2016计算机网络技术实验实训教程：实验三扩展IP访问控制列表.docVIP

计算机网络技术实验实训教程 实验三 扩展IP访问控制列表 实验名称：扩展IP访问控制列表。 实验目的：掌握三层交换机上扩展IP访问控制列表规则及配置。 技术原理：扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义。 1.定义扩展的ACL 编号的扩展ACL Switch(config)#access-list 100-199 { permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ] 命名的扩展ACL Switch(config)#ip access-list extended {name} { permit /deny } 协议 源地址 反掩码[源端口] 目的地址 反掩码 [ 目的端口 ] 2.应用ACL到接口 Switch(config-if)#ip access-group 100-199 { in | out } 实现功能：实现网段间相互访问的安全控制。 实验设备：S3350交换机一台，PC三台，直连线三根。 实验拓朴： 实验步骤：1. 基本配置。 Switch(config)#vlan 10 Switch(config-vlan)#name server Switch(config)#vlan 20 Switch(config-vlan)#name teacher Switch(config)#vlan 30 Switch(config-vlan)#name student Switch(config)#interface fa0/5 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 10 Switch(config)#interface fa0/10 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 20 Switch(config)#interface fa0/15 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 30 Switch(config)#inter vlan 10 Switch(config-if)#ip add Switch(config-if)#no shutdown Switch(config)#inter vlan 20 Switch(config-if)#ip add Switch(config-if)#no shutdown Switch(config)#inter vlan 30 Switch(config-if)#ip add Switch(config-if)#no shutdown 2.配置扩展IP访问控制列表。 ?Switch(config)#ip access-list extended denystudentwww !命名 Switch(config-ext-nac1)#deny tcp 55 55 eq www !禁止WWW服务。 Switch(config-ext-nacl)#permit ip any any ! 允许其它服务。 Switch#show ip access-lists denystudent www 3.在接口下应用访问控制列表。 Switch(config)#inter vlan 30 Switch(config-if)ip access-group denystudentwww in 4.配置WEB服务器(参见局域网实验)。 5.验证测试。(VLAN 30中的主机pc3不能访问WEB服务器pc1，VLAN 20中的主机pc2能访问WEB服务器pc1。) 注意事项：1.访问控制列表的网络掩码是反掩码。 2．访问控制列表要在接口下应用。 3．Deny某网段后要permit其它网段。 4. 一个端口在一个方向上只能应用一组ACL 2