利用IP扩展访问列表实现应用服务的访问限制.docVIP

利用IP扩展访问列表实现应用服务的访问限制【实验名称】命名的扩展IP访问列表。【实验目的】掌握在交换机上命名的扩展IP访问列表规则及配置。【背景描述】你是学校的网络管理员，在3550-24交换机上连着学校的提供WWW和FTP的服务器，另外还连接着学生宿舍楼和教工宿舍楼，学校规定学生只能对服务器进行FTP访问，不能进行WWW访问，教工则没有此限制。【技术原理】IP ACL（IP访问控制列表或IP访问列表）是实现对流经路由器或交换机的数据包根据一定的规则进行过滤。从而提高网络可管理性和安全性。IP ACL分为两种：标准IP访问列表和扩展IP访问列表。标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤。扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。IP ACL基于接口进行规则的应用，分为入栈应用和出栈应用。入栈应用是指由外部经该接口进行路由器的数据包进行过滤。出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。IP ACL的配置有两种方式：按照编号的访问列表，按照命名的访问列表。标准IP访问列表编号范围是1~99、1300~1999，扩展IP访问列表编号范围是100~199、2000~2699。【实现功能】实现网段间互相访问的安全控制。【实验设备】S3550交换机（1台）、PC（