ACL实验配置学习笔记
拓扑描述:
R1作为所有PC的网关;
财务部用户:192.168.1.0/24
市场部用户:192.168.2.0/24
Server1:HTTP服务器地址为7.7.7.7/24
PC 2:192.168.1.2
PC 5::192.168.2.2
PC 3:(由路由器模拟)192.168.1.3
注意事项:模拟器中路由器Router配置ACL不生效,需采用AR2220配置。
配置需求:
1.PC 1和PC 4自动获取IP地址;
2.配置静态路由使得全网互通;
3.R2上面启用Telnet服务,方便远程管理。用户名:admin 密码:admin@123
4.拒绝财务部和市场部用户互访;
5.在R2上配置ACL仅允许PC 3远程Telnet控制;
6.在R2上配置ACL拒绝PC 2访问Server1的HTTP服务,但可以ping通。
7.在R1上配置ACL拒绝PC 5 ping Server1 但可以访问其HTTP服务。
(1)配置PC 2、PC 3、PC 5和Server1的IP信息
PC 2:
PC 3:
sys
un in en
sys PC3
int g0/0/0
ip add 192.168.1.3 24
quit
ip route-static 0.0.0.0 0 192.168.1.1
PC 5:
Server1:
(2)配置R1和R2的接口IP
R1:
sys
un in en
sysn R1
int g0/0/0
ip add 192.168.1.1 24
int g0/0/1
ip add 192.168.2.1 24
int g0/0/2
ip add 12.1.1.1 30
quit
R2:
sys
un in en
sysn R2
int g0/0/0
ip add 12.1.1.2 30
int g0/0/1
ip add 7.7.7.1 24
quit
(3)配置静态路由
R1:
ip route-static 0.0.0.0 0 12.1.1.2
R2
ip route-static 192.168.1.0 24 12.1.1.1
ip route-static 192.168.2.0 24 12.1.1.1
(4)配置DHCP,基于接口配置
dhcp enable
int g0/0/0
dhcp select interface
int g0/0/1
dhcp select interface
quit
查看PC1 和PC 4自动获取的IP
PC 1:
PC 4:
(5)检查互通
PC 1 ping 7.7.7.7
PC 3 ping 12.1.1.2
(6)在R2开启Telnet服务
aaa
local-user admin privilege level 3 password cipher admin@123
local-user admin service-type telnet
quit
user-interface vty 0 4
authentication-mode aaa
protocol inbound telnet
quit
在R1验证Telnet R2
在PC 3上验证Telnet R2
(7)配置ACL禁止财务部和市场部互访
配置之前PC 1还可以访问PC 5
配置ACL
acl number 3001
rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
acl number 3002
rule 5 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
quit
3001调用在G0/0/0接口下,3002调用在G0/0/1接口下
int g0/0/0
traffic-filter inbound acl 3001
int g0/0/1
traffic-filter inbound acl 3002
quit
验证
PC 1 ping PC 5
PC 4 ping PC 1
(8)配置ACL仅允许PC 3去TelnetR2
acl number 3003
rule permit ip source 192.168.1.3 0
rule deny ip source any # 选配
quit
user-interface vty 0 4
acl 3003 inbound
#注意:acl调用在vty 接口下,用来匹配范围,默认拒绝所有。
quit
验证:
PC 3 Telnet R2
R1 Telnet R2,结果可以看到无法进行远程,说明ACL配置生效。
(9)在R2上配置ACL拒绝PC 2访问Server1的HTTP服务,但可以ping通。
创建一条ACL规则拒绝PC 2访问HTTP服务的80端口
acl number 3004
rule deny tcp source 192.168.1.2 0 destination 7.7.7.7 0 destination-port eq 80
调用在R2的G0/0/1接口
int g0/0/1
traffic-filter outbound acl 3004
quit
验证测试:
PC 2 通过HTTP访问7.7.7.7 无法访问
PC 2 通过ping访问7.7.7.7 可以访问
(10)在R1上配置ACL拒绝PC 5 ping Server1 但可以访问其HTTP服务。
在ACL3002下新建规则拒绝PC5的ICPM报文访问Server1
acl number 3002
rule deny icmp source 192.168.2.2 0 destination 7.7.7.7 0
quit
验证:
PC 5 通过HTTP访问7.7.7.7 可以访问
PC 5 通过ping访问7.7.7.7 无法访问
思考:
(1)如果将静态路由换成OSPF,则ACL的配置是否需要改变?
不需要改变,原因是已配置的ACL没有拒绝到OSPF的报文,因此不影响OSPF邻居建立。
(2)上述拓扑中,能否在R1上配置ACL拒绝PC1 和PC 2 互访?
不能实现,因为PC 1和PC 2不需要经过R1就可以进行通信,在R1上配置ACL没有意义。