实验6访问控制列表配置
实验6访问控制列表配置

【思科期末考察实验】实验6

思科期末考察实验6访问控制列表配置

查看实验要求

ACL访问控制列表要求为:拒绝10.0和20.0的网页请求,拒绝30.0和40.0去ping通 100.0.0.2 服务器IP地址

实验包下载

实验6访问控制列表配置下载

理解要求,实验开始

第一步 配置主机IP

进入左上角的服务器 server-PT 【严格配置】

【提示】按步骤来 name是www.dmtjs201.com.cn address: 100.0.0.2 填完按 Add添加

这个时候服务器就已经配置完成了, 下一步配置路由器和PC的IP地址

看好了!右侧PC的IP都是*.*.*.2, 网关都是*.*.*.1

这个时候PC的IP就已经配置完成了,下一步进入交换机配置vlan以及划分vlan

进入交换机

Switch>en
Switch#conf
Configuring from terminal, memory, or network [terminal]? 
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#vlan 10
Switch(config-vlan)#ex
Switch(config)#vlan 20
Switch(config-vlan)#ex
Switch(config)#vlan 30
Switch(config-vlan)#ex
Switch(config)#vlan 40
Switch(config-vlan)#ex
Switch(config)#interface f0/1
Switch(config-if)#sw mo ac
Switch(config-if)#sw ac vlan 10
Switch(config-if)#ex
Switch(config)#interface f0/2
Switch(config-if)#sw mo ac
Switch(config-if)#sw ac vlan 20
Switch(config-if)#ex
Switch(config)#interface f0/3
Switch(config-if)#sw mo ac
Switch(config-if)#sw ac vlan 30
Switch(config-if)#ex
Switch(config)#interface f0/4
Switch(config-if)#sw mo ac
Switch(config-if)#sw ac vlan 40
Switch(config-if)#ex
Switch(config)#
【重点!!!!!!!!!!!!!!   👇】
Switch(config)#int f0/24        //进入端口一与路由器相连接的端口
Switch(config-if)#sw mo trunk  //将该端口设置为trunk模式
Switch(config-if)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up
【重点】将所有VLAN绑定在这条路上   👇
Switch(config-if)#sw trunk all vlan 10,20,30,40 
Switch(config-if)#ex
Switch(config)#
这个时候交换机就已经配置完成了

第二步 配置路由器的IP地址和单臂路由

进入路由器

//首先配置服务器相连接的g0/1端口IP地址
Router>
Router>en
Router#conf
Configuring from terminal, memory, or network [terminal]? 
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#int g0/1
Router(config-if)#no shutdown 
Router(config-if)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to up
Router(config-if)#ip address 100.0.0.1 255.255.255.0
Router(config-if)#ex
Router(config)#
// 然后进入g0/0 将端口打开
Router(config)#interface g0/0
Router(config-if)#no shutdown 
Router(config-if)#ex
Router(config)#
//然后进行配置 单臂路由
Router(config)#interface g0/0.1
Router(config-subif)#
%LINK-5-CHANGED: Interface GigabitEthernet0/0.1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0.1, changed state to up
Router(config-subif)#encapsulation dot1Q 10
Router(config-subif)#ip address 192.168.10.1 255.255.255.0
Router(config-subif)#ex
Router(config)#interface g0/0.2
Router(config-subif)#
%LINK-5-CHANGED: Interface GigabitEthernet0/0.2, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0.2, changed state to up
Router(config-subif)#encapsulation dot1Q 20
Router(config-subif)#ip address 192.168.20.1 255.255.255.0
Router(config-subif)#ex
Router(config)#interface g0/0.3
Router(config-subif)#
%LINK-5-CHANGED: Interface GigabitEthernet0/0.3, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0.3, changed state to up
Router(config-subif)#encapsulation dot1Q 30
Router(config-subif)#ip address 192.168.30.1 255.255.255.0
Router(config-subif)#ex
Router(config)#interface g0/0.4
Router(config-subif)#
%LINK-5-CHANGED: Interface GigabitEthernet0/0.4, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0.4, changed state to up
Router(config-subif)#encapsulation dot1Q 40
Router(config-subif)#ip address 192.168.40.1 255.255.255.0
Router(config-subif)#ex
Router(config)#interface g0/0.4
Router(config-subif)#ex
Router(config)#
//好了到这里 路由器的端口以及IP已经全部配置完成了

欧克,到这里以及配置完成一大半了,接下来来验证是否正确配置,如果不正确,请重新返回到上面再次检查并修改! 验证👇

状态检测

上图,按理来说,所有主机都可以互相ping成功,如果不可以就返回上面再次检查!

第三步 创建ACL控制列表 并应用

进入路由器

Router(config)#ip access-list extended 100
// 【注解】  创建访问扩展控制列表 号码为 100
Router(config-ext-nacl)#deny tcp 192.168.10.0 0.0.0.255 any eq 80
// 【注解】 deny拒绝TCP协议,80端口的192.168.10.0网段的访问
Router(config-ext-nacl)#deny tcp 192.168.20.0 0.0.0.255 any eq 80
// 【注解】 deny拒绝TCP协议,80端口的192.168.20.0网段的访问
Router(config-ext-nacl)#deny icmp 192.168.30.0 0.0.0.255 any
// 【注解】 deny拒绝icmp协议,所有端口的192.168.30.0网段的访问
Router(config-ext-nacl)#deny icmp 192.168.40.0 0.0.0.255 any
// 【注解】 deny拒绝icmp协议,所有端口的192.168.40.0网段的访问
Router(config-ext-nacl)#permit ip any any   【重点】
// 【注解】 允许Pc上未被限制的端口通过
Router(config-ext-nacl)#ex
Router(config)#end
Router#
%SYS-5-CONFIG_I: Configured from console by console
Router#show ip access-lists 
// 【注解】  查询已经创建的访问控制列表
Extended IP access list 100
    10 deny tcp 192.168.10.0 0.0.0.255 any eq www
    20 deny tcp 192.168.20.0 0.0.0.255 any eq www
    30 deny icmp 192.168.30.0 0.0.0.255 any
    40 deny icmp 192.168.40.0 0.0.0.255 any
    50 permit ip any any
Router#
Router#

这里用的是 扩展acl访问控制表协议

区别:这两种ACL的区别是,标准ACL只检查数据包的源地址; 扩展ACL既检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号等。

涉及控制端口,所以用扩展协议

最后一步配置 应用访问控制列表到端口上

Router(config)#
Router(config)#interface g0/1
// 【注解】 进进入路由器端口g0/1,此端口与服务器相连接
Router(config-if)#ip access-group 100 out
// 【注解】 将刚才创建好的号码为100的访问控制列表应用在此端口的出方向上
Router(config-if)#

配置完成,验证实验是否成功

  • 达标1 右侧PC1和PC2无法访问 服务器的http 服务,但是可以ping通服务器的IP
  • 达标2 右侧PC3和PC4可以访问 服务器的http 服务,但是不可以ping通服务器的IP
状态4、
状态5

验证成功,实验结束,感谢你的观看和阅读

点击数:143

默认图片
JiHua article
文章: 17

相关文章

留下评论