14.ACL实验

一、实验需求

1. PC1、PC3 自动获取ip地址。
2. 配置静态路由使得全网互通。
3. R2上面启用 Telnet 服务，方便远程管理（用户名：aa 密码：Huawei@123）
4. 拒绝财务部和市场部用户互访。
5. 在R2上配置ACL仅允许PC5 远程telnet控制。
6. 在R2上配置ACL拒绝PC2 访问Server1 的HTTP服务，但可以ping通。
7. 在R1上配置ACL拒绝PC4 ping Server1 但可以访问其HTTP服务。

二、实验拓扑

拓扑描述：

R1：作为所有PC的网关。
财务部用户：192.168.1.0/24
市场部用户：192.168.2.0/24
Server1：HTTP 服务器地址为7.7.7.7/24
PC1、PC3：DHCP动态分配IP地址
PC2：192.168.1.2
PC4：192.168.2.2
PC5（由路由器模拟）：192.168.1.3

三、配置过程

/* 1，配置接口IP地址 */
略

/* 2，配置DHCP */
/* R1 */
[R1] int g0/0/0  // 进入g0/0/0接口
[R1-GigabitEthernet0/0/0] dhcp select interface  // 开启该接口的dhcp服务（自动分配该接口网段的ip地址）
[R1-GigabitEthernet0/0/0] int g0/0/1  // 进入g0/0/1接口
[R1-GigabitEthernet0/0/1] dhcp select interface  // 开启该接口的dhcp服务

/* 3，配置静态路由 */
/* R1 */
[R1] ip route-static 0.0.0.0 0.0.0.0 12.1.1.2  // 目的网段为任意网络，下一跳为12.1.1.2的静态路由
/* R2 */
[R2] ip route-static 192.168.1.0 255.255.255.0 12.1.1.1  // 目的网段为192.168.1.0/24，下一跳为12.1.1.1的静态路由
[R2] ip route-static 192.168.2.0 255.255.255.0 12.1.1.1  // 目的网段为192.168.2.0/24，下一跳为12.1.1.1的静态路由

/* 4，在R2上启动Telnet服务 */
/* R2 */
[R2] telnet server enable  // 开启telnet服务
[R2] aaa  // 进入aaa认证
[R2-aaa] local-user aa privilege level 3  // 配置用户aa的等级为3
[R2-aaa] local-user aa password cipher Huawei@123 // 配置用户aa的登陆密码为Huawei@123，密文显示
[R2-aaa] local-user aa service-type telnet  // 配置用户aa的服务类型为telnet
[R2-aaa] quit  // 退出aaa
[R2] user-interface vty 0 4  // 进入vty视图
[R2-ui-vty0-4] authentication-mode aaa  // 配置vty的认证方式为aaa

/* 5，拒绝财务部和市场部互访 */
/* R1 */
[R1] acl 3001  //  创建并进入acl3001
[R1-acl-adv-3001] rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255  // 配置拒绝192.168.1.0/24网段到192.168.2.0/24网段的acl规则（拒绝财务部到市场部）
[R1-acl-adv-3001]acl 3002  // 创建并进入acl3002
[R1-acl-adv-3002] rule 5 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255  // 配置拒绝192.168.2.0/24网段到192.168.1.0/24网段的acl规则（拒绝市场部到财务部）
[R1-acl-adv-3002] int g0/0/0  // 进入g0/0/0接口
[R1-GigabitEthernet0/0/0] traffic-filter inbound acl 3001  // 配置该接口入方向的流量过滤规则为acl 3001
[R1-GigabitEthernet0/0/0] int g0/0/1  // 进入g0/0/1接口
[R1-GigabitEthernet0/0/1] traffic-filter inbound acl 3002  // 配置该接口入方向的流量过滤规则为acl 3002

/* 6，R2上配置ACL仅允许PC5 远程telnet控制 */
/* R2 */
[R2] acl 3001
[R2-acl-adv-3001] rule 5 permit ip source 192.168.1.3 0  // 配置允许ip地址192.168.1.3的acl规则
[R2-acl-adv-3001] rule 10 deny ip  // 配置拒绝所有ip的acl规则（选配）
[R2-acl-adv-3001] quit  // 退出acl 3001
[R2] user-interface vty 0 4  // 进入vty视图
[R2-ui-vty0-4] acl 3001 inbound  // 配置vty的规则为acl 3001（仅允许IP地址为192.168.1.3的设备远程访问，其他的ip地址都拒绝）
	※ acl 调用在vty 接口下，用来匹配范围，默认拒绝所有（因此上面acl 3001中编号为10的规则在此处可以不配）

/* 7，在R2上配置ACL拒绝PC2访问Server1 的HTTP服务，但可以ping通（ICMP服务可以访问） */
/* R2 */
[R2] acl 3002
[R2-acl-adv-3002] rule 5 deny tcp source 192.168.1.2 0 destination 7.7.7.7 0 destination-port eq www  // 拒绝192.168.1.2访问7.7.7.7的tcp协议www端口（80）
	※ tcp协议的80端口为HTTP服务
[R2-acl-adv-3002] int g0/0/1
[R2-GigabitEthernet0/0/1] traffic-filter outbound acl 3002  // 配置该接口出方向流量过滤的规则为acl 3002

/* 8，在R1上配置ACL拒绝PC4 ping Server1 但可以访问其HTTP服务 */
/* R1 */
[R1] acl 3002
[R1-acl-adv-3002] rule 10 deny icmp source 192.168.2.2 0 destination 7.7.7.7 0  // 拒绝192.168.2.2访问7.7.7.7的icmp协议
[R1-acl-adv-3002] int g0/0/1
[R1-GigabitEthernet0/0/1] traffic-filter inbound acl 3002  // 配置该接口出方向流量过滤的规则为acl 3002

四、调试命令

• display acl all // 查看acl的所有配置信息

五、思考问题

1. 如果将静态路由换成OSPF，则ACL的配置是否需要改变？

    答：不需要，因为更换为动态路由OSPF，其网段不会改变（acl配置都是基于IP地址与网段的）
   

2. 上述拓扑中，能否在R1上配置ACL拒绝PC1和PC2互访？

    答：不可以，因为PC1访问PC2，不会经过R1