• 13.1项目引入
• 13.2项目任务
• 任务1:搭建拓扑并实现全网互通
• 任务2:基本ACL的配置
• 任务3:高级ACL的配置
• 任务4:ACL规则的顺序
目录
项目引入
• 在本项目中,需要针对两个通信需求对ACL的部署位置和具体的命令进行设计,并且在应用后对效果进行测试。
• 在此过程中,能够理解ACL的设计思路和配置命令,掌握ACL的应用。
项目目的
• 熟悉基本ACL和高级ACL的配置命令
• 掌握基本ACL的设计思路
• 掌握高级ACL的设计思路
项目拓扑
• 任务1:搭建拓扑并实现全网互通
• 使用动态路由协议OSPF实现全网互通:
• 使用OSPF进程号1
• 使用路由器环回接口IP地址作为路由器ID
任务3:高级ACL的位置和方向
• 考虑从PC2去往PC3的方向进行过滤,即源IP地址为PC2所属网段,目的IP地址为PC3所属网段,可以在以下接口应用高级ACL:
• AR1接口G0/0/2的入方向
• AR1接口G0/0/0的出方向
• AR2接口G0/0/0的入方向
• AR2接口G0/0/2的出方向
任务4:设计ACL(1)
• 禁止AR1的G0/0/0接口ping通AR3的环回接口,但允许其他IP地址ping通AR3的环回接口。
• 在规则中将协议定义为ICMP(或协议号1),将源IP地址定义为10.10.12.1(AR1的G0/0/0接口IP地址),将目的IP地址定义为3.3.3.3(AR3的环回接口IP地址)。
• rule deny icmp source 10.10.12.1 0 destination 3.3.3.3 0 icmp-type echo
任务4:设计ACL(2)
• 在放行AR1流量的规则中,我们需要将协议定义为TCP,将源IP地址定义为10.10.12.1(AR1的G0/0/0接口IP地址),将目的IP地址定义为3.3.3.3(AR3的环回接口IP地址),同时还要指定目的端口23(Telnet协议使用的端口)。
• rule permit tcp source 10.10.12.1 0 destination 3.3.3.3 0 destination-port eq 23
任务4:设计ACL(3)
• 还需要配置一条命令来禁止其他设备对IP地址3.3.3.3发起Telnet,此时的源IP地址要定义为any。
• rule deny tcp source any destination 3.3.3.3 0 destination-port eq 23