这里为了把思想全部用在ACL的实验中,我们首先给2003服务器设置一个网管,当然在实际中是不会设置网管,这里只是保证连通就好!进入正式的实验,第一个实验内容是在R1设置ACL,只运行外网的特定IP访问特定的服务。我们这里设计思路是只允许192.168.0.1访问61.0.0.200的Web服务和DNS服务。命令是access-list 101 permit tcp 192.168.0.200 0.0.0.0 host 61.0.0.200 eq 53;access-list 101 permit udp 192.168.0.1 0.0.0.0 host 61.0.0.200 eq 53;access-list 101 permit tcp 192.168.0.200 0.0.0.0 host 61.0.0.200 eq 80 然后查看这个访问控制列表。上面是定义了一个访问控制列表,这个时候并不能生效,需要应用到一个接口上才可以的。我们把这个控制列表应用到R1的S0/2上。是一个入方向的。
给接口应用上之后,进行测试,在客户机上ping61.0.0.200发现不能ping通了,因为访问控制列表并没有允许ping的数据包通过,所有不能ping了,但是在IE上可以访问www服务,也可以使用域名的方式访问www服务,但是ftp服务已经不能访问了,因为ACL上并没有允许ftp的数据通过。还有一个实验是把客户机的IP改一个201,然后再访问www服务,发现不能访问了,因为ACL上指定了只有192.168.0.200可以访问,201自然就不能了,第一个实验就成功了。
目前的状态是入方向上允许了53和80的访问,其他的数据包都不允许访问,现在要在入方向上也使用ACL,只要把上面的ACL源地址和目标地址换一下位置就OK啦。
下一个实验是在R2上操作了,我们的实验目的是让R2保护企业内部的客户机访问网络,只允许特定的IP访问特定的服务,同时不允许外部网络访问内部的客户机。
