扩展ACL配置
【实验目的】
- 掌握扩展ACL的配置。
- 认识扩展ACL的作用。
- 验证配置。
【实验拓扑】
实验拓扑如图1所示。
图1 实验拓扑
设备参数如表所示。
表1 设备参数表
| 设备 |
接口 |
IP地址 |
子网掩码 |
默认网关 |
| R1 |
S0/3/0 |
192.168.1.1 |
255.255.255.252 |
N/A |
| Fa0/0 |
192.168.2.1 |
255.255.255.0 |
N/A |
|
| R2 |
S0/3/0 |
192.168.1.2 |
255.255.255.252 |
N/A |
| Fa0/0 |
172.16.10.254 |
255.255.255.0 |
N/A |
|
| PC1 |
N/A |
192.168.2.2 |
255.255.255.0 |
192.168.2.1 |
| Server1 |
N/A |
172.16.10.1 |
255.255.255.0 |
172.16.10.254 |
【实验内容】
1.配置路由协议
- R1的基本配置
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname R1
R1(config)#interface f0/0
R1(config-if)#ip address 192.168.2.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#
%LINK-5-CHANGED: Interface GigabitEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to up
R1(config-if)#interface s0/3/0
R1(config-if)#ip address 192.168.1.1 255.255.255.252
R1(config-if)#no shutdown
%LINK-5-CHANGED: Interface Serial0/3/0, changed state to down
R1(config-if)#exit
R1(config)#
%LINK-5-CHANGED: Interface Serial0/3/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/3/0, changed state to up
R1(config-if)#exit
R1(config)#ip route 172.16.10.0 255.255.255.0 serial 0/3/0
//配置静态路由协议
(2)R2的基本配置
Router>enable
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname R2
R2(config)#interface f0/0
R2(config-if)#ip address 172.16.10.254 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#
%LINK-5-CHANGED: Interface GigabitEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to up
R2(config-if)#interface s0/3/0
R2(config-if)#ip address 192.168.1.2 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#
%LINK-5-CHANGED: Interface Serial0/3/0, changed state to up
R2(config-if)#exit
R2(config)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/3/0, changed state to up
R2(config)#ip route 192.16.2.0 255.255.255.0 serial 0/3/0
//配置静态路由协议
(3)Server1的基本配置
(4)验证连通性
(5)验证PC1访问服务
①访问Web服务
②访问FTP服务
③访问DNS服务
2.配置扩展ACL禁用Web服务
(1)R1的配置
R1(config)#ip access-list extended 100
//启用扩展ACL,ACL编号为100
R1(config-ext-nacD)#deny tcp 192.168.2.0 0.0.0.255 172.16.10.0 0.0.0.255 eq www
//禁止192.168.2.0/24访问
R1(config-ext-nacD)#permit ip any any
//允许其他任何网段访问
R1(config)Hinterface serial 0/3/0
R1(config-if)tip access-group 100 out
//在Se0/3/0接口出方向应用ACL
- 验证Web服务
\\禁用Web服务后,无法访问Web服务器
3.配置扩展ACL禁用FTP服务
(1)R1的配置
R1(config)#ip access-list extended 100
R1(config-ext-nacl)#deny tcp 192.168.2.0 0.0.0.255 172.16.10.0 0.0.0.255 eq 20 R1(confg-ext-nacl)#deny tcp 192.168.2.0 0.0.0.255 172.16.10.0 0.0.0.255 eq 21 R1(config-ext-nacl)#permit ip any any
R1(config)#interface serial 0/3/0
R1(config-if)#ip access-group 100 out
(2)验证FTP服务
\\禁用FTP服务后,无法访问FTP服务器
- 配置扩展ACL禁用DNS服务
(1)R1的配置
Rl(config)#ip access-list extended 100
Rl(config-ext-nacl)#deny tcp 192.168.2.0 0.0.0.255 172.16.10.0 0.0.0.255 eq 53
Rl(config-ext-nacl)#deny udp 192.168.2.0 0.0.0.255 172.16.10.0 0.0.0.255 eq 53
Rl(config-ext-nacl)#permit ip any any
R1(config)#interface serial 0/3/0
Rl(config-if)#ip access-group 100 out
(2)验证DNS服务
文章来源:https://www.toymoban.com/news/detail-431409.html
//禁用DNS服务后,无法访问DNS服务器文章来源地址https://www.toymoban.com/news/detail-431409.html
到了这里,关于扩展ACL配置的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
