1/0192.168.2.2YESmanualupupFastEthernet2/0unassignedYESunsetadministrativelydowndownR2#R2#
配置PC
(1)在R1上配置标准ACL,并将ACL应用到R1接口s0/0出栈方向,查看和记录访问列表的详细信息,如下图所示:
R1#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
R1(config)#access-list1deny192.168.1.00.0.0.255
R1(config)#access-list1permit192.168.3.00.0.0.255
R1(config)#ints0/0
R1(config-if)#ipaccess-group1out
R1(config-if)#end
R1#showaccess-lists1
(2)通过VPCS虚拟机,测试三台主机的连通性,测试得知PC1和PC3能相互ping通,PC1和PC2不能相互ping通,PC2和PC3能相互ping通,如下图所示:
(1)把R1上的s0/0接口下的ACL去掉,如下所示:
R1(config)#ints0/0
R1(config-if)#noipaccess-group1out
(2)通过VPCS虚拟机,再次测试三台主机的连通性,测试得知他们之间能够相互访问,如下图所示:
(1)在R2上配置标准ACL,并将ACL应用到RouteB接口s0/0入栈方向,查看和记录访问列表的详细信息,如下图所示:
R2#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
R2(config)#access-list1deny192.168.1.00.0.0.255
R2(config)#access-list1permit192.168.3.00.0.0.255
R2(config)#ints0/0
R2(config-if)#ipaccess-group1in
R2(config-if)#end
R2#showaccess-lists1
(2)通过VPCS虚拟机,测试三台主机的连通性,测试得知PC1和PC3能相互ping通,PC1和PC2不能相互ping通,PC2和PC3能相互ping通,如下图所示:
R2#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
R2(config)#ints0/0
R2(config-if)#noipaccess-group1in
R2(config-if)#end
(2)通过VPCS虚拟机,再次测试三台主机的连通性,测试得知PC1和PC2之间恢复正常,彼此之间能够相互访问,如下图所示:
(1)在RouteB上配置标准ACL,并将ACL应用到RouteB接口f1/0出栈方向,查看和记录访问列表的详细信息,如下图所示:
R2#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
R2(config)#access-list1deny192.168.1.00.0.0.255
R2(config)#access-list1permit192.168.3.00.0.0.255
R2(config)#intf1/0
R2(config-if)#ipaccess-group1out
R2(config-if)#end
R2#showaccess-lists1
(2)通过VPCS虚拟机,测试三台主机的连通性,测试得知PC1和PC3能相互ping通,PC1和PC2不能相互ping通,PC2和PC3能相互ping通,如下图所示:
(1)把R2上的f1/0接口下的ACL去掉,如下所示:
R2#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
R2(config)#intf1/0
R2(config-if)#noipaccess-group1out
(2)通过VPCS虚拟机,再次测试三台主机的连通性,测试得知PC1和PC2之间恢复正常,彼此之间能够相互访问,如下图所示:
【实验分析】
在路由器RouteA的s0/0端口出栈方向应用ip访问控制时,由于PC1和PC3连接在同一个路由器RouteA上,接入的端口没有任何限制,因此可以相互ping通;在PC1和PC2之间RouteA的s0/0端口出栈方向应用了ip访问控制,限制了与PC1的地址相符合的网段的包从该端口出去,但PC2送的包能到达PC1,因此不能相互ping通;而s0/0端口所应用的ip访问控制,允许了PC3所在网段的包通过,所以PC2和PC3能相互ping通。
在路由器RouteB的s0/0端口入栈方向应用ip访问控制时,由于PC1和PC3连接在同一个路由器RouteA上,接入的端口没有任何限制,因此可以相互ping通;在PC1和PC2之间RouteB的s0/0端口入栈方向应用了ip访问控制,限制了与PC1的地址相符合的网段的包从该端口进去,但PC2送的包能到达PC1,因此不能相互ping通;而s0/0端口所应用的ip访问控制,允许了PC3所在网段的包通过,所以PC2和PC3能相互ping通。
在路由器RouteB的f1/0端口出栈方向应用ip访问控制时,由于PC1和PC3连接在同一个路由器RouteA上,接入的端口没有任何限制,因此可以相互ping通;在PC1和PC2之间RouteB的f1/0端口出栈方向应用了ip访问控制,限制了与PC1的地址相符合的网段的包从该端口出去,但PC2送的包能到达PC1,因此不能相互ping通;而s0/0端口所应用的ip访问控制,允许了PC3所在网段的包通过,所以PC2和PC3能相互ping通。
当ip访问控制从各端口去掉后,一切恢复正常,就能够相互ping通了。