ACL实验手册：网络配置与访问控制策略实施.pdfVIP

图1‑1

注:如无特别说明,同一网段中,IP地址的主机位为其设备编号,如R3的g0/0接口若在

/24网段,则其IP地址为/24,以此类推。此拓扑中PC1,PC2,

SERVER1使用路由器来模拟

实验需求

1.按照图示配置IP地址

2.全网路由互通

3.在SERVER1上配置启用TELNET和FTP服务

4.配置ACL实现如下效果

i./24网段不允许/24网段，要求使用基本A

CL实现ii.PC1可以SERVER1的TELNET服务，但不能FTP服务iii.PC2

可以SERVER1的FTP服务，但不能TELNET服务iv./24网

段不允许SERVER1，要求通过高级ACL实现

实验解法

1.配置IP�地址

2.R1、R2、R3上配置RIP使全网路由互通，步骤略

3.在SERVER1上配置开启TELNET和FTP分略

4.配置ACL部分

分析：需求i，要求/24网段不允许/24网段，只能使用基

本ACL实现。基本ACL只过滤源IP地址，只能在R2的g0/2接口上配置出方向滤来实

现。如果配置在两个网段沿途的其他位置，将会影响到/24网段和其他网段的正

常通讯

需求ii，PC1可以SERVER1的TELNET服务，但不能FTP服务。既然要过

滤指定的服务，就只能使用高级ACL，高级ACL不会造成误过滤，所以可以配置在离源地

址的接口的入方向，也就是R1的g0/1接口的入方向。另外，由于的ACL用于

滤默认动作是允许，所以并不需要专门配置允许PC1SERVER1的TELNET，只

需要配置FTP的规则即可。

需求iii，PC2可以SERVER1的FTP服务，但不能TELNET服务。同理，

只能使用高级ACL，配置在R1的g0/1接口的入方向。而且也只需要配置

TELNET的规则即可。

由于需求i和需求ii配置在同一个路由器同一个接口的同方向,所以把规则写入到同一个

ACL即可

需求iv:/24网段不允许SERVER1,要求通过高级ACL实现。高级

图1-1

注：如无特别说明，同一网段中，IP地址的主机位为其设备编号，如R3的g0/0接口若在

/24网段，则其IP地址为/24，以此类推。此拓扑中PC1，PC2，

SERVER1使用路由器来模拟

实验需求

1.按照图示配置IP地址

2.全网路由互通

3.在SERVER1上配置开启TELNET和FTP服务

4.配置ACL实现如下效果

i./24网段不允许/24网段，要求使用基本ACL实现

ii.PC1可以SERVER1的TELNET服务，但不能FTP服务

iii.PC2可以SERVER1的FTP服务，但不能TELNET服务

iv./24网段不允许SERVER1，要求通过高级ACL实现

实验解法

1.配置IP地址

2.R1，R2，R3上配置RIP使全网路由互通，步骤略

3.在SERVER1上配置开启TELNET和FTP分略

4.配置ACL部分