IP访问控制列表实验

IP访问控制列表（ACL）实验

【实验目的】

掌握网络交换设备的标准IP访问列表规则及配置。

1.准备知识

IP ACL(IP访问控制列表或IP访问列表)，是实现对流经路由器或交换机的数据包根据一定的规则进行过滤。从而提高网络可管理性和安全性。类似于包过滤防火墙的功能。

IP ACL分为两种：标准IP访问列表和扩展IP访问列表。标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤。扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包的过滤。

IP ACL基于接口进行规则的应用方向分为：入口应用和出口应用。入口应用是对由外部经该接口进入路由器的数据包进行过滤。出口应用是对从路由器接口向外转发数据时的数据包过滤。

IP ACL的配置有两种方式：按照编号的访问列表，按照命名的访问列表。标准IP访问列表编号范围是1-99、1300-1999，扩展IP访问列表编号范围是100-199、2000-2699。

2.实验模拟环境和拓扑图

在3760三层交换机上连着学校的服务器，另外还连接着学生宿舍楼和学校的办公区，学校规定学生宿舍楼只能访问学校的Web服务器，不能访问办公区。办公区可以访问学校的Web和FTP服务器。

先配置好VLAN 10中的Web/FTP服务器。

3.配置命名的标准IP访问列表

根据以上要求，配置步骤如下：

（1）配置三个VLAN：

Switch(config)#vlan 10

Switch(config-vlan)#name server

Switch(config)#vlan 20

Switch(config-vlan)#name teachers

Switch(config)#vlan 30

Switch(config-vlan)#name students

（2）将交换机端口加入相对应的VLAN：

Switch(config)#interface f0/1

Switch(config-if)#switchport access vlan 10

Switch(config-if)#exit

Switch(config)#interface f0/2

Switch(config-if)#switchport access vlan 20

Switch(config-if)#exit

Switch(config)#interface f0/3

Switch(config-if)#switchport access vlan 30

Switch(config-if)#exit

（3）为每个VLAN配置IP地址：

Switch(config)#int vlan10

Switch(config-if)#ip add 192.168.10.1 255.255.255.0

Switch(config-if)#exit

Switch(config)#int vlan 20

Switch(config-if)#ip add 192.168.20.1 255.255.255.0

Switch(config-if)#exit

Switch(config)#int vlan 30

Switch(config-if)#ip add 192.168.30.1 255.255.255.0

Switch(config-if)#exit

（4）配置三台主机：

将三台主机分别插入三个VLAN的端口，并为主机配置好IP地址和默认网关地址。（5）配置命名标准IP访问控制列表：

定义命名访问控制列表：

Switch(config)#ip access-list standard denystudent

定义列表匹配的条件：

Switch(config-std-nacl)#deny 192.168.30.0 0.0.0.255

允许其他流量通过：

Switch(config-std-nacl)#permit any

（6）验证：

Switch#sh access-lists denystudent

Standard IP access list: denystudent

10 deny 192.168.30.0 0.0.0.255

20 permit any

（7）把访问控制列表应用到相应接口上：

进入VLAN 20:

Switch(config)#int vlan 20

在接口出方向应用：

Switch(config-if)#ip access-group denystudent out

（8）测试验证:

用ping命令测试,VLAN 30 应不能访问VLAN 20,其余VLAN之间应能正常访问.

4.配置命名的扩展IP访问列表

在3760三层交换机上连着学校的WWW/FTP服务器，另外还连接着学生宿舍楼和学校的办公区，学校规定学生宿舍楼只能访问WWW服务器，不能访问FTP服务器。配置步骤如下:

（1）VLAN配置和交换机端口配置与标准IP访问列表实验相同. （2）配置命名扩展IP访问控制列表：

定义命名访问控制列表：

Switch(config)#ip access-list extended denystudentftp

定义列表匹配的条件,禁止访问FTP服务器：

Switch(config-ext-nacl)#deny tcp 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 eq ftp

允许其他流量通过：

Switch(config-ext-nacl)#permit ip any any

4．验证：

Switch#sh access-lists denystudentftp

Standard IP access list: denystudent

10 deny tcp 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255 eq ftp

20 permit any any

5.把访问控制列表应用到相应的接口上。

进入VLAN 10:

Switch(config)#int vlan 10

在接口出方向应用：

Switch(config-if)#ip access-group denystudentftp out

6.测试验证:

用浏览器进行测试,VLAN 30 应不能访问VLAN 10的FTP服务器,WWW服务器应能正常