实验平台

Cisco模拟器，Version：5.3.0.0088

实验目的

掌握路由器上编号的标准 IP 访问列表规则及配置。

需求分析

只允许网段172.16.2.0与172.16.4.0的主机进行通信，不允许172.16.1.0去访问172.16.4.0网段的主机。

实验原理

IP ACL(IP 访问控制列表或IP访问列表)是实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性。 IP ACL分为两种:标准IP访问列表和扩展IP访问列表。 标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤。 扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。 IP ACL基于接口进行规则的应用，分为:入栈应用和出栈应用。 入栈应用是指由外部经该接口进行路由器的数据包进行过滤。 出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。 IP ACL 的配置有两种方式:按照编号的访问列表，按照命名的访问列表。 标准IP访问列表编号范围是1~99、1300~1999，扩展IP访问列表编号范围是100~199、2000~2699。

实验拓扑

选择设备

• 路由器：2台Generic（从左边数第一个）
• 主机：3台Generic（从左边数第一个）

实验demo

实验十三-利用ip标准访问控制列表acl进行网络流量的控制.pkt

实验步骤

设置左边的路由器

no
Router>en
Router#conf t
Router(config)#inter loop0
Router(config-if)#ip address 172.16.1.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#inter loop1
Router(config-if)#ip address 172.16.2.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#inter se2/0
Router(config-if)#clock rate 64000
Router(config-if)#ip address 172.16.3.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.2
Router(config)#end
Router#sh run

设置右边的路由器

no
Router>en
Router#conf t
Router(config)#inter se2/0
Router(config-if)#clock rate 64000
Router(config-if)#ip address 172.16.3.2 255.255.255.0
Router(config-if)#no shut
Router(config-if)#inter fa0/0
Router(config-if)#ip address 172.16.4.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1
Router(config)#access-list 10 deny 172.16.1.0 0.0.0.255
Router(config)#access-list 10 permit 172.16.2.0 0.0.0.255
Router(config)#inter fa0/0
Router(config-if)#ip access-group 10 out
Router(config-if)#end
Router#sh run

设置主机

1、打开”IP Configure”

2、输入：

IP Address: 172.16.4.2
Subnet Mask: 255.255.255.0
Default Gateway: 172.16.4.1

测试搭建好的拓扑

1、打开下面主机的命令行：

PC>ping 172.16.1.1
...ping不通
PC>ping 172.16.2.1
...可以ping通