7.3命名的擴展的IP訪問控制列表配置實驗
7.3.1 實驗?zāi)康?/h3>
掌握擴展IP訪問控制列表的配置。
7.3.2 背景描述
在校園網(wǎng)中,學(xué)校希望學(xué)生在做實驗時只能訪問FTP服務(wù)器而不可以上網(wǎng)和訪問教師辦公室。教師沒有限制。機房實驗室所在網(wǎng)段是172.16.1.0/24,教師辦公室所在網(wǎng)段是172.16.2.0/24。要求網(wǎng)絡(luò)管理員按照需要,實現(xiàn)對網(wǎng)絡(luò)服務(wù)訪問的安全控制。
7.3.3 實驗設(shè)備
- 一臺RG-S3760三層交換機,一臺RG-R1700系列路由器
- PC機三臺(其中一臺作為機房實驗室計算機,一臺作為教師辦公室計算機,另一臺用于打開http://122.204.85.91_6:8080網(wǎng)頁,進行設(shè)備配置)
- 直通和交叉雙絞線若干
7.3.4 實驗拓?fù)鋱D
實驗拓?fù)淙鐖D4-2所示:
圖4-2 擴展的IP訪問控制列表配置
7.3.5 實驗步驟
要實現(xiàn)所需的訪問控制,有兩種方法。
一種是通過在三層交換機的f0/1接口上配置擴展訪問控制列表,通過指定分組的源地址和目的地址和協(xié)議類型、端口號來實現(xiàn)機房實驗室對FTP服務(wù)器的訪問并拒絕機房實驗室訪問Internet。
另一種是通過在路由器的f1/0接口上配置標(biāo)準(zhǔn)訪問控制列表,拒絕來自172.16.1.0網(wǎng)段的訪問。
這兩種方法種比較好的方法是第一種。當(dāng)這個擴展ACL被放在交換機的F0/1端口上,被拒絕的分組就不能通過交換機到達路由器了,這樣就減少了交換機和路由器間的通信流量,而其他源地址和目的地址的流量仍然被允許通過。
放置ACL的一般原則是,盡可能把擴展ACL放置在距離要被拒絕的通信流量最近的地方。標(biāo)準(zhǔn)ACL由于不能指定目的地址,所以它們應(yīng)該盡可能放置在距離目的地最近的地方。
- 基本配置
參照實驗拓?fù)鋱D配置好各網(wǎng)段IP。
測試配置訪問控制列表前的網(wǎng)絡(luò)互訪
- 配置擴展訪問控制列表
在全局配置模式下,創(chuàng)建ACL
Center(config)#ip access-list extended student (定義擴展名為student的訪問控制列表)
Center(config-ext-nacl)# deny tcp 172.16.1.0 0.0.0.255 host 172.16.3.1 eq www
Center(config-ext-nacl)# deny ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
Center(config-ext-nacl)# permit ip any any
- 把訪問控制列表應(yīng)用到具體接口。
Center(config)#interface f0/1
Center(config-if)#ip access-group student in
Center(config-if)#no shut
Center(config-if)#exit
- 驗證測試
在作為機房實驗室計算機的PC機上訪問服務(wù)器、教師辦公室、internet來測試網(wǎng)絡(luò)訪問。
- 配置詳解
- 配置擴展的訪問控制列表的第一條語句,定義了命名訪問控制列表的名字。
- 配置擴展的訪問控制列表的第二條語句,定義了拒絕172.16.1.0網(wǎng)段的www服務(wù)。
- 配置擴展的訪問控制列表的第三條語句,定義了拒絕172.16.1.0網(wǎng)段訪問172.16.2.0網(wǎng)段。
- 配置擴展的訪問控制列表的第四條語句,允許其他流量通過。
- 注意事項
- 配置完訪問控制列表后要在接口下應(yīng)用。
- Deny某個網(wǎng)段后要permit其他網(wǎng)段。