ACL实验（思科设备）

1 模拟实验

1.1 实验拓扑图

1.2实验需求

1.3实验步骤

1.3.1实验基础

该实验建立在DHCP、DNS、Telnet、VLAN的综合实验上，即其中的网络设备不需要再重新配置。

1.3.2完成实验题目1

(1)要求：禁止 VLAN10的主机访问任何 DNS 服务器。

(2)分析：五元组：源IP地址：192.168.10.0/24 目的IP地址：192.168.100.2 源端口：省略 目的端口：53 协议：udp

(3)传统扩展ACL写法：

Switch(config)#access-list 100 deny udp 192.168.10.0 0.0.0.255 host 192.168.100.2 eq 53
Switch(config)#access-list 100 permit ip any any
Switch(config)#interface vlan 10
Switch(config-if)#ip access-group 100 in

实验结果1：

使用域名访问成功

使用服务器IP地址访问成功

(4)命名扩展ACL写法：

Switch(config)#ip access-list extended dns
Switch(config-ext-nacl)#10 deny udp 192.168.10.0 0.0.0.255 host 192.168.100.2 eq 53
Switch(config-ext-nacl)#15 permit ip any any
Switch(config-ext-nacl)#exit
Switch(config)#interface vlan 10
Switch(config-if)#ip access-group dns in

实验结果2：

使用域名访问失败

使用服务器IP地址访问成功

1.3.3完成实验题目2

(1)实验要求：仅允许vlan20 网段访问 HTTP 服务器的 HTTP 服务（TCP 80 端口 ），拒绝其他设备访问该服务器的 HTTP 服务。

(2)分析:五元组：源IP地址：192.168.20.0/24 目的IP地址：192.168.100.3 源端口：省略 目的端口：80 协议：tcp

(3)命名扩展写法：

Switch(config)#ip access-list extended http

Switch(config-ext-nacl)#10 deny tcp 192.168.10.0 0.0.0.255 host 192.168.100.3 eq 80
Switch(config-ext-nacl)#20 deny tcp 192.168.200.0 0.0.0.255 host 192.168.100.3 eq 80
Switch(config-ext-nacl)#30 permit ip any any
Switch(config-ext-nacl)#exit
Switch(config)#interface vlan 10
Switch(config-if)#ip acce
Switch(config-if)#ip access-group http in
Switch(config-if)#exit
Switch(config)#interface vlan 200
Switch(config-if)#ip access-group http in
Switch(config-if)#exit

实验结果：

vlan20的PC1主机可以访问

vlan200的pc主机无法访问

1.3.4 完成实验啊题目3

(1)实验要求：禁止VLAN10的主机通过DHCP获取IP地址等参数

(2)分析：五元组：源IP地址：any 目的IP地址：any 源端口:68(客户端端口号) 目的端口：67（服务器端口号） 协议：udp

注意:这里比较特殊由于dhcp发送的请求报文时广播报文，所有目的ip可以是任意。

(3)命名扩展写法

Switch(config)#ip access-list extended dhcp
Switch(config-ext-nacl)#10 deny udp any eq 68 any eq 67 
Switch(config-ext-nacl)#20 permit ip any any
Switch(config-ext-nacl)#exit
Switch(config)#interface vlan 10
Switch(config-if)#ip access-group dhcp in

实验结果：

vlan10的主机提供DHCP获取IP地址等参数失败

2 真机实验

在模拟器上测试先配置一遍，测试是否成功，在真机上根据实际连接的端口进行配置。

2.1实验拓扑图

2.2实验要求

禁止VLAN10的主机通过DHCP获取IP地址等参数

2.3实验步骤

真机实验要实际通过console先连接设备与主机 若有不理解处请转至

2.3.1配置路由器

Router(config)# interface f0/0
Router(config-if)#no shutdown
Router(config-if)#ip address 192.168.100.1 255.255.255.0
Router(config-if)#exit
Router(config)#ip dhcp pool 10
Router(dhcp-config)#network 192.168.10.0 255.255.255.0
Router(dhcp-config)#default-router 192.168.10.254
Router(dhcp-config)#exit
Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.254

2.3.2配置三层交换机（不配置ACL）

Switch(config)#ip routing
Switch(config)#vlan 10
Switch(config-vlan)#interface vlan 10
Switch(config-if)#ip address 192.168.10.254 255.255.255.0
Switch(config-if)#ip helper-address 192.168.100.1
Switch(config-if)#exit
Switch(config)#interface vlan 1
Switch(config-if)#ip address 192.168.100.254 255.255.255.0
Switch(config-if)#exit

2.3.3测试DHCP技术是否配置成功

2.3.4在交换机上配置ACL

Switch(config)#access-list 100 deny udp any eq 68 any eq 67
Switch(config)#access-list 100 permit ip any any
Switch(config)#interface vlan10
Switch(config-if)#ip access-group 100 in

2.3.4验证ACL配置是否正确