项目三任务七 配置IP扩展访问列表限制对服务的访问.pptxVIP

任务描述学校一台三层交换机上连着学校的WWW和FTP的服务器，另外还连接着学生宿舍楼和教工宿舍楼，学校规定学生只能对FTP服务器进行访问，不能对WWW服务器进行访问，教工则没有限制，请你给予支持。知识链接1．编号的扩展ACL任务七IP扩展访问列表限制对服务的访问命令功能说明Router(config)#access-listlistnumber{permit|deny}protocolsourcesource-wildcard-mask[operatoroperand]destinationdestination-wildcard-mask[operatoroperand]Listnumber：是规则序号，扩展ACL取值为100-199或2000-2699。Permit和deny：表示匹配条件的报文是通过还是阻止。Protocol：定义匹配的协议，具体协议看表3-6。source-wildcard-mask：源ip地址和反掩码，与标准ACL相同。destination-wildcard-mask：目的ip地址和反掩码，与标准ACL相同。Operator：源\目的端口号。可以用数字、助记符或者操作符与数字、助记符相结合的方法来指定端口或端口范围。Router(config-if)#ipaccess-groupid{in|out}id：扩展ACL的编号in：数据从路由器端口进入out：数据经路由器端口出去

任务七IP扩展访问列表限制对服务的访问协议描述eigrpCiscoeigrp路由选择协议greGre隧道icmpInternet控制消息协议ip任何ip协议ipinipIp隧道中的ipnosKa9qnos兼容ip之上的ip隧道ospfOspf路由协议tcp传输控制协议utp用户数据报协议操作符描述eq等于端口号portnumbergt大于端口号portnumberit小于端口号portnumberneq不等于端口号portnumberrange介于端口号portnumber1和端口号portnumber2

任务七IP扩展访问列表限制对服务的访问2．命名的扩展ACL命令功能说明Router(config)#ipaccess-listextendednameName：扩展ACL定义的名字Router(config-ext-nacl)#{permit|deny}protocolsourcesource-wildcard-mask[operatoroperand]destinationdestination-wildcard-mask[operatoroperand]Permit和deny：表示匹配条件的报文是通过还是阻止。Protocol：定义匹配的协议source-wildcard-mask：源ip地址和反掩码，与标准ACL相同。destination-wildcard-mask：目的ip地址和反掩码，与标准ACL相同。Operator：源/目的端口号。可以用数字、助记符或者操作符与数字、助记符相结合的方法来指定端口或端口范围。Router(config-if)#ipaccess-groupid{in|out}id：扩展ACL的编号in：数据从路由器端口进入out：数据经路由器端口出去

任务实施1．任务拓扑图及要求说明此任务拓扑如图所示，一台三层交换机、一台服务器和两台PC通过三根直通线进行连接。PC1属于VLAN10，PC2属于VLAN20，服务器属于VLAN30，要求使用扩展ACL技术实现PC1可以访问服务器的FTP服务，但不能访问WWW服务，而PC2则可以访问服务器的FTP和WWW服务，并验证。任务七IP扩展访问列表限制对服务的访问PC1PC2L3-SWServerF0/11F0/6F0/24

2．实施步骤1）在三层交换上创建VLAN，配置SVI接口IP地址。L3-SW(config)#Vlan10L3-SW(config)#Vlan20L3-SW(config)#Vlan30L3-SW(config)#interfacerangefastethernet0/6-10L3-SW(config-if-range)#switchaccessvlan10L3-SW(config)#interfacerangefastethernet0/11-15L3-SW(config-if-range)#switchaccessvlan20L3-SW(config)#interfacerangefastethernet0/2