实训二十三：交换机扩展 ACL 配置_扩展acl配置命令实例-CSDN博客

本文链接：https://blog.csdn.net/weixin_60462069/article/details/127149649

一、实验目的

1、了解什么是扩展的 ACL；
2、了解标准和扩展 ACL 的区别；
3、了解扩展 ACL 不同的实现方法；

二、应用环境

1、标准 ACL 只能限制源 IP 地址，而扩展 ACL 的限制权限就很广泛，包括源 IP、目的 IP、服务类型等。

三、实验设备

1、 DCN-CS6200 交换机 1 台
2、 DCN-S4600交换机 1 台
3、 PC 机 2 台
4、Console 线 1-2 根
5、直通网线若干

四、实验拓扑

在这里插入图片描述

五、实验要求

目的：禁止 PC2 telnet 交换机 A。
在交换机 A 和交换机 B 上分别划分两个基于端口的VLAN：VLAN100，VLAN200。
交换机 A 端口 26 设置成 Trunk 口：

交换机 B 的配置如下：

PC1-PC4 的网络设置为：

验证：
1、配置 ACL之前，PC1 和 PC2 都可以 telnet 交换机 A。 2、配置 ACL后，PC1 可以 telnet 交换机 A，而 PC2 不可以 telnet 交换机 A。
（若实验结果和理论相符，则本实验完成）

六、实验步骤

第一步：交换机全部恢复出厂设置，在交换机中创建 vlan100 和 vlan200，并添加端口。

交换机 B：
SWitchB(config)#vlan 100 
SWitchB(config-vlan100)#switchport interface ethernet 1/1-8
SWitchB(config-vlan100)#exit 
SWitchB(config)#vlan 200
SWitchB(config-vlan200)#switchport interface ethernet 1/9-16 
SWitchB(config-vlan200)#exit

第二步：设置交换机 trunk 端口

交换机 B：
SWitchB(config)#interface ethernet 1/0/26
SWitchB(config-if-ethernet1/0/26)#switchport mode trunk 
SWitchB(config-if-ethernet1/0/26)#switchport trunk allowed vlan all
SWitchB(config-if-ethernet1/0/26)#exit
交换机 A：
SWitchA(Config)#vlan 100
SWitchA(Config-Vlan100)#exit 
SWitchA(Config)#vlan 200
SWitchA(Config-Vlan100)#exit
SWitchA(Config)#interface ethernet 1/0/26
SWitchA(Config-Ethernet1/0/26)#switchport mode trunk
SWitchA(Config-Ethernet1/0/26)#switchport trunk allowed vlan all
set the port Ethernet1/0/26 allowed vlan successfully
SWitchA(Config-Ethernet1/0/26)#exit

第三步：交换机 A 添加 vlan 地址。

SWitchA(Config)#interface vlan 100
SWitchA(Config-If-Vlan100)#ip address 192.168.100.1 255.255.255.0
SWitchA(Config-If-Vlan100)#no shut
SWitchA(Config-If-Vlan100)#exit
SWitchA(Config)#interface vlan 200
SWitchA(Config-If-Vlan200)#ip address 192.168.200.1 255.255.255.0

第四步：配置交换机 A 的 telnet 信息

SWitchA(config)#username admin privilege 15 password 0 admin

第四步：不配置 ACL 验证实验。
验证 PC1 和 PC2 之间是否可以 telnet 192.168.100.1 或者
192.168.200.1
第五步：配置 ACL

SWitchA(config)#ip access-list extended test 
SWitchA(config-ip-ext-nacl-test)#deny tcp 192.168.200.0 0.0.0.255 any any-port 23 ！拒绝 192.168.200.0/24 telnet 数据 
SWitchA(config-ip-ext-nacl-test)#exit
SWitchA(config)#firewall enable ! 配置访问控制列表功能开启
SWitchA(config)#firewall default permit !默认动作为全部允许通过
SWitchA(config)#interface ethernet 0/0/26 
SWitchA(config-if-ethernet0/0/26)#ip access-group test in ！绑定 ACL 到各端口

第六步：验证实验。

七、注意事项和排错

1、端口可以成功绑定的 ACL数目取决于已绑定的 ACL的内容以及硬件资源限制，如果因为硬件资源有限无法配置会提示用户相关信息。
2、可以配置 ACL拒绝某些 ICMP 报文通过以防止“冲击波”等病毒攻击。

八、相关配置命令详解

配置 access-list
（1）配置数字标准 IP 访问列表
（2）配置数字扩展 IP 访问列表
（3）配置命名标准 IP 访问列表
a) 创建一个命名标准 IP 访问列表
b) 指定多条 permit 或 deny 规则表项
c) 退出访问表配置模式
（4）配置命名扩展 IP 访问列表
a) 创建一个命名扩展 IP 访问列表
b) 指定多条 permit 或 deny 规则表项
c)退出访问表配置模式
配置包过滤功能
（1）全局打开包过滤功能
（2）配置默认动作（default action）
将 accessl-list 绑定到特定端口的特定方向

配置 access-list

（1）配置数字标准 IP 访问列表
在这里插入图片描述（2）配置数字扩展 IP 访问列表