合作院校特色资源（旧） 《中小企业网络构建》实验指导 10.4专家级访问控制列表.doc

10.4 专家级访问控制列表 【实验名称】 专家级访问控制列表 【实验目的】 掌握锐捷网络的专家级访问列表的规则机配置。 【背景描述】 你是某公司的网管，最近你怀疑有人可能利用一些工具进行网络攻击和访问。为了提高网络访问安全性，你需要利用专家级的访问列表，根据用户的IP地址和MAC地址进行网络访问的控制。 本实验以1台S2126G交换机和1台R1762路由器为例。PC1和PC2的IP地址分别为172.16.1.1/24和172.16.1.3/24，缺省网关是172.16.1.2/24，服务器（server）的IP地址和缺省网关分别为160.16.1.1/24和160.16.1.2/24，路由器的接口F1/1/的IP地址分别为172.16.1.2/24和160.16.1.2/24。 【技术原理】 专家级访问控制列表可以利用MAC地址、IP地址、VLAN号、传输端口号、协议类型、时间ACL等元素进行灵活组合，定义规则。从而更加灵活的控制网络的流量，保证网络的安全运行。 【实现功能】 基于时间对网络访问进行控制，提高网络的使用效率和安全性。 【实验设备】 S2126G交换机（1台）、R1762路由器（1台）、直连线或交叉线（2条） 【实验拓扑】 ？？？？？？？？？？？？？？？？？？？？ 注意：连接线缆时，注意交换机上的三个接口保证在同一个VLAN内，如交换机原来有配置，清空原有的配置。 【实验步骤】 步骤 1. 基本配置。 Router #configure terminal Rourer(config)#interface fastthernet 1/0 Router(config-if)# ip address 172.16.1.2 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface fastethernet 1/1 Router(config-if)#ip address 160.16.1.2 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)# 验证配置：查看路由器接口的状态。 Router#hsow ip interface brief Interface IP-Addres(Pri) OK? Status Serial 1/2 no address YES DOWN Serial 1/3 no address YES DOWN fastEthernet 1/0 172.16.1.2/24 YES UP fastEthernet 1/1 160.16.1.2/24 YES UP Null 0 no address YES UP 步骤 2. 在S2126G上配置专家级访问控制列表。 Switch(config)# expert access-list extended test1 !定义专家级访问列表 el Switch(config-ext-nacl) # deny ip host 172.16.1.1 host 00e0.9823.9526 host 160.16.1.1 any !禁止IP地址及MAC地址为172.16.1.1和00e0.9823.9526的主机 ！访问IP地址为60.16.1.1 的主机 Switch(config-ext-nacl) # permit any any any any 验证测试：验证访问列表配置。 Stitch # show access-lists test1 !显示专家级访问列表 test1 Expert access list:test1 Deny ip host 172.16.1.1 host 00e0.9823.9526 host 160.16.1.1 any permit ip any any