首页 > 代码库 > 标准访问控制列表配置(51cto: 实验 34)

标准访问控制列表配置(51cto: 实验 34)

1. 实验线路连接图
使用 Cisco Packet Tracer5.3 构建拓扑结构图。

 

先配置rip协议使主机1、主机0、http服务器能够互通

RA

Router>enable
Router#configure terminal
Router(config)#interface FastEthernet0/0
Router(config-if)#ip address 210.31.10.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface FastEthernet0/1
Router(config-if)#ip address 210.31.20.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface Serial1/0
Router(config-if)#no shutdown
Router(config-if)#clock rate 64000
Router(config-if)#ip address 210.31.30.1 255.255.255.0
Router(config-if)#exit
Router(config)#router rip
Router(config-router)#version 2
Router(config-router)#no auto-summary 
Router(config-router)#network 210.31.10.0
Router(config-router)#network 210.31.20.0
Router(config-router)#network 210.31.30.0
Router#write

RB

Router>enable
Router#configure terminal
Router(config)#interface Serial1/0
Router(config-if)#ip address 210.31.30.2 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#clock rate 64000
Router(config-if)#exit
Router(config)#interface FastEthernet0/0
Router(config-if)#ip address 200.200.200.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#router rip
Router(config-router)#version 2
Router(config-router)#no auto-summary 
Router(config-router)#network 200.200.200.0
Router(config-router)#network 210.31.30.0
Router#

结果:

主机0 ping主机1、http服务器能够互通

在RA上采用编号方式配置标准控制访问列表10,并将它用在Serial1/0 上 

Router>en
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#access-list ?
  <1-99>     IP standard access list
  <100-199>  IP extended access list
Router(config)#access-list 10 per
Router(config)#access-list 10 permit 210.31.10.0 0.0.0.255
Router(config)#access-list 10 deny 210.31.20.0 0.0.0.255
Router(config)#interface s
Router(config)#interface serial 1/0
Router(config-if)#ip access-group ?
  <1-199>  IP access list (standard or extended)
  WORD     Access-list name
Router(config-if)#ip access-group 10 out

实验结果:

主机0 ping http服务器通

主机1 ping http服务器不通

在RA上采用命名方式配置标准控制访问列表10,并将它用在Serial1/0 上 

 

Router(config)#interface serial 1/0
Router(config-if)#ip access-group ?
  <1-199>  IP access list (standard or extended)
  WORD     Access-list name
Router(config-if)#ip access-group 10 out
Router(config-if)#no ip access-group 10 out//删除serial1/0上的访问控制列表
Router(config-if)#exit
Router(config)#no access-list 10//删除访问控制列表10

Router(config)#ip access-list standard test
Router(config-std-nacl)#permit 210.31.10.0 0.0.0.255
Router(config-std-nacl)#deny 210.31.20.0 0.0.0.255
Router(config-std-nacl)#exit
Router(config)#int serial 1/0
Router(config-if)#ip access-group test out

 

经验证结果和采用编号控制达到相同的结果。

 

2. 实验内容
(1) 按图配置各台路由器接口和计算机的 IP 地址。
(2) 在 C2811A 和 C2811B 上分别运行 RIP 路由协议,使得两台路由器可以相互学习路由信息。
(3) 参阅教材中内容,在 C2811A 上配置标准访问控制列表,允许内部 210.31.10.0/24 访问外部网络,不允许内部 210.31.20.0/24 访问外部网络。
(4) 分别在210.31.10.2和210.31.20.2上ping 200.200.200.2,其中210.31.10.2可以ping通,而210.31.20.2不能 ping 通。
(5) 完成以上配置之后使用 show ip access-lists 查看访问控制列表配置的内容。
3. 实验要求
掌握访问控制列表的概念,理解标准访问控制列表只能根据源地址进行过滤,掌握标准访问控制列表的配置方法和命令。
(1) 结果分析与概念理解
标准访问控制列表的配置,有两种方法
? 一种是采用编号的方式,标准访问控制列表的编号为 1-99
创建编号的访问控制列表,并设定 permit 或 deny 语句,然后将访问控制列表应用于路由器的接口上(out 或 in 方向)
? 一种是采用命名的方式
创建命名的访问控制列表,并设定 permit 或 deny 语句,然后将访问控制列表应用于路由器的接口上(out 或 in 方向)
标准访问控制列表只能对源地址信息进行过滤
Permit 源地址 通配符掩码
Deny 源地址 通配符掩码