ACL综合实验-cisco packet tracer

什么是ACL呢？

ACL是关于网络安全的配置。

随着大规模开放式网络的开发，网络面临的威胁也就越来越多。网络安全问题成为网络管理员必须面对的问题。一方面，为了业务的发展，必须允许对网络资源的开放访问权限;

另一方面，又必须确保数据和资源的尽可能安全。网络安全采用的技术很多，而通过ACL可以对数据流进行过滤,是实现基本的网络安全手段之一。

访问控制列表(Access Control List，ACL)是控制网络访问的一种有利的工具。

所谓ACL就是一种路由器配置脚本，它根据从数据包包头中发现的信息（源地址、目的地址、源端口、目的端口和协议等)来控制路由器应该允许还是拒绝数据包通过，从而达到访问控制的目的。

ACL是Cisco IOS 软件中最常用的功能之一，其应用非常广泛，可以实现如下典型的功能：

①限制网络流量以提高网络性能。

②提供基本的网络访问安全。

③控制路由更新的内容。

④在QoS实施中对数据包进行分类。

⑤定义IPSec VPN的感兴趣流量。

⑥定义策略路由的匹配策略。

那我们为什么要学习ACL？

学习Cisco ACL（访问控制列表）有以下几个重要原因：

1. 网络安全：Cisco ACL是一种网络安全工具，通过它可以控制网络中哪些设备可以访问哪些资源。学习Cisco ACL可以帮助你了解如何限制网络流量并保护网络免受未经授权的访问。

2. 通信控制：通过Cisco ACL，你可以根据IP地址、协议类型、端口号等条件来控制网络通信。学习Cisco ACL可以帮助你了解如何管理和控制网络流量，以确保网络中的通信符合组织的策略和需求。

3. 故障排除：学习Cisco ACL可以帮助你更好地理解网络中的数据流动，从而更好地排除网络故障。你可以使用ACL来跟踪和监控网络流量，以便定位和修复问题。

4. 路由优化：通过使用ACL，你可以根据不同的数据流定制路由策略，从而提高网络的性能和可靠性。学习Cisco ACL可以帮助你了解如何使用ACL来实现路由优化。

总的来说，学习Cisco ACL可以帮助你提高网络安全性、控制网络通信、解决网络故障并优化网络性能。这对于想要在网络领域发展的人来说是非常重要的。

Cisco ACL的实验主要包括以下方面：

1. ACL基本概念：介绍ACL的基础知识，包括ACL的作用、类型、构成等。了解ACL的基本概念对于后续的实验非常重要。

2. 配置和验证ACL规则：学习如何配置和验证ACL规则。这包括创建和编辑ACL规则、将ACL应用于接口或其他设备、验证ACL规则的功能是否正常。

3. 标准ACL和扩展ACL：学习标准ACL和扩展ACL的区别和用途。标准ACL基于源IP地址进行匹配，而扩展ACL可以使用更多的条件进行匹配，如目标IP地址、协议类型、端口号等。

4. ACL实践案例：通过实际的案例学习如何使用ACL来实现具体的网络策略和安全控制。这包括限制特定IP地址的访问、阻止特定协议或端口的流量等。

5. ACL优化和调试：学习如何优化和调试ACL规则，以提高网络的性能和可靠性。这包括了解ACL规则的顺序、如何重排ACL规则以提高匹配效率等。

通过这些实验，你将能够深入了解Cisco ACL的原理和应用，掌握如何配置和管理ACL规则，以及如何使用ACL来实现网络安全和通信控制。这将有助于你在实际网络环境中应用ACL来实现网络策略和保护网络安全。

怎样高效并有效的学习cisco ACL。

学习Cisco ACL（访问控制列表）的关键是理解其基本概念和用法，并进行实际的实践和练习。

1. 学习基本概念：了解ACL是什么，以及它在网络安全中的作用和重要性。了解不同类型的ACL（标准ACL、扩展ACL、命名ACL）以及其区别和用途。

2. 查阅Cisco官方文档：参考Cisco官方文档，如官方手册、技术支持文档和配置指南，以了解ACL的详细信息和配置步骤。

3. 手动配置实践：通过手动配置ACL来实践和理解ACL的工作原理。使用命令行界面（CLI）或图形界面（如Cisco Packet Tracer或GNS3）手动配置和验证ACL。

