收藏
下载资源

业课职中计算机(网络互联技术)

上传人:luoxia****01830 文档编号:54729955 上传时间:2018-09-18 格式:PPT 页数:33 大小:728KB
返回 下载 相关 举报
业课职中计算机(网络互联技术)_第1页
第1页 / 共33页
业课职中计算机(网络互联技术)_第2页
第2页 / 共33页
业课职中计算机(网络互联技术)_第3页
第3页 / 共33页
业课职中计算机(网络互联技术)_第4页
第4页 / 共33页
业课职中计算机(网络互联技术)_第5页
第5页 / 共33页
点击查看更多>>
资源描述

《业课职中计算机(网络互联技术)》由会员分享,可在线阅读,更多相关《业课职中计算机(网络互联技术)(33页珍藏版)》请在金锄头文库上搜索。

1、课程:网络互联技术,授课人:罗文剑 授课班级:09网络2班,第十一章:路由器的ACL实验配置,ACL (Access Control Lists)访问控制列表 是网络设备(包括交换机和路由器)上实现的一种数据包过滤机制,通过允许或拒绝特定的数据包进出网络,实现对网络访问进行控制,有效保证网络的安全运行。 ACL的两种动作:允许通过permit或拒绝通过deny。 ACL的两种方向:指定端口的入口(inside)或出口方向(ouside)ACL主要分为标准访问控制列表和扩展访问控制列表。标准 ACL 只能限制源 IP 地址,而扩展 ACL 的限制权限就很广泛,包括源 IP、目的 IP、服务类型等

2、。 掌握标准ACL配置方法。 掌握扩展ACL配置方法。 配置NAT地址转换。,项目一:标准访问控制列表配置,创建标准ACL有两种方法,一种为数字编号,一种为字符命名。 数字编号法:ip access-list standard 举例:ip access-list standard 1 / 字符命名法:ip access-list standard 举例:ip access-list standard pc1-server两种方法各有好处,使用数字定义方便,容易使用,但如果定义的ACL有多条时,为了分清楚哪个ACL对应哪个应用,那么采用WORD字段是一个不错的选择。,第十一章:路由器的ACL实验

3、配置,项目一:标准访问控制列表配置,配置ACL主要只有 permit和deny 两种规则,具体的语法如下:Permit/Deny 源地址 反掩码举例:deny 192.168.10.0 0.0.0.255ACL最终要应用到相应的端口上,由于标准ACL是基于源地址进行定义的,因此通常把标准ACL应用在靠近目的网络最近的接口上,而应用的方向有IN和OUT两种方向,所以在添加前应好好分析数据包的走向。具体的语法如下:ip access-group / IN / OUT 举例: ip access-group 1 out ip access-group pc1-server in,第十一章:路由器的A

4、CL实验配置,一、 实验要求及准备,添加三台计算机分别命名为PC1、PC2、PC3,添加一台服务器命名为Server,添加两台路由器2621XM,分别更改标签名为RA、RB; 为RA、RB两台路由器添加W1C-1T模块,添加在S0/0口位置; 在两个路由器之间设置RA为DCE端,采用V35串口线进行广域网PPP封装,使得两台路由器能正常通信; 在两台路由器上添加RIP动态路由实现全网互通; 在RB上添加标准ACL,实现PC1所在的网络不能访问Server所在的网络。,第十一章:路由器的ACL实验配置,二、 实验步骤,为所有计算机配置相应的IP参数 RA的基本配置 RA(config)#inte

5、rface fastEthernet 0/0 RA(config-if)#ip address 192.168.10.1 255.255.255.0 RA(config-if)#no shutdown RA(config-if)#exit RA(config)#interface fastEthernet 0/1 RA(config-if)#ip address 192.168.20.1 255.255.255.0 RA(config-if)#no shutdown RA(config-if)#exit RA(config)#interface serial 0/0 RA(config-if)

6、#ip address 10.1.1.1 255.255.255.0 RA(config-if)#encapsulation ppp RA(config-if)#clock rate 250000 RA(config-if)#no shutdown,第十一章:路由器的ACL实验配置,二、 实验步骤,3. RB的基本配置 RB(config)#interface fastEthernet 0/0 RB(config-if)#ip address 192.168.30.1 255.255.255.0 RB(config-if)#no shutdown RB(config-if)#exit RB(c

7、onfig)#interface fastEthernet 0/1 RB(config-if)#ip address 192.168.40.1 255.255.255.0 RB(config-if)#no shutdown RB(config-if)#exit RB(config)#interface serial 0/0 RB(config-if)#ip address 10.1.1.2 255.255.255.0 RB(config-if)#encapsulation ppp RB(config-if)#no shutdown RB(config-if)#,第十一章:路由器的ACL实验配置

8、,二、 实验步骤,3. RB的基本配置 RB(config)#interface fastEthernet 0/0 RB(config-if)#ip address 192.168.30.1 255.255.255.0 RB(config-if)#no shutdown RB(config-if)#exit RB(config)#interface fastEthernet 0/1 RB(config-if)#ip address 192.168.40.1 255.255.255.0 RB(config-if)#no shutdown RB(config-if)#exit RB(config)

