在校园网的路由器上配置标准ACL

3.5.1在校园网的路由器上配置标准ACL

实验目的

（1）在校园网的路由器上配置标准的ACL，保护网络部分区域的安全

（2）熟悉校园网安全策略整体实施方案

实验设备

路由器两台、网线三根、测试PC2台、配置PC1台

实验步骤

步骤一：按照实验拓补图连接设备

步骤二：配置行政办公网络的路由器R1

进入路由器R1的配置模式状态，配置R1路由器信息：端口IP地址，动态RIP路由，实现网络连通，配置过程如下

（1）用enable命令进入路由器特权模式

（2）用configure terminal命令进入配置模式

（3）用interface f0/0进入路由器的点卡配置模式配置f0/0

（4）用ip address 172.16.1.2 255.255.255.0 命令为该端口配置IP地址

（5）用no shutdown命令开启该端口

（6）进入路由器的端口配置模式配置f0/0的IP地址172.16.2.1，子网掩码255.255.255.0，然后开启该窗口。用到的命令同（3）（4）（5）（7）用router rip命令配置动态RIP路由协议

（8）用network 172.16.1.0命令配置一条道172.16.1.0的动态RIP路由协议

（9）用network 172.16.2.0命令配置另外一条道172.16.1.0的动态RIP路由协议

步骤三：配置学生网络的路由器R2

进入路由器R2的配置模式状态，配置R2路由器信息：端口IP地址，动态RIP路由，实现网络连通。

(1) 用enable命令进入路由器特权模式

(2) 用configure terminal命令进入配置模式

(3)用interface f0/0进入路由器的点卡配置模式配置f0/0

(4)用ip address 172.16.1.2 255.255.255.0 命令为该端口配置IP地址

(5)用no shutdown命令开启该端口

(6)进入路由器的端口配置模式配置f0/0的IP地址172.16.2.1，子网掩码

255.255.255.0，然后开启该窗口。用到的命令同（3）（4）（5）

(7)用router rip命令配置动态RIP路由协议

(8)用network 172.16.2.0命令配置一条道172.16.2.0的动态RIP路由协议

(9)用network 172.16.3.0命令配置另外一条道172.16.1.0的动态RIP路由协议

步骤四：测试学生网与行政办公网的连通性

使用测试计算机PC1和PC2，分别代表行政办公网（172.16.1.0）和学生网（172.16.3.0）中的两台设备，分别为他们配置相应网段的地址信息：配置PC1的地址为172.16.1.1、/2，网关为：172.16.1.；配置PC2的地址为172.16.3.1/24，网关为：172.16.3.2；使用ping命令，测试学生网与行政办公网的连通性。

步骤五：禁止学生访问行政办公网

因为禁止来源于一个网络的数据流，按照ACL配置分类规则，因该选择标准的ACL技术解决方案。按照ACL的应用规则，尽量吧数据流限制在离目标网络近的地点，以尽可能扩大出口源网络访问的范围，因此选择接近目标网络的路由器R1启用安全策略。在路由器R1配置标准ACL控制规则，配置命令如下：

（1）创建一个控制访问列表10，禁止172.16.3.0网段的PC访问。用到的命令：

access-list 10 deny 172.16.3.0 0.0.0.255

（2）该控制访问列表又允许其他的PC访问。用到的命令：access-list 10 permit any （3）进入到路由器的端口f0/0的配置模式。用到的命令：interface f0/0

（4）进入到路由器的端口f0/0的配置模式。用到的命令：ip access-group 10 out

步骤六：配置标准ACL后，再次测试从学生网到行政办公网的连通性，并和步骤四做一个对比。

步骤七：配置标准的ACL后，再次测试从行政办公网到学生网的连通性，并和步骤四做一个对比。