1、24 七月 2022網絡設備配置與管理1第22章 訪問控制列表 24 七月 2022網絡設備配置與管理2學習目標知識目標掌握路由器的標準訪問控制列表的基本原理掌握路由器的擴展訪問控制列表的基本原理技能目標熟練掌握標準訪問控制列表的配置方法與技巧熟練掌握擴展訪問控制列表的配置方法與技巧熟練掌握路由器訪問控制列表的命令用法素養目標培養初步的網絡訪問權限的設計能力培養自覺的信息安全意識 24 七月 2022網絡設備配置與管理3訪問列表 路由器的包過濾是通過配置訪問列表來實現的。路由器配置訪問列表可以控制網絡流量，按規則過濾數據報文，提高網絡的安全性。 24 七月 2022網絡設備配置與管理4兩種訪問

2、列表 包過濾規則稱為訪問列表。對于IP，IPX或Apple Talk網絡，其過濾規則有差異，IP網絡的稱為IP訪問列表(Access List)，包括：標準IP訪問列表 該種包過濾規則只對數據包中的源地址進行檢查。擴展IP訪問列表 該種包過濾規則對數據包中的源地址、目的地址、協議(如TCP，UDP，ICMP，Telnet，FTP等)或者端口號進行檢查。24 七月 2022網絡設備配置與管理5標準訪問控制列表學習情景24 七月 2022網絡設備配置與管理6任務與設計局域網/24劃分為子網/25和子網28/25，網關分別為/25和子網29/25。為簡單起見，這里采用VLAN技術，分別把上述兩個子網

3、分配到VLAN 10和 VLAN 20中，由路由器RTA實現單臂路由，保證局域網內設備間的正常通信。VLAN 10的名字是clients，VLAN 20的名字是servers。WEB服務器的地址是30/25，域名為。DNS服務器的地址是31/25。24 七月 2022網絡設備配置與管理7劃分子網24 七月 2022網絡設備配置與管理8標準訪問控制列表任務實施相關準備工作 配置交換機VLAN 配置路由器的IP 配置路由器的路由 配置ACL 驗證24 七月 2022網絡設備配置與管理9配置WEB服務器 24 七月 2022網絡設備配置與管理10配置交換機VLAN Switch1#conf tSwi

4、tch1(config-vlan)#vlan 10Switch1(config-vlan)#name clients Switch1(config-vlan)#vlan 20 Switch1(config-vlan)#name serversSwitch1(config-vlan)#exitSwitch1(config)#int f0/10Switch1(config-if)#switchport mode access Switch1(config-if)#switchport access vlan 10Switch1(config-if)#int range f0/23 - 24Swit

5、ch1(config-if-range)#switchport mode access Switch1(config-if-range)#switchport access vlan 20Switch1(config-if-range)# exitSwitch1(config)#int f0/1Switch1(config-if)#switchport mode trunk 24 七月 2022網絡設備配置與管理11配置路由器的IP RTAenaRTA#conf tRTA(config)#int s0/0RTA(config-if)#ip add 7 52RTA(config-if)#cloc

6、k rate 64000RTA(config-if)#no shutRTA(config-if)#int f0/0RTA(config-if)#no shut！一定要打開主端口RTA(config-if)#int f0/0.1RTA(config-subif)#encapsulation dot1q 10 ！配置VLAN中繼RTA(config-subif)#ip add 28RTA(config-subif)#int f0/0.2RTA(config-subif)#encapsulation dot1q 20 RTA(config-subif)#ip add 29 28RTA(config-

7、subif)#end 24 七月 2022網絡設備配置與管理12配置路由器的路由 RTA(config)#route ripRTA(config-router)#ver 2RTA(config-router)#network RTA(config-router)#network 24 七月 2022網絡設備配置與管理13配置ACL RTAenaRTA#conf tRTA(config)#access-list 10 deny 55RTA(config)#access-list 10 permit anyRTA(config)#int f0/0.2RTA(config-subif)#ip acc

8、ess-group 10 out 24 七月 2022網絡設備配置與管理14驗證24 七月 2022網絡設備配置與管理15擴展訪問控制列表 學習情境24 七月 2022網絡設備配置與管理16擴展訪問控制列表配置任務計劃與設計 公司的局域網劃分了兩個VLAN，那么按照一般的設計方法，可以為每個VLAN分配一個C類網絡地址。但為了節省IP地址，同時，強化訪問控制列表的通配符的使用，這里把/24劃分為兩個子網/25和子網28/25，網關分別為/25和子網29/25。VLAN 10的名字為manager，使用子網/25的地址；VLAN 20的名字為employer，使用子網28/25的地址。由路由器R

9、TA實現單臂路由，保證局域網內設備間正常通信。 24 七月 2022網絡設備配置與管理17擴展訪問控制列表配置任務實施與驗證 相關準備工作 配置VLAN 配置路由器的IP地址 配置路由 配置ACL 24 七月 2022網絡設備配置與管理18配置DNS服務器 24 七月 2022網絡設備配置與管理19配置VLAN Switch1enaSwitch1#conf tSwitch1(config)#vlan 10Switch1(config-vlan)#name managerSwitch1(config-vlan)#vlan 20Switch1(config-vlan)#name employerS

10、witch1(config-vlan)#exitSwitch1(config)#int f0/10Switch1(config-if)#switch mode accessSwitch1(config-if)#switch access vlan 10Switch1(config-if)#int f0/20Switch1(config-if)#switch mode accessSwitch1(config-if)#switch access vlan 20Switch1(config-if)#int f0/1Switch1(config-if)#switch mode trunk 24 七月

11、 2022網絡設備配置與管理20配置路由器的IP地址 RTA#conf tRTA(config)#int s0/0RTA(config-if)#clock rate 64000RTA(config-if)#ip add 7 52RTA(config-if)#no shutRTA(config-if)#int f0/0RTA(config-if)#no shutRTA(config-if)#int f0/0.1RTA(config-subif)#encapsulation dot1q 10RTA(config-subif)#ip add 28RTA(config-subif)#int f0/0.

12、2RTA(config-subif)#encapsulation dot1q 20RTA(config-subif)#ip add 29 28 24 七月 2022網絡設備配置與管理21配置路由 RTAenaRTA#conf tRTA(config)#ip route 0 52 8RTA(config)#ip route 8RTA(config)#ip route 8 24 七月 2022網絡設備配置與管理22配置ACL RTAenaRTA#conf tRTA(config)#access-list 100 deny tcp 28 27 any eq 80RTA(config)#access-list 100 permit ip any anyRTA(config)#int f0/0.2RTA(config-subif)#ip access-group 100 in 24 七月 2022網絡設備