.
15. R3设置点到点。
16. 再看一下R3的路由表,那个主机条目消失了。
17. R1的路由表也没有出现主机条目。
18. 要求禁止10.2.2.0/24网段所有用户访问10.1.1.0/24,由于标准访问控制列表只检查数据
包中的源地址,一旦ACL禁止了源主机的地址,源主机就无法与目标主机通信了,但问题是源主机和别的网络节点的通信也被禁止了,杀伤围过大。所以,标准ACL应当配置在靠近数据目的地的路由器上比较合适。根据靠后部署的原则,本试验中的标准ACL应该部署在R1。
19. R1:配置标准ACL。
.
.
20. R3:测试
21. 要求:禁止10.2.2.0/24网段上多有IP数据流访问172.16.1.0/24和10.1.1.0/24网段。这
时用到扩展访问控制列表。扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。扩展ACL较标准ACL更加精确。这时要考虑如果把ACL部署在靠近目的地的路由器上,虽然也能达到屏蔽的效果,但是会给网络带来不必要的数据流量,所以应当按照‘靠前部署’的原则,将扩展ACL部署在靠近源地址的路由器上。应该在R2上部署较为合适。
22. R1:删除先前部署的ACL。
.
.
23. R2:配置扩展ACL。101是ACL号,表示这是一个扩展的IP ACL。扩展的IP ACL号围
是100-199,扩展的IP ACL可以控制源IP、目的IP、源端口、目的端口等,能实现较为精准的访问控制。
24. R3:测试
.
配置路由器的ACL访问控制列表
