acl实验

0)需求：
拓扑中全网互通，Server1和server2上提供FTP和HTTP服务。
使用基本访问控制列表，控制192.168.1.0网络不能访问server1。
使用基本访问控制列表，限制192.168.1.0网段不能telnet到R2。
使用高级访问控制列表，控制192.168.2.1只能访问server1的http服务，访问server2的ftp服务，其它都禁止；

实验步骤：1、先把底层配置好 让全部设备都可以通，配置好静态路由
2，
使用基本访问控制列表，控制192.168.1.0网络不能访问server1。
使用基本访问控制列表，限制192.168.1.0网段不能telnet到R2。
使用高级访问控制列表，控制192.168.2.1只能访问server1的http服务，访问server2的ftp服务，其它都禁止；
实验：一：按照要求划分vlan，创建三层IP地址，vlanif10和20的为两个vlan下设备的网关，给交换机和路由器配置静态路由保证全网互通

port-group group-member g0/0/1 g0/0/2
这条命令可以把所有接口放在一起统一配置
剩余配置暂时忽略
二、使用基本访问控制列表，控制192.168.1.0网络不能访问server1。
ACL接口调用方向建议
基本acl尽量调用在离目标最近的出战接口
高级acl进来调用在离源头最近的入站接口
那么就在离目标最近的出战接口r1的0/0/0设置
命令：
acl 2000 /////创建一个基本acl
rule deny source 192.168.1.0 0.0.0.254 ///禁止这个网段的出去
配置完以后要把这个acl在接口里启动
[r1-GigabitEthernet0/0/0]traffic-filter inbound acl 2000
现在192.168.1.0网段的就无法从r1访问出去了，因为这是基本acl所以不能指定目的IP地址
验证：
三、使用基本访问控制列表，限制192.168.1.0网段不能telnet到R2。
首先要在r2上开启telnet功能
启动密码验证，还有一种是aaa验证 需要创建用户名 本次实验为了方便就不演示了
其实上现在192.168.1.0网段的已经访问不了r2的telnet了，因为刚才已经通过基本的acl设置了192.168.1.0网段的访问不出来了 所以基本的acl很不灵活

四、使用高级访问控制列表，控制192.168.2.1只能访问server1的http服务，访问server2的ftp服务，其它都禁止；要求PC4能ping通server1.、
高级acl就可以设置目的ip地址，目的端口了，端口就是http端口和ftp的
高级acl进来调用在离源头最近的入站接口
那么就在sw2的0/0/1接口设置，首先创建一个高级acl 3000 让192.168.2.1只能访问server1的http端口
因为http和ftp都是封装在tcp头部的 所以我们让这两个tcp通过就好了，因为所有acl默认可以让所有数据通过 我们只允许这个tcp通过还不行，要按照要求把其他的都禁止了
然后把这个ip禁止通过，每条规则都有一个ID序列号（默认为5，步进为5）序列号越小越先进行匹配。制定规则时，先细后粗。所以他会先按顺序让访问http和ftp先通过，其他的全部禁止
最后，把这个高级acl应用到接口0/0/1里
现在192.168.2.1就只能访问server1的http和ftp了