实训十访问控制列表一、实训目的了解网络防线-----访问控制列表的.doc

实训十访问控制列表一、实训目的 了解网络防线-----访问控制列表的作用和配置方法，了解基本访问控制列表和扩展访问控制列表的含义 二、实训内容 1.环境：3台路由器、1台交换机、7台计算机 2.内容：掌握基本访问控制列表的作用和配置方法。 三、实训步骤 按下图搭建网络，并根据下述任务配置好各IP地址和RIP动态路由。 1.配置路由器到网络各点可通 设置为RIP动态路由，IP地址分配如下： PCA ip:10.65.1.1gateway:10.65.1.2 PCB ip:10.66.1.1gateway:10.66.1.2 PCC ip:10.69.1.1gateway:10.69.1.2 PCD ip:10.70.1.1gateway:10.70.1.2 PCE ip:10.65.1.3gateway:10.65.1.2 PCF ip:10.65.2.1gateway:10.65.1.2 PCG ip:12.1.1.1gateway:12.1.1.2 SWA ip:10.65.1.8gateway:10.65.1.2 RouterA f0/0: 10.65.1.2实际还应该设置另一个IP：12.1.1.2 RouterA f0/1: 10.66.1.2 RouterA s0/1: 10.68.1.2 ? RouterC s0/0: 10.68.1.1 RouterC s0/1: 10.78.1.2 ? RouterB s0/0: 10.78.1.1 RouterB f0/0: 10.69.1.2 RouterB f0/1: 10.70.1.2? 2.基本的访问控制列表： 先从PCA ping PCD: [root@PCA @root]#ping 10.70.1.1 (通)? 在ROC的s0/0写一个输入的访问控制列表： RouterC(config)#access-list 1 permit 10.65.1.1 0.0.0.0 RouterC(config)#access-list 1 deny any RouterC(config)#int s0/0 RouterC(config-if)#ip access-group 1 in RouterC(config-if)#end RouterC#sh access-list 1? 配置命令access-list用来配置访问列表 访问表是管理者加入的一系列控制数据包在路由器中输入、输出的规则。它不是由路由器自己产生的。访问表能够允许或禁止数据包进入或输出到目的地。 一个IP标准访问表的创建可以由如下命令来完成： access-list access list number {permit | deny} source [source-mask] 在这条命令中： ◎access list number：确定这个入口属于哪个访问表。它是从1到99的数字。 ◎permit | deny：表明这个入口是允许还是阻塞从特定地址来的信息流量。 ◎source：确定源IP地址。 ◎source-mask：确定地址中的哪些比特是用来进行匹配的。如果某个比特是1，表明地址中该位比特不用管，如果是0的话，表明地址中该位比特将被用来进行匹配。可以使用通配符。 关于访问列表参考该文件：控制列表（见最末页） [root@PCA @root]#ping 10.70.1.1(通)(只允许PCA) [root@PCE @root]#ping 10.70.1.1(不通)(被access-list 1禁止) [root@PCE @root]#ping 10.66.1.1(通)(不经过access-list 1) [root@PCB @root]#ping 10.70.1.1(不通)(被access-list 1禁止) [root@PCD @root]#ping 10.65.1.3(不通)(echo-reply包不能返回)? 第一个ping命令，PCA的IP地址是10.65.1.1在访问控制列表access-list 1中是允许的，所以能通。 第二个ping命令，PCE虽然是65网段，但是access-list 只允许10.65.1.1通过，所以10.65.1.3的数据包不能通过。 第三个ping命令，PCE到PCB不通过RouterC的s0/0，所以能通。 第四个ping命令，PCB的IP地址是10.66.1.1，它是被禁止的，所以不通。 第五个ping命令，从10.65.1.3返回包echo-reply不能通过access-list 1，PCD收不到返回包，所以不通。有些系统的ping 命令，echo不能通过时表示为unreachable，若echo-reply不能返回时，表示为timeout，等待时