51标准ACL访问控制列表实验二(命名方式)

-1-5.1标准ACL访问控制列表实验二(命名方式)【项目情境】假设你是某公司的网络管理员，公司的销售部（172.16.1.0网段），经理部（172.16.2.0网段），财务部（172.16.4.0网段）分别属于3个不同的网段，为了安全起见，公司领导要求销售部不能对财务部进和访问，但经理部可以对财务部进行访问。要求使用命名方式进行标准ACL的制定和应用。【项目目的】1.掌握命名方式标准访问控制列表的制定规则与配置方法。2.掌握三层交换机在标准访问控制列表的应用。【相关设备】三层交换机一台、PC机3台、直连线3根。【项目拓扑】【项目任务】1.如上图搭建网络环境，开启三层交换机的路由功能和对应的端口路由功能并配置地址，配置PC机地址和默认网关。测试所有设备之间的联通性(应该全通)。2.设置标准IP访问控制列表（命名方式），使得172.16.2.0/24网段可以访问172.16.4.0/24网段，但是172.16.1.0/24网段不可以访问172.16.4.0/24网段。查看配置和端口的状态，并测试结果(PC1pingPC3不通，但PC1pingPC2通)。把PC1的地址改成172.16.1.3，pingPC3也不通。-2-3.删除上述ACL，再重新设置标准IP访问控制列表（命名方式），使得PC2可以访问PC3，但是PC1不可以访问PC3。注意与上一步定义ACL规则时的区别，源IP使用主机方式指定，不是网段。查看配置和端口的状态，并测试结果。把PC1的地址改成172.16.1.3，pingPC3可以通。4.最后把配置以及ping的结果截图打包，以“学号姓名”为文件名，提交作业。5.使用锐捷设备（2、3人一组）完成上面的步骤。【实验命令】1.设置标准IP访问控制列表（命名方式），使得172.16.2.0/24网段可以访问172.16.4.0/24网段，但是172.16.1.0/24网段不可以访问172.16.4.0/24网段。源IP使用网段方式指定，注意命令中的反掩码。(1)定义规则：SwitchA(config)#ipaccess-liststandardaaaSwitchA(config-std-nacl)#deny172.16.1.00.0.0.255SwitchA(config-std-nacl)#permit172.16.2.00.0.0.255SwitchA(config-std-nacl)#permitany(2)应用端口：SwitchA(config)#interfacefastethernet0/3SwitchA(config-if)#ipaccess-groupaaaout3.删除指定的标准ACL(命名方式)R2(config)#noipaccess-liststandardaaa4.设置标准IP访问控制列表(命名方式)，使得PC2可以访问PC3，但是PC1不可以访问PC3。定义ACL规则时源IP使用主机方式指定，不是网段，注意host的使用，不需要反掩码。(1)定义规则：SwitchA(config)#ipaccess-liststandardaaaSwitchA(config-std-nacl)#denyhost172.16.1.2SwitchA(config-std-nacl)#permithost172.16.2.2SwitchA(config-std-nacl)#permitany(2)应用端口：SwitchA(config)#interfacefastethernet0/3-3-SwitchA(config-if)#ipaccess-groupaaaout【注意事项】1.注意在三层交换上对端口设置地址，要先noswitch开启端口路由。2.注意标准ACL的编号方式与命名方式的命令有什么不同。注意网段与主机的命令有什么不同。【配置结果】1.SwitchA#showaccess-listsStandardIPaccesslistaaadeny172.16.1.00.0.0.255permit172.16.2.00.0.0.255permitany2.SwitchA#showaccess-listsStandardIPaccesslistaaadenyhost172.16.1.2permithost172.16.2.2permitany3.SwitchA#showrunning-configBuildingconfiguration...Currentconfiguration:1382bytesversion12.2noservicepassword-encryptionhostnameSwitchAipsshversion1port-channelload-balancesrc-macinterfaceFastEthernet0/1noswitchportipaddress172.16.1.1255.255.255.0duplexautospeedautointerfaceFastEthernet0/2noswitchportipaddress172.16.2.1255.255.255.0duplexautospeedautointerfaceFastEthernet0/3noswitchportipaddress172.16.4.1255.255.255.0ipaccess-groupaaaoutduplexautospeedauto-4-interfaceFastEthernet0/4interfaceFastEthernet0/5interfaceFastEthernet0/6interfaceFastEthernet0/7interfaceFastEthernet0/8interfaceFastEthernet0/9interfaceFastEthernet0/10interfaceFastEthernet0/11interfaceFastEthernet0/12interfaceFastEthernet0/13interfaceFastEthernet0/14interfaceFastEthernet0/15interfaceFastEthernet0/16interfaceFastEthernet0/17interfaceFastEthernet0/18interfaceFastEthernet0/19interfaceFastEthernet0/20interfaceFastEthernet0/21interfaceFastEthernet0/22interfaceFastEthernet0/23interfaceFastEthernet0/24interfaceGigabitEthernet0/1interfaceGigabitEthernet0/2interfaceVlan1noipaddressshutdownipclasslessipaccess-liststandardaaadenyhost172.16.1.2permithost172.16.2.2permitanylinecon0linevty04loginend