Packet Tracer - 配置编号的标准 IPv4 ACL(第一篇)
目标
第 1 部分:计划 ACL 实施
第 2 部分:配置、应用和验证标准 ACL
背景/场景
标准访问控制列表 (ACL) 为路由器 配置脚本,基于源地址控制路由器 是允许还是拒绝数据包。本练习的主要内容是定义过滤标准、 配置标准 ACL、将 ACL 应用于路由器接口并 验证和测试 ACL 实施。路由器已经配置完成, 包括 IP 地址以及增强型内部网关路由 协议 (EIGRP) 路由。
说明
第 1 部分:规划 ACL 实施
步骤 1:调查当前的 网络配置。
在将 ACL 应用于网络中之前, 都必须确保网络中的连通性没有问题。通过选择一个 PC, 然后 ping 网络上的其他设备,验证网络具有全面连接。您 应该能够成功 ping 通每台设备。
步骤 2:评估两个网络 策略,计划 ACL 实施。
a. 在R2上实施了以下网络策略:
192.168.11.0/24 网络不允许访问 192.168.20.0/24 网络上的 Web服务器 。
允许所有其他访问。
要限制从 192.168.11.0/24 网络访问 192.168.20.254 网络上的 Web服务器,而不干扰其他流量,则必须在 R2上创建 ACL。该访问列表必须放置在连接 Web服务器的出站接口上。必须在R2 上创建另一个规则以允许所有其他流量。
b. 在R3上实施了以下网络策略:
不允许 192.168.10.0/24 网络与 192.168.30.0/24 网络通信。
允许所有其他访问。
要限制从 192.168.10.0/24 网络访问 192.168.30/24 网络,而不干扰其他流量,则需要在 R3上创建访问列表。该访问列表必须放置在连接 PC3的出站接口上。必须在R3上创建另一个规则以允许 所有其他流量。
第 2 部分:配置、应用和 验证标准 ACL
步骤 1:在 R2 上配置和应用 编号的标准 ACL。
a. 在R2上创建编号为1的ACL, 拒绝192.168.11.0/24网络访问192.168.20.0/24网络。
打开配置窗口
R2(config)# access-list 1 deny 192.168.11.0 0.0.0.255
b. 默认情况下,访问列表会拒绝与列表中的所有规则均不匹配的流量。 要允许所有其他流量,则需要配置下面这条语句:
R2(config)# access-list 1 permit any
c. 在把访问列表应用在接口上过滤流量 之前 ,最好首先检查访问列表的内容, 以确认它会按照预期过滤流量。
R2# show access-lists
Standard IP access list 1
10 deny 192.168.11.0 0.0.0.255
20 permit any
d. 为了让这个 ACL 真的能够过滤流量,必须应用 这个 ACL。在千兆以太网 G0/0 接口上应用 ACL 来过滤出站流量。 注意:在实际运行的网络中,把未经测试的访问列表应用在活跃接口上 可不是一个好主意。
R2(config)# interface GigabitEthernet0/0
R2(config-if)# ip access-group 1 out
步骤 2:在R3上配置和应用 编号的标准 ACL。
a. 在R3 创建一个 ACL,在其中拒绝PC1 的网络 (192.168.10.0/24) 访问192.168.30.0/24网络。
R3(config)# access-list 1 deny 192.168.10.0 0.0.0.255
b. 默认情况下,ACL 会拒绝与列表中的所有规则均不匹配的流量。 要允许所有其他流量,需要为 ACL 1 创建另一个规则。
R3(config)# access-list 1 permit any
c. 验证访问列表的配置是正确的。
R3# show access-lists
Standard IP access list 1
10 deny 192.168.10.0 0.0.0.255
20 permit any
d. 在千兆以太网 G0/0 接口上应用 ACL 来过滤出站流量。
R3(config)# interface GigabitEthernet0/0
R3(config-if)# ip access-group 1 out
步骤 3:验证 ACL 的配置 和功能。
a. 使用 show run 或 show ip interface gigabitethernet 0/0 命令 来验证 ACL 的应用。
b. 通过使用两个 ACL,将根据第 1 部分 详述的策略来限制网络流量。使用以下测试来验证 ACL 的实施:
· 从192.168.10.10到192.168.11.10 的ping成功。
· 从192.168.10.10到192.168.20.254的ping成功。
· 从192.168.11.10到192.168.20.254的ping失败。
· 从192.168.10.10到192.168.30.10的ping失败。
