欢迎来到天天文库
浏览记录
ID:50074708
大小:109.00 KB
页数:16页
时间:2020-03-08
《计算机网络工程实训 教学课件 作者 张纯容 郑向阳 实训8.2 扩展ACL的配置与管理.ppt》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、实训8.2扩展ACL的配置与管理扩展ACL理论基础第一部分扩展ACL的概念与作用扩展ACL是对标准ACL功能上的扩展,其不仅可以基于源和目标IP地址数据包的测试,还可基于协议类型和TCP端口号进行数据包的测试,从而较标准的ACL提供了更强大的包过滤功能和设置上的灵活性扩展ACL通常用于下列情况指定源和目标地址的包过滤指定协议类型的包过滤指定传输层端口号的包过滤扩展ACL列表的定义Router(config)#access-listaccess-list-number{permit
2、deny}protocolsource[source-maskdestinationdesti
3、nation-maskoperatoroperand][established][precedencepriority][tostypeofservice]扩展ACL列表的接口配置Router(config-if)#ipaccess-groupaccess-list-number{in
4、out}命名方式的扩展ACL定义扩展的命名ACL的命令格式如下:Router(config)#ipaccess-listextendedname扩展命名ACL的接口配置Router(config-if)#ipaccess-groupname{in
5、out}}实训环境实训环境每一实验小组采用如
6、图8.3的网络环境需两台路由器、两台台带windows95/98/2000/xp操作系统,超级终端仿真软件的PC机路由器之间以串行链路连接,其中Router_A充当DCE,Router_B充当DTE充当超级终端的计算机以反接线(rollovercable)连接路由器的控制端口配置第二部分准备按下列要求配置IP地址:路由器接口IP地址:Router_A:F0/0为192.8.15.1F0/1为198.15.6.1Router_B:F0/0为200.7.20.1另外,配置主机:在网络200.7.20.0中配置一台IP地址为200.7.20.2的主机配置路由协议允许或拒绝来自某一
7、特定主机的访问实例:绝从主机192.8.15.2来的telnet数据包和ICMP数据包到达网络202.7.20.0选择路由器A配置Router_A(config)#access-list101denytcphost192.8.15.2202.7.20.00.0.0.255eqtelnetRouter_A(config)#access-list101denyicmphost192.8.15.2202.7.20.00.0.0.255Router_A(config)#access-list101permitipanyanyRouter_A#showaccess-list101Ro
8、uter_A(config)#interfacef0/0Router_A(config-if)#ipaccess-group101inRouter_A#showrunning-config利用PING命令或其他你认为可行的方法测试所设置的ACL是否与需求一致。允许或拒绝来自某一特定主机的访问实例:除来自主机192.8.15.2的WWW数据包之外,拒绝所有的其他数据包到达网络202.7.20.0选择路由器ARouter(config)#access-list102permittcphost192.8.15.2202.7.20.00.0.0.255eqwwwRouter(con
9、fig)#access-list102denyipanyanyRouter#showaccess-list102Router(config)#interfacef0/0(请思考为何选择此端口?)Router(config-if)#ipaccess-group102in(请思考为何选择in?)Router#showrunning-config在主机200.7.20.2上建立www服务器或者打开路由器B的WWW服务功能从IP地址为192.8.15.2的主机访问200.7.20.1或者200.7.20.2的www服务器允许或拒绝来自某一网络或子网络的访问实例:拒绝所有从网络192
10、.8.15.0来的FTP数据包和ICMP数据包到达网络202.7.20.0选择路由器A(请学生思考为什么?)Router(config)#access-list103denyicmp192.8.15.00.0.0.255202.7.20.00.0.0.255Router(config)#access-list103denytcp192.8.15.20.0.0.255202.7.20.00.0.0.255eqftpRouter(config)#access-list103permitipanyanyRouter#sh
此文档下载收益归作者所有