路由器ACL实验和win2003服务器设置

上一页：http://www.luyouqiwang.com/13854/

这里为了把思想全部用在ACL的实验中，我们首先给2003服务器设置一个网管，当然在实际中是不会设置网管，这里只是保证连通就好！进入正式的实验，第一个实验内容是在R1设置ACL，只运行外网的特定IP访问特定的服务。我们这里设计思路是只允许192.168.0.1访问61.0.0.200的Web服务和DNS服务。命令是access-list 101 permit tcp 192.168.0.200 0.0.0.0 host 61.0.0.200 eq 53；access-list 101 permit udp 192.168.0.1 0.0.0.0 host 61.0.0.200 eq 53；access-list 101 permit tcp 192.168.0.200 0.0.0.0 host 61.0.0.200 eq 80 然后查看这个访问控制列表。上面是定义了一个访问控制列表，这个时候并不能生效，需要应用到一个接口上才可以的。我们把这个控制列表应用到R1的S0/2上。是一个入方向的。

给接口应用上之后，进行测试，在客户机上ping61.0.0.200发现不能ping通了，因为访问控制列表并没有允许ping的数据包通过，所有不能ping了，但是在IE上可以访问www服务，也可以使用域名的方式访问www服务，但是ftp服务已经不能访问了，因为ACL上并没有允许ftp的数据通过。还有一个实验是把客户机的IP改一个201，然后再访问www服务，发现不能访问了，因为ACL上指定了只有192.168.0.200可以访问，201自然就不能了，第一个实验就成功了。

目前的状态是入方向上允许了53和80的访问，其他的数据包都不允许访问，现在要在入方向上也使用ACL，只要把上面的ACL源地址和目标地址换一下位置就OK啦。

下一个实验是在R2上操作了，我们的实验目的是让R2保护企业内部的客户机访问网络，只允许特定的IP访问特定的服务，同时不允许外部网络访问内部的客户机。