实验33 标准访问控制列表配置

实验33 标准访问控制列表配置

【背景知识】

教材6.2。理解访问控制列表的基本概念、分类，掌握标准访问控制列表针对源地址进行过滤的原理，掌握标准访问控制列表的配置。

【实验拓扑】

实验线路连接图8-43所示，实验时使用 Cisco Packet Tracer5.2完成拓扑结构搭建。

DCE

图 8-43 实验33线路连接图

【实验内容】

(1) 选择两台C2811路由器、两台Switch、一台HTTP服务器（Web服务器）、两台计算机，按实验线路连接图进行连接。连接好线路图后，分别在两台C2811路由器上安装WIC-2T模块。

【提示1】注意连接串行线时，按图8.43方式连接，使得C2811A的s0/0/0为DCE接口。 【提示2】实验中用到串行接口，需要添加WIC-2T模块。添加方法如图8.22所示，可以单击某台路由器的图标，然后在弹出的框中选择“Physical”选项卡，接着在左侧一栏中选择WIC-2T，最后按住鼠标左键不变拖动到对应的适配器即可。

电源开关，用鼠 图8.22 WIC-2T 模块安装位置

标点击可开关

(2) 配置HTTP 服务器的IP地址为200.200.200.2/24（网关200.200.200.1），配置两台计算机的IP 地址分别为210.31.10.2/24（网关210.31.10.1）和210.31.20.2/24（网关210.31.20.1），按实验线路连接图，分别配置C2811A 的f0/0、f0/1 和s0/0/0 接口IP地址，配置C2811B 的s0/0/0 和f0/0 接口的IP 地址。

【提示1】主机的配置由各人自己完成，路由器的配置如下所示。

1

//C2811A的配置 Router>en Router#conf t

Router(config)#ho Wang-C2811A

Wang-C2811A(config)#int f0/0 //配置f0/0接口

Wang-C2811A(config-if)#ip add 210.31.10.1 255.255.255.0 Wang-C2811A(config-if)#no shut

Wang-C2811A(config-if)#int f0/1 //配置f0/1接口

Wang-C2811A(config-if)#ip add 210.31.20.1 255.255.255.0 Wang-C2811A(config-if)#no shut

Wang-C2811A(config-if)#int s0/0/0 //配置s0/0/0接口 Wang-C2811A(config-if)#ip add 210.31.30.1 255.255.255.0 Wang-C2811A(config-if)#cl r 56000 Wang-C2811A(config-if)#no shut

Wang-C2811A(config-if)#ex Wang-C2811A(config)#ex Wang-C2811A#wr Building configuration... [OK]

Wang-C2811A#

//clock rate的简写

//养成保存配置的习惯

//C2811B的配置 Router>en Router#conf t

Router(config)#ho Wang-C2811B Wang-C2811B(config)#int s0/0/0

Wang-C2811B(config-if)#ip add 210.31.30.2 255.255.255.0 Wang-C2811B(config-if)#no shut

Wang-C2811B(config-if)#int f0/0

Wang-C2811B(config-if)#ip add 200.200.200.1 255.255.255.0 Wang-C2811B(config-if)#no shut

Wang-C2811B(config-if)#ex Wang-C2811B(config)#ex Wang-C2811B#wr

Building configuration... [OK]

Wang-C2811B#

2

【提示2】完成上述的配置后，在路由器C2811A上ping一下C2811B的s0/0/0接口，看能否ping通。此外，在两台路由器上，分别ping各自连接的主机，看能否ping通。如果ping不通，查找原因，然后再进行步骤（3）。

(3) 在C2811A 和C2811B 上分别运行RIP路由协议，使得两台路由器可以相互学习路由信息。RIP路由协议的配置，可以参考5.4.4。

//C2811A的配置

Wang-C2811A(config)#router rip

Wang-C2811A(config-router)#net 210.31.10.0 Wang-C2811A(config-router)#net 210.31.20.0 Wang-C2811A(config-router)#net 210.31.30.0 Wang-C2811A(config-router)#ex Wang-C2811A(config)#ex Wang-C2811A#wr

