Packet Tracer - 配置扩展 ACL - 场景 1
拓扑图
地址分配表
| 设备 | 接口 | IP 地址 | 子网掩码 | 默认网关 |
| R1 | G0/0 | 172.22.34.65 | 255.255.255.224 | 不适用 |
| G0/1 | 172.22.34.97 | 255.255.255.240 | 不适用 | |
| G0/2 | 172.22.34.1 | 255.255.255.192 | 不适用 | |
| 服务器 | NIC | 172.22.34.62 | 255.255.255.192 | 172.22.34.1 |
| PC1 | NIC | 172.22.34.66 | 255.255.255.224 | 172.22.34.65 |
| PC2 | NIC | 172.22.34.98 | 255.255.255.240 | 172.22.34.97 |
目标
第 1 部分:配置、应用并验证扩展 编号 ACL
第 2 部分:配置、应用并验证扩展命名 ACL
背景/场景
两名员工需要访问 服务器提供的服务。PC1 只需要访问 FTP,而 PC2 只需要访问 Web。这两台计算机都能够对服务器执行 ping 操作,但不能互相执行 ping 操作。
第 1 部分: 配置、应用并验证扩展编号 ACL
步骤 1: 配置 ACL 以允许 FTP 和 ICMP。
a. 在 R1 的全局配置模式下,输入以下命令 来确定扩展访问列表的首个有效编号。
R1(config)# access-list ?
<1-99> 标准 IP 访问列表
<100-199> 扩展 IP 访问列表
b. 将 100 添加到命令,后跟问号。
R1(config)# access-list 100 ?
deny 指定要拒绝的数据包
permit 指定要转发的数据包
remark 访问列表条目注释
c. 要允许 FTP 流量,请输入 permit,后跟问号。
R1(config)# access-list 100 permit ?
ahp 认证报头协议
eigrp 思科 EIGRP 路由协议
esp 封装安全负载
gre 思科 GRE 隧道
icmp Internet 控制消息协议
ip 任意 Internet 协议
ospf OSPF 路由协议
tcp 传输控制协议
udp 用户数据报协议
d. 此 ACL 允许 FTP 和 ICMP 访问。上面列出了 ICMP,但没有列出 FTP, 因为 FTP 使用的是 TCP。因此,输入 tcp 可进一步细化 ACL 帮助。
R1(config)# access-list 100 permit tcp ?
A.B.C.D 源地址
any 任意源主机
host 单个源主机
e. 请注意,我们可以通过使用 host 关键字 仅筛选 PC1,也可以允许 any 主机。在这种情况下,地址属于 172.22.34.64/27 网络的任何设备 均获准访问。输入网络 地址,后跟一个问号。
R1(config)# access-list 100 permit tcp 172.22.34.64 ?
A.B.C.D 源通配符位
f. 计算子网 掩码对应的通配符掩码。
11111111.11111111.11111111.11100000 = 255.255.255.224
00000000.00000000.00000000.00011111 = 0.0.0.31
g. 输入通配符掩码,后跟问号。
R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 ?
A.B.C.D 目的地址
any 任意目的主机
eq 仅匹配给定端口号上的数据包
gt 仅匹配具有较大端口号的数据包
host 单个目的主机
lt 仅匹配具有较小端口号的数据包
neq 仅匹配非给定端口号上的数据包
range 仅匹配端口号范围内的数据包
h. 配置目的地址。在这个场景中,我们要为单个目的地,也就是为服务器过滤 流量。输入 host 关键字 ,后跟服务器的 IP 地址。
R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 ?
dscp 匹配具有给定 dscp 值的数据包
eq 仅匹配给定端口号上的数据包
established 已建立
gt 仅匹配有更大端口号的数据包
lt 仅匹配有更小端口号的数据包
neq 仅匹配不具有给定端口号的数据包
precedence 匹配具有给定优先级值的数据包
range 仅匹配端口号范围内的数据包
i. 注意,一种选择是 (回车)。 换句话说,您可以按 Enter 键,该语句将允许所有 TCP 流量。但是,我们希望只允许 FTP 流量;因此,输入 eq 关键字,后跟一个问号来显示可用选项。然后, 输入ftp 并按 Enter 键。
R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ?
