扩展ACL配置

【实验目的】

  1. 掌握扩展ACL的配置。
  2. 认识扩展ACL的作用。
  3. 验证配置。

【实验拓扑】

实验拓扑如图1所示。

图1 实验拓扑

设备参数如表所示

表1 设备参数表

设备

接口

IP地址

子网掩码

默认网关

R1

S0/3/0

192.168.1.1

255.255.255.252

N/A

Fa0/0

192.168.2.1

255.255.255.0

N/A

R2

S0/3/0

192.168.1.2

255.255.255.252

N/A

Fa0/0

172.16.10.254

255.255.255.0

N/A

PC1

N/A

192.168.2.2

255.255.255.0

192.168.2.1

Server1

N/A

172.16.10.1

255.255.255.0

172.16.10.254

【实验内容】

1.配置路由协议

  1. R1的基本配置

Router>en

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#hostname R1

R1(config)#interface f0/0

R1(config-if)#ip address 192.168.2.1 255.255.255.0

R1(config-if)#no shutdown

R1(config-if)#

%LINK-5-CHANGED: Interface GigabitEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to up

R1(config-if)#interface s0/3/0

R1(config-if)#ip address 192.168.1.1 255.255.255.252

R1(config-if)#no shutdown

%LINK-5-CHANGED: Interface Serial0/3/0, changed state to down

R1(config-if)#exit

R1(config)#

%LINK-5-CHANGED: Interface Serial0/3/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/3/0, changed state to up

R1(config-if)#exit

R1(config)#ip route 172.16.10.0 255.255.255.0 serial 0/3/0

//配置静态路由协议

(2)R2的基本配置

Router>enable

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#hostname R2

R2(config)#interface f0/0

R2(config-if)#ip address 172.16.10.254 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#

%LINK-5-CHANGED: Interface GigabitEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to up

R2(config-if)#interface s0/3/0

R2(config-if)#ip address 192.168.1.2 255.255.255.252

R2(config-if)#no shutdown

R2(config-if)#

%LINK-5-CHANGED: Interface Serial0/3/0, changed state to up

R2(config-if)#exit

R2(config)#

%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/3/0, changed state to up

R2(config)#ip route 192.16.2.0 255.255.255.0 serial 0/3/0

//配置静态路由协议

(3)Server1的基本配置

(4)验证连通性

(5)验证PC1访问服务

①访问Web服务

②访问FTP服务

③访问DNS服务

2.配置扩展ACL禁用Web服务

(1)R1的配置

R1(config)#ip access-list extended 100

//启用扩展ACL,ACL编号为100

R1(config-ext-nacD)#deny tcp 192.168.2.0 0.0.0.255 172.16.10.0 0.0.0.255 eq www

//禁止192.168.2.0/24访问

R1(config-ext-nacD)#permit ip any any

//允许其他任何网段访问

R1(config)Hinterface serial 0/3/0

R1(config-if)tip access-group 100 out

//在Se0/3/0接口出方向应用ACL

  1. 验证Web服务

 

\\禁用Web服务后,无法访问Web服务器

3.配置扩展ACL禁用FTP服务

(1)R1的配置

R1(config)#ip access-list extended 100

R1(config-ext-nacl)#deny tcp 192.168.2.0 0.0.0.255 172.16.10.0 0.0.0.255 eq 20 R1(confg-ext-nacl)#deny tcp 192.168.2.0 0.0.0.255 172.16.10.0 0.0.0.255 eq 21 R1(config-ext-nacl)#permit ip any any

R1(config)#interface serial 0/3/0

R1(config-if)#ip access-group 100 out

(2)验证FTP服务

\\禁用FTP服务后,无法访问FTP服务器

  1. 配置扩展ACL禁用DNS服务

    (1)R1的配置

    Rl(config)#ip access-list extended 100

    Rl(config-ext-nacl)#deny tcp 192.168.2.0 0.0.0.255 172.16.10.0 0.0.0.255 eq 53 

Rl(config-ext-nacl)#deny udp 192.168.2.0 0.0.0.255 172.16.10.0 0.0.0.255 eq 53 

Rl(config-ext-nacl)#permit ip any any

R1(config)#interface serial 0/3/0

Rl(config-if)#ip access-group 100 out

(2)验证DNS服务

//禁用DNS服务后,无法访问DNS服务器

# 网络 # 运维 # linux
Logo
2048 AI社区

有“AI”的1024 = 2048,欢迎大家加入2048 AI社区

更多推荐

cover

大模型技术的终极形态?深度复盘World Model:从预测文字到模拟世界,迈向AGI的必经之路。

avatar 2048 AI社区
cover

【杂谈】-多智能体系统的效能悖论:协作优势的认知边界

avatar 2048 AI社区
cover

RAG 实战指南:基于 CMU 最新研究,教你如何用小模型“开卷”实现大模型性能(建议收藏)。

avatar 2048 AI社区