一、实验目的
1.掌握ACL的分类及作用;
2.掌握ACL的配置方法;
二、实验的仪器、设备、材料
二层交换机、路由器、PC机
三、实验内容及实验原理
实验拓扑图:
现在需求如下:
(1)禁止192.168.1.0/24网段所有PC访问192.168.5.0/24网段,使用ping测试。
(2)禁止192.168.1.10主机访问192 168 2.0/24网段,使用ping测试。
(3)禁止192.168.1.20主机访问192 168.6.20主机的WWW服务。(ping+服 务器访问页面测试)
(4)禁止任何网段ping测试192.168.3.0网段。
(5)仅允许192.168.2.0/24网段访问192.168.4.0/24,使用ping测试。
(6)仅允许192.168.4.10主机远程登录(telnet) 192.168.6.20主机, 只配置,不需要测试。
(7)仅允许192.168.4.10主机远程桌面(TCP 目的端口3389) 192.168.6.20主机, 只配置,不需要测试。
四、实验步骤
1.组网
(1)塔建环境
按照如图所示搭建实验环境,并将设备启动。
(2) 设置各主机IP地址,配置情况如图所示,其余PC的IP地址为该网段的可用地址即可。
(3) 配置各网段的网关地址为该网段的可用地址的最后一个。
以PC1为例
2.配置路由器的相关设置
(1) 配置路由器的端口地址
以AR2为例
[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip add 192.168.12.254 24
[AR2-GigabitEthernet0/0/0]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip add 192.168.4.254 24
[AR2-GigabitEthernet0/0/1]int g0/0/2
[AR2-GigabitEthernet0/0/2]ip add 192.168.23.253 24
(2) 配置网络路由,使得各网段能够互通(静态路由、动态路由均可)
以AR2为例
[AR2]ospf 1
[AR2-ospf-1]area 0
[AR2-ospf-1-area-0.0.0.0]network 192.168.12.0 0.0.0.255
[AR2-ospf-1-area-0.0.0.0]network 192.168.23.0 0.0.0.255
[AR2-ospf-1-area-0.0.0.0]network 192.168.4.0 0.0.0.255
测试:抓图验证各网段是否能够互通。
PC1 ping PC3
PC1 ping PC4
PC1 ping PC5
PC1 ping PC2
PC1 ping PC6
3.配置ACL命令
根据实验需求,配置相应的ACL命令,要求在实验报告中写出配置命令,并通过抓图脸证。
(1)禁止192.168.1.0/24网段所有PC访问192.168.5.0/24网段,使用ping测试。
[AR3]acl 2000
[AR3-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255
[AR3]int g0/0/1
[AR3-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
(2)禁止192.168.1.10主机访问192 168 2.0/24网段,使用ping测试。
[AR1]acl 2000
[AR1-acl-basic-2000]rule deny source 192.168.1.10 0.0.0.0
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
(3)禁止192.168.1.20主机访问192 168.6.20主机的WWW服务。(ping+服务器访问页面测试)
[AR3]acl 3000
[AR3-acl-adv-3000]rule deny tcp source 192.168.1.20 0.0.0.0 destination 192.168.6.20 0.0.0.0 destination-port eq www
[AR3-acl-adv-3000]int g0/0/2
[AR3-GigabitEthernet0/0/2]traffic-filter inbound acl 3000
(4)禁止任何网段ping测试192.168.3.0网段。
[AR1]acl 2000
[AR1-acl-basic-2000]rule deny source any
[AR1]int g0/0/2
[AR1-GigabitEthernet0/0/2]traffic-filter outbound acl 2000
(5)仅允许192.168.2.0/24网段访问192.168.4.0/24,使用ping测试。
[AR2]acl 2000
[AR2-acl-basic-2000]rule deny source any
[AR2-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255
[AR2]int g0/0/1
[AR2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000
等等PC都ping不通,只有pc3可以ping通
(6)仅允许192.168.4.10主机远程登录(telnet) 192.168.6.20主机,只配置,不需要测试。
[AR3]acl 3001
[AR3-acl-adv-3001]rule deny tcp source any destination 192.168.6.20 0.0.0.0 dest
ination-port eq telnet
[AR3-acl-adv-3001]rule primit tcp source 192.168.4.10 0.0.0.0 destination 192.168.6.10 0.0.0.0 destination-port eq telnet
[AR3-acl-adv-3001]int g0/0/2
[AR3-GigabitEthernet0/0/2]traffic-filter inbound acl 3001
(7)仅允许192.168.4.10主机远程桌面(TCP 目的端口3389) 192.168.6.20主机,只配置,不需要测试。
[AR3]acl 3002
[AR3-acl-adv-3001]rule deny tcp source any destination 192.168.6.20 0.0.0.0 dest
ination-port eq 3389
[AR3-acl-adv-3001]rule permit tcp source 192.168.4.10 0.0.0.0 destination 192.168.6.10 0.0.0.0 destination-port eq 3389
[AR3-acl-adv-3001]int g0/0/2
[AR3-GigabitEthernet0/0/2]traffic-filter inbound acl 3002
标签:AR2,AR3,网段,0.0,配置,192.168,acl,实验,ACL From: https://www.cnblogs.com/mu-yi2/p/16841106.html