Packet Tracer - IPv4 ACL 的实施挑战(完美解析)

 

目标

·         在路由器上配置命名的标准ACL。

·         在路由器上配置命名的扩展ACL。

·         在路由器上配置扩展ACL来满足特定的 通信需求。

·         配置ACL来控制对网络设备终端线路的 访问。

·         在适当的路由器接口上，在适当的方向上 配置ACL。

·         验证已配置 ACL 的运行。

背景/场景

在这个Packet Tracer练习中，您要配置扩展IPv4 ACL、 命名的标准IPv4 ACL和命名的扩展IPv4 ACL，来满足特定的通信需求。

说明

步骤1： 验证新公司网络的连通性。

首先，在配置ACL之前 测试网络的连通性。所有主机都应该可以ping通所有其他主机。

步骤2：按照需求配置 标准和扩展 ACL。

配置ACL以满足以下要求：

重要指南：

o    请勿 在 ACL 末尾明确配置 deny any 语句。

o    尽可能 使用简便参数 (host 和 any)。

o    按照这里指定的顺序， 编写ACL语句来满足要求。

o    在最有效的位置和方向上应用ACL。

ACL 1 的要求

o    创建 ACL 101。

o    明确禁止从互联网向企业的 Web 服务器发起 FTP 访问。

o    不允许来自互联网的 ICMP 流量去往 HQ LAN 1 中的任何主机。

o    放行所有其他流量。

ACL 2 的要求

o    使用 ACL 编号 111

o    HQ LAN 1 中的主机都不能访问分支机构服务器。

o    放行所有其他流量。

ACL 3 的要求

o    创建命名的标准 ACL。使用名称 vty_block。您必须使用这个 名称来配置ACL。

o    只有 HQ LAN 2 网络中的地址才能访问 HQ 路由器的 VTY 线路。

ACL 4 的要求

o    创建一个名为 branch_to_hq 的命名扩展 ACL。您必须使用这个 名称来配置ACL。

o    分支机构所有 LAN 中的所有主机都不能访问 HQ LAN 1。 针对每个分支机构的LAN配置一条访问列表语句。

o    放行所有其他流量。

步骤3：验证 ACL 的操作。

a.     按照拓扑，测试下列设备之间的连通性。 注意测试结果是否成功。

注意：使用 show ip access-lists 命令 来验证 ACL 的操作。使用 clear access list counters 命令 来重置匹配计数器。

问题1：

从分支 PC 向企业 Web 服务器 发起 ping 测试。是否会成功？说明原因。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量？列出访问列表的名称或编号、所应用的路由器， 以及流量匹配的那条语句。

从 HQ LAN 1 中的 PC-1 ping 分支机构服务器。 是否会成功？说明原因。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量？

在外部服务器上打开 Web 浏览器， 尝试访问企业 Web 服务器上的网页。测试成功了吗？说明原因。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量？

b.     从互联网向内部服务器发起测试连接。

问题2：

从互联网用户 PC 上的命令行中， 尝试向分支机构服务器发起 FTP 连接。 FTP 连接成功了吗？

要想阻止互联网用户与分支机构服务器之间建立 FTP 连接， 应该对访问列表做什么修改？

要想拒绝这个流量，应该在访问列表中 添加哪些语句？

根据上述内容我们来进行相关的配置:

