今天又做了实验,呵呵,实验题目是Standard Access-Lists with RIP,就是大名鼎鼎的访问控制列表了,它的作用可就大了,比如进行安全方面的控制啊,流量方面也可以通过访问控制列表进行过滤,只要把访问控制列表配置得当,它会起到很多的作用的。
拓扑图如下:
下面看我的 r1 配置:
Router(config)#hostname r1
r1(config)#interface e0
r1(config-if)#ip address 192.168.1.2 255.255.255.0
r1(config-if)#no shut
r1(config-if)#interface s0
r1(config-if)#ip address 192.168.2.1 255.255.255.0
r1(config-if)#clock rate 6400
r1(config-if)#no shut
r1(config)#router rip
r1(config-router)#network 192.168.1.0
r1(config-router)#network 192.168.2.0
r1(config)#interface e0
r1(config-if)#ip address 192.168.1.2 255.255.255.0
r1(config-if)#no shut
r1(config-if)#interface s0
r1(config-if)#ip address 192.168.2.1 255.255.255.0
r1(config-if)#clock rate 6400
r1(config-if)#no shut
r1(config)#router rip
r1(config-router)#network 192.168.1.0
r1(config-router)#network 192.168.2.0
r2的配置如下 :
Router(config)#hostname r2
r2(config)#interface s0
r2(config-if)#ip address 192.168.2.2 255.255.255.0
r2(config-if)#no shut
r2(config-if)#interface e0
r2(config-if)#ip address 192.168.3.1 255.255.255.0
r2(config-if)#no shut
r2(config)#interface s0
r2(config-if)#ip address 192.168.2.2 255.255.255.0
r2(config-if)#no shut
r2(config-if)#interface e0
r2(config-if)#ip address 192.168.3.1 255.255.255.0
r2(config-if)#no shut
r2(config)#router rip
r2(config-router)#network 192.168.3.0
r2(config-router)#network 192.168.2.0
r2(config-router)#network 192.168.3.0
r2(config-router)#network 192.168.2.0
这样配置之后,pc1和pc2能相互ping通,
如下所示:
C:>ping 192.168.3.2 //pc2的IP就是192.168.3.2
Pinging 192.168.3.2 with 32 bytes of data:
Pinging 192.168.3.2 with 32 bytes of data:
Reply from 192.168.3.2: bytes=32 time=60ms TTL=241
Reply from 192.168.3.2: bytes=32 time=60ms TTL=241
Reply from 192.168.3.2: bytes=32 time=60ms TTL=241
Reply from 192.168.3.2: bytes=32 time=60ms TTL=241
Reply from 192.168.3.2: bytes=32 time=60ms TTL=241
Reply from 192.168.3.2: bytes=32 time=60ms TTL=241
Reply from 192.168.3.2: bytes=32 time=60ms TTL=241
Reply from 192.168.3.2: bytes=32 time=60ms TTL=241
Reply from 192.168.3.2: bytes=32 time=60ms TTL=241
Ping statistics for 192.168.3.2: Packets: Sent = 5, Received = 5, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 50ms, Maximum = 60ms, Average = 55ms(如果有问题的可以参照前面的实验),现在要做的就是通过标准访问控制列表来对pc2进行保护,要使得pc1不能访问pc2。
Approximate round trip times in milli-seconds:
Minimum = 50ms, Maximum = 60ms, Average = 55ms(如果有问题的可以参照前面的实验),现在要做的就是通过标准访问控制列表来对pc2进行保护,要使得pc1不能访问pc2。
我在r2 上做了如下的配置:
r2(config)#access-list 1 deny host 192.168.1.1 //设定访问控制列表1,拒绝来自192.168.1.1(pc1)的访问
r2(config)#access-list 1 permit any //不满足第一条的全部允许
r2(config)#access-list 1 permit any //不满足第一条的全部允许
然后:
r2(config)#interface e0
r2(config-if)#ip access-group 1 out //把刚才设定的访问控制列表1应用在r2的e0口上,并且作为出站列表(out)。
r2(config-if)#ip access-group 1 out //把刚才设定的访问控制列表1应用在r2的e0口上,并且作为出站列表(out)。
此时在从pc1上ping pc2,结果如下:
C:#ping 192.168.3.2
Pinging 192.168.3.2 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 192.168.3.2:
Packets: Sent = 5, Received = 0, Lost = 5 (100% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
Packets: Sent = 5, Received = 0, Lost = 5 (100% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
这样就使得pc1不能访问pc2了,在r2上用show access-list可以看到访问控制列表的信息,如下:
r2# show access-list
Standard IP access list 1
1 deny host 192.168.1.1 (5 matches) //说明满足该条件的数据包有5个
1 permit any (60 matches) //满足该条件的数据包有60个
当然,访问控制列表的作用还很大很多,这儿只是一个简单的实验,我也正在做一些稍微复杂一点的实验,但是限于篇幅,就不便写出来了。
Standard IP access list 1
1 deny host 192.168.1.1 (5 matches) //说明满足该条件的数据包有5个
1 permit any (60 matches) //满足该条件的数据包有60个
当然,访问控制列表的作用还很大很多,这儿只是一个简单的实验,我也正在做一些稍微复杂一点的实验,但是限于篇幅,就不便写出来了。
本文转自 victoryan 51CTO博客,原文链接:http://blog.51cto.com/victoryan/39538