目录
第一章:实验准备
第一步:搭建TOP
先按照下图搭建好实验环境
第二步:配置
请按照下表将网络中设备做好相应配置:
PC配置:
PC机 | IP地址 | 网关 |
PC1 | 192.168.10.1/24 | 192.168.10.100 |
PC2 | 192.168.20.1/24 | 192.168.20.100 |
PC3 | 192.168.30.1/24 | 192.168.30.100 |
路由器配置:
1.路由器上接口地址请按下表规划:
设备 | 接口编号 | IP地址 |
R1 | F0/0 | 12.1.1.1 /24 |
F0/1 | 192.168.10.100 /24 | |
F0/2 | 192.168.20.100 /24 | |
R2 | F0/0 | 12.1.1.2 /24 |
F0/1 | 192.168.30.100 /24 |
2.配置好IP地址后,再为路由器配好路由条目,实现全网互通。
第三步:测试
配置完成后,测试三台PC是否已经能正常通信,确保配置无误:
(将你测试的截图粘在下方)
PC2 ping PC3:
第二章:实例分析
经过第一章的配置,你已经实现了全网PC互相通信。这一章分为三个实例,前两个实例会教你如何通过配置标准ACL来限制用户之间的访问;最后一个实例,会带你理解ACL的一个特性”不能对本路由器产生的数据包生效“。
第一节:实例分析1
这一节以实现“不允许PC1访问PC3”这个效果为例子,带你具体分析ACL的配置过程。配置ACL主要有以下几个配置步骤:
1.确定部署位置;
2.匹配对应流量;
3.决定调用接口和方向;
4.查看及测试。
下面将带你具体分析每一个步骤:
第一步:确定部署位置
这一步是决定你要在哪台设备上部署ACL。
在选择部署ACL的设备时,需要注意以下两个原则:
1.必须是对应流量所经过的设备上;
2.尽量选择离流量源头最近的设备上去部署。
PS:请你简要说明一下,为什么ACL最好在离流量源头最近的设备上配置? 原因:数据的流量经过路由器时在最近的地方截停,减少不必要的开销。 |
根据以上两个原则,我们最终选择在R1上部署这个ACL。
第二步:匹配对应流量
匹配对应流量,即配置ACL条目,参考配置命令如下:
注:
1、红框1表示的是ACL的编号,不同的编号对应不同的策略;标准ACL编号范围为“2000-2999”,这里使用编号为5;
2、实验要求效果为“不允许PC1访问PC3”,因此使用deny;
3、拒绝的源地址,可以通过反掩码匹配一个地址范围,也可以只匹配一个主机地址。
参考上述配置在你的实验台上做好配置,要求只匹配PC1一个主机地址:
(将你配置的截图粘在下方)
第三步:决定调用接口和方向
在设备上配置好ACL后,还需要在接口上调用才能生效。调用配置如下:
观察上图配置,你会发现,在接口调用ACL时,需要选择in或out方向。“in”表示流量在这个接口进入时启用ACL,“out”表示流量从这个接口出去时启用ACL。所以使用“in”还是“out”需要看流量从这个接口经过的方向而决定。
如上图所示,PC1访问PC3的流量经过路由器R1时,会从F0/1接口进入(in),从F0/0接口出去(out)。根据这个流量走向写出你在R1的F0/1或者F0/0接口上调用ACL的配置:
(将你的配置截图粘在下方)
第四步:查看和测试
完成上述配置步骤后,通过命令“display acl 2000”可以查看ACL。
(将你查看的截图粘在下方)
查看无误后,可以进行测试了:
(将PC1 Ping PC3的结果截图粘在下方)
测试结果为“time out“,说明数据包被强行阻止,ACL已经生效。
为了不影响后续实例的分析,在R1上将你配置的ACL删除后,再继续后续实例。删除配置过程如下:
1.在路由器上删除ACL
2.在接口上删除ACL的调用
删除ACL后,再查看ACL情况:
(将查看的截图粘在下方)
在接口删除 调用acl信息
[AR1-GigabitEthernet0/0/0]undo traffic-filter inbound
在路由器上删除ACL条目
[AR1]undo acl number 2000
第二节:实例分析2
这一节实例依然采用上一节的TOP结构,要求实现“仅PC1可以访问PC2“,下面请你按照ACL的配置步骤去配置ACL,以实现实验要求。
第一步:确定部署位置
按照ACL的部署原则,选择你配置ACL的设备。写出你选择部署的位置和原因:
第二步:匹配对应流量
考虑:实验要求是“仅PC1可以访问PC2“,也就是说网络中PC3以及其他所有设备都不可以访问PC2.根据这个要求,你觉得使用”deny“还是”permit“参数比较好?说出你的选择和理由: |
写出你的ACL配置,要求用“permit“参数实现
(将你的配置截图粘在下方)
第三步:决定调用接口和方向
根据上一个实例,你已经掌握”in”和“out”方向的使用,现在请你选择接口做相应配置:
(将配置截图粘在下方)
第四步:查看和测试
先查看ACL:
(将查看结果粘在下方)
测试分为两个部分:
PC1 Ping PC2: |
PC3 Ping PC2: |