扩展ACL配置
【实验目的】
- 掌握扩展ACL的配置。
- 认识扩展ACL的作用。
- 验证配置。
【实验拓扑】
实验拓扑如图1所示。
图1 实验拓扑
设备参数如表所示。
表1 设备参数表
| 设备 | 接口 | IP地址 | 子网掩码 | 默认网关 |
| R1 | S0/3/0 | 192.168.1.1 | 255.255.255.252 | N/A |
| Fa0/0/0 | 192.168.2.1 | 255.255.255.0 | N/A | |
| R2 | S0/3/0 | 192.168.1.2 | 255.255.255.252 | N/A |
| Fa0/0 | 172.16.10.254 | 255.255.255.0 | N/A | |
| PC1 | N/A | 192.168.2.2 | 255.255.255.0 | 192.168.2.1 |
| Server1 | N/A | 172.16.10.1 | 255.255.255.0 | 172.16.10.254 |
【实验内容】
1.配置路由协议
- R1的基本配置
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname R1
R1(config)#interface f0/0
R1(config-if)#ip address 192.168.2.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#
%LINK-5-CHANGED: Interface GigabitEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to up
R1(config-if)#interface s0/3/0
R1(config-if)#ip address 192.168.1.1 255.255.255.252
R1(config-if)#no shutdown
%LINK-5-CHANGED: Interface Serial0/3/0, changed state to down
R1(config-if)#exit
R1(config)#
%LINK-5-CHANGED: Interface Serial0/3/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/3/0, changed state to up
R1(config-if)#exit
R1(config)#ip route 172.16.10.0 255.255.255.0 serial 0/3/0
//配置静态路由协议
(2)R2的基本配置
Router>enable
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname R2
R2(config)#interface f0/0
R2(config-if)#ip address 172.16.10.254 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#
%LINK-5-CHANGED: Interface GigabitEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to up
R2(config-if)#interface s0/3/0
R2(config-if)#ip address 192.168.1.2 255.255.255.252
R2(config-if)#no shutdown
R2(config-if)#
%LINK-5-CHANGED: Interface Serial0/3/0, changed state to up
R2(config-if)#exit
R2(config)#
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/3/0, changed state to up
R2(config)#ip route 192.16.2.0 255.255.255.0 serial 0/3/0
//配置静态路由协议
(3)Server1的基本配置
(4)验证连通性
(5)验证PC1访问服务
①访问Web服务
②访问FTP服务
③访问DNS服务
2.配置扩展ACL禁用Web服务
(1)R1的配置
R1(config)#ip access-list extended 100
//启用扩展ACL,ACL编号为100
R1(config-ext-nacD)#deny tcp 192.168.2.0 0.0.0.255 172.16.10.0 0.0.0.255 eq www
//禁止192.168.2.0/24访问
R1(config-ext-nacD)#permit ip any any
//允许其他任何网段访问
R1(config)Hinterface serial 0/3/0
R1(config-if)tip access-group 100 out
//在Se0/3/0接口出方向应用ACL
- 验证Web服务
\\禁用Web服务后,无法访问Web服务器
3.配置扩展ACL禁用FTP服务
(1)R1的配置
R1(config)#ip access-list extended 100
R1(config-ext-nacl)#deny tcp 192.168.2.0 0.0.0.255 172.16.10.0 0.0.0.255 eq 20 R1(confg-ext-nacl)#deny tcp 192.168.2.0 0.0.0.255 172.16.10.0 0.0.0.255 eq 21 R1(config-ext-nacl)#permit ip any any
R1(config)#interface serial 0/3/0
R1(config-if)#ip access-group 100 out
(2)验证FTP服务
\\禁用FTP服务后,无法访问FTP服务器
- 配置扩展ACL禁用DNS服务
(1)R1的配置
Rl(config)#ip access-list extended 100
Rl(config-ext-nacl)#deny tcp 192.168.2.0 0.0.0.255 172.16.10.0 0.0.0.255 eq 53
Rl(config-ext-nacl)#deny udp 192.168.2.0 0.0.0.255 172.16.10.0 0.0.0.255 eq 53
Rl(config-ext-nacl)#permit ip any any
R1(config)#interface serial 0/3/0
Rl(config-if)#ip access-group 100 out
(2)验证DNS服务
//禁用DNS服务后,无法访问DNS服务器
