利用IP标准访问列表进行网络流量的控制
实验名称:
编号的标准IP访问列表
实验目的:
掌握路由器上编号的标准IP访问列表规则及配置
背景描述:
你是一个公司的网络管理员,公司的经理部、财务部门和销售部门分属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部门进行访问,但经理部可以对财务部门进行访问。
PCA代表经理部的主机,PCB代表销售部门的主机、PCC代表财务部门的主机。
技术原理:
IP ACL(IP访问控制列表或IP访问列表)是实现对流经路由器或交换机的数据包根据一定的规则进行过滤,从而提高网络可管理性和安全性。
IP ACL分为两种:标准IP访问列表和扩展IP访问列表。
标准IP访问列表可以根据数据包的源IP定义规则,进行数据包的过滤。
扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。
IP ACL的配置有两种方式:按照编号的访问列表,按照命名的访问列表。
标准IP访问列表编号范围是1~99、1300~1999,扩展IP访问列表编号范围是100~199、2000~2699.
实现功能:
实现网段间互相访问的安全控制。
实验设备:
锐捷路由器(2台)、V35线缆(1条)、交叉线若干
实验拓扑:
实验步骤:
1.路由器的基本配置(端口IP)
2.配置静态路由
静态路由命令格式:
RouterB(config)#ip route 目的网络地址子网掩码下一跳地址
RouterA(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2
RouterB(config)#ip route 172.16.1.0 255.255.255.0 172.16.3.1 RouterB(config)#ip route 172.16.2.0 255.255.255.0 172.16.3.1
3.配置标准IP访问控制列表
RouterB(config)#access-list 1 deny 172.16.2.0 0.0.0.255 !拒绝来自172.16.2.0网段的流量通过
RouterB(config)#access-list 1 permit 172.16.1.0 0.0.0.255 !允许来自172.16.1.0网段的流量通过
4.把访问控制列表在接口下应用
RouterB(config)#interface f0/0
RouterB(config-if)#ip access-group 1 out
!在接口下访问控制列表出栈流量调用
5.验证测试
RouterB#show ip int brief(查看端口信息)
RouterB#show ip route(查看有无S路由)
RouterB#show ip access-list (查看访问控制列表)Ping
172.16.2.0网段的主机不能ping通172.16.4.0网段的主机; 172.16.1.0网段的主机能ping172.16.4.0网段的主机。
注意事项:
1.注意在访问控制列表的网络掩码是反掩码。
2.标准控制列表要应用在尽量靠近目的地址的接口。