实验二十八 配置扩展IP ACL【实验名称】 配置扩展IP ACL。 【实验目的】 使用扩展IP ACL实现高级的访问控制。 【背景描述】 某校园网中,宿舍网、教工网和服务器区域分别属于不同的3个子网,3个子网之间使用路由器进行互联。宿舍网所在的子网为172.16.1.0/24,教工网所在的子网为172.16.2.0/24,服务器区域所在的子网为172.16.4.0/24。现在要求宿舍网的主机只能访问服务器区域的FTP服务器,而不能访问。教工网的主机可以同时访问和。此外,除了宿舍网和教工网到达服务器区域的流量以外,不允许任何其他的数据流到达服务器区域。 扩展IP ACL可以根据配置的规则对网络中的数据进行过滤。 【实验】1.1 实验设备1、用户自定义2621路由器 2台 2、PC机 4台(其中两台需要分别安装FTP服务和WWW服务) 1.2 组网图1.3 设备IP地址表设备名接口IP地址子网掩码RT1S0/0192.168.1.1255.255.255.0F0/0172.16.1.1255.255.255.0F0/1172.16.2.1255.255.255.0F1/1172.16.5.1255.255.255.0RT2S0/0192.168.1.2255.255.255.0F0/0172.16.4.1255.255.255.0宿舍网主机PC1 172.16.1.2255.255.255.0教工网主机PC2172.16.2.2255.255.255.0其他主机PC3172.16.5.2255.255.255.0FTP服务器172.16.4.2255.255.255.0WWW服务器172.16.4.3255.255.255.0 扩展IP ACL可以对数据包的源IP地址、目的IP地址、协议、源端口、目的端口进行检查。由于扩展IP ACL能够提供更多对数据包的检查项,所以扩展IP ACL常用于高级的、复杂的访问控制。当应用ACL的接口接收或发送报文时,将根据接口配置的ACL规则对数据进行检查,并实行相应的措施,允许通过或拒绝通过,从而达到访问控制的目的,提高网络安全性。 1.4 配置步骤 第一步:RT1基本配置。 R1#configure terminal R1 (config)#interface fastEthernet 1/0 R1 (config-if)#ip address 172.16.1.1 255.255.255.0 R1 (config-if)#exit R1 (config)#interface fastEthernet 1/1 R1 (config-if)#ip address 172.16.2.1 255.255.255.0 R1 (config-if)#exit R1 (config)#interface serial 1/2 R1 (config-if)#ip address 172.16.3.1 255.255.255.0 R1 (config-if)#exit 第二步:RT2基本配置。 R2#configure terminal R2 (config)#interface serial 1/2 R2 (config-if)#ip address 172.16.3.2 255.255.255.0 R2 (config-if)#exit R2 (config)#interface fastEthernet ...
