基本和扩展ACL实验

R1:配置RIPV2,禁用自动汇总。
FO/O.5:172.17.115.254 VLAN 5  技术 拥用管理权限
FO/O.6:172.17.116.254 VLAN 6  财务
FO/O.7:172.17.117.254 VLAN 7  市场
FO/O.8:172.17.118.254 VLAN 8  管理
F0/1:193.168.1.1/30 

SWITCH 1:配置RIPV2,禁用自动汇总。
VLAN 5 :3-10接口
VLAN 6 :11-18接口
SWITCH 1:
VLAN 8 :3-10接口
VLAN 7 :11-18接口

R2:配置RIPV2,禁用自动汇总。
F0/1:192.168.1.2/30
F0/0:192.168.1.5/30

R3:
F0/0:192.168.1.6/30
F0/1:192.168.2.254/30
ACL要求:
网络设备只允许技术登陆
SERVER 1:WWW     允许HTTP,PING 禁其它服务。
192.168.2.1/24    
SERVER 2:FTP     允许FTP 禁其它服务,允许管理、财务,禁止其它访问。
192.168.2.2/24
SERVER 1:TFTP    允许TFTP 禁其它服务,允许市场,禁止其它访问。

192.168.2.3/24

各个设备基本配置完成并配置路由并测通后,利用标准ACL加扩展ACL实现
各个网络设备上的设置:
R2(config)#access-list 2 permit 172.17.115.0 0.0.0.255   基本ACL ,只能根据源地址进行过滤
R2(config)#access-list 2 deny any                               ACL最后的隐含拒绝,默认的,不用手动配置。有ACL最后加上access-list 2 permit any  即使    隐含拒绝无效。                        
R2(config)#line vty 0 4
R2(config-line)#access-class 2 in
R2(config-line)#exi

扩展ACL,放置在R3上。
R(config)#access-list 101 permit ip 172.17.115.0 0.0.0.255 192.168.2.0 0.0.0.255    允许172.17.115.0网段访问192.168.2.0网段。注意关键字IP代表任意IP协议
R(config)#access-list 101 permit tcp any host 192.168.2.1 eq 80   允许任意网段访问192.168.2.1的80端口。需要严格匹配80端口(即WWW,HTTP服务)
R(config)#access-list 101 permit icmp any host 192.168.2.1  允许任意网段PING 192.168.2.1
R(config)#access-list 101 permit tcp 172.17.116.0 0.0.0.255 host 192.168.2.2 eq ftp  remark server    添加注释 SERVER(我用的cisco packet trader 模拟器是不支持的)  
R(config)#access-list 101 permit tcp 172.17.118.0 0.0.0.255 host 192.168.2.2 eq ftp          允许172.17.117.0网段访问192.68.2.2需要匹配FTP端口。

R(config)#access-list 101 permit tcp 172.17.117.0 0.0.0.255 host 192.168.2.3 eq tftp        允许172.17.117.0网段访问192.68.2.3,我用的cisco packet trader 模拟器是不支持eq tftp或者是eq 69的,eq ftp、eq 80是支持的。

R(config)#int f0/1

R(config-if)#ip access-group 101 out   在F0/1上的出口方向配置ACL 101,不可以配置为在f0/0接口的的进口方向,因为ACL会过滤掉RIP路由的更新。)
R(config-if)#exi

 

进行测试,访问控制目标已经达到。

说一下命名ACL的语法:

例如:ip access-list standard {name}
       
         permit 192.168.9.1 0.0.0.0
         deny   host 192.168.9.2
 

ip access-list extended {name}

permit ip any 192.168.1.0 0.0.0.255 eq www    
deny   ip any any