网络配置之ACL实验

实验拓扑

实验要求

• 拒绝192.168.1.96/27访问FTP

• 拒绝192.168.161/27访问FTP符

• 拒绝192.168.1.128/27访问Web服务

• 允许其他所有访问

附加：

• 拒绝192.168.1.2/27访问192.168.1.32/27网段

• 只允许192.168.1.1/27主机可以telnet三层交换机

• 只允许192.168.1.2使用ssh管理三层交换机

实验过程

0x01 基础配置

1. SW0交换机的基础配置，操作结果如下图所示。

   

2. multiSW0交换机的基础配置，操作结果如下图所示。

   

3. Router0路由器的基础配置，操作结果如下图所示。

   

4. SW1交换机的基础配置，操作结果如下图所示。

   

0x02 应用于服务器的ACL

1. 在Router0的f0/0接口配置ACL，操作结果如下图所示。

   

2. 验证ACL是应用成功，这里只验证第一条ACL，操作结果如下图所示。

   

0x03 远程管理的配置

1. 在三层交换机上配置Telnet，操作结果如下图所示。

   

2. 在三层交换机上配置SSH，操作结果如下图所示。

   

0x04 应用于三层交换机的ACL

1. 在三层交换机上配置ACL，操作结果如下图所示。

   

2. 验证ACL是否应用成功，这里值验证应用于SSH的ACL，操作结果如下图所示。

   

实验总结

• ACL的创建步骤为：
  • 创建ACL
  • 将ACL应用于接口（需要指定in/out）
• 当一个ACL中有多条规则时，要的别关注应用的接口和方向

附录

基础配置：

SW0配置：
en
conf t
hostname SW0
vlan 10
vlan 100
ex
int range f0/1-2
switchport mode access
switchport access vlan 10
int f0/3
switchport mode access
switchport access vlan 100
int f0/4
switchport mode trunk

multiSW0配置:
en
conf t
hostname multiSW0
int f0/1
switchport trunk encapsulation dot1q
switchport mode trunk
vlan 10
vlan 100
ex
int vlan 10
ip add 192.168.1.30 255.255.255.224
no sh
int vlan 100
ip add 192.168.1.62 255.255.255.224
no sh
int f0/2
no switchport
ip add 192.168.1.65 255.255.255.224
no sh
ex
ip routing
ip route 0.0.0.0 0.0.0.0 192.168.1.66


Router0配置：
en
conf t
hostname Router0
int f0/0
ip add 192.168.1.66 255.255.255.224
no sh
int f1/0
ip add 192.168.1.190 255.255.255.224
no sh
int f0/1.1
encapsulation dot1Q 20
ip add 192.168.1.126 255.255.255.224
no sh
int f0/1.2
encapsulation dot1Q 200
ip add 192.168.1.158 255.255.255.224
no sh
int f0/1
no sh
ex
ip route 0.0.0.0 0.0.0.0 192.168.1.65


SW1配置:
en
conf t
hostname SW1
vlan 20
vlan 200
ex
int f0/1
switchport mode access
switchport access vlan 20
int f0/2
switchport mode access
switchport access vlan 200
int f0/3
switchport mode trunk


Router0的f0/0接口配置ACL：

1.拒绝192.168.1.96/27访问FTP
2.拒绝192.168.161/27访问FTP符
3.拒绝192.168.1.128/27访问Web服务
4.允许其他所有访问

access-list 101 deny tcp 192.168.1.96 0.0.0.31 host 192.168.1.33 eq 21
access-list 101 deny tcp host 192.168.1.161 host 192.168.1.33 eq 21
access-list 101 deny tcp 192.168.1.128 0.0.0.31 host 192.168.1.33 eq 80
access-list 101 permit tcp any any
int f0/0
ip access-group 101 out


telnet配置：
enable pass cisco
username cisco password 0 cisco
line vty 0 4
login local


ssh配置：
hostname multiSW0
ip domain-name cisco.com
ip ssh time-out 120
ip ssh authentication-retries 3
crypto key generate rsa general-keys modulus 1024
username admin password 0 admin
line vty 5 9
transport input all
login local


1.拒绝192.168.1.2/27访问192.168.1.32/27网段（multiSW）
2.只允许192.168.1.1/27主机可以telnet三层交换机
3.只允许192.168.1.2使用ssh管理三层交换机

access-list 102 deny ip host 192.168.1.2 192.168.1.32 0.0.0.31
access-list 102 permit tcp host 192.168.1.1 host 192.168.1.1 eq telnet
access-list 102 permit tcp host 192.168.1.2 host 192.168.1.1 eq 22
access-list 102 permit ip any any
int vlan 10
ip access-group 102 in