发布日期:2015-10-08 09:23 来源: 标签: 网络技术教程 网络实验教程 扩展IP访问 IP访问控制列表
扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义。

实验名称:扩展IP访问控制列表。

实验目的:掌握三层交换机上扩展IP访问控制列表规则及配置。

技术原理:扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义。

1.定义扩展的ACL

Ø 编号的扩展ACL

Switch(config)#access-list <100-199> { permit /deny } 协议 源地址 反掩码 [源端口] 目的地址 反掩码 [ 目的端口 ]

Ø 命名的扩展ACL

Switch(config)#ip access-list extended  {name} { permit /deny } 协议 源地址 反掩码[源端口] 目的地址 反掩码 [ 目的端口 ] 

2.应用ACL到接口

Switch(config-if)#ip access-group <100-199> { in | out }

实现功能:实现网段间相互访问的安全控制。

实验设备:S3350交换机一台,PC三台,直连线三根。

实验拓朴:


实验步骤:1. 基本配置。

  Switch(config)#vlan 10

Switch(config-vlan)#name server

Switch(config)#vlan 20

Switch(config-vlan)#name teacher

Switch(config)#vlan 30

Switch(config-vlan)#name student

Switch(config)#interface fa0/5

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 10

Switch(config)#interface fa0/10

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 20

Switch(config)#interface fa0/15

Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan 30

Switch(config)#inter vlan 10

Switch(config-if)#ip add 192.168.1.1  255.255.255.0

Switch(config-if)#no shutdown

Switch(config)#inter vlan 20

Switch(config-if)#ip add 192.168.2.1  255.255.255.0

Switch(config-if)#no shutdown

Switch(config)#inter vlan 30

Switch(config-if)#ip add 192.168.3.1  255.255.255.0

Switch(config-if)#no shutdown

2.配置扩展IP访问控制列表。

 Switch(config)#ip access-list extended denystudentwww  !命名

Switch(config-ext-nac1)#deny tcp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 eq www   !禁止WWW服务。

Switch(config-ext-nacl)#permit ip any any ! 允许其它服务。

Switch#show ip access-lists denystudent www

3.在接口下应用访问控制列表。

Switch(config)#inter vlan 30

Switch(config-if)ip access-group denystudentwww in

4.配置WEB服务器(参见局域网实验)

5.验证测试。(VLAN 30中的主机pc3不能访问WEB服务器pc1,VLAN 20中的主机pc2能访问WEB服务器pc1。)

注意事项:1.访问控制列表的网络掩码是反掩码。

2.访问控制列表要在接口下应用。

3Deny某网段后要permit其它网段。

4. 一个端口在一个方向上只能应用一组ACL

相关评论

专题信息
    网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。本教程从交换机、路由器、防火墙、网络安全四个方面来讲解了一些实例。