实验拓扑、终端服务器配置09资料.pptVIP

第九章 ACL 本章提要 1. ACL的知识要点 2. 标准ACL 3. 扩展ACL 4. 命名ACL 5. 基于时间ACL 6. 动态ACL 7. 自反ACL 知识要点 ACL概述 ACL功能 1. 拒绝或允许流入（或流出）的数据流通过特定的接口； 2. 为DDR应用定义感兴趣的数据流； 3. 过滤路由更新的内容； 4. 控制对虚拟终端的访问； 5. 提供流量控制 ACL如何工作 ACL条件顺序 标准ACL与扩展ACL比较 放置ACL 用扩展ACL检查数据包 常见端口号 通配符掩码 1. 是一个32比特位的数字字符串 2. 0表示“检查相应的位”,1表示“不检查相应的位” 特殊的通配符掩码 1. Any 55 2. Host 9 Host 9 实验1 标准ACL 实验目的 （1）ACL设计原则和工作过程 （2）定义标准ACL （3）应用ACL （4）标准ACL调试 实验拓扑 实验设计 1. 本实验拒绝PC2所在网段访问路由器R2,同时只允许主机PC3访问路由器R2的TELNET服务。 2. 整个网络配置EIGRP保证IP的连通性。 实验步骤（1） 配置路由器R1： R1(config)#router eigrp 1 R1(config-router)#network 55 R1(config-router)#network 55 R1(config-router)#network R1(config-router)#no auto-summary 实验步骤（2） 配置路由器R2： R2(config)#router eigrp 1 R2(config-router)#network 55 R2(config-router)#network R2(config-router)#network R2(config-router)#no auto-summary R2(config)#access-list 1 deny 55 //定义ACL R2(config)#access-list 1 permit any R2(config)#interface Serial0/0/0 R2(config-if)#ip access-group 1 in //在接口下应用ACL R2(config)#access-list 2 permit R2(config-if)#line vty 0 4 R2(config-line)#access-class 2 in //在vty下应用ACL R2(config-line)#password cisco R2(config-line)#login 实验步骤（3） 配置路由器R3： R3(config)#router eigrp 1 R3(config-router)#network 55 R3(config-router)#network R3(config-router)#no auto-summary 技术要点 （1）ACL定义好，可以在很多地方应用，接口上应用只是其中之一，其它的常用应用包括在route map中的match应用和在vty下用“access-class”命令调用，来控制telnet的访问； （2）访问控制列表表项的检查按自上而下的顺序进行，并且从第一个表项开始，所以必须考虑在访问控制列表中定义语句的次序； （3）路由器不对自身产生的IP数据包进行过滤； （4）访问控制列表最后一条是隐含的拒绝所有； （5）每一个路由器接口的每一个方向，每一种协议只能创建一个ACL； （6）“access-class”命令只对标准ACL有效。 实验调试 在PC1网络所在的主机上ping ，应该通，在PC2网络所在的主机上ping ，应该不通，在主机PC3上TELNET ，应该成功。 实验2 扩展ACL 实验目的 （1）定义扩展ACL （2）应用扩展ACL （3）扩展ACL调试 实验拓扑 实验设计 1. 本实验要求只允许PC2所在网段的主机访问路由器R2的WWW和TELNET服务，并拒绝PC3所在网段PING路由器R2。 2. 删除实验1中定义的ACL，保留EIGRP的配置，保证IP的连通性。 实验步骤（1） 配置路由器R1： R1(config)#access-list 100 permit tcp 55 host eq www R1(config)#access-list 100 permit tcp 55 host eq www R1(config)#access-list 100 permit tcp 55 host eq w