Building configuration... [OK]

Wang-C2811A#

// C2811B的配置

Wang-C2811B(config)#rou rip

Wang-C2811B(config-router)#net 210.31.30.0 Wang-C2811B(config-router)#net 200.200.200.0 Wang-C2811B(config-router)#ex Wang-C2811B(config)#ex Wang-C2811B#wr

Building configuration... [OK]

Wang-C2811B#

【提示1】完成上述的配置后，在两台路由器上用show ip route查看路由表，看有无学习到标记为“R”的路由器条目； 【提示2】在C2811A上ping服务器，看能否ping通。在连接C2811A的两台主机上分别ping服务器，看能否ping通。若ping不通，说明路由器选择协议的配置有问题，要查原因，并解决。

(4) 参阅教材6.2.2中内容，在C2811A上配置标准访问控制列表，允许内部210.31.10.0/24访问外部网络，不允许内部210.31.20.0/24 访问外部网络。此要求不能照抄书本的命令，要搞清楚access-list中permit、deny的用法。

【提示1】有数字标号ACL和命名ACL两种方法，两种方法都尝试一下。

数字标号ACL方法：

Wang-C2811A(config)#acc 10 per 210.31.10.0 0.0.0.255 //创建ACL

3

//acc、per分别为access-list、permit的简写

Wang-C2811A(config)#acc 10 deny 210.31.20.0 0.0.0.255 Wang-C2811A(config-if)#int f0/0 Wang-C2811A(config-if)#ip acc 10 in

Wang-C2811A(config-if)#int f0/1 Wang-C2811A(config-if)#ip acc 10 in

//绑定到f0/0的in方向，对进入的数据包过滤

//绑定到f0/1的in方向，对进入的数据包过滤

【提示2】完成上述配置后，先进行步骤5和6。

【提示3】完成步骤5和6后，再进行下面的配置。完成下述配置后，再重复步骤5和6。

命名ACL方法：

Wang-C2811A(config)#ip ac st deny-net-20 //st为standard的简写，deny-net-20为名字 Wang-C2811A(config-std-nacl)#per 210.31.10.0 0.0.0.255 //per为permit的简写 Wang-C2811A(config-std-nacl)#ex

Wang-C2811A(config)#int f0/0 Wang-C2811A(config-if)#no ip ac 10 in Wang-C2811A(config-if)#int f0/1

Wang-C2811A(config-if)#no ip ac 10 in

//取消原来的ACL绑定

Wang-C2811A(config-if)#int s0/0/0 //将命名ACL绑定在s0/0/0的out方向，对离 Wang-C2811A(config-if)#ip ac deny-net-20 out //开接口的数据包进行过滤

【提示4】思考将ACL绑定在f0/0和f0/1的in方向，与绑定在s0/0/0的out方向，有何区别？在主机上ping的时候，结果是否相同？如果不相同，理由是什么？

(5) 分别在210.31.10.2和210.31.20.2上ping 200.200.200.2，其中210.31.10.2可以ping 通，而210.31.20.2 不能ping通。

(6) 完成以上配置之后使用show ip access-lists查看访问控制列表配置的内容。

【实验问题】

1. 实验中可以观察到10.31.10.2可以ping 通200.200.200.2，但210.31.20.2不能ping

通。解释其原因，说明ACL是如何工作的（即如何判断是否需要禁止或允许）？ 2. 配置access-list时，in或out具体是什么意思？

3. 在路由器C2811A的特权用户模式上启用debug ip packet命令，然后用主机10.31.20.2

ping 200.200.200.2，可以看到什么现象？

4. 如果限制210.31.20.0/24访问服务器200.200.200.2，访问控制列表该如何配置？放置在

哪个路由器的哪个端口的哪个方向上是最优的？

4