1 模拟实验
1.1 实验拓扑图
1.2实验需求
1.3实验步骤
1.3.1实验基础
该实验建立在DHCP、DNS、Telnet、VLAN的综合实验上,即其中的网络设备不需要再重新配置。
1.3.2完成实验题目1
(1)要求:禁止 VLAN10的主机访问任何 DNS 服务器。
(2)分析:五元组:源IP地址:192.168.10.0/24 目的IP地址:192.168.100.2 源端口:省略 目的端口:53 协议:udp
(3)传统扩展ACL写法:
Switch(config)#access-list 100 deny udp 192.168.10.0 0.0.0.255 host 192.168.100.2 eq 53
Switch(config)#access-list 100 permit ip any any
Switch(config)#interface vlan 10
Switch(config-if)#ip access-group 100 in实验结果1:
使用域名访问成功
使用服务器IP地址访问成功
(4)命名扩展ACL写法:
Switch(config)#ip access-list extended dns
Switch(config-ext-nacl)#10 deny udp 192.168.10.0 0.0.0.255 host 192.168.100.2 eq 53
Switch(config-ext-nacl)#15 permit ip any any
Switch(config-ext-nacl)#exit
Switch(config)#interface vlan 10
Switch(config-if)#ip access-group dns in实验结果2:
使用域名访问失败
使用服务器IP地址访问成功
1.3.3完成实验题目2
(1)实验要求:仅允许vlan20 网段访问 HTTP 服务器的 HTTP 服务(TCP 80 端口 ),拒绝其他设备访问该服务器的 HTTP 服务。
(2)分析:五元组:源IP地址:192.168.20.0/24 目的IP地址:192.168.100.3 源端口:省略 目的端口:80 协议:tcp
(3)命名扩展写法:
Switch(config)#ip access-list extended http
Switch(config-ext-nacl)#10 deny tcp 192.168.10.0 0.0.0.255 host 192.168.100.3 eq 80
Switch(config-ext-nacl)#20 deny tcp 192.168.200.0 0.0.0.255 host 192.168.100.3 eq 80
Switch(config-ext-nacl)#30 permit ip any any
Switch(config-ext-nacl)#exit
Switch(config)#interface vlan 10
Switch(config-if)#ip acce
Switch(config-if)#ip access-group http in
Switch(config-if)#exit
Switch(config)#interface vlan 200
Switch(config-if)#ip access-group http in
Switch(config-if)#exit实验结果:
vlan20的PC1主机可以访问
vlan200的pc主机无法访问
1.3.4 完成实验啊题目3
(1)实验要求:禁止VLAN10的主机通过DHCP获取IP地址等参数
(2)分析:五元组:源IP地址:any 目的IP地址:any 源端口:68(客户端端口号) 目的端口:67(服务器端口号) 协议:udp
注意:这里比较特殊由于dhcp发送的请求报文时广播报文,所有目的ip可以是任意。
(3)命名扩展写法
Switch(config)#ip access-list extended dhcp
Switch(config-ext-nacl)#10 deny udp any eq 68 any eq 67
Switch(config-ext-nacl)#20 permit ip any any
Switch(config-ext-nacl)#exit
Switch(config)#interface vlan 10
Switch(config-if)#ip access-group dhcp in实验结果:
vlan10的主机提供DHCP获取IP地址等参数失败
2 真机实验
在模拟器上测试先配置一遍,测试是否成功,在真机上根据实际连接的端口进行配置。
2.1实验拓扑图
2.2实验要求
禁止VLAN10的主机通过DHCP获取IP地址等参数
2.3实验步骤
真机实验要实际通过console先连接设备与主机 若有不理解处请转至
2.3.1配置路由器
Router(config)# interface f0/0
Router(config-if)#no shutdown
Router(config-if)#ip address 192.168.100.1 255.255.255.0
Router(config-if)#exit
Router(config)#ip dhcp pool 10
Router(dhcp-config)#network 192.168.10.0 255.255.255.0
Router(dhcp-config)#default-router 192.168.10.254
Router(dhcp-config)#exit
Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.2542.3.2配置三层交换机(不配置ACL)
Switch(config)#ip routing
Switch(config)#vlan 10
Switch(config-vlan)#interface vlan 10
Switch(config-if)#ip address 192.168.10.254 255.255.255.0
Switch(config-if)#ip helper-address 192.168.100.1
Switch(config-if)#exit
Switch(config)#interface vlan 1
Switch(config-if)#ip address 192.168.100.254 255.255.255.0
Switch(config-if)#exit2.3.3测试DHCP技术是否配置成功
2.3.4在交换机上配置ACL
Switch(config)#access-list 100 deny udp any eq 68 any eq 67
Switch(config)#access-list 100 permit ip any any
Switch(config)#interface vlan10
Switch(config-if)#ip access-group 100 in2.3.4验证ACL配置是否正确