工单任务2 使用扩展访问控制列表实现流量控制
一、工作准备
想一想
1.编号扩展ACL的序号范围是多少?它能够实现哪些特殊的功能?
2.访问控制列表的5个控制要素分别是什么?
二、任务描述
任务场景
配置全网互通及ACL。PC1与PC3为客户端PC,PC2为服务器。现需要通过扩展ACL实现PC1与PC2通信,PC1不可以与PC3通信,其他通信正常,如图3-4所示。
施工拓扑
施工拓扑图如图3-4所示。
图3-4 施工拓扑图
设备环境
本实验采用Packet Tracer进行实验,使用的路由器型号为Router-PT,数量为2台,计算机2台,服务器1台。
三、任务实施
1.R1和R2的接口配置
(1)R1配置。
(2)R2配置。
2.配置RIP协议实现全网通
(1)R1的配置。
(2)R2的配置。
(3)ACL配置。
3.验证配置
(1)PC1 ping PC2。
(2)PC1 ping PC3。
(3)PC2 ping PC3。
通过上面的测试发现配置正确,实验成功。
任务归纳
扩展访问控制列表可以对源地址、目的地址及端口进行精细化的流量控制。
四、任务评价
续表
五、相关知识
1.扩展ACL概述
扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制得这么精确。
扩展ACL可以使用地址作为条件,也可以用上层协议作为条件。
扩展ACL既可以测试数据包的源地址,也可以测试数据包的目的地址。
定义扩展ACL时,可使用的表号为100~199。
2.扩展ACL工作过程
扩展ACL工作过程如图3-5所示。
图3-5 扩展ACL工作过程
3.扩展ACL配置
扩展ACL参数信息如表3-2所示。
表3-2 扩展ACL参数信息
六、课后练习
1.如果来自因特网的HTTP报文的目标地址是162.15.1.1,经过这个ACL过滤后,会出现的情况是( )。
A.由于行30拒绝,报文被丢弃
B.由于行40允许,报文被接受
C.由于ACL末尾隐含地拒绝,报文被丢弃
D.由于报文源地址未包含在列表中,报文被接收
2.某台路由器上配置了一条访问列表:access-list 4 deny 202.38.0.0 0.0.255.255 access-list 4 permit 202.38.160.1 0.0.0.255,表示( )。
A.只禁止源地址为202.38.0.0网段的所有访问
B.只允许目的地址为202.38.0.0网段的所有访问
C.检查源IP地址,禁止202.38.0.0大网段的主机,但允许其中的202.38.160.0小网段上的主机
D.检查目的IP地址,禁止202.38.0.0大网段的主机,但允许其中的202.38.160.0小网段的主机
3.如果在一个接口上使用了access group命令,但没有创建相应的access list,那么在此接口上,下面描述正确的是( )。
A.发生错误 B.拒绝所有的数据包in
C.拒绝所有的数据包out D.允许所有的数据包in、out
4.在访问控制列表中,地址和掩码分别为168.18.64.0和0.0.3.255,表示的IP地址范围是( )。
A.168.18.67.0~168.18.70.255 B.168.18.64.0~168.18.67.255
C.168.18.63.0~168.18.64.255 D.168.18.64.255~168.18.67.255
5.访问控制列表access-list 100 permit ip 129.38.1.1 0.0.255.255 202.38.5.2 0的含义是( )。
A.允许主机129.38.1.1访问主机202.38.5.2
B.允许网络129.38.0.0访问网络202.38.0.0
C.允许主机202.38.5.2访问网络129.38.0.0
D.允许网络129.38.0.0访问主机202.38.5.2