首页 > 代码库 > 标准访问控制列表配置(51cto: 实验 34)
标准访问控制列表配置(51cto: 实验 34)
1. 实验线路连接图
使用 Cisco Packet Tracer5.3 构建拓扑结构图。
先配置rip协议使主机1、主机0、http服务器能够互通
RA
Router>enable Router#configure terminal Router(config)#interface FastEthernet0/0 Router(config-if)#ip address 210.31.10.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface FastEthernet0/1 Router(config-if)#ip address 210.31.20.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface Serial1/0 Router(config-if)#no shutdown Router(config-if)#clock rate 64000 Router(config-if)#ip address 210.31.30.1 255.255.255.0 Router(config-if)#exit Router(config)#router rip Router(config-router)#version 2 Router(config-router)#no auto-summary Router(config-router)#network 210.31.10.0 Router(config-router)#network 210.31.20.0 Router(config-router)#network 210.31.30.0 Router#write
RB
Router>enable Router#configure terminal Router(config)#interface Serial1/0 Router(config-if)#ip address 210.31.30.2 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#clock rate 64000 Router(config-if)#exit Router(config)#interface FastEthernet0/0 Router(config-if)#ip address 200.200.200.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#router rip Router(config-router)#version 2 Router(config-router)#no auto-summary Router(config-router)#network 200.200.200.0 Router(config-router)#network 210.31.30.0 Router#
结果:
主机0 ping主机1、http服务器能够互通
在RA上采用编号方式配置标准控制访问列表10,并将它用在Serial1/0 上
Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list ? <1-99> IP standard access list <100-199> IP extended access list Router(config)#access-list 10 per Router(config)#access-list 10 permit 210.31.10.0 0.0.0.255 Router(config)#access-list 10 deny 210.31.20.0 0.0.0.255 Router(config)#interface s Router(config)#interface serial 1/0 Router(config-if)#ip access-group ? <1-199> IP access list (standard or extended) WORD Access-list name Router(config-if)#ip access-group 10 out
实验结果:
主机0 ping http服务器通
主机1 ping http服务器不通
在RA上采用命名方式配置标准控制访问列表10,并将它用在Serial1/0 上
Router(config)#interface serial 1/0 Router(config-if)#ip access-group ? <1-199> IP access list (standard or extended) WORD Access-list name Router(config-if)#ip access-group 10 out Router(config-if)#no ip access-group 10 out//删除serial1/0上的访问控制列表 Router(config-if)#exit Router(config)#no access-list 10//删除访问控制列表10 Router(config)#ip access-list standard test Router(config-std-nacl)#permit 210.31.10.0 0.0.0.255 Router(config-std-nacl)#deny 210.31.20.0 0.0.0.255 Router(config-std-nacl)#exit Router(config)#int serial 1/0 Router(config-if)#ip access-group test out
经验证结果和采用编号控制达到相同的结果。
2. 实验内容
(1) 按图配置各台路由器接口和计算机的 IP 地址。
(2) 在 C2811A 和 C2811B 上分别运行 RIP 路由协议,使得两台路由器可以相互学习路由信息。
(3) 参阅教材中内容,在 C2811A 上配置标准访问控制列表,允许内部 210.31.10.0/24 访问外部网络,不允许内部 210.31.20.0/24 访问外部网络。
(4) 分别在210.31.10.2和210.31.20.2上ping 200.200.200.2,其中210.31.10.2可以ping通,而210.31.20.2不能 ping 通。
(5) 完成以上配置之后使用 show ip access-lists 查看访问控制列表配置的内容。
3. 实验要求
掌握访问控制列表的概念,理解标准访问控制列表只能根据源地址进行过滤,掌握标准访问控制列表的配置方法和命令。
(1) 结果分析与概念理解
标准访问控制列表的配置,有两种方法
? 一种是采用编号的方式,标准访问控制列表的编号为 1-99
创建编号的访问控制列表,并设定 permit 或 deny 语句,然后将访问控制列表应用于路由器的接口上(out 或 in 方向)
? 一种是采用命名的方式
创建命名的访问控制列表,并设定 permit 或 deny 语句,然后将访问控制列表应用于路由器的接口上(out 或 in 方向)
标准访问控制列表只能对源地址信息进行过滤
Permit 源地址 通配符掩码
Deny 源地址 通配符掩码