acl实验

acl实验_第1张图片

0)需求:
拓扑中全网互通,Server1和server2上提供FTP和HTTP服务。
使用基本访问控制列表,控制192.168.1.0网络不能访问server1。
使用基本访问控制列表,限制192.168.1.0网段不能telnet到R2。
使用高级访问控制列表,控制192.168.2.1只能访问server1的http服务,访问server2的ftp服务,其它都禁止;

实验步骤:1、先把底层配置好 让全部设备都可以通,配置好静态路由
2,
使用基本访问控制列表,控制192.168.1.0网络不能访问server1。
使用基本访问控制列表,限制192.168.1.0网段不能telnet到R2。
使用高级访问控制列表,控制192.168.2.1只能访问server1的http服务,访问server2的ftp服务,其它都禁止;
实验:一:按照要求划分vlan,创建三层IP地址,vlanif10和20的为两个vlan下设备的网关,给交换机和路由器配置静态路由保证全网互通

acl实验_第2张图片port-group group-member g0/0/1 g0/0/2
这条命令可以把所有接口放在一起统一配置
剩余配置暂时忽略
二、使用基本访问控制列表,控制192.168.1.0网络不能访问server1。
ACL接口调用方向建议
基本acl尽量调用在离目标最近的出战接口
高级acl进来调用在离源头最近的入站接口

那么就在离目标最近的出战接口r1的0/0/0设置
命令:
acl 2000 /////创建一个基本acl
rule deny source 192.168.1.0 0.0.0.254 ///禁止这个网段的出去

配置完以后要把这个acl在接口里启动
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000
现在192.168.1.0网段的就无法从r1访问出去了,因为这是基本acl所以不能指定目的IP地址
验证:
acl实验_第3张图片三、使用基本访问控制列表,限制192.168.1.0网段不能telnet到R2。
首先要在r2上开启telnet功能
acl实验_第4张图片启动密码验证,还有一种是aaa验证 需要创建用户名 本次实验为了方便就不演示了
acl实验_第5张图片其实上现在192.168.1.0网段的已经访问不了r2的telnet了,因为刚才已经通过基本的acl设置了192.168.1.0网段的访问不出来了 所以基本的acl很不灵活

四、使用高级访问控制列表,控制192.168.2.1只能访问server1的http服务,访问server2的ftp服务,其它都禁止;要求PC4能ping通server1.、
acl实验_第6张图片高级acl就可以设置目的ip地址,目的端口了,端口就是http端口和ftp的
高级acl进来调用在离源头最近的入站接口
那么就在sw2的0/0/1接口设置,首先创建一个高级acl 3000 让192.168.2.1只能访问server1的http端口
acl实验_第7张图片因为http和ftp都是封装在tcp头部的 所以我们让这两个tcp通过就好了,因为所有acl默认可以让所有数据通过 我们只允许这个tcp通过还不行,要按照要求把其他的都禁止了
acl实验_第8张图片然后把这个ip禁止通过,每条规则都有一个ID序列号(默认为5,步进为5)序列号越小越先进行匹配。制定规则时,先细后粗。所以他会先按顺序让访问http和ftp先通过,其他的全部禁止
最后,把这个高级acl应用到接口0/0/1里
acl实验_第9张图片现在192.168.2.1就只能访问server1的http和ftp了
acl实验_第10张图片

你可能感兴趣的:(acl实验)