19用扩展访问控制列表管理网络流量2

量（二）

第 组 姓 名：

一. 实验背景

在学校的网络中有一台 (192.168.1.2)服务器用于学校OA系统（B/s结构），另有10.0.0.0/25子网用于学生机，10.0.0.128/25子网用于现在出于安全考虑，希望能禁止学生机防问服务器的OA主页

二. 实验任务

通过设置ACL来阻断所有从学生机子网对服务器web服务的访问，但是其它应用不受影响。

三．实验拓扑

1

四．实验分工

每小组01、02、03号学员使用S3550进行实验、04、05、06号学员使用S2126进行实验。

五．实验步骤

1. 构建实验拓扑

2.设置本机的IP地址

01：10.0.0.2 /8 网关：10.0.0.1 02：10.0.0.3 /8 网关：10.0.0.1 03：192.168.1.2 网关：192.168.1.1 04：10.0.0.2 /8 网关：10.0.0.1 05：10.0.0.3 /8 网关：10.0.0.1 06：192.168.1.2 网关：192.168.1.1

3.03和06号机从windows2000server启动，开启IIS服务

4.在路由器上作如下配置

配置F0

Router1(config)#int f0/0

Router1(config-if)#ip address 192.168.1.1 255.255.255.0 Router1(config-if)#no shutdown

配置F1

Router1(config)#int f0/1 Router1(config-if)#ip address 10.0.0.1 255.0.0.0

Router1(config-if)#no shutdown

4. 01、02、04、05号机分别Ping服务器、并以浏览器打开服务器的Web页

5．配置访问控制列表

Router1(config)#access-list 101 deny TCP 10.0.0.0 0.255.255.255 host 192.168.1.2 eq 80（设置扩展访问控制列表101，阻止从10.0.0.0/25子网访问主机192.168.1.2 TCP 80端口的流量） Router1(config)#access-list 101 permit IP any any （允许其它的所有流量） Router1(config)#int f0/1 （进入f1端口）

Router1(config-if)#ip access-group 101 In （在F1的入口处应用控制列表1）

6.验证

 01、04号机能否ping通192.168.1.2

2

 01、04号机能否打开192.168.1.2的web页面？  02、05号机能否ping通192.168.1.2

 02、05号机能否打开192.168.1.2的web页面？

 用show run命令能否看到标准访问列表的信息？

六 实验结果

   

01、04号机能否ping通192.168.1.2

01、04号机能否打开192.168.1.2的web页面？ 02、05号机能否ping通192.168.1.2

02、05号机能否打开192.168.1.2的web页面？ 用show run命令能否看到标准访问列表的信息



七 相关理论与技术

 概念

范围从100与199之间的IP访问表称为扩展访问控制列表。扩展IP访问表可以基于源IP地址、目的IP地址和传输层TCP或端口信息来过滤流量  TCP的最常用保留端口

20、21—FTP 23—telnet 25—SMTP 53—DNS 80--HTTP  配置方法

1. 在全局模式下输入：

access-list [编号] [permit/deny] [协议] [源网络地址] [反掩码] [目标网络地址] [反掩码] eq [端口号] 例如：

Access-list 101 deny TCP any host 192.168.1.1 eq 80 Access-list 101 permit IP any any

(禁止所有主机访问192.168.1.1的TCP 80端口，即禁止访问192.168.1.1的Web服务，除此之外，其它流量不受)

Access-list 101 permit TCP 10.0.0.0 0.255.255.255 host 192.168.1.1 eq 23 (允许10.0.0.0/8用telnet访问192.168.1.1，其它流量一律阻断) Access-list 101 deny TCP 10.0.0.0 0.0.255.255.255 any eq 80 Access-list 101 permit IP any any

(禁止10.0.0.0/8浏览任何网页,其它流量不受) Access-list 101 deny ICMP any host 192.168.1.1 Access-list 101 permit IP any any

(禁止所有主机ping 192.168.1.1，其它流量不受

2.定义ACL的应用位置

进入特定的接口模式，输入： IP access-group [编号] [In/out]

3