第五章、访问控制列表.ppt

设备/端口 IP地址 子网掩码 网关 PC1 Web 路由器 F0/0 F0/1 步骤3：配置各计算机的IP地址 按照表11.1所列配置各计算机的IP地址、子网掩码和网关。 步骤4：路由器基本配置 1. 配置路由器远程登录密码 2. 设置控制台登录路由器的口令 3. 配置进入特权模式口令 4. 为路由器各接口分配IP地址 Router(config)#int f0/0 Router(config-if)#ip address Router(config-if)#no shutdown Router(config-if)#exit Router(config)#int f0/1 Router(config-if)#ip address Router(config-if)#no shutdown Router(config-if)#exit 步骤5：配置路由器的时钟 Router#show clock Router(config)#clock set 20:02:40 11 num 2008-7-12 Router#show clock 步骤6：定义时间段 Router（config）#Time-range time-range-name //从2007年12月1日早8点开始起作用，直到2008年12月31日晚18点停止作用，语句如下: Router（config-time-range）#absolute start 8:00 1 December 2007 end 18:00 31 December 2008 11.5小结 基于时间的访问控制列表可以按照不同的时段来进行网络通信流量的控制。 10.2.3 查看ACL正确性的命令 在配置完访问列表之后，可以使用以下的命令查看所配制的ACL。 Router#Show {protocol} access-list { access-list –number}：用来查看所建立的ACL。如： cernet#show ip access-lists Extended IP access list 119 deny tcp any any eq www permit ip any any cernet#show run 在该命令｛access-list –number｝处键入列表号，可以单独查看某一个列表。 Router#Show {protocol} interface {type/number}：用来查看在接口上应用的ACL及其方向。 Router#Show running-config：用来显示所配置过的所有命令，包括ACL 10.3 方案设计 首先对两路由器进行基本配置，实现3个网段可以相互访问；然后对离控制源地址较近的路由器A上配置扩展访问控制列表，不允许网段（学生机房）主机发出的去网段的FTP数据包通过，允许网段（学生机房）主机发出的其他服务数据包通过，最后将这一策略加到路由器B的fa0/0的端口上 10.4 项目实施－扩展IP访问控制列表应用 10.4.1 任务目标 通过工作任务的完成，使学生可以掌握以下技能： （1）能够对IP扩展访问控制列表进行配置； （2）能够应用IP扩展访问控制列表对不同的数据包进行流向的控制。 10.4.2 设备清单 （1）Cisco2811路由器（2台）；（2）Cisco 2950交换机（1台）； （3）PC机4台；（4）双绞线（若干根）；（5）反转电缆两根。 10.4.3 网络拓扑 本工作任务的网络拓扑，如图10.4所示，按照图10.4连接硬件。 S0/0 /24 图10.4路由器IP标准访问控制列表 S0/0 /24 F0/0 30.1 路由器B 路由器A 教师办公室 /24 F0/0 10.1 学生机房 /24 F0/1 20.1 网络中心 /24 PC1 PC2 PC3 FTP PC4 Web 10.4.4 实施过程 步骤1：硬件连接 如图10.4所示，硬件连接为： 1. 通过反转线将路由器A的Console口和计算机PC1的COM连接起来； 2. 通过反转线将路由器B的Console口和计算机PC3的COM连接起来； 3. 通过V.35线将路由器A的S0/0和路由器B的S0/0连接起来。； 4. 通过直通线将两台计算机PC1、PC2接到路由器A的fa0/0、fa0/1端口上； 5. 通过交叉线将交换机的f0/1与路由器B的fa0/0连接起来； 6. 通过交叉线将两台计算机PC3、PC4接到交换机的fa0/2、fa0/3端口上。 步骤2：规划网络地址 本工作任务中的PC计算机和路由器的各端口的IP地址、子网掩码、网关见表10-3所示 设备/端口 IP地址 子网