4. 理解语法和规则：了解ACL的语法和规则，包括匹配条件、操作符和ACL的应用顺序。学习如何配置和修改ACL以实现不同的安全需求。

5. 实践示例和案例：找到一些实际的示例和案例，如基于IP地址过滤的ACL、基于端口过滤的ACL等，通过实践来理解和应用ACL。

6. 深入学习和研究：学习更高级的ACL概念，如使用ACL进行流量分类和控制、ACL与其他网络安全技术的集成等。

7. 模拟实验和实际场景：使用模拟实验工具如Packet Tracer或GNS3，模拟实际的网络场景，并应用ACL来实现网络安全。

8. 网络论坛和社区：参与网络安全论坛和社区，与其他学习者和专业人士交流和分享经验，以加深对ACL的理解。

9. 实际经验和挑战：尝试在实际的网络环境中应用ACL，如家庭网络或小型办公室网络，以获得实际的经验和面临挑战。

10. 持续学习和更新：网络安全技术不断更新和演进，持续学习和更新自己的知识将使您能够跟上最新的网络安全趋势和技术。

总之，学习Cisco ACL需要理论知识的学习和实践的实验结合，通过不断的练习和实践，你将能够更好地掌握和应用ACL技术。

以下是一个关于cisco ACL优化的实验

这是本次试验一的拓扑图，需要注意的是

然后我们开始接下来的配置R1，结果如下，注意这是未配置ACL的R1配置过程

最后退出（exit)然后保存（write）即可

然后是pc的配置

接下来我们要验证pc之间的连通性

通了 接下来我们进行配置ACL后的R1的配置过程

最后我们再次验证pc之间的连通性

至此实验一结束

接下来我们开始实验二

这是本次实验的拓扑图

S1

enable

configure terminal

no ip domain-lookup

no logging on

hostname S1

vlan 80

name SheBeiGuanLi

vlan 105

name SheJiZhongXin

vlan 107

name GongChengZhongXin

vlan 109

name CheShiZhongXin

vlan 111

name YanJiuYuan

exit

interface vlan 80

description SheBeiGuanLi

ip address 172.16.80.1 255.255.255.0

no shutdown

exit

interface vlan 105

description SheJiZhongXin

ip address 172.16.105.1 255.255.255.0

no shutdown

exit

interface vlan 107

description GongChengZhongXin

ip address 172.16.107.1 255.255.255.0

no shutdown

exit

interface vlan 109

description CheShiZhongXin

ip address 172.16.109.1 255.255.255.0

no shutdown

exit

interface vlan 111

description YanJiuYuanFTP

ip address 172.16.111.1 255.255.255.0

no shutdown

exit

interface gigabitethernet 0/0

description SheJiZhongXin

switch trunk encapsulation dot1q  

switchport mode trunk

switchport trunk allowed vlan 80,105

exit

interface gigabitethernet 0/1

description GongChengZhongXin

switch trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan 80,107

exit

interface gigabitethernet 0/2

description CheShiZhongXin

switch trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan 80,109

exit

interface gigabitethernet 1/1

description YanJiuYuan

switchport mode access

switchport access vlan 111

exit

enable password 7 adminconsole

line console 0

logging synchronous

exec-timeout 3 0

exit

username admin password admin123

ip ssh version 2

ip domain-name lz.cn

crypto key generate rsa

1024

line vty 0 4

login local

transport input ssh

end

write

copy running-config startup-config

S2

enable

configure terminal

no ip domain-lookup

no logging on

hostname S2

vlan 80

name SheBeiGuanLi

vlan 105

name SheJiZhongXin

Exit

interface gigabitethernet 0/0

description UP-Link

switch trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan 80,105

exit

interface gigabitethernet 1/3

description Network Administrator

switchport mode access

switchport access vlan 80

exit

interface gigabitethernet 1/1

description SJZX

switchport mode access

switchport access vlan 105

exit

interface vlan 80

description SheBeiGuanLi

ip address 172.16.80.2 255.255.255.0

no shutdown

exit

enable password 7 adminconsole

line console 0

logging synchronous

exec-timeout 3 0

exit

username admin password admin123

ip ssh version 2

ip domain-name lz.cn

crypto key generate rsa

1024

line vty 0 4

login local

transport input ssh

end

write

copy running-config startup-config

S3

enable

configure terminal

no ip domain-lookup

no logging on

hostname S3

vlan 80

name SheBeiGuanLi

vlan 107

name SheJiZhongXin

exit

interface vlan 80

description SheBeiGuanLi

ip address 172.16.80.3 255.255.255.0

no shutdown

exit

interface gigabitethernet 0/0

description UP-Link

switch trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan 80,107

exit

interface gigabitethernet 1/1

description GongChengZhongXin

switchport mode access

switchport access allowed vlan 107

exit

enable password 7 adminconsole

line console 0

logging synchronous

exec-timeout 3 0

exit

username admin password admin123

ip ssh version 2

ip domain-name lz.cn

crypto key generate rsa

1024

line vty 0 4

login local

transport input ssh

end

write

copy running-config startup-config

S4

enable

configure terminal

no ip domain-lookup

no logging on

hostname S4

vlan 80

name SheBeiGuanLi

vlan 109

name CheShiZhongXin

exit

interface vlan 80

description SheBeiGuanLi

ip address 172.16.80.4 255.255.255.0

no shutdown

exit

interface gigabite 0/0

description UP-Link

switch trunk encapsulation dot1q

switchport mode trunk

switchport trunk allowed vlan 80,109

exit

interface gigabite 1/1

description CheShiZhongXin

switchport mode access

switchport access vlan 109

exit

enable password 7 adminconsole

line console 0

logging synchronous

exec-timeout 3 0

exit

username admin password admin123

ip ssh version 2

ip domain-name lz.cn

crypto key generate rsa

1024

line vty 0 4

login local

transport input ssh

end

write

copy running-config startup-config

VPC1-SJZX-1

ip 172.16.105.111/24 172.16.105.1

set pcname SJZX-1

save

VPC2-GCZX-1

ip 172.16.107.111/24 172.16.107.1

set pcname GCZX-1

save

VPC3-CSZX-1

ip 172.16.109.111/24 172.16.109.1

set pcname CSZX-1

save

FTP-Server-YJYFTP-1

ip 172.16.111.111/24 172.16.111.1

set pcname YJYFTP-1

save

Network_Administrator

ip 172.16.80.10/24 172.16.80.1

set pcname NetworkAdmin

save

测试所有PC均可ping通172.16.80.0/24网段的设备

ACL控制

目标，只有Network-Admin才能访问172.16.80.0网段的设备，实现只有管理员才能管理交换机。

以下是配置脚本