实验11访问控制列表.doc

实验十一 访问控制列表 分为输入in和输出out的访问控制列表 1. 配置路由器到网络各点可通 设网络图动态路由已设好，IP地址分配如下： 1.1 主机ip地址 PCA ip:10.65.1.1 255.255.255.0 gateway:10.65.1.2 PCB ip:10.66.1.1 255.255.255.0 gateway:10.66.1.2 PCC ip:10.69.1.1 255.255.255.0 gateway:10.69.1.2 PCD ip:10.70.1.1 255.255.255.0 gateway:10.70.1.2 PCE ip:10.65.1.3 255.255.255.0 gateway:10.65.1.2 PCF ip:10.65.2.1 255.255.0.0 gateway:10.65.1.2 1.2 PCF主机ip地址和子网掩码的特殊性 [root@PCF root]# ifconfig eth0 10.65.2.1 netmask 255.255.0.0 [root@PCF root]# route add default gw 10.65.1.2 [root@PCF root]# PCF的子网掩码不能是255.255.255.0，该实验交换机只有一个VLAN1，否则会提示netid error。其他主机使用掩码255.255.255.0，能够通过的原因在于，其他主机和PCF可以看做在同一子网下，其他主机位于较小的子网，PCF的子网包括其他主机的子网。或者，系统是根据较短的子网掩码来判定是否属于同一个子网。 1.3 交换机的ip地址和网关 SWA ip:10.65.1.8 255.255.255.0 gateway:10.65.1.2 1.4 路由器routerA各端口的ip地址 RouterA f0/0: 10.65.1.2 RouterA f0/1: 10.66.1.2 RouterA s0/1: 10.68.1.2 启动路由转发+设置动态路由 1.5 路由器routerC各端口的ip地址 RouterC s0/0: 10.68.1.1 RouterC s0/1: 10.78.1.2 启动路由转发+设置动态路由 1.6路由器routerB各端口的ip地址 RouterB s0/0: 10.78.1.1 RouterB f0/0: 10.69.1.2 RouterB f0/1: 10.70.1.2 启动路由转发+设置动态路由 2.基本的访问控制列表： 2.1 基本ping操作 先从PCA ping PCD: [root@PCA @root]#ping 10.70.1.1 (通) 2.2 设置只允许一个ip地址通过的访问控制列表 在ROC的s0/0写一个输入的访问控制列表： RouterC(config)#access-list 1 permit 10.65.1.1 0.0.0.0 RouterC(config)#access-list 1 deny any RouterC(config)#int s0/0 RouterC(config-if)#ip access-group 1 in RouterC(config-if)#end RouterC#sh access-list 1 // ACL defaut: deny any --当设置了permit之后，默认拒绝permit以外的ip地址 ROC s0/0: access-list 1 permit 10.65.1.1 0.0.0.0 deny any ip access-group 1 in // [root@PCA @root]#ping 10.70.1.1 (通) (只允许PCA) [root@PCE @root]#ping 10.70.1.1 (不通)(被access-list 1禁止) [root@PCE @root]#ping 10.66.1.1 (通)　(不经过access-list 1) [root@PCB @root]#ping 10.70.1.1 (不通)(被access-list 1禁止) [root@PCD @root]#ping 10.65.1.3 (不通)(echo-reply包不能返回) [root@PCD @root]#ping 10.65.1.1 (通) 第一个ping命令，PCA的IP地址是10.65.1.1在访问控制列表access-list 1中是 允许的，所以能通。 第二个ping命令，PCE虽然是65网段，但是access-list 只允许10.65.1.1通过， 所以10.6