ACL实验配置学习笔记

拓扑描述：

R1作为所有PC的网关；

财务部用户：192.168.1.0/24

市场部用户：192.168.2.0/24

Server1：HTTP服务器地址为7.7.7.7/24

PC 2：192.168.1.2

PC 5:：192.168.2.2

PC 3：（由路由器模拟）192.168.1.3

注意事项：模拟器中路由器Router配置ACL不生效，需采用AR2220配置。

配置需求：

1.PC 1和PC 4自动获取IP地址；

2.配置静态路由使得全网互通；

3.R2上面启用Telnet服务，方便远程管理。用户名：admin 密码：admin@123

4.拒绝财务部和市场部用户互访；

5.在R2上配置ACL仅允许PC 3远程Telnet控制；

6.在R2上配置ACL拒绝PC 2访问Server1的HTTP服务，但可以ping通。

7.在R1上配置ACL拒绝PC 5 ping Server1 但可以访问其HTTP服务。

（1）配置PC 2、PC 3、PC 5和Server1的IP信息

PC 2：

PC 3：

sys

un in en

sys PC3

int g0/0/0

ip add 192.168.1.3 24

quit

ip route-static 0.0.0.0 0 192.168.1.1

PC 5：

Server1：

（2）配置R1和R2的接口IP

R1：

sys

un in en

sysn R1

int g0/0/0

ip add 192.168.1.1 24

int g0/0/1

ip add 192.168.2.1 24

int g0/0/2

ip add 12.1.1.1 30

quit

R2：

sys

un in en

sysn R2

int g0/0/0

ip add 12.1.1.2 30

int g0/0/1

ip add 7.7.7.1 24

quit

（3）配置静态路由

R1：

ip route-static 0.0.0.0 0 12.1.1.2

R2

ip route-static 192.168.1.0 24 12.1.1.1

ip route-static 192.168.2.0 24 12.1.1.1

（4）配置DHCP，基于接口配置

dhcp enable

int g0/0/0

dhcp select interface

int g0/0/1

dhcp select interface

quit

查看PC1 和PC 4自动获取的IP

PC 1：

PC 4：

（5）检查互通

PC 1 ping 7.7.7.7

PC 3 ping 12.1.1.2

（6）在R2开启Telnet服务

aaa

local-user admin privilege level 3 password cipher admin@123

local-user admin service-type telnet

quit

user-interface vty 0 4

authentication-mode aaa

protocol inbound telnet

quit

在R1验证Telnet R2

在PC 3上验证Telnet R2

（7）配置ACL禁止财务部和市场部互访

配置之前PC 1还可以访问PC 5

配置ACL

acl number 3001

rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

acl number 3002

rule 5 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

quit

3001调用在G0/0/0接口下，3002调用在G0/0/1接口下

int g0/0/0

traffic-filter inbound acl 3001

int g0/0/1

traffic-filter inbound acl 3002

quit

验证

PC 1 ping PC 5

PC 4 ping PC 1

（8）配置ACL仅允许PC 3去TelnetR2

acl number 3003

rule permit ip source 192.168.1.3 0

rule deny ip source any # 选配

quit

user-interface vty 0 4

acl 3003 inbound

#注意：acl调用在vty 接口下，用来匹配范围，默认拒绝所有。

quit

验证：

PC 3 Telnet R2

R1 Telnet R2，结果可以看到无法进行远程，说明ACL配置生效。

（9）在R2上配置ACL拒绝PC 2访问Server1的HTTP服务，但可以ping通。

创建一条ACL规则拒绝PC 2访问HTTP服务的80端口

acl number 3004

rule deny tcp source 192.168.1.2 0 destination 7.7.7.7 0 destination-port eq 80

调用在R2的G0/0/1接口

int g0/0/1

traffic-filter outbound acl 3004

quit

验证测试：

PC 2 通过HTTP访问7.7.7.7 无法访问

PC 2 通过ping访问7.7.7.7 可以访问

（10）在R1上配置ACL拒绝PC 5 ping Server1 但可以访问其HTTP服务。

在ACL3002下新建规则拒绝PC5的ICPM报文访问Server1

acl number 3002

rule deny icmp source 192.168.2.2 0 destination 7.7.7.7 0

quit

验证：

PC 5 通过HTTP访问7.7.7.7 可以访问

PC 5 通过ping访问7.7.7.7 无法访问

思考：

（1）如果将静态路由换成OSPF，则ACL的配置是否需要改变？

不需要改变，原因是已配置的ACL没有拒绝到OSPF的报文，因此不影响OSPF邻居建立。

（2）上述拓扑中，能否在R1上配置ACL拒绝PC1 和PC 2 互访？

不能实现，因为PC 1和PC 2不需要经过R1就可以进行通信，在R1上配置ACL没有意义。