ACL 1 的要求

o    创建 ACL 101。

o    明确禁止从互联网向企业的 Web 服务器发起 FTP 访问。

HQ(config)#access-list 101 deny tcp any host 192.168.1.70 eq ftp

o    不允许来自互联网的 ICMP 流量去往 HQ LAN 1 中的任何主机。

HQ(config)#access-list 101 deny icmp any 192.168.1.0 0.0.0.63

o    放行所有其他流量。

HQ(config)#access-list 101 permit ip any any

ACL 2 的要求

o    使用 ACL 编号 111

o    HQ LAN 1 中的主机都不能访问分支机构服务器。

HQ(config-std-nacl)#access-list 111 deny ip any host 192.168.2.45

o    放行所有其他流量。

HQ(config)#access-list 111 permit ip any any

ACL 3 的要求

o    创建命名的标准 ACL。使用名称 vty_block。您必须使用这个 名称来配置ACL。

HQ(config)#ip access-list standard vty_block

o    只有 HQ LAN 2 网络中的地址才能访问 HQ 路由器的 VTY 线路。

HQ(config-std-nacl)# permit 192.168.1.64 0.0.0.7

HQ(config)#interface GigabitEthernet0/0/0

HQ(config-if)# ip access-group 111 in

HQ(config-if)#interface Serial0/1/0

HQ(config-if)# ip access-group 101 in

HQ(config-if)#line vty 0 4

HQ(config-line)# access-class vty_block i

ACL 4 的要求

o    创建一个名为 branch_to_hq 的命名扩展 ACL。您必须使用这个 名称来配置ACL。

Branch(config)#ip access-list extended branch_to_hq

o    分支机构所有 LAN 中的所有主机都不能访问 HQ LAN 1。 针对每个分支机构的LAN配置一条访问列表语句。

Branch(config-ext-nacl)# deny ip 192.168.2.0 0.0.0.31 192.168.1.0 0.0.0.63

Branch(config-ext-nacl)# deny ip 192.168.2.32 0.0.0.15 192.168.1.0 0.0.0.63

o    放行所有其他流量。

Branch(config-ext-nacl)# permit ip any any

Branch(config-ext-nacl)#interface Serial0/1/1

Branch(config-if)# ip access-group branch_to_hq out

回答一下问题1:

从分支 PC 向企业 Web 服务器 发起 ping 测试。是否会成功？说明原因。

答:可以ping 成功，因为 ACL 允许分支 PC 向企业 Web 服务器 发起。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量？列出访问列表的名称或编号、所应用的路由器， 以及流量匹配的那条语句。

答:分支路由器上 branch_to_hq ACL 的最后一行是 permit ip any。

从 HQ LAN 1 中的 PC-1 ping 分支机构服务器。 是否会成功？说明原因。

答:ping 未成功，因为流量被访问列表阻止。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量？

答:HQ 路由器上访问列表 111 中的语句 10 拒绝到分支服务器的所有流量。

HQ(config-std-nacl)#access-list 111 deny ip any host 192.168.2.45

在外部服务器上打开 Web 浏览器， 尝试访问企业 Web 服务器上的网页。测试成功了吗？说明原因。

答:外部服务器可以访问 Enterprise Web Server 上的网页。 不会阻止到 Enterprise Web Server 的 HTTP 流量。所以是可以ping成功的。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量？

答:HQ 路由器上访问列表 101 中的第 20 行允许此流量。

HQ(config)#access-list 101 permit ip any any

回答一下问题2：

从互联网用户 PC 上的命令行中， 尝试向分支机构服务器发起 FTP 连接。 FTP 连接成功了吗？

答:从 Internet 用户 PC 到 Branch Server 的 FTP 连接成功。

要想阻止互联网用户与分支机构服务器之间建立 FTP 连接， 应该对访问列表做什么修改？

 答:需要修改 HQ 路由器上的访问列表 101 以拒绝此流量

要想拒绝这个流量，应该在d访问列表中 添加哪些语句？

 答:需要将语句“deny tcp any host 192.168.2.45 eq 21”或“deny tcp any host 192.168.2.45 range 20 21”添加到访问列表 101 中。

 完成截图如下:

附录一键完成脚本如下：

Router HQ

enable

conf t

access-list 101 deny tcp any host 192.168.1.70 eq ftp

access-list 101 deny icmp any 192.168.1.0 0.0.0.63

access-list 101 permit ip any any

ip access-list standard vty_block

permit 192.168.1.64 0.0.0.7

access-list 111 deny ip any host 192.168.2.45

access-list 111 permit ip any any

int g0/0/0

ip access-group 111 in

int s0/1/0

ip access-group 101 in

line vty 0 4

access-class vty_block in

end

Router Branch

enable

conf t

ip access-list extended branch_to_hq

deny ip 192.168.2.0 0.0.0.31 192.168.1.0 0.0.0.63

deny ip 192.168.2.32 0.0.0.15 192.168.1.0 0.0.0.63

permit ip any any

int s0/1/1

ip access-group branch_to_hq out

end