7.3命名的擴展的IP訪問控制列表配置實驗

7.3命名的擴展的IP訪問控制列表配置實驗

7.3.1 實驗?zāi)康?/h3>

掌握擴展IP訪問控制列表的配置。

7.3.2 背景描述

在校園網(wǎng)中，學(xué)校希望學(xué)生在做實驗時只能訪問FTP服務(wù)器而不可以上網(wǎng)和訪問教師辦公室。教師沒有限制。機房實驗室所在網(wǎng)段是172.16.1.0/24，教師辦公室所在網(wǎng)段是172.16.2.0/24。要求網(wǎng)絡(luò)管理員按照需要，實現(xiàn)對網(wǎng)絡(luò)服務(wù)訪問的安全控制。

7.3.3 實驗設(shè)備

• 一臺RG-S3760三層交換機，一臺RG-R1700系列路由器
• PC機三臺（其中一臺作為機房實驗室計算機，一臺作為教師辦公室計算機,另一臺用于打開http://122.204.85.91_6:8080網(wǎng)頁，進行設(shè)備配置）
• 直通和交叉雙絞線若干

7.3.4 實驗拓?fù)鋱D

實驗拓?fù)淙鐖D4-2所示：

圖4-2  擴展的IP訪問控制列表配置

7.3.5 實驗步驟

要實現(xiàn)所需的訪問控制，有兩種方法。

一種是通過在三層交換機的f0/1接口上配置擴展訪問控制列表，通過指定分組的源地址和目的地址和協(xié)議類型、端口號來實現(xiàn)機房實驗室對FTP服務(wù)器的訪問并拒絕機房實驗室訪問Internet。

另一種是通過在路由器的f1/0接口上配置標(biāo)準(zhǔn)訪問控制列表，拒絕來自172.16.1.0網(wǎng)段的訪問。

這兩種方法種比較好的方法是第一種。當(dāng)這個擴展ACL被放在交換機的F0/1端口上，被拒絕的分組就不能通過交換機到達路由器了，這樣就減少了交換機和路由器間的通信流量，而其他源地址和目的地址的流量仍然被允許通過。

放置ACL的一般原則是，盡可能把擴展ACL放置在距離要被拒絕的通信流量最近的地方。標(biāo)準(zhǔn)ACL由于不能指定目的地址，所以它們應(yīng)該盡可能放置在距離目的地最近的地方。

1. 基本配置

參照實驗拓?fù)鋱D配置好各網(wǎng)段IP。

測試配置訪問控制列表前的網(wǎng)絡(luò)互訪

2. 配置擴展訪問控制列表

在全局配置模式下，創(chuàng)建ACL

Center(config)#ip access-list extended student （定義擴展名為student的訪問控制列表）

Center(config-ext-nacl)# deny tcp 172.16.1.0 0.0.0.255 host 172.16.3.1 eq www

Center(config-ext-nacl)# deny ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255

Center(config-ext-nacl)# permit ip any any

3. 把訪問控制列表應(yīng)用到具體接口。

Center(config)#interface f0/1

Center(config-if)#ip access-group student in

Center(config-if)#no shut

Center(config-if)#exit

4. 驗證測試

在作為機房實驗室計算機的PC機上訪問服務(wù)器、教師辦公室、internet來測試網(wǎng)絡(luò)訪問。

5. 配置詳解
   1. 配置擴展的訪問控制列表的第一條語句，定義了命名訪問控制列表的名字。
   2. 配置擴展的訪問控制列表的第二條語句，定義了拒絕172.16.1.0網(wǎng)段的www服務(wù)。
   3. 配置擴展的訪問控制列表的第三條語句，定義了拒絕172.16.1.0網(wǎng)段訪問172.16.2.0網(wǎng)段。
   4. 配置擴展的訪問控制列表的第四條語句，允許其他流量通過。
6. 注意事項

1. 配置完訪問控制列表后要在接口下應(yīng)用。
2. Deny某個網(wǎng)段后要permit其他網(wǎng)段。