实验2-12 ACL的配置

实验2-12 ACL的配置

1、实验目的

（1）掌握ACL 设计原则和工作过程 （2）配置标准 ACL

（3）使用标准 ACL 控制对 vty 线路的访问 （4）配置扩展 ACL 2、实验拓扑

3、地址表 设备 R1 接口 F0/0 F0/1 S0/0/0 F0/0 R2（DCE） S0/0/0 S0/0/1 R3 PC1 PC2 PC3 F0/0 S0/0/1 NIC NIC NIC IP地址 172.16.1.1 172.16.2.1 10.0.0.1 172.16.4.1 10.0.0.2 10.0.0.5 172.16.3.1 10.0.0.6 172.16.1.2 172.16.2.2 172.16.3.2 子网掩码 255.255.255.0 255.255.255.0 255.255.255.0 默认网关 不适用 不适用 不适用 255.255.255.252 不适用 255.255.255.252 不适用 255.255.255.252 不适用 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 不适用 172.16.1.1 172.16.2.1 172.16.3.1 255.255.255.252 不适用

4、实验要求

（1）整个网络配置OSPF保证IP的连通性，使用进程ID 1。 （2）拒绝PC2 所在网段访问路由器R2。

（3）允许PC3 访问路由器R2 的TELNET服务，拒绝其他主机。 （4）允许PC1所在网段访问内网，拒绝PC1所在网段访问Internet

（5）拒绝主机PC3访问WEB/FTP服务器上的http服务，但仍能互相ping通。 5、实验步骤

（1）对路由器R1、R2、R3进行基本的配置

配置路由器主机名、禁用 DNS 查找、配置执行模式口令、配置当天消息标语、为 vty 连接配置口令 cisco、时钟频率为 64000。

根据地址表，配置路由器各接口并激活，配置PC1、PC2、PC3的以太网接口。并检查直连网络的连通性。将任何 ACL 应用于网络中之前，都必须确认网络完全连通。

（2）在路由器R1、R2、R3上配置OSPF R1(config)#route ospf 1

R1(config-router)#network 172.16.1.0 255.255.255.0 area 0 R1(config-router)#network 172.16.2.0 255.255.255.0 area 0 R1(config-router)#network 10.0.0.0 255.255.255.252 area 0 R2(config)#route ospf 1

R2(config-router)#network 10.0.0.0 255.255.255.252 area 0 R2(config-router)#network 10.0.0.4 255.255.255.252 area 0 R2(config-router)#network 172.16.4.0 255.255.255.0 area 0 R3(config)#route ospf 1

R3(config-router)#network 10.0.0.4 255.255.255.252 area 0 R3(config-router)#network 172.16.3.0 255.255.255.0 area 0 测试全网的连通性。

（3）在R2上配置标准ACL，拒绝PC2 所在网段访问路由器R2 R2(config)#access-list 1 deny 172.16.2.0 0.0.0.255 R2(config)#access-list 1 permit any R2(config)#int s0/0/0

R2(config-if)#ip access-group 1 in

【问题1】：为什么要配置“access-list 1 permit any”？

（4）在R2上配置标准ACL，允许PC3 访问路由器R2 的TELNET服务，拒绝其他主机。

R2(config)#access-list 2 permit 172.16.3.2 R2(config)#line vty 0 4

R2(config-line)#access-class 2 in （5）测试上述配置

在PC1 网络所在的主机上ping R2，应该通，在PC2 网络所在的主机上ping R2，应该不通；在主机PC3 上TELNET R2，应该成功，在主机PC1 上TELNET R2，应该不成功。

【问题2】：如果在PC2上ping WEB/FTP服务器，结果应该是怎样的？ 1）show ip access-lists 查看所定义的IP 访问控制列表

R2#sh ip access-list

Standard IP access list 1

deny 172.16.2.0 0.0.0.255 (19 match(es)) permit any (228 match(es)) Standard IP access list 2

permit host 172.16.3.2 (4 match(es)) Standard IP access list 1 deny 172.16.0.0, wildcard bits 0.0.255.255 (26 matches) check=276 permit any (276 matches)

以上输出表明路由器R2 上定义的标准访问控制列表为“1”和“2”，括号中的数字表示匹配条件的数据包的个数，可以用“clear access-list counters”将访问控制列表计数器清零。 2）show ip interface

R2#show ip interface s0/0/0 查看ACL在s0/0/0作用的方向 Serial0/0/0 is up, line protocol is up (connected) Internet address is 10.0.0.2/30

Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500

Helper address is not set

Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is 1 .......