<0-65535> 端口号
ftp 文件传输协议 (21)
pop3 邮局协议 v3 (110)
smtp 简单邮件传输协议 (25)
telnet Telnet (23)
www 万维网(HTTP,80)
R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ftp
j. 创建第二个访问列表语句,以允许从 PC1 至服务器的 ICMP(ping 等) 流量。请注意,访问列表编号 保持不变,不需要 指定特定类型的 ICMP 流量。
R1(config)# access-list 100 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62
k. 默认情况下,所有其他流量都被拒绝。
步骤 2: 将 ACL 应用到正确的接口以过滤流量。
从 R1 角度来看,ACL 100 适用的流量从连接至千兆以太网 0/0 接口的网络入站。进入接口配置模式并应用 ACL。
R1(config)# interface gigabitEthernet 0/0
R1(config-if)# ip access-group 100 in
步骤 3: 检验 ACL 实施。
a. 从 PC1 对服务器执行 ping 操作。如果执行 ping 操作不成功,请在继续之前验证 IP 地址。
b. 从 PC1 对服务器进行 FTP 访问。用户名和密码均为 cisco。
PC> ftp 172.22.34.62
c. 退出服务器的 FTP 服务。
ftp> quit
d. 从 PC1 对 PC2 执行 ping 操作。 因流量未明确获得允许,因此应该无法访问目的主机。
第 2 部分: 配置、应用并验证扩展命名 ACL
步骤 1: 配置 ACL 以允许 HTTP 访问和 ICMP。
a. 命名 ACL 以 ip 关键字开头。在 R1 的全局配置 模式下,输入以下命令,后跟一个问号。
R1(config)# ip access-list ?
extended 扩展访问列表
standard 标准访问列表
b. 您可以配置命名标准 ACL 和扩展 ACL。该访问列表会同时过滤 源 IP 地址和目的 IP 地址,因此必须对其进行扩展。输入 HTTP_ONLY 作为名称。(用于 Packet Tracer 得分时,名称 区分大小写。)
R1(config)# ip access-list extended HTTP_ONLY
c. 提示符更改。您现在已处于扩展命名 ACL 配置模式中。 PC2 LAN 上的所有设备都需要 TCP 访问。输入网络地址, 后跟一个问号。
R1(config-ext-nacl)# permit tcp 172.22.34.96 ?
A.B.C.D 源通配符位
d. 计算通配符的另一种方法是从 255.255.255.255 中减去子网 掩码。
255.255.255.255
- 255.255.255.240
-----------------
= 0. 0. 0. 15
R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 ?
e. 按照在第 1 部分中的做法,通过指定服务器地址和过滤 www 流量来完成语句。
R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www
f. 创建第二个访问列表语句,以允许从 PC2 至服务器的 ICMP(ping 等) 流量。注意:提示符保持不变,且 无需指定特定类型的 ICMP 流量。
R1(config-ext-nacl)# permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62
g. 默认情况下,所有其他流量都被拒绝。退出扩展命名 ACL 配置模式。
步骤 2: 将 ACL 应用到正确的接口以过滤流量。
从 R1 角度来看,访问 列表 HTTP_ONLY 适用的流量从连接至千兆 以太网 0/1 接口的网络入站。进入接口配置模式并应用 ACL。
R1(config)# interface gigabitEthernet 0/1
R1(config-if)# ip access-group HTTP_ONLY in
步骤 3: 检验 ACL 实施。
- 从 PC2 对服务器执行 ping 操作。Ping 操作应成功,如果执行 ping 操作不成功,请在继续之前验证 IP 地址。
- 从 PC2 对服务器进行 FTP 访问。应该无法成功连接。
c. 在 PC2 上打开 Web 浏览器,输入服务器 的 IP 地址作为 URL。连接应该会成功。
实验具体步骤:
R1:
R1>enable
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ftp
R1(config)#access-list 100 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62
R1(config)#interface g0/0
R1(config-if)#ip access-group 100 in
R1(config-if)#exit
R1(config)#ip access-list extended HTTP_ONLY
R1(config-ext-nacl)#permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www
R1(config-ext-nacl)#permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62
R1(config-ext-nacl)#exit
R1(config)#interface g0/1
R1(config-if)#ip access-group HTTP_ONLY in
R1(config-if)#end
R1#
%SYS-5-CONFIG_I: Configured from console by console
R1#wr
R1#write
Building configuration...
[OK]实验链接:https://pan.baidu.com/s/19gm0SgSG_QyEtlgBX_n-2Q?pwd=4110
提取码:4110
--来自百度网盘超级会员V2的分享
