技术原理:
ACLs的全称为接入控制列表(AccessControl Lists),也称访问控制列表(AccessLists),俗称防火墙。在有的文档中还称包过滤。ACLs通过一些规则对网络设备接口上的数据包文进行控制;允许通过或丢弃,从而提高网络可管理型和安全性;
IPACL分为两种:标准IP访问控制列表和扩展IP访问控制列表,编号的范围1-99、1300-1999、100-199、2000-2699;
标准IP访问控制列表可以根据数据包的源IP地址定义规则,进行包的过滤;
扩展IP访问控制列表可以根据数据包的源IP、目的IP、原端口、目的端口、协议来定义规则,进行数据包的过滤;
IPACL基于接口进行规则的应用,分为:入栈应用和出栈应用;
实验步骤:
建立拓扑图:
1.路由器之间通过V.35电缆通过串口连接,DCE端连接在R1上,配置其时钟64000;主机于路由器之间通过交叉线连接
2.配置路由器接口IP
3.在路由器上配置静态路由协议,让三台PC能够互相Ping通,因为只有在互通的前提下才涉及访问控制列表。
4.在R1上编号的IP标准访问控制
5.将标准IP访问控制应用在端口上
6.验证主机之间的互通性
实验设备:
Pc3台:Router-PT2台;交叉线、DCE串口线
R0配置:
Router>en
Router#config t
Enter configuration commands, one perline. End with CNTL/Z.
Router(config)#host R0
R0(config)#int fa0/0
R0(config-if)#ip address 172.16.1.1255.255.255.0
R0(config-if)#no shut
%LINK-5-CHANGED: Interface FastEthernet0/0,changed state to up
%LINEPROTO-5-UPDOWN: Line protocol onInterface FastEthernet0/0, changed state to up
R0(config-if)#exit
R0(config)#int fa1/0
R0(config-if)#ip address 172.16.2.1255.255.255.0
R0(config-if)#no shut
%LINK-5-CHANGED: Interface FastEthernet1/0,changed state to up
%LINEPROTO-5-UPDOWN: Line protocol onInterface FastEthernet1/0, changed state to up
R0(config-if)#exit
R0(config)#int se2/0
R0(config-if)#ip address 172.16.3.1255.255.255.0
R0(config-if)#clock rate 64000
R0(config-if)#no shut
%LINK-5-CHANGED: Interface Serial2/0,changed state to down
R0(config-if)#exit
R0(config)#
R1配置:
Router>en
Router#config t
Enter configuration commands, one perline. End with CNTL/Z.
Router(config)#host R1
R1(config)#int se2/0
R1(config-if)#ip address 172.16.3.2255.255.255.0
% Invalid input detected at '^' marker.
R1(config-if)#no shut
R1(config-if)#
%LINK-5-CHANGED: Interface Serial2/0,changed state to up
R1(config-if)#exit
R1(config)#int fa0/0
%LINEPROTO-5-UPDOWN: Line protocol onInterface Serial2/0, changed state to up
R1(config-if)#ip address 172.16.4.1255.255.255.0
R1(config-if)#no shut
%LINK-5-CHANGED: Interface FastEthernet0/0,changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on InterfaceFastEthernet0/0, changed state to up
R1(config-if)#exit
R1(config)#
再R0上配置静态路由:
R0(config)#ip route 172.16.4.0255.255.255.0 172.16.3.2
在R1上配置静态路由:
R1(config)#ip route 0.0.0.0 0.0.0.0172.16.3.1
在R0上配置控制列表:
R0(config)#ip access-list standard 5ijsj
R0(config-std-nacl)#permit 172.16.1.00.0.0.255
R0(config-std-nacl)#deny 172.16.2.00.0.0.255
R0(config-std-nacl)#exit
R0(config)#int se2/0
R0(config-if)#ip access-group 5ijsj out
R0(config-if)#exit
结果:
Pinging 172.16.4.2 with 32 bytes of data:
Reply from 172.16.2.1: Destination hostunreachable.
Reply from 172.16.2.1: Destination hostunreachable.
Reply from 172.16.2.1: Destination hostunreachable.
Reply from 172.16.2.1: Destination hostunreachable.
本文转自 zhuxtqw 51CTO博客,原文链接:http://blog.51cto.com/1054054/1254780,如需转载请自行联系原作者
