lib9-02 配置扩展 ACL

IT_张三2024-06-26 3:05

实验:配置扩展 ACL

1、实验目的

  • 通过本实验可以掌握
  • 编号扩展 ACL 定义和应用的方法
  • 命名扩展 ACL 定义和应用的方法

2、实验拓扑

实验拓扑如下图所示。使用扩展 ACL 实现如下访问控制

  • 拒绝 PC1 所在网段访问 Server1 的 Web 服务
  • 拒绝 PC2 所在网段访问 Server1 的 FTP 服务
  • 拒绝 PC1 所在网段访问 Server1 的 DNS 服务
  • 拒绝 PC1 所在网段访问路由器 R3 的 Telnet 服务
  • 拒绝 PC2 所在网段访问路由器 R2 的 Web 服务
  • 拒绝 PC1 和 PC2 所在的网段 ping Server1
  • 只允许 R3 以接口 s2/0 为源 ping R2 的接口 s2/0 的 IP 地址,不允许 R2 以接口 s2/1 为源 ping R3 的接口 s2/0 的 IP 地址,即单向 ping。

3、实验步骤

(1)配置路由器R1

复制代码 
R1(config)#access-list 110 remark This is an example for IPv4 extended ACL
R1(config)#access-list 110 deny tcp 172.16.1.0 0.0.0.255 host 172.16.3.100 eq 80  
R1(config)#access-list 110 deny tcp 172.16.2.0 0.0.0.255 host 172.16.3.100 eq 21       
R1(config)#access-list 110 deny tcp 172.16.2.0 0.0.0.255 host 172.16.3.100 eq 20
R1(config)#access-list 110 deny udp 172.16.1.0 0.0.0.255 host 172.16.3.100 eq 53       
R1(config)#access-list 110 deny tcp 172.16.1.0 0.0.0.255 host 172.16.23.3 eq 23        
R1(config)#access-list 110 deny tcp 172.16.1.0 0.0.0.255 host 172.16.3.254 eq 23
R1(config)#access-list 110 deny tcp 172.16.2.0 0.0.0.255 host 172.16.12.2 eq 80        
R1(config)#access-list 110 deny tcp 172.16.2.0 0.0.0.255 host 172.16.23.2 eq 80        
R1(config)#access-list 110 deny icmp 172.16.1.0 0.0.0.255 host 172.16.3.100 log        
R1(config)#access-list 110 deny icmp 172.16.2.0 0.0.0.255 host 172.16.3.100 log
R1(config)#access-list 110 permit ip any any 
R1(config)#interface serial 2/0
R1(config-if)#ip access-group 110 out
R1(config-if)#exit

(2)配置路由器R2

复制代码 
R2(config)#username cisco privilege 15 secret cisco
R2(config)#ip http server
R2(config)#ip http authentication local

(3)配置路由器R3

复制代码 
R3(config)#access-list 120  deny icmp host 172.16.23.2 host 172.16.23.3 echo log        
R3(config)#access-list 120 permit ip any any 
R3(config)#interface serial 2/0
R3(config-if)#ip access-group 120 in
R3(config-if)#exit

4、实验调试

(1)查看IPv4 ACL及流量匹配情况,

复制代码 
R1#show ip access-lists 110
Extended IP access list 110
    10 deny tcp 172.16.1.0 0.0.0.255 host 172.16.3.100 eq www
    20 deny tcp 172.16.2.0 0.0.0.255 host 172.16.3.100 eq ftp
    30 deny tcp 172.16.2.0 0.0.0.255 host 172.16.3.100 eq ftp-data
    40 deny udp 172.16.1.0 0.0.0.255 host 172.16.3.100 eq domain
    50 deny tcp 172.16.1.0 0.0.0.255 host 172.16.23.3 eq telnet
    60 deny tcp 172.16.1.0 0.0.0.255 host 172.16.3.254 eq telnet
    70 deny tcp 172.16.2.0 0.0.0.255 host 172.16.12.2 eq www
    80 deny tcp 172.16.2.0 0.0.0.255 host 172.16.23.2 eq www
    90 deny icmp 172.16.1.0 0.0.0.255 host 172.16.3.100 log
    100 deny icmp 172.16.2.0 0.0.0.255 host 172.16.3.100 log
    110 permit ip any any

(2)查看日志信息

(3)在路由器R3查看扩展IPv4 ACL 120

复制代码 
R3#show ip access-lists 120
Extended IP access list 120
    10 deny icmp host 172.16.23.2 host 172.16.23.3 echo log
    20 permit ip any any (6 matches)
相关推荐
威联通网络存储4 小时前
某大型制造企业基于威联通 NAS 的海量数据存储与容灾归档实践
网络·nas
xdscode5 小时前
Linux云服务器安装openclaw,并对接飞书通道
linux·服务器·飞书·openclaw
lswzw5 小时前
win11家庭版 安装 openclaw
服务器
Percep_gan6 小时前
Linux中安装Redis,很详细
linux·运维·redis
七七powerful6 小时前
运维养龙虾--AI 驱动的架构图革命:draw.io MCP 让运维画图效率提升 10 倍,使用codebuddy实战
运维·人工智能·draw.io
枕书6 小时前
实战记录:如何使用 Docker 一键部署长亭 PandaWiki 智能知识库
运维·docker·容器
LegendNoTitle6 小时前
计算机三级等级考试 网络技术 选择题考点详细梳理
服务器·前端·经验分享·笔记·php
2401_877274246 小时前
从匿名管道到 Master-Slave 进程池:Linux 进程间通信深度实践
linux·服务器·c++
feng_you_ying_li6 小时前
linux之用户的权限详解(4)
linux·运维·服务器
二进制person7 小时前
JavaEE初阶 --网络编程
linux·服务器·网络
热门推荐
01GitHub 镜像站点02Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南03围棋-html版本04小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)05班级宠物园部署指南06OpenClaw 使用和管理 MCP 完全指南07“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)08UV安装并设置国内源09【计算机一级WPSoffice】小黑课堂题库软件下载安装教程(2026年3月最新版)10让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南