以上输出表明在接口s0/0/0 的入方向应用了访问控制列表1

【问题3】：如果把上述配置的ACL在端口s0/0/0上的作用方向改为“out”，结果会怎样？

【问题4】：当我们把ACL作用的路由器的某个接口上时，“in”和“out”的参照对象是谁？

（6）在R1上配置扩展ACL，拒绝PC1所在网段访问内部网络的WEB/FTP服务器 R1(config)#access-list 101 deny ip 172.16.1.0 0.0.0.255 host 172.16.4.2 R1(config)#access-list 101 permit ip any any R1(config)#int s0/0/0

R1(config-if)#ip access-group 101 out （7）测试上述配置

在PC1 网络所在的主机上ping WEB/FTP服务器，应该不通。 【问题5】：在PC1 网络所在的主机上ping R2，结果会怎样？ 1）show ip access-lists 查看所定义的IP 访问控制列表 R1#sh ip access-list

Extended IP access list 101

deny ip 172.16.1.0 0.0.0.255 host 172.16.4.2 (1 match(es))

permit ip any any (2 match(es))

以上输出表明路由器R1上定义的扩展访问控制列表为“101” 【问题6】：为什么我们定义ACL标号没有用标号3，而是101？ 【问题7】：“any”代表什么含义？ R1#show ip interface s0/0/0

Serial0/0/0 is up, line protocol is up (connected) Internet address is 10.0.0.1/30

Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500

Helper address is not set

Directed broadcast forwarding is disabled Outgoing access list is 101

Inbound access list is not set .......

以上输出表明在接口s0/0/0 的出方向应用了访问控制列表101

（8）在R1上配置扩展ACL，允许PC1所在网段访问内网，拒绝PC1所在网段访问Internet

R1(config)#access-list 101 deny ip 172.16.1.0 0.0.0.255 host 200.200.200.1

R1(config)#access-list 101 permit ip any any R1(config)#int f0/0

R1(config-if)#ip access-group 101 in （9）测试以上配置

在PC1上ping200.200.200.1，应该ping不通，但在PC1上应该能ping通内网。 R1#sh ip access-list

Extended IP access list 101

deny ip 172.16.1.0 0.0.0.255 host 200.200.200.1 (8 match(es))

permit ip any any (3 match(es)) R1#sh ip int f0/0

FastEthernet0/0 is up, line protocol is up (connected) Internet address is 172.16.1.1/24 .........

Outgoing access list is not set Inbound access list is 101

（10）在R3上配置扩展ACL，拒绝主机PC3访问WEB/FTP服务器上的http服务，但

仍能互相ping通。

首先测试PC3能否访问WEB/FTP服务器上的http服务，现在是可以的。

R3(config)#access-list 102 deny tcp host 172.16.3.2 host 172.16.4.2 eq 80

R3(config)#access-list 102 permit ip any any R3(config)#int f0/0

R3(config-if)#ip access-group 102 in （11）测试上述配置

现在PC3不能访问WEB/FTP服务器上的http服务了。但是可以ping通WEB/FTP服务器。

R3#sh ip access-list

Extended IP access list 102

deny tcp host 172.16.3.2 host 172.16.4.2 eq www (100 match(es)) permit ip any any (2 match(es)) R3#sh ip int f0/0

FastEthernet0/0 is up, line protocol is up (connected) Internet address is 172.16.3.1/24 Broadcast address is 255.255.255.255 .........

Outgoing access list is not set Inbound access list is 102 6、实验问题参考答案

【问题1】：为什么要配置“access-list 1 permit any”？

【答案】：因为定义ACL时，路由器隐含拒绝所有，如果没有该语句，则会拒绝所有的数据包通过R2的s0/0/0，而我们的目的只是拒绝来自特定的网络的数据包。

【问题2】：如果在PC2上ping WEB/FTP服务器，结果应该是怎样的？

【答案】：如果在PC2上ping WEB/FTP服务器，结果应该是不通的，因为访问WEB/FTP服务器需要经过R2,而现在PC2不能访问R2。

【问题3】：如果把上述配置的ACL在端口s0/0上的作用方向改为“out”，结果会怎样？

【答案】：如果把上述配置的ACL在端口s0/0/0上的作用方向改为“out”,结果就是ACL不起作用。

【问题4】：当我们把ACL作用在路由器的某个接口上时，“in”和“out”的参照对象是谁？

【答案】：参照对象是路由器。

【问题5】：在PC1 网络所在的主机上ping R2，结果会怎样？ 【答案】：ping的通

【问题6】：为什么我们定义ACL标号没有用标号3，而是101？ 【答案】：因为扩展ACL标号的范围是100-199。 【问题7】：“any”代表什么含义？

【答案】：“any”代表“0.0.0.0 255.255.255.255”。