一、实验目的
1、 了解什么是扩展的 ACL;
2、 了解标准和扩展 ACL 的区别;
3、 了解扩展 ACL 不同的实现方法;
二、应用环境
1、标准 ACL 只能限制源 IP 地址,而扩展 ACL 的限制权限就很广泛,包括源 IP、目 的 IP、服务类型等。
三、实验设备
1、 DCN-CS6200 交换机 1 台
2、 DCN-S4600交换机 1 台
3、 PC 机 2 台
4、Console 线 1-2 根
5、 直通网线若干
四、实验拓扑
五、实验要求
目的:禁止 PC2 telnet 交换机 A。
在交换机 A 和交换机 B 上分别划分两个基于端口的VLAN:VLAN100,VLAN200。
交换机 A 端口 26 设置成 Trunk 口:
交换机 B 的配置如下:
PC1-PC4 的网络设置为:
验证:
1、配置 ACL之前,PC1 和 PC2 都可以 telnet 交换机 A。 2、配置 ACL后,PC1 可以 telnet 交换机 A,而 PC2 不可以 telnet 交换机 A。
(若实验结果和理论相符,则本实验完成)
六、 实验步骤
第一步:交换机全部恢复出厂设置,在交换机中创建 vlan100 和 vlan200,并添加端口。
交换机 B:
SWitchB(config)#vlan 100
SWitchB(config-vlan100)#switchport interface ethernet 1/1-8
SWitchB(config-vlan100)#exit
SWitchB(config)#vlan 200
SWitchB(config-vlan200)#switchport interface ethernet 1/9-16
SWitchB(config-vlan200)#exit
第二步:设置交换机 trunk 端口
交换机 B:
SWitchB(config)#interface ethernet 1/0/26
SWitchB(config-if-ethernet1/0/26)#switchport mode trunk
SWitchB(config-if-ethernet1/0/26)#switchport trunk allowed vlan all
SWitchB(config-if-ethernet1/0/26)#exit
交换机 A:
SWitchA(Config)#vlan 100
SWitchA(Config-Vlan100)#exit
SWitchA(Config)#vlan 200
SWitchA(Config-Vlan100)#exit
SWitchA(Config)#interface ethernet 1/0/26
SWitchA(Config-Ethernet1/0/26)#switchport mode trunk
SWitchA(Config-Ethernet1/0/26)#switchport trunk allowed vlan all
set the port Ethernet1/0/26 allowed vlan successfully
SWitchA(Config-Ethernet1/0/26)#exit
第三步:交换机 A 添加 vlan 地址。
SWitchA(Config)#interface vlan 100
SWitchA(Config-If-Vlan100)#ip address 192.168.100.1 255.255.255.0
SWitchA(Config-If-Vlan100)#no shut
SWitchA(Config-If-Vlan100)#exit
SWitchA(Config)#interface vlan 200
SWitchA(Config-If-Vlan200)#ip address 192.168.200.1 255.255.255.0
第四步:配置交换机 A 的 telnet 信息
SWitchA(config)#username admin privilege 15 password 0 admin
第四步:不配置 ACL 验证实验。
验证 PC1 和 PC2 之间是否可以 telnet 192.168.100.1 或者
192.168.200.1
第五步:配置 ACL
SWitchA(config)#ip access-list extended test
SWitchA(config-ip-ext-nacl-test)#deny tcp 192.168.200.0 0.0.0.255 any any-port 23 !拒绝 192.168.200.0/24 telnet 数据
SWitchA(config-ip-ext-nacl-test)#exit
SWitchA(config)#firewall enable ! 配置访问控制列表功能开启
SWitchA(config)#firewall default permit !默认动作为全部允许通过
SWitchA(config)#interface ethernet 0/0/26
SWitchA(config-if-ethernet0/0/26)#ip access-group test in !绑定 ACL 到各端口
第六步:验证实验。
七、注意事项和排错
1、 端口可以成功绑定的 ACL数目取决于已绑定的 ACL的内容以及硬件资源限制,如 果因为硬件资源有限无法配置会提示用户相关信息。
2、可以配置 ACL拒绝某些 ICMP 报文通过以防止“冲击波”等病毒攻击。
八、相关配置命令详解
- 配置 access-list
(1) 配置数字标准 IP 访问列表
(2) 配置数字扩展 IP 访问列表
(3) 配置命名标准 IP 访问列表
a) 创建一个命名标准 IP 访问列表
b) 指定多条 permit 或 deny 规则表项
c) 退出访问表配置模式
(4)配置命名扩展 IP 访问列表
a) 创建一个命名扩展 IP 访问列表
b) 指定多条 permit 或 deny 规则表项
c)退出访问表配置模式- 配置包过滤功能
(1)全局打开包过滤功能
(2)配置默认动作(default action)- 将 accessl-list 绑定到特定端口的特定方向
配置 access-list
(1) 配置数字标准 IP 访问列表
(2) 配置数字扩展 IP 访问列表