NSD cisco高级路由与交换技术--2014.8.15
实验01:标准ACL与标准命名ACL实验目标:通过配置ACL实现对个体主机的访问控制
实验环境:
实验步骤:
一、如图配置主机的ip地址和网关
二、在路由器router1上进行如下配置
1、配置路由器的接口ip
2、配置动态路由
3、配置标准ACL
全局:access-list1deny192.168.1.10.0.0.0
全局:access-list1permit192.168.1.00.0.0.255
4、将ACL应用与接口
Intf0/0ipaccess-group1in
结果验证:用主机1去ping主机4,不能ping通
用主机2和主机3去ping主机4,可以ping通
三、删除access-list 1
No access-list 1
四、配置标准命名acl
查看控制列表
五、插入一条命令
结果验证:在控制列表中多了一条
用主机1和主机2分别去ping主机4
问题与总结:
注意要在接口模式配置:ipaccess-group名字in或out
实验02:扩展ACL和扩展命名ACL
实验目标:通过配置ACL实现对个体主机的访问控制
实验环境:
实验步骤:
一、如图连接设备和配置主机ip地址和网关
1、router 1:全局:intf0/1
Ip address 192.168.1.254 255.255.255.0
No shutdown
intf0/0
Ip address 192.168.2.1 255.255.255.0
No shutdown
2、router 2:全局: intf0/1
Ip address 192.168.2.2 255.255.255.0
No shutdown
intf0/0
Ip address 192.168.3..1 255.255.255.0
No shutdown
2、router 3:全局: intf0/1
Ip address 192.168.3.2 255.255.255.0
No shutdown
intf0/0
Ip address 192.168.4.254 255.255.255.0
No shutdown
二、配置动态路由
1、 router 1:全局router rip
version 2
no auto-summary
network 192.168.1.0
network 192.168.2.0
2、 router 2:全局router rip
version 2
no auto-summary
network 192.168.2.0
network 192.168.3.0
3、 router 3:全局router rip
version 2
no auto-summary
network 192.168.3.0
network 192.168.4.0
三、在http服务列表的右边 填写ip192.168.4.1
四、分别配置三个路由器端口ip(基本相同只要注意端口的变化)
interface FastEthernet0/0
ip address 192.168.1.254 255.255.255.0
interface FastEthernet0/0
ip address 192.168.1.254 255.255.255.0
五、配置三台路由器的动态ip配置(基本相同只要注意端口的变化)
router rip
version 2
network 192.168.1.0
network 192.168.2.0
no auto-summary
六、在路由1上配置扩展ACP
PC1只允许访问192.168.4.1的web服务,不许访问其他服务,允许pc1以外的其他主机访问所有
Router(config)#Access-list100permittcphost192.168.1.1host192.168.4.1eq80
Router(config)#Access-list100denyiphost192.168.1.1host192.168.4.1
Router(config)#Access-liat100permitip192.168.1.00.0.0.255host192.168.4.1
Router(config-if)#ip access-group 100 in
结果验证:用主机1去访问192.168.4.1
用主机1去ping服务器,ping不通
七、在路由器1上配置扩展命名ACP
PC1只允许访问192.168.4.1的web服务,不许访问其他服务,允许pc1以外的其他主机访问所有
ip access-list extended nsd1407
Router(config-ext-nacl)#permit tcp host 192.168.1.1 host 192.168.4.1 eq 80
Router(config-ext-nacl)#deny ip host 192.168.1.1 host 192.168.4.1
Router(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 host 192.168.4.1
添加不允许pc2访问192.168.4.1的其他服务
Router(config-ext-nacl)#25 deny ip host 192.168.1.2 host 192.168.4.1
结果验证:主机1可以访问192.168.4.1的web服务
用主机1去ping 192.168.4.1
主机2不可以访问
用主机3去访问可以访问
主机3去ping服务器
问题与总结:
注意要在接口模式配置:ipaccess-group名字in或out
页:
[1]