7.2 命名的標(biāo)準(zhǔn)IP訪問列表配置實(shí)驗(yàn)

7.2 命名的標(biāo)準(zhǔn)IP訪問列表配置實(shí)驗(yàn)

7.2.1實(shí)驗(yàn)?zāi)康?/h3>

掌握命名的標(biāo)準(zhǔn)IP訪問列表規(guī)則及配置。

 

7.2.2背景描述

假如你是學(xué)校的網(wǎng)絡(luò)管理員，在學(xué)校核心交換機(jī)上連著學(xué)校的提供學(xué)習(xí)資料的服務(wù)器，另外還連接著學(xué)生宿舍樓和教工宿舍樓，學(xué)校規(guī)定學(xué)生只能訪問學(xué)習(xí)資料存放的服務(wù)器，學(xué)生宿舍樓不能訪問教工宿舍樓

7.2.3實(shí)現(xiàn)功能  

實(shí)現(xiàn)網(wǎng)段間互相訪問的安全控制。

7.2.4實(shí)驗(yàn)拓?fù)?/h3>

 

 

圖 訪問控制列表配置

 

7.2.5實(shí)驗(yàn)設(shè)備

• 一臺RG-S3760三層交換機(jī)，三臺RG-S2126G交換機(jī)
• PC機(jī)四臺（其中一臺用于打開http://122.204.85.91_6:8080網(wǎng)頁，進(jìn)行設(shè)備配置）
• 直通和交叉雙絞線若干

7.2.6實(shí)驗(yàn)步驟

 1.  在三層交換機(jī)上做基本配置，主要是創(chuàng)建VLAN
Center(config)#vlan 10
Center(config-vlan)#name server
Center(config)#vlan 20
Center(config-vlan)#name teachers
Center(config)#vlan 30
Center(config-vlan)#name students
Center(config)#interface f0/5
Center(config-if)#switchport mode access
Center(config-if)#switchport access vlan 10
Center(config)#interface f0/10
Center(config-if)#switchport mode access
Center(config-if)#switchport access vlan 20
Center(config)#interface f0/15
Center(config-if)#switchport mode access
Center(config-if)#switchport access vlan 30
Center(config)#int vlan10
Center(config-if)#ip add 192.168.10.1 255.255.255.0
Center(config-if)#no sh
Center(config-if)#int vlan 20
Center(config-if)#ip add 192.168.20.1 255.255.255.0
Center(config-if)#no sh
Center(config-if)#int vlan 30
Center(config-if)#ip add 192.168.30.1 255.255.255.0
Center(config-if)#no sh

本實(shí)驗(yàn)，RG-S2126G三個二層交換機(jī)不需要做任何配置，只需要連線就可以了。
 2.     配置命名標(biāo)準(zhǔn)IP訪問控制列表
Center(config)#ip access-list standard denystudent    （定義命名訪問控制列表）
Center(config-std-nacl)#deny 192.168.20.0 0.0.0.255    （定義列表匹配的條件）
Center(config-std-nacl)#permit any                   （允許其他流量通過）

說明：  要注意deny某個網(wǎng)段后要peimit其他網(wǎng)段
3.   用命令sh ip access-lists denystudent查看定義的列表
Center#sh ip access-lists denystudent
Standard IP access list: denystudent
                  deny 192.168.20.0 0.0.0.255
                  permit any
4 .    把訪問控制列表在接口下應(yīng)用
Center(config)#int vlan 10
Center(config-if)#ip access-group denystudent out （訪問控制列表在接口出方向應(yīng)用）
 
5.  啟用三層路由

  Center(config)#ip routing

6.  查看配置文件
Center#show run
version 1.0
!
hostname Center
ip access-list standard denystudent
  deny 192.168.20.0 0.0.0.255
  permit any
interface FastEthernet 0/5
switchport access vlan 10
!
interface FastEthernet 0/10
switchport access vlan 20
!
interface FastEthernet 0/15
switchport access vlan 30

!
interface Vlan 10
ip address 192.168.10.1 255.255.255.0
!
interface Vlan 20
ip address 192.168.20.1 255.255.255.0
ip access-group denystudent out
!
interface Vlan 30
ip address 192.168.30.1 255.255.255.0
!
end

7.   驗(yàn)證測試

在屬于學(xué)生宿舍（VLAN20）的主機(jī)PC2上PING屬于服務(wù)器區(qū)（VLAN10）的主機(jī)PC1，發(fā)現(xiàn)不能PING通

在屬于教職工宿舍(VLAN30)的主機(jī)PC3上PING屬于服務(wù)區(qū)(VLAN10)的主機(jī)PC1，發(fā)現(xiàn)可以PING通

7.2.7  注意事項(xiàng)

1. 標(biāo)準(zhǔn)的訪問控制列表編號范圍為1-99。
2. 在路由器中，如果使用ACL的表號進(jìn)行配置，則列表不能插入或刪除行。如果列表要插入或刪除一行，必須先去掉所有ACL，然后重新配置。當(dāng)ACL中條數(shù)很多時，這種改變非常煩瑣。一個比較有效的解決辦法是：在遠(yuǎn)程主機(jī)上啟用一個TFTP服務(wù)器，先把路由器配置文件下載到本地，利用文本編輯器修改ACL表，然后將修改好的配置文件通過TFTP傳回路由器。
3. 配置完訪問控制列表后要在接口下應(yīng)用。
4. Deny某個網(wǎng)段后要permit其他網(wǎng)段。
5. in和out參數(shù)可以控制接口中不同方向的數(shù)據(jù)包，如果不配置該參數(shù)，缺省為out。

ACL在一個接口可以進(jìn)行雙向控制，即配置兩條命令，一條為in，一條為out，兩條命令執(zhí)行的ACL表號可以相同，也可以不同。但是，在一個接口的一個方向上，只能有一個ACL控制。

值得注意的是，在進(jìn)行ACL配置時，網(wǎng)管員一定要先在全局狀態(tài)配置ACL表，再在具體接口上進(jìn)行配置，否則會造成網(wǎng)絡(luò)的安全隱患。