· 从192.168.11.10到192.168.30.10的ping成功。
· 从192.168.30.10到192.168.20.254的ping成功。
c. 再次在路由器R2 和 R3上使用命令 show access-lists。在输出中您应该会看到访问列表中 每条语句的数据包匹配数量。注意:根据发送和接收 ping 的数量, 在您的实验中, 路由器显示的匹配数量可能会有所不同。
R2# show access-lists
Standard IP access list 1
10 deny 192.168.11.0 0.0.0.255 (4 match(es))
20 permit any (8 match(es))
R3# show access-lists
Standard IP access list 1
10 deny 192.168.10.0 0.0.0.255 (4 match(es))
20 permit any (8 match(es))
配置脚本如下:
R2
enable
conf t
access-list 1 deny 192.168.11.0 0.0.0.255
ccess-list 1 permit any
interface GigabitEthernet0/0
ip access-group 1 out
end
R3
enable
conf
access-list 1 deny 192.168.10.0 0.0.0.255
access-list 1 permit any
interface GigabitEthernet0/0
ip access-group 1 out
end
完成结果如下:
Packet Tracer - 配置编号的标准 IPv4 ACL(第二篇)
目标
第 1 部分:配置和应用命名的标准 ACL
第 2 部分:验证 ACL 实施
背景/场景
资深网络 管理员指派您创建一个命名的标准ACL,来过滤去往 文件服务器的访问。文件服务器中包含Web应用所使用的数据库。 只有Web管理工作站PC1和Web服务器需要访问文件 服务器。其他所有去往文件服务器的流量都应该被拒绝。
说明
第 1 部分:配置和应用命名的 标准 ACL
步骤 1:在配置和应用 ACL 之前 验证连通性。
三个工作站都应该可以ping通 Web 服务器和文件服务器。
步骤 2:配置命名的标准 ACL。
打开配置窗口
a. 在R1上配置命名的ACL。
R1(config)# ip access-list standard File_Server_Restrictions
R1(config-std-nacl)# permit host 192.168.20.4
R1(config-std-nacl)# permit host 192.168.100.100
R1(config-std-nacl)# deny any
注意:出于评分的目的,ACL的名称 要区分大小写,语句的顺序必须与上述显示相同。
b. 在接口上应用访问列表之前,要使用 show access-lists 命令来确认访问列表的内容。 确保您没有误输入IP地址, 并且命令的顺序也是正确的。
R1# show access-lists
Standard IP access list File_Server_Restrictions
10 permit host 192.168.20.4
20 permit host 192.168.100.100
30 deny any
步骤 3:应用命名的ACL
a. 在Fa0/1接口的出站方向上应用ACL。
R1(config-if)#interface f0/1
注意:在实际运行的网络中, 把未经测试的访问列表应用在活跃接口上 可不是一个好主意。
R1(config-if)# ip access-group File_Server_Restrictions out
b. 保存配置。
关闭配置窗口
第 2 部分:验证ACL的部署
步骤 1:验证ACL 配置以及在接口上的应用。
打开配置窗口
使用 show access-lists 命令 验证 ACL 配置。使用 show run 或 show ip interface fastethernet 0/1 命令验证 ACL 是否已 应用于正确接口。
步骤 2:验证ACL 是否正常工作。
所有三个工作站都可以ping通Web 服务器,但只有PC1和Web服务器可以 ping通文件服务器。再次使用 show access-list 命令来查看 每条语句上匹配的数据包数量。
PC0
PC1
PC2
配置脚本如下:
R1
enable
conf t
ip access-list standard File_Server_Restrictions
permit host 192.168.20.4
permit host 192.168.100.100
deny any
exit
int f0/1
ip access-group File_Server_Restrictions out
end