ACL实验.docVIP

实验一:标准ACL实验 一:实验拓扑: 二:实验目的:掌握标准与扩展ACL的配置 三:实验要求:拒绝R1到R3的所有流量 标准ACL 目标设备上,in R3(config)#access-list 1 deny R3(config)#access-list 1 permit any R3(config)#int s2/1 R3(config-if)#ip access-group 1 in 扩展ACL R2连接R1 in R2(config)#access-list 101 deny ip host host R2(config)#access-list 101 permit ip any any R2(config)#int s2/1 R2(config-if)#ip access-group 101 in R3(config)#access-list 1 permit 55 R3(config)#line vty 0 4 R3(config-line)#acc R3(config-line)#access-class 1 in 四:实验步骤: 步骤1：按如上拓扑做好底层配置,并检测相邻设备之间的连通性 步骤2：起静态路由,是全网互通 R1(config)#ip route R3(config)#ip route 步骤3：在R3上做标准的ACL,使R1不能访问R3 R3(config)#access-list 1 deny 或使用命令: R3(config)#access-list 1 deny host 因为访问控制列表末尾有一个拒绝所有的隐含条目,所以要在最后加入一条: R3(config)#access-list 1 permit any 标准ACL要放置在离目标近的地方,所以配置在R3的s2/1的入方向接口上 R3(config)#int s2/1 R3(config-if)#ip access-group 1 in 实验二:扩展ACL实验 一:实验拓扑: 二:实验目的: 掌握扩展访问控制列表的配置 掌握如何使用扩展访问控制列表实现网络的安全性 三:实验要求: 要求1: 拒绝任何来自网络到/24的ICMP流量 只有可以访问FTP服务器 要求2: 实验要求和拓扑同上,将访问控制列表转换成命名的ACL: 要求3: 使用ACL对VTY线路进行限制,实验要求只有可以对R1进行远程登陆(实现方法:在Router1的VTY线路上通过ACL限制访问) 四:实验步骤: 需求1： 步骤1:按如上拓扑做好底层配置,在三台路由器上启用OSPF协议,使之互通 步骤2:在R3上做扩展的ACL,拒绝来自网络的ICMP流量 R3(config)#access-list 102 deny icmp 55 any R3(config)#access-list 102 permit ip any any R3(config-if)#ip access-group 102 in 步骤3:在R1上做扩展访问控制列表,使得只有可以访问FTP服务器. 注意FTP使用两个端口号,20,21: R1(config)#access-list 101 permit tcp host host eq 20 R1(config)#access-list 101 permit tcp host host eq 21 R1(config)#int f1/0 R1(config-if)#ip access-group 101 in 需求2: R3(config)#ip access-list extended deny_icmp R3(config-ext-nacl)#deny icmp 55 any R3(config-ext-nacl)#permit ip any any R3(config-ext-nacl)#int f1/0 R3(config-if)#ip access-group deny_icmp in R1(config)#ip access-list extended deny_ftp R1(config-ext-nacl)#permit tcp host host eq 20 R1(config-ext-nacl)#permit tcp host host eq 21 R3(config)#int f1/0 R3(config-if)#ip access-group deny_ftp in 命名ACL的最大优点在于可以修改其中任意一条,而使用编号的ACL则不能. 需求3: R1(config)#line