收藏
下载资源

实训八 标准acl配置与调试

上传人:xzh****18 文档编号:34266749 上传时间:2018-02-22 格式:DOC 页数:5 大小:42.50KB
返回 下载 相关 举报
实训八 标准acl配置与调试_第1页
第1页 / 共5页
实训八 标准acl配置与调试_第2页
第2页 / 共5页
实训八 标准acl配置与调试_第3页
第3页 / 共5页
实训八 标准acl配置与调试_第4页
第4页 / 共5页
实训八 标准acl配置与调试_第5页
第5页 / 共5页
亲,该文档总共5页,全部预览完了,如果喜欢就下载吧!
资源描述

《实训八 标准acl配置与调试》由会员分享,可在线阅读,更多相关《实训八 标准acl配置与调试(5页珍藏版)》请在金锄头文库上搜索。

1、实训八 标准 ACL 配置与调试1实训目标在这个实训中,我们将在思科路由器上配置标准 ACL。通过该实训我们可以进一步了解 ACL 的定义和应用,并且掌握标准 ACL 的配置和调试。2实训拓扑实训的拓扑结构如图 1 所示。图 1 ACL 实训拓扑结构3实训要求根据图 1,设计标准 ACL,首先使得 PC1 所在的网络不能通过路由器 R1 访问 PC2 所在的网络,然后使得PC2 所在的网络不能通过路由器 R2 访问 PC1 所在的网络。本实训各设备的 IP 地址分配如下: 路由器 R1:s0/0:192.168.100.1/24 fa0/0:10.1.1.1/8 计算机 PC1:IP:10.1

2、.1.2/8网关:10.1.1.1 路由器 R2:s0/0:192.168.100.2/24 fa0/0:172.16.1.1/16 计算机 PC2:IP:172.16.1.2/16网关:172.16.1.4实训步骤在开始本实训之前,建议在删除各路由器的初始配置后再重新启动路由器。这样可以防止由残留的配置所带来的问题。在准备好硬件以及线缆之后,我们按照下面的步骤开始进行实训。 按照图 1 进行组建网络,经检查硬件连接没有问题之后,各设备上电。 按照拓扑结构的要求,给路由器各端口配置 IP 地址、子网掩码、时钟(DCE 端),并且用“no shutdown”命令启动各端口,可以用“show in

3、terface”命令查看各端口的状态,保证端口正常工作。 设置主机 A 和主机 B 的 IP 地址、子网掩码、网关,完成之后,分别 ping 自己的网关,应该是通的。 为保证整个网络畅通,分别在路由器 R1 和 R2 上配置 rip 路由协议:在 R1 和 R2 上查看路由表分别如下: R1#show ip routeGateway of last resort is not setR 172.16.0.0/16 120/1 via 192.168.100.2, 00:00:08, Serial0/0C 192.168.100.0/24 is directly connected, Seria

4、l0/0C 10.0.0.0/8 is directly connected, FastEthernet0/0R2#show ip routeGateway of last resort is not setC 192.168.100.0/24 is directly connected, Serial0/0R 10.0.0.0/8 120/1 via 192.168.100.1, 00:00:08, Serial0/0C 172.16.0.0/16 is directly connected, FastEthernet0/0 R1 路由器上禁止 PC2 所在网段访问:在路由器 R1 上配置如

5、下:R1(config)#access-list 1 deny 172.16.0.0 0.0.255.255R1(config)# access-list 1 permit anyR1(config)#interface s0/0R1(config-if)#ip access-group 1 in【问题 1】:为什么要配置“access-list 1 permit any”?测试上述配置:此时在 PC2 上 ping 路由器 R1,应该是不同的,因为访问控制列表“1”已经起了作用,结果如图 2 所示:图 2 在 PC2 上 ping 路由器 R1 的结果【问题 2】:如果在 PC2 上 pin

6、g PC1,结果应该是怎样的?查看定义 ACL 列表:R1#show access-listsStandard IP access list 1deny 172.16.0.0, wildcard bits 0.0.255.255 (26 matches) check=276permit any (276 matches) 查看 ACL 在 s0/0 作用的方向:R1#show ip interface s0/0Serial0/0 is up, line protocol is up Internet address is 192.168.100.1/24 Broadcast address i

7、s 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Multicast reserved groups joined: 224.0.0.9 Outgoing access list is not set Inbound access list is 1Proxy ARP is enabled 【问题 3】:如果把 ACL 作用在 R1 的 fa0/0 端口,相应的配置应

8、该怎样改动?【问题 4】:如果把上述配置的 ACL 在端口 s0/0 上的作用方向改为“out”,结果会怎样? 成功后在路由器 R1 上取消 ACL,转为在 R2 路由器上禁止 PC1 所在网段访问:在 R2 上配置如下:R2(config)#access-list 2 deny 10.0.0.0 0.255.255.255R2(config)# access-list 2 permit anyR2(config)#interface fa0/0R2(config-if)#ip access-group 2 out测试和查看结果的操作和步骤基本相同,这里不再赘述。【问题 5】:当我们把 ACL

9、 作用的路由器的某个接口上时,“in”和“out”的参照对象是谁?5实训问题参考答案【问题 1】:因为定义 ACL 时,路由器隐含拒绝所有,如果没有该语句,则会拒绝所有的数据包通过 R1的 s0/0,而我们的目的只是拒绝来自特定的网络的数据包。【问题 2】:如果在 PC2 上 ping PC1,结果应该是不通的,应为 ping 命令执行的时候,发送“request”数据包,同时需要“reply”数据包,所以只要一个方向不通,则整个 ping 命令的结果就不通。【问题 3】:如果把 ACL 作用在 R1 的 fa0/0 端口,相应的配置应该是:R1(config)#interface fa0/0R2(config-if)#ip access-group 1 out【注意】:注意 ACL 作用在接口上的方向发生了变化。【问题 4】:如果把上述配置的 ACL 在端口 s0/0 上的作用方向改为“out”,结果就是 ACL 不起作用。【问题 5】:参照对象是路由器。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 建材标准

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号