10.编号的标准IP访问列表

利用IP标准访问列表进行网络流量的控制

实验名称：

编号的标准IP访问列表

实验目的：

掌握路由器上编号的标准IP访问列表规则及配置

背景描述：

你是一个公司的网络管理员，公司的经理部、财务部门和销售部门分属于不同的3个网段，三部门之间用路由器进行信息传递，为了安全起见，公司领导要求销售部门不能对财务部门进行访问，但经理部可以对财务部门进行访问。

PCA代表经理部的主机，PCB代表销售部门的主机、PCC代表财务部门的主机。

技术原理：

IP ACL（IP访问控制列表或IP访问列表）是实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性。

IP ACL分为两种：标准IP访问列表和扩展IP访问列表。

标准IP访问列表可以根据数据包的源IP定义规则，进行数据包的过滤。

扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。

IP ACL的配置有两种方式：按照编号的访问列表，按照命名的访问列表。

标准IP访问列表编号范围是1～99、1300～1999，扩展IP访问列表编号范围是100～199、2000～2699.

实现功能：

实现网段间互相访问的安全控制。

实验设备：

锐捷路由器（2台）、V35线缆（1条）、交叉线若干

实验拓扑：

实验步骤：

1.路由器的基本配置（端口IP）

2.配置静态路由

静态路由命令格式：

RouterB(config)#ip route 目的网络地址子网掩码下一跳地址

RouterA(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2

RouterB(config)#ip route 172.16.1.0 255.255.255.0 172.16.3.1 RouterB(config)#ip route 172.16.2.0 255.255.255.0 172.16.3.1

3.配置标准IP访问控制列表

RouterB(config)#access-list 1 deny 172.16.2.0 0.0.0.255 !拒绝来自172.16.2.0网段的流量通过

RouterB(config)#access-list 1 permit 172.16.1.0 0.0.0.255 !允许来自172.16.1.0网段的流量通过

4.把访问控制列表在接口下应用

RouterB(config)#interface f0/0

RouterB(config-if)#ip access-group 1 out

!在接口下访问控制列表出栈流量调用

5.验证测试

RouterB#show ip int brief(查看端口信息)

RouterB#show ip route（查看有无S路由）

RouterB#show ip access-list （查看访问控制列表）Ping

172.16.2.0网段的主机不能ping通172.16.4.0网段的主机； 172.16.1.0网段的主机能ping172.16.4.0网段的主机。

注意事项：

1.注意在访问控制列表的网络掩码是反掩码。

2.标准控制列表要应用在尽量靠近目的地址的接口。