标准访问控制列表的配置.docVIP

标准访问控制列表的配置 实验目的 掌握访问列表实验安全性的配置 理解标准访问控制列表的作用 应用环境 某些安全性要求比较高的主机或网络需要进行访问控制 其他的很多应用都可以使用访问控制列表提供操作条件 实验设备 DCR-1702 两台 PC机 两台 CR-V35MT 一条 CR-V35FC 一条 网线 两条 实验拓扑 实验要求 ROUTER-A ROUTER-B S1/1 (DCE) /24 S1/0 (DTE) /24 F0/0 /24 F0/0 /24 PC-A PC-B IP /24 /24 网关 实验目标：禁止/24对PC-B的访问 实验步骤 第一步：参照实验三和上表，配置所有接口的地址，并测试连通性 Router-A#ping PING (): 56 data bytes !!!!! --- ping statistics --- 5 packets transmitted, 5 packets received, 0% packet loss round-trip min/avg/max = 20/28/30 ms 第二步：参照实验七，配置静态路由 Router-A#sh ip route Codes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connected D - DEIGRP, DEX - external DEIGRP, O - OSPF, OIA - OSPF inter area ON1 - OSPF NSSA external type 1, ON2 - OSPF NSSA external type 2 OE1 - OSPF external type 1, OE2 - OSPF external type 2 DHCP - DHCP type VRF ID: 0 C /24 is directly connected, FastEthernet0/0 C /24 is directly connected, Serial1/1 S /24 [1,0] via Router-B#sh ip route Codes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connected D - DEIGRP, DEX - external DEIGRP, O - OSPF, OIA - OSPF inter area ON1 - OSPF NSSA external type 1, ON2 - OSPF NSSA external type 2 OE1 - OSPF external type 1, OE2 - OSPF external type 2 DHCP - DHCP type VRF ID: 0 S /24 [1,0] via C /24 is directly connected, Serial1/0 C /24 is directly connected, FastEthernet0/0 第三步：PC-A能与PC-B通讯 第四步：配置访问控制列表禁止PC-A所在的网段对PC-B的访问 Router-B#conf Router-B_config#ip access-list standard 1 ！定义标准的访问控制列表 Router-B_config_std_nacl#deny ！基于源地址 Router-B_config_std_nacl#permit any ！因为有隐含的DENY ANY 第五步：将访问控制列表（ACL）绑定在相应的接口 Router-B_config#int f0/0 ！进入到离目标最近的接口 Router-B_config_f0/0#ip access-group 1 out ！绑定ACL 1 在出的方向 第六步：验证 Router-B#sh ip access-list Standard IP access list 1 deny permit any 第七步：测试 注意事项和排错 标准访问控制列表是基于源地址的 每条访问控制列表都有隐含的拒绝 标准访问控制列表一般绑定在离目标