网络设备安装与调试（旧） 高 扩展-ACL.docVIP

网络技术专业教学资源库 PAGE 1 配置扩展 ACL 拓扑图 地址表 设备 接口 IP 地址 子网掩码 S0/0/0 52 R1 Fa0/0 Fa0/1 S0/0/0 52 R2 S0/0/1 52 S0/1/0 25 24 Fa0/0 R3 S0/0/1 52 Fa0/0 S0/0/1 26 24 ISP Fa0/0 24 Fa0/1 29 24 PC1 网卡 0 PC2 网卡 0 PC3 网卡 0 PC4 网卡 28 WEB/TFTP 网卡 54 Server WEB Server 网卡 0 24 Outside Host 网卡 58 24 学习目标 检查当前的网络配置 评估网络策略并规划 ACL 实施 配置采用数字编号的扩展 ACL 配置命名扩展 ACL 简介 扩展 ACL 是一种路由器配置脚本，根据源地址、目的地址，以及协议或端口来控制路由器应该允许还是应 该拒绝数据包。扩展 ACL 比标准 ACL 更加灵活而且精度更高。本练习的主要内容是定义过滤标准、配置 扩展 ACL、将 ACL 应用于路由器接口并检验和测试 ACL 实施。路由器已经过配置，包括 IP 地址和 EIGRP 路由。用户执行口令是 cisco，特权执行口令是 class。 任务 1：检查当前的网络配置 步骤 1. 查看路由器的运行配置。 逐一在三台路由器的特权执行模式下使用 show running-config 命令查看运行配置。请注意，接口和路由 已配置完整。将 IP 地址配置与上面的地址表相比较。此时，路由器上应该尚未配置任何 ACL。 本练习不需要配置 ISP 路由器。假设 ISP 路由器不属于您的管理范畴，而是由 ISP 管理员配置和维护。 步骤 2. 确认所有设备均可访问所有其它位置。 将任何 ACL 应用于网络中之前，都必须确认网络完全连通。如果应用 ACL 之前不测试网络连通性，排查 故障会非常困难。 要确保整个网络连通，请在不同的网络设备之间使用 ping 命令和 tracert 命令检验连接。 任务 2：评估网络策略并规划 ACL 实施 步骤 1. 评估 R1 LAN 的策略。 对于 /24 网络，阻止 telnet 访问所有位置，并且阻止通过 TFTP 访问地址为 54 的企业 Web/TFTP Server。允许所有其它访问。 对于 /24 网络，允许通过 TFTP 和 Web 访问地址为 54 的企业 Web/TFTP Server。阻止从 /24 网络发往 /24 网络的所有其它流量。 允许所有其它访问。 步骤 2. 为 R1 LAN 规划 ACL 实施。 用两个 ACL 可完全实施 R1 LAN 的安全策略。 第一个 ACL 支持策略的第一部分，配置在 R1 上并应用于 Fast Ethernet 0/0 接口的入站流量。 第二个 ACL 支持策略的第二部分，配置在 R1 上并应用于 Fast Ethernet 0/1 接口的入站流量。 步骤 3. 评估 R3 LAN 的策略。 阻止 /24 网络的所有 IP 地址访问 /24 网络的所有 IP 地址。 允许 /24 的前一半地址访问所有其它目的地址。 允许 /24 的后一半地址访问 /24 网络和 /24 网络。 允许 /24 的后一半地址通过 Web 访问和 ICMP 访问所有其余目的地址。 明确拒绝所有其它访问。 步骤 4. 为 R3 LAN 规划 ACL 实施。 本步骤需要在 R3 上配置一个 ACL 并应用于 FastEthernet 0/0 接口的入站流量。 步骤 5. 评估通过 ISP 进入的 Internet 流量的策略。 仅允许 Outside Host 通过端口 80 与内部 Web Server 建立 Web 会话。 仅允许已建立 TCP 会话进入。 仅允许 ping 应答通过 R2。 步骤 6. 为通过 ISP 进入的 Internet 流量规划 ACL 实施。 本步骤需要在 R2 上配置一个 ACL 并应用于 Serial 0/1/0 接口的入站流量。