Packet Tracer - IPv4 ACL 的实施挑战(完美解析)

目标

· 在路由器上配置命名的标准ACL。

· 在路由器上配置命名的扩展ACL。

· 在路由器上配置扩展ACL来满足特定的 通信需求。

· 配置ACL来控制对网络设备终端线路的 访问。

· 在适当的路由器接口上,在适当的方向上 配置ACL。

· 验证已配置 ACL 的运行。

背景/场景

在这个Packet Tracer练习中,您要配置扩展IPv4 ACL、 命名的标准IPv4 ACL和命名的扩展IPv4 ACL,来满足特定的通信需求。

说明

步骤1: 验证新公司网络的连通性。

首先,在配置ACL之前 测试网络的连通性。所有主机都应该可以ping通所有其他主机。

步骤2:按照需求配置 标准和扩展 ACL。

配置ACL以满足以下要求:

重要指南:

o 请 在 ACL 末尾明确配置 deny any 语句。

o 尽可能 使用简便参数 (hostany)。

o 按照这里指定的顺序, 编写ACL语句来满足要求。

o 在最有效的位置和方向上应用ACL。

ACL 1 的要求

o 创建 ACL 101

o 明确禁止从互联网向企业的 Web 服务器发起 FTP 访问。

o 不允许来自互联网的 ICMP 流量去往 HQ LAN 1 中的任何主机。

o 放行所有其他流量。

ACL 2 的要求

o 使用 ACL 编号 111

o HQ LAN 1 中的主机都不能访问分支机构服务器。

o 放行所有其他流量。

ACL 3 的要求

o 创建命名的标准 ACL。使用名称 vty_block。您必须使用这个 名称来配置ACL。

o 只有 HQ LAN 2 网络中的地址才能访问 HQ 路由器的 VTY 线路。

ACL 4 的要求

o 创建一个名为 branch_to_hq 的命名扩展 ACL。您必须使用这个 名称来配置ACL。

o 分支机构所有 LAN 中的所有主机都不能访问 HQ LAN 1。 针对每个分支机构的LAN配置一条访问列表语句。

o 放行所有其他流量。

步骤3:验证 ACL 的操作。

a. 按照拓扑,测试下列设备之间的连通性。 注意测试结果是否成功。

注意 :使用 show ip access-lists 命令 来验证 ACL 的操作。使用 clear access list counters命令 来重置匹配计数器。

问题1:

从分支 PC 向企业 Web 服务器 发起 ping 测试。是否会成功?说明原因。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?列出访问列表的名称或编号、所应用的路由器, 以及流量匹配的那条语句。

从 HQ LAN 1 中的 PC-1 ping 分支机构服务器。 是否会成功?说明原因。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?

在外部服务器上打开 Web 浏览器, 尝试访问企业 Web 服务器上的网页。测试成功了吗?说明原因。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?

b. 从互联网向内部服务器发起测试连接。

问题2:

从互联网用户 PC 上的命令行中, 尝试向分支机构服务器发起 FTP 连接。 FTP 连接成功了吗?

要想阻止互联网用户与分支机构服务器之间建立 FTP 连接, 应该对访问列表做什么修改?

要想拒绝这个流量,应该在访问列表中 添加哪些语句?

根据上述内容我们来进行相关的配置:

