标准ACL配置练习

目录

第一章:实验准备

第二章:实例分析

第一节:实例分析1

第二节:实例分析2

第三节:实例分析3

第三章:补充知识

第一章:实验准备

第一步:搭建TOP

先按照下图搭建好实验环境

第二步:配置

请按照下表将网络中设备做好相应配置:

PC配置:

PC机

IP地址

网关

PC1

192.168.10.1/24

192.168.10.100

PC2

192.168.20.1/24

192.168.20.100

PC3

192.168.30.1/24

192.168.30.100

路由器配置:

1.路由器上接口地址请按下表规划:

设备

接口编号

IP地址

R1

F0/0

12.1.1.1 /24

F0/1

192.168.10.100 /24

F0/2

192.168.20.100 /24

R2

F0/0

12.1.1.2 /24

F0/1

192.168.30.100 /24

2.配置好IP地址后,再为路由器配好路由条目,实现全网互通。

第三步:测试

配置完成后,测试三台PC是否已经能正常通信,确保配置无误:

(将你测试的截图粘在下方)

PC2 ping PC3:

 

第二章:实例分析

经过第一章的配置,你已经实现了全网PC互相通信。这一章分为三个实例,前两个实例会教你如何通过配置标准ACL来限制用户之间的访问;最后一个实例,会带你理解ACL的一个特性”不能对本路由器产生的数据包生效“

第一节:实例分析1 

这一节以实现“不允许PC1访问PC3”这个效果为例子,带你具体分析ACL的配置过程。配置ACL主要有以下几个配置步骤:

1.确定部署位置;

2.匹配对应流量;

3.决定调用接口和方向;

4.查看及测试。

下面将带你具体分析每一个步骤:

第一步:确定部署位置

这一步是决定你要在哪台设备上部署ACL。

在选择部署ACL的设备时,需要注意以下两个原则:

1.必须是对应流量所经过的设备上;

2.尽量选择离流量源头最近的设备上去部署。

PS:请你简要说明一下,为什么ACL最好在离流量源头最近的设备上配置?

原因:数据的流量经过路由器时在最近的地方截停,减少不必要的开销。

根据以上两个原则,我们最终选择在R1上部署这个ACL。

第二步:匹配对应流量

匹配对应流量,即配置ACL条目,参考配置命令如下:

注:

1、红框1表示的是ACL的编号,不同的编号对应不同的策略;标准ACL编号范围为“2000-2999”,这里使用编号为5

2、实验要求效果为“不允许PC1访问PC3”,因此使用deny;

3、拒绝的源地址,可以通过反掩码匹配一个地址范围,也可以只匹配一个主机地址。

参考上述配置在你的实验台上做好配置,要求只匹配PC1一个主机地址:

(将你配置的截图粘在下方)

第三步:决定调用接口和方向

在设备上配置好ACL后,还需要在接口上调用才能生效。调用配置如下:

观察上图配置,你会发现,在接口调用ACL时,需要选择in或out方向。“in”表示流量在这个接口进入时启用ACL,“out”表示流量从这个接口出去时启用ACL。所以使用“in”还是“out”需要看流量从这个接口经过的方向而决定。

如上图所示,PC1访问PC3的流量经过路由器R1时,会从F0/1接口进入(in),从F0/0接口出去(out)。根据这个流量走向写出你在R1的F0/1或者F0/0接口上调用ACL的配置:

(将你的配置截图粘在下方)

第四步:查看和测试

完成上述配置步骤后,通过命令“display acl 2000”可以查看ACL。

(将你查看的截图粘在下方)

查看无误后,可以进行测试了:

(将PC1 Ping PC3的结果截图粘在下方)

测试结果为“time out“,说明数据包被强行阻止,ACL已经生效。

为了不影响后续实例的分析,在R1上将你配置的ACL删除后,再继续后续实例。删除配置过程如下:

1.在路由器上删除ACL

2.在接口上删除ACL的调用

删除ACL后,再查看ACL情况:

(将查看的截图粘在下方)

在接口删除 调用acl信息

[AR1-GigabitEthernet0/0/0]undo traffic-filter inbound

在路由器上删除ACL条目

[AR1]undo acl number 2000

第二节:实例分析2

这一节实例依然采用上一节的TOP结构,要求实现“仅PC1可以访问PC2“,下面请你按照ACL的配置步骤去配置ACL,以实现实验要求。

第一步:确定部署位置

按照ACL的部署原则,选择你配置ACL的设备。写出你选择部署的位置和原因:

第二步:匹配对应流量

考虑:实验要求是“仅PC1可以访问PC2“,也就是说网络中PC3以及其他所有设备都不可以访问PC2.根据这个要求,你觉得使用”deny“还是”permit“参数比较好?说出你的选择和理由:

写出你的ACL配置,要求用“permit“参数实现

(将你的配置截图粘在下方)

第三步:决定调用接口和方向

根据上一个实例,你已经掌握”in”和“out”方向的使用,现在请你选择接口做相应配置:

(将配置截图粘在下方)

第四步:查看和测试

先查看ACL:

(将查看结果粘在下方)

测试分为两个部分:

PC1 Ping PC2:

PC3 Ping PC2:

  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值