一、实验目的
1.了解ACL的分类和作用
2.掌握ACL的配置
二、实验涉及设备清单
AR1220 x2
S5700 x3
pc x7
server x 1
mscn x1
三、实验拓扑结构
图1.1 实验拓扑图
拓扑结果如上:
tips:在AR3与AR3上加入了串口模块:
现在需求如下:
1.AR3:在端口GigabitEthernet 0/0/1上设置为接口DHCP服务
在端口GigabitEthernet 0/0/0上设置全局DHCP服务
2.除Server服务器外,禁止192.168.1.0/24网段所有PC访问其他网段,使用ping测试
3.AR4:在端口GigabitEthernet 0/0/0上设置接口DHCP服务
禁止192.168.5.0/24网段所有PC访问其他网段,使用ping测试
4.使用OSPF路由保证正常通信,区域为area 0
四、实验步骤
1.组建网络
(1)搭建网络环境
按照如图1.1所示搭建实验环境,并将设备启动。
(2)配置DHCP服务后动态获取
2.路由器的相关设置
(1)配置路由器的所需端口地址
AR3:
interface GigabitEthernet0/0/0
ip address 192.168.2.1 255.255.255.0interface GigabitEthernet0/0/1
ip address 192.168.1.1 255.255.255.0interface Serial1/0/1
ip address 192.168.3.1 255.255.255.0
AR4:
interface GigabitEthernet0/0/0
ip address 192.168.5.1 255.255.255.0interface GigabitEthernet0/0/1
ip address 192.168.4.1 255.255.255.0interface Serial1/0/1
ip address 192.168.3.2 255.255.255.0
(2)DHCP服务
AR3:
dhcp enable
interface GigabitEthernet0/0/1
dhcp select interface #选择模式为接口DHCP模式
dhcp server excluded-ip-address 192.168.1.2 192.168.1.3
dhcp server lease day 10
dhcp server dns-list 1.1.1.1
dhcp enable #开启DHCP服务
ip pool 1 #创建地址池
gateway-list 192.168.2.1 #默认网关
network 192.168.2.0 mask 255.255.255.0 #分配范围
excluded-ip-address 192.168.2.2 192.168.2.13 #排除地址
lease day 10 #租约时间为10天
dns-list 1.1.1.1 #DNS 服务器interface GigabitEthernet0/0/0
dhcp select global #设置为全局DHCP服务
AR4:
interface GigabitEthernet0/0/1
dhcp select interface
dhcp server excluded-ip-address 192.168.4.2 192.168.4.3
dhcp server lease day 10 hour 0 minute 0
dhcp server dns-list 1.1.1.1
查看终端是否成功获取到IP地址信息
每一台都成功获取。
(3)配置网络路由
使用OSPF协议动态路由
AR3:
ospf 1 router-id 1.1.1.1
area 0.0.0.0
network 192.168.1.0 0.0.0.255
network 192.168.2.0 0.0.0.255
network 192.168.3.0 0.0.0.255
AR4:
ospf 1 router-id 2.2.2.2
area 0.0.0.0
network 192.168.3.0 0.0.0.255
network 192.168.4.0 0.0.0.255
network 192.168.5.0 0.0.0.255
(4)测试
各网段是否能够互通。
pc1:ping 各网段:
ping 3.0
ping 2.0
ping 4.0
ping 5.0
4.配置ACL
(1)除Server服务器外,禁止192.168.1.0/24网段所有PC访问其他网段
AR3:
acl 2000
rule deny source 192.168.1.0 0.0.0.255
rule permit any
应用ACL到端口:
interface GigabitEthernet0/0/1
traffic-filter inbound acl 2000interface GigabitEthernet0/0/0
traffic-filter outbound acl 2000interface GigabitEthernet0/0/2
traffic-filter outbound acl 2000
(2)禁止192.168.5.0/24网段所有PC访问其他网段
AR4:
acl 2001
rule deny source 192.168.5.0 0.0.0.255
rule permit
应用ACL到端口处:
interface Serial1/0/1
traffic-filter outbound acl 2001interface GigabitEthernet0/0/0
traffic-filter inbound acl 2001interface GigabitEthernet0/0/1
traffic-filter outbound acl 2001
(3)测试
192.168.1.0的设备处服务器外不能访问其他设备
ping 通服务器
ping 不通其他设备
禁止192.168.5.0/24网段所有PC访问其他网段
效果完美达成。