#网络安全技术实现#

#任务二标准访问控制列表的控制2#

#1配置计算机的IP 地址、子网掩码和网关

#2配置Router-A的主机名称和接口IP地址

Router>enable

Router#config t

Router(config)#hostname Router-A

Router-A(config)#int g0/0

Router-A(config-if)#ip add 192.168.1.254 255.255.255.0

Router-A(config-if)#no shutdown

Router-A(config)#int g0/1

Router-A(config-if)#ip add 192.168.2.254 255.255.255.0

Router-A(config-if)#no shutdown

Router-A(config)#int g0/2

Router-A(config-if)#ip add 192.168.10.1 255.255.255.0

Router-A(config-if)#no shutdown

#3配置Router-B的主机名称和接口IP地址

Router>enable

Router#config t

Router(config)#hostname Router-B

Router-B(config)#int g0/2

Router-B(config-if)#ip add 192.168.10.2 255.255.255.0

Router-B(config-if)#no shutdown

Router-B(config)#int g0/0

Router-B(config-if)#ip add 192.168.3.254 255.255.255.0

Router-B(config-if)#no shutdown

#4在Router-A和Router-B上配置静态路由

Router-A(config)#ip route 192.168.3.0 255.255.255.0 192.168.10.2

Router-B(config)#ip route 192.168.1.0 255.255.255.0 192.168.10.1

Router-B(config)#ip route 192.168.2.0 255.255.255.0 192.168.10.1

#5验证网络连通性，测试PC1（销售部）到PC2（财务部）的连通性

#6配置访问控制列表，禁止PC1（销售部）访问PC2（财务部）

Router-B(config)#access-list 10 deny  192.168.2.0  0.0.0.255    ！配置标准ACL规则：列表号为10，禁止192.168.2.0网段主机的流量通过

Router-B(config)#access-list 10 permit any   ！允许其他流量

Router-B(config)#int g0/0   ！进入端口

Router-B(config-if)#ip access-group 10 out   ！将访问控制列表应用到Router-B的G0/0端口的出口方向

Router-B(config-if)#exit

#7测试与查看访问控制列表信息

测试PC1（销售部）到PC2（财务部）的连通性，无法连通

查看访问控制列表信息

Router-B#show access-lists 10

小贴士：

为了避免源主机所有流量（包括正常通信流量）均被禁止，标准访问控制列表要应用在尽量靠近目的地址的接口上。

访问控制列表中的网络掩码是反掩码

访问控制列表中默认有一条“deny  all”语句，因此列表中至少要一条“perimit”的条件语句