Packet Tracer - 配置命名的标准IPv4 ACL
目标
第 1 部分:配置和应用命名的标准 ACL
第 2 部分:验证 ACL 实施
背景/场景
资深网络 管理员指派您创建一个命名的标准ACL,来过滤去往 文件服务器的访问。文件服务器中包含Web应用所使用的数据库。 只有Web管理工作站PC1和Web服务器需要访问文件 服务器。其他所有去往文件服务器的流量都应该被拒绝。
说明
第 1 部分:配置和应用命名的 标准 ACL
步骤 1:在配置和应用 ACL 之前 验证连通性。
三个工作站都应该可以ping通 Web 服务器和文件服务器。
步骤 2:配置命名的标准 ACL。
打开配置窗口
a. 在R1上配置命名的ACL。
R1(config)# ip access-list standard File_Server_Restrictions
R1(config-std-nacl)# permit host 192.168.20.4
R1(config-std-nacl)# permit host 192.168.100.100
R1(config-std-nacl)# deny any
注意:出于评分的目的,ACL的名称 要区分大小写,语句的顺序必须与上述显示相同。
b. 在接口上应用访问列表之前,要使用 show access-lists 命令来确认访问列表的内容。 确保您没有误输入IP地址, 并且命令的顺序也是正确的。
R1# show access-lists
Standard IP access list File_Server_Restrictions
10 permit host 192.168.20.4
20 permit host 192.168.100.100
30 deny any
步骤 3:应用命名的ACL
a. 在Fa0/1接口的出站方向上应用ACL。
注意:在实际运行的网络中, 把未经测试的访问列表应用在活跃接口上 可不是一个好主意。
R1(config-if)# ip access-group File_Server_Restrictions out
b. 保存配置。
关闭配置窗口
第 3部分:验证ACL的部署
步骤 1:验证ACL 配置以及在接口上的应用。
打开配置窗口
使用 show access-lists 命令 验证 ACL 配置。使用 show run 或 show ip interface fastethernet 0/1 命令验证 ACL 是否已 应用于正确接口。
步骤 2:验证ACL 是否正常工作。
所有三个工作站都可以ping通Web 服务器,但只有PC1和Web服务器可以 ping通文件服务器。再次使用 show access-list 命令来查看 每条语句上匹配的数据包数量。
根据题目我们来进行配置
配置之前ACL之前验证连通性三个工作站都可以ping通 Web 服务器和文件服务器。
如图所示:
接下来我们来实施ACL限制,我们打开R1的配置窗口,配置如下
R1>enable
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#ip access-list standard File_Server_Restrictions
R1(config-std-nacl)#permit host 192.168.20.4
R1(config-std-nacl)#permit host 192.168.100.100
R1(config-std-nacl)#deny any
接着我们查看在Fa0/1接口的出站方向上应用ACL如图所示:
那么很明显,我们需要配置的位置在f0/1这个接口上。
配置如下:
R1(config)#int f0/1
R1(config-if)#ip access-group File_Server_Restrictions out
接下来我们测试一下(已PC2举例测试剩下两个两个测试大家可以自己测一下);
配置脚本如下:
R1>enable R1#conf t Enter configuration commands, one per line. End with CNTL/Z. R1(config)#ip access-list standard File_Server_Restrictions R1(config-std-nacl)#permit host 192.168.20.4 R1(config-std-nacl)#permit host 192.168.100.100 R1(config-std-nacl)#deny any R1(config)#int f0/1 R1(config-if)#ip access-group File_Server_Restrictions out