交换机与路由器分解.ppt

1．配置三个不同网段的主机 设置网段一主机的IP地址、子网掩码和网关分别为1、和。 设置网段一主机的IP地址、子网掩码和网关分别为2、和。 设置网段一主机的IP地址、子网掩码和网关分别为3、和。 2．路由器的基本配置 3．配置标准IP访问控制列表 4．把访问控制列表在接口下应用 【注意事项】 ① 注意在访问控制列表的网络掩码是反掩码。 ② 标准控制列表要应用在尽量靠近目的地址的接口。 ③ 注意标准访问控制列表的编号是从1—99。 ④ 执行R1#show running-config命令，可查看路由器的配置。 一 标准ACL的配置 二 扩展ACL的配置 【任务描述】 某学校规定教师（在教工宿舍）可以访问教工之家的WWW服务器，（在学生宿舍）的学生不能访问教工之家的WWW服务器，学校规定学生所在网段是/24，学校服务器所在网段是/24，教师所在的网段是/24，如图所示。 【任务分析】 扩展访问控制列表既可检查分组的源地址和目的地址，也可检查协议类型和TCP或UDP的端口号，如图所示。 端口号 IP TCP / UDP 数据 协议 源地址 目的地址 Access-list listnumber {permit |deny } protocol source source-wildcard-mask destination destination-wildcard-mask [operator operand] 其中：扩展访问控制列表（Standard IP ACL）的规则序号范围是100~199；protocol是指定的协议，如IP、TCP 、UDP等；destination是目的地址；destination-wildcard-mask是目的地址的反掩码；operator operand用于指定端口的范围，默认为全部端口号0~65535，只有TCP和UDP协议需要指定的端口范围。 IP扩展访问控制列表也都是在全局配置模式下生成的。IP扩展访问控制列表的格式如下： 二 扩展ACL的配置 表9-1 扩展访问控制列表支持的操作符及其语法 操作符及其语法 意义 eq portnumber 等于端口号 portnumber gt portnumber 大于端口号 portnumber lt portnumber 小于端口号 portnumber neq portnumber 不等于端口号 portnumber range portnumber1 portnumber2 介于端口号 portnumber1和portnumber2之间 二 扩展ACL的配置 【操作步骤】 1．配置三个不同网段的主机 设置网段一主机的IP地址、子网掩码和网关分别为1、和。 设置WWW服务器的IP地址、子网掩码和网关分别为2、和。 设置网段一主机的IP地址、子网掩码和网关分别为3、和 2．路由器的基本设置 3．配置扩展IP访问控制列表 4．把访问控制列表在接口下应用 【注意事项】 ① 访问控制列表要在接口下应用。 ② 扩展访问控制列表尽量放在靠近源地址的端口上。 ③ 在所有的访问控制列表最后，有一条隐含规则—拒绝所有，所以要注意deny某个网段后用permit其他网段。 ④ 在编号访问控制列表里要特别注意，删除其中的一个条目，其他的条目也一并删除。 二 扩展ACL的配置 任务五 实现访问列表控制IP通信-【知识链接】 【知识链接】 1．命名访问控制列表 Cisco IOS软件11.2版本中引入了命名ACL，命名ACL允许在标准和扩展中，使用名字代替数字来表示ACL编号。使用命名ACL有以下好处：第一，通过一个字母数字串组成的名字直观地表示特定的ACL；第二，不受99条标准ACL和100条扩展ACL的限制；第三，使得网络管理员可以方便地对ACL进行修改而无需删除ACL之后再对其进行重新配置。 使用ip access-list命令可创建命名ACL，语法格式如下： ip access-list{extend|standard} name 这将用户置于ACL配置模式下Router(config-std-nacl)#或Router（config-ext-nacl）# 在ACL配置模式下，通过指一个或多个允许及拒绝条件，来决定一个分组是允许通过还是被丢弃。语法格式如下： Router(config-ext-acl)# {permit |deny } protocol source source-wildcard-mask [operator [port]] destination destination-wildcard-mask [operator [port]] ACL配置命令中，permit或d