7.2 命名的标准IP访问列表配置实验
7.2.1实验目的
掌握命名的标准IP访问列表规则及配置。
7.2.2背景描述
假如你是学校的网络管理员,在学校核心交换机上连着学校的提供学习资料的服务器,另外还连接着学生宿舍楼和教工宿舍楼,学校规定学生只能访问学习资料存放的服务器,学生宿舍楼不能访问教工宿舍楼
7.2.3实现功能
实现网段间互相访问的安全控制。
7.2.4实验拓扑
图 访问控制列表配置
7.2.5实验设备
- 一台RG-S3760三层交换机,三台RG-S2126G交换机
- PC机四台(其中一台用于打开http://122.204.85.91_6:8080网页,进行设备配置)
- 直通和交叉双绞线若干
7.2.6实验步骤
1. 在三层交换机上做基本配置,主要是创建VLAN
Center(config)#vlan 10
Center(config-vlan)#name server
Center(config)#vlan 20
Center(config-vlan)#name teachers
Center(config)#vlan 30
Center(config-vlan)#name students
Center(config)#interface f0/5
Center(config-if)#switchport mode access
Center(config-if)#switchport access vlan 10
Center(config)#interface f0/10
Center(config-if)#switchport mode access
Center(config-if)#switchport access vlan 20
Center(config)#interface f0/15
Center(config-if)#switchport mode access
Center(config-if)#switchport access vlan 30
Center(config)#int vlan10
Center(config-if)#ip add 192.168.10.1 255.255.255.0
Center(config-if)#no sh
Center(config-if)#int vlan 20
Center(config-if)#ip add 192.168.20.1 255.255.255.0
Center(config-if)#no sh
Center(config-if)#int vlan 30
Center(config-if)#ip add 192.168.30.1 255.255.255.0
Center(config-if)#no sh
本实验,RG-S2126G三个二层交换机不需要做任何配置,只需要连线就可以了。
2. 配置命名标准IP访问控制列表
Center(config)#ip access-list standard denystudent (定义命名访问控制列表)
Center(config-std-nacl)#deny 192.168.20.0 0.0.0.255 (定义列表匹配的条件)
Center(config-std-nacl)#permit any (允许其他流量通过)
说明: 要注意deny某个网段后要peimit其他网段
3. 用命令sh ip access-lists denystudent查看定义的列表
Center#sh ip access-lists denystudent
Standard IP access list: denystudent
deny 192.168.20.0 0.0.0.255
permit any
4 . 把访问控制列表在接口下应用
Center(config)#int vlan 10
Center(config-if)#ip access-group denystudent out (访问控制列表在接口出方向应用)
5. 启用三层路由
Center(config)#ip routing
6. 查看配置文件
Center#show run
version 1.0
!
hostname Center
ip access-list standard denystudent
deny 192.168.20.0 0.0.0.255
permit any
interface FastEthernet 0/5
switchport access vlan 10
!
interface FastEthernet 0/10
switchport access vlan 20
!
interface FastEthernet 0/15
switchport access vlan 30
!
interface Vlan 10
ip address 192.168.10.1 255.255.255.0
!
interface Vlan 20
ip address 192.168.20.1 255.255.255.0
ip access-group denystudent out
!
interface Vlan 30
ip address 192.168.30.1 255.255.255.0
!
end
7. 验证测试
在属于学生宿舍(VLAN20)的主机PC2上PING属于服务器区(VLAN10)的主机PC1,发现不能PING通
在属于教职工宿舍(VLAN30)的主机PC3上PING属于服务区(VLAN10)的主机PC1,发现可以PING通
7.2.7 注意事项
- 标准的访问控制列表编号范围为1-99。
- 在路由器中,如果使用ACL的表号进行配置,则列表不能插入或删除行。如果列表要插入或删除一行,必须先去掉所有ACL,然后重新配置。当ACL中条数很多时,这种改变非常烦琐。一个比较有效的解决办法是:在远程主机上启用一个TFTP服务器,先把路由器配置文件下载到本地,利用文本编辑器修改ACL表,然后将修改好的配置文件通过TFTP传回路由器。
- 配置完访问控制列表后要在接口下应用。
- Deny某个网段后要permit其他网段。
- in和out参数可以控制接口中不同方向的数据包,如果不配置该参数,缺省为out。
ACL在一个接口可以进行双向控制,即配置两条命令,一条为in,一条为out,两条命令执行的ACL表号可以相同,也可以不同。但是,在一个接口的一个方向上,只能有一个ACL控制。
值得注意的是,在进行ACL配置时,网管员一定要先在全局状态配置ACL表,再在具体接口上进行配置,否则会造成网络的安全隐患。