ACL 1 的要求

o 创建 ACL 101

o 明确禁止从互联网向企业的 Web 服务器发起 FTP 访问。

HQ(config)#access-list 101 deny tcp any host 192.168.1.70 eq ftp

o 不允许来自互联网的 ICMP 流量去往 HQ LAN 1 中的任何主机。

HQ(config)#access-list 101 deny icmp any 192.168.1.0 0.0.0.63

o 放行所有其他流量。

HQ(config)#access-list 101 permit ip any any

ACL 2 的要求

o 使用 ACL 编号 111

o HQ LAN 1 中的主机都不能访问分支机构服务器。

HQ(config-std-nacl)#access-list 111 deny ip any host 192.168.2.45

o 放行所有其他流量。

HQ(config)#access-list 111 permit ip any any

ACL 3 的要求

o 创建命名的标准 ACL。使用名称 vty_block。您必须使用这个 名称来配置ACL。

HQ(config)#ip access-list standard vty_block

o 只有 HQ LAN 2 网络中的地址才能访问 HQ 路由器的 VTY 线路。

HQ(config-std-nacl)# permit 192.168.1.64 0.0.0.7

HQ(config)#interface GigabitEthernet0/0/0

HQ(config-if)# ip access-group 111 in

HQ(config-if)#interface Serial0/1/0

HQ(config-if)# ip access-group 101 in

HQ(config-if)#line vty 0 4

HQ(config-line)# access-class vty_block i

ACL 4 的要求

o 创建一个名为 branch_to_hq 的命名扩展 ACL。您必须使用这个 名称来配置ACL。

Branch(config)#ip access-list extended branch_to_hq

o 分支机构所有 LAN 中的所有主机都不能访问 HQ LAN 1。 针对每个分支机构的LAN配置一条访问列表语句。

Branch(config-ext-nacl)# deny ip 192.168.2.0 0.0.0.31 192.168.1.0 0.0.0.63

Branch(config-ext-nacl)# deny ip 192.168.2.32 0.0.0.15 192.168.1.0 0.0.0.63

o 放行所有其他流量。

Branch(config-ext-nacl)# permit ip any any

Branch(config-ext-nacl)#interface Serial0/1/1

Branch(config-if)# ip access-group branch_to_hq out

回答一下问题1:

从分支 PC 向企业 Web 服务器 发起 ping 测试。是否会成功?说明原因。

答:可以ping 成功,因为 ACL 允许分支 PC 向企业 Web 服务器 发起。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?列出访问列表的名称或编号、所应用的路由器, 以及流量匹配的那条语句。

答:分支路由器上 branch_to_hq ACL 的最后一行是 permit ip any。

从 HQ LAN 1 中的 PC-1 ping 分支机构服务器。 是否会成功?说明原因。

答:ping 未成功,因为流量被访问列表阻止。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?

答:HQ 路由器上访问列表 111 中的语句 10 拒绝到分支服务器的所有流量。

HQ(config-std-nacl)#access-list 111 deny ip any host 192.168.2.45

在外部服务器上打开 Web 浏览器, 尝试访问企业 Web 服务器上的网页。测试成功了吗?说明原因。

答:外部服务器可以访问 Enterprise Web Server 上的网页。 不会阻止到 Enterprise Web Server 的 HTTP 流量。所以是可以ping成功的。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?

答:HQ 路由器上访问列表 101 中的第 20 行允许此流量。

HQ(config)#access-list 101 permit ip any any

回答一下问题2:

从互联网用户 PC 上的命令行中, 尝试向分支机构服务器发起 FTP 连接。 FTP 连接成功了吗?

答:从 Internet 用户 PC 到 Branch Server 的 FTP 连接成功。

要想阻止互联网用户与分支机构服务器之间建立 FTP 连接, 应该对访问列表做什么修改?

答:需要修改 HQ 路由器上的访问列表 101 以拒绝此流量

要想拒绝这个流量,应该在d访问列表中 添加哪些语句?

答:需要将语句"deny tcp any host 192.168.2.45 eq 21"或"deny tcp any host 192.168.2.45 range 20 21"添加到访问列表 101 中。

完成截图如下:

附录一键完成脚本如下:

Router HQ

enable

conf t

access-list 101 deny tcp any host 192.168.1.70 eq ftp

access-list 101 deny icmp any 192.168.1.0 0.0.0.63

access-list 101 permit ip any any

ip access-list standard vty_block

permit 192.168.1.64 0.0.0.7

access-list 111 deny ip any host 192.168.2.45

access-list 111 permit ip any any

int g0/0/0

ip access-group 111 in

int s0/1/0

ip access-group 101 in

line vty 0 4

access-class vty_block in

end

Router Branch

enable

conf t

ip access-list extended branch_to_hq

deny ip 192.168.2.0 0.0.0.31 192.168.1.0 0.0.0.63

deny ip 192.168.2.32 0.0.0.15 192.168.1.0 0.0.0.63

permit ip any any

int s0/1/1

ip access-group branch_to_hq out

end

相关推荐
黑客Ash25 分钟前
【D01】网络安全概论
网络·安全·web安全·php
->yjy26 分钟前
计算机网络(第一章)
网络·计算机网络·php
摘星星ʕ•̫͡•ʔ2 小时前
计算机网络 第三章:数据链路层(关于争用期的超详细内容)
网络·计算机网络
.Ayang2 小时前
SSRF漏洞利用
网络·安全·web安全·网络安全·系统安全·网络攻击模型·安全架构
好想打kuo碎2 小时前
1、HCIP之RSTP协议与STP相关安全配置
网络·安全
虚拟网络工程师4 小时前
【网络系统管理】Centos7——配置主从mariadb服务器案例(下半部分)
运维·服务器·网络·数据库·mariadb
JosieBook4 小时前
【网络工程】查看自己电脑网络IP,检查网络是否连通
服务器·网络·tcp/ip
黑客Ash6 小时前
计算机中的网络安全
网络·安全·web安全
PersistJiao6 小时前
Spark 分布式计算中网络传输和序列化的关系(二)
大数据·网络·spark·序列化·分布式计算