基本和扩展ACL实验
R1:配置RIPV2,禁用自动汇总。
FO/O.5:172.17.115.254 VLAN 5 技术 拥用管理权限
FO/O.6:172.17.116.254 VLAN 6 财务
FO/O.7:172.17.117.254 VLAN 7 市场
FO/O.8:172.17.118.254 VLAN 8 管理
F0/1:193.168.1.1/30
SWITCH 1:配置RIPV2,禁用自动汇总。
VLAN 5 :3-10接口
VLAN 6 :11-18接口
SWITCH 1:
VLAN 8 :3-10接口
VLAN 7 :11-18接口
R2:配置RIPV2,禁用自动汇总。
F0/1:192.168.1.2/30
F0/0:192.168.1.5/30
R3:
F0/0:192.168.1.6/30
F0/1:192.168.2.254/30
ACL要求:
网络设备只允许技术登陆
SERVER 1:WWW 允许HTTP,PING 禁其它服务。
192.168.2.1/24
SERVER 2:FTP 允许FTP 禁其它服务,允许管理、财务,禁止其它访问。
192.168.2.2/24
SERVER 1:TFTP 允许TFTP 禁其它服务,允许市场,禁止其它访问。
192.168.2.3/24
各个设备基本配置完成并配置路由并测通后,利用标准ACL加扩展ACL实现
各个网络设备上的设置:
R2(config)#access-list 2 permit 172.17.115.0 0.0.0.255 基本ACL ,只能根据源地址进行过滤
R2(config)#access-list 2 deny any ACL最后的隐含拒绝,默认的,不用手动配置。有ACL最后加上access-list 2 permit any 即使 隐含拒绝无效。
R2(config)#line vty 0 4
R2(config-line)#access-class 2 in
R2(config-line)#exi
扩展ACL,放置在R3上。
R(config)#access-list 101 permit ip 172.17.115.0 0.0.0.255 192.168.2.0 0.0.0.255 允许172.17.115.0网段访问192.168.2.0网段。注意关键字IP代表任意IP协议
R(config)#access-list 101 permit tcp any host 192.168.2.1 eq 80 允许任意网段访问192.168.2.1的80端口。需要严格匹配80端口(即WWW,HTTP服务)
R(config)#access-list 101 permit icmp any host 192.168.2.1 允许任意网段PING 192.168.2.1
R(config)#access-list 101 permit tcp 172.17.116.0 0.0.0.255 host 192.168.2.2 eq ftp remark server 添加注释 SERVER(我用的cisco packet trader 模拟器是不支持的)
R(config)#access-list 101 permit tcp 172.17.118.0 0.0.0.255 host 192.168.2.2 eq ftp 允许172.17.117.0网段访问192.68.2.2需要匹配FTP端口。
R(config)#access-list 101 permit tcp 172.17.117.0 0.0.0.255 host 192.168.2.3 eq tftp 允许172.17.117.0网段访问192.68.2.3,我用的cisco packet trader 模拟器是不支持eq tftp或者是eq 69的,eq ftp、eq 80是支持的。
R(config)#int f0/1
R(config-if)#ip access-group 101 out 在F0/1上的出口方向配置ACL 101,不可以配置为在f0/0接口的的进口方向,因为ACL会过滤掉RIP路由的更新。)
R(config-if)#exi
进行测试,访问控制目标已经达到。
说一下命名ACL的语法:
例如:ip access-list standard {name}
permit 192.168.9.1 0.0.0.0
deny host 192.168.9.2
permit ip any 192.168.1.0 0.0.0.255 eq www
deny ip any any
本文转自 还不算晕 51CTO博客,原文链接:http://blog.51cto.com/haibusuanyun/516025