9、#interface serial 0/0 RB(config-if)#ip address 10.1.1.2 255.255.255.0 RB(config-if)#encapsulation ppp RB(config-if)#no shutdown,当完成以上步骤时,我们可以发现,所有的链路的绿灯都已经亮了。但这时还没有实现全网互通,还要添加下面的路由协议。,第十一章:路由器的ACL实验配置,二、 实验步骤,4. 添加RIP动态路由实现全网互通 RA上的路由配置 RA(config)#router rip RA(config-router)#version 2 RA(config-rou

10、ter)#network 192.168.10.0 RA(config-router)#network 192.168.20.0 RA(config-router)#network 10.1.1.0 RB上的路由配置 RB(config)#router rip RB(config-router)#version 2 RB(config-router)#network 192.168.30.0 RB(config-router)#network 192.168.40.0 RB(config-router)#network 10.1.1.0,这时我们使用Show ip route 命令查看一下,看

11、路由器是否学到了对方的网络信息。,第十一章:路由器的ACL实验配置,二、 实验步骤,在RB上添加标准ACL实现PC1不能访问ServerRB(config)#ip access-list standard 1 !创建编号为1的标准ACL RB(config-std-nacl)#deny 192.168.10.0 0.0.0.255!定义要禁止访问的源地址网络,掩码采用反掩码方式 RB(config-std-nacl)#permit any !允许其他的网络通过 RB(config-std-nacl)#exit RB(config)#interface fastEthernet 0/1 !进入要

12、绑定的端口 RB(config-if)#ip access-group 1 out !设置数据包发送的OUT的方向 RB(config-if)#exit,如果在两个路由器上均可以看到有R开头的路由信息,可以说明此时网络是全网互通的,包括PC1与Server之间,这时我们也可以通过PC1使用PING命令去测试Server的连通性。,第十一章:路由器的ACL实验配置,三、 验证实验,分几步去验证这个实验:1、PC1 ping Server是否通?2、Server ping PC1 是否通?3、PC1 ping PC2和PC3是否通?4、PC2、PC3 ping Server是否通?,第十一章:路由

13、器的ACL实验配置,四、思考,1、 能否应用到RB其他的端口上? 2、 能否改变数据包发送为in的方向? 3、 能否在RA上做ACL实现相同效果?,第十一章:路由器的ACL实验配置,项目二:扩展访问控制列表配置,创建扩展ACL有两种方法,一种为数字编号,一种为字符命名。 数字编号法:ip access-list extended 举例:ip access-list extended 101 字符命名法:ip access-list extended 举例:ip access-list extended pc1-server两种方法各有好处,使用数字定义方便,容易使用,但如果定义的ACL有多条时

14、,为了分清楚哪个ACL对应哪个应用,那么采用WORD字段是一个不错的选择。,第十一章:路由器的ACL实验配置,项目二: 扩展访问控制列表配置,配置扩展ACL主要只有 permit和deny 两种规则,具体的语法如下: Permit/Deny IP源地址 反掩码 目的地址 反掩码 Permit/Deny TCP 源地址 反掩码 目的地址 反掩码 大于/小于/等于 某服务端口举例:deny IP 192.168.10.0 0.0.0.255 192.168.40.0 0.0.0.255 deny tcp 192.168.10.0 0.0.0.255 192.168.40.2 0.0.0.255 e

15、q wwwpermit ip any any ACL最终要应用到相应的端口上,而应用的方向有IN和OUT两种方向,所以在添加前应好好分析数据包的走向。具体的语法如下: ip access-group / IN / OUT 举例: ip access-group 101 out ip access-group pc1-server in,第十一章:路由器的ACL实验配置,一、 实验要求及准备,添加三台计算机分别命名为PC1、PC2、PC3,添加一台服务器命名为Server,添加两台路由器2621XM,分别更改标签名为RA、RB; 为RA、RB两台路由器添加W1C-1T模块,添加在S0/0口位置;

16、 在两个路由器之间设置RA为DCE端,采用V35串口线进行广域网PPP封装, 在两台路由器上添加OSPF动态路由实现全网互通; 在RB上添加扩展ACL,实现PC1所在的网络不能访问Server上的网页,但能PING通Server的IP。,第十一章:路由器的ACL实验配置,二、实验步骤,1、 为所有计算机配置相应的IP参数 (本过程略) 2、为路由配置相应的IP参数及广域网PPP的封装(配置方法请查看本章项目一)RA的基本配置RB的基本配置 3、 添加OSPF路由实现全网互通RA上的路由配置 RA(config)#router ospf 1 RA(config-router)#network 192.168.10.0 255.255.255.0 area 0 RA(config-router)#network 192.168.20.0 255.255.255.0 area 0 RA(config-router)#network 10.1.1.0 255.255.255.0 area 0RB上的路由配置(略),

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 幼儿/小学教育 > 教育管理

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号