目录
一、前言
二、实验目的
三、实验需求
四、实验步骤与现象
(一)基本ACL实验
Step1:构建拓扑图如下:
Step2:PC的IP地址分别配置如下:
Step3:路由器的IP地址配置如下
Step4:配置缺省路由使得各路由器可以通信
通信效果验证:
Step5:ACL配置
效果验证:
(二)高级ACL实现生产部不能ping通公司web服务器,但可以访问网页
Step1:构建拓扑图如下:
Step2:配置生产部Client及Web服务器
Step3:配置ACL前验证通信及HTTP访问
Step4:ACL配置
Step5:验证
(三)设置企业财务服务器,只允许财务部门VLAN 的电脑访问
Step1:构建拓扑图如下:
Step2:ACL配置前通信验证
Step3:ACL配置
Step4:验证
五、补充两句
一、前言
该系列文章将会对网络系统集成课程中相关实验进行更新,本篇为第六篇(访问控制列表ACL配置),主要包括基本ACL配置、扩展ACL配置等基本指令,并在原有的局域网拓扑中根据需求进行了ACL配置。
原有局域网配置详见:网络系统集成实验(三)| 系统集成虚拟局域网(VLAN)配置。
原有局域网配置详见:网络系统集成实验(三)| 系统集成虚拟局域网(VLAN)配置。
原有局域网配置详见:网络系统集成实验(三)| 系统集成虚拟局域网(VLAN)配置。
二、实验目的
① 了解访问控制列表ACL的相关原理
② 掌握基本ACL的配置方式
③ 掌握高级ACL的配置方式
④ 掌握ACL在实际工程中的应用
三、实验需求
① 进行基本ACL的配置实验
② 进行高级ACL的配置实验
③ 对前期实验公司网络设置的各部门,不允许生产部的电脑ping 公司web服务器,但可以访问网页
④ 对前期实验公司网络设置的各部门,只允许财务部门访问财务服务器
四、实验步骤与现象
(一)基本ACL实验
Step1:构建拓扑图如下:
Step2:PC的IP地址分别配置如下:
PC1:
PC2:
PC5:
Step3:路由器的IP地址配置如下
R2:
R3:
Step4:配置缺省路由使得各路由器可以通信
R2:
1. #
2. ip route-static 0.0.0.0 0.0.0.0 23.1.1.3
3. #
R3:
1. #
2. ip route-static 0.0.0.0 0.0.0.0 23.1.1.2
3. #
通信效果验证:
PC1和PC5:
PC1和PC2:
PC5和PC1、PC2:
该效果表明,所有PC之间均能够正常通信。
Step5:ACL配置
通过在R3上配置基本ACL,限制PC1访问PC5
R3:
1. #
2. acl number 2000
3. rule 5 deny source 12.1.1.100 0
4. #
5. interface GigabitEthernet0/0/1
6. ip address 34.1.1.3 255.255.255.0
7. traffic-filter outbound acl 2000
8. #
效果验证:
PC1访问PC5:
PC2访问PC5:
以上效果图表明,PC1被禁止访问PC5、但PC2可以,表明基本ACL配置成功。
(二)高级ACL实现生产部不能ping通公司web服务器,但可以访问网页
Step1:构建拓扑图如下:
Step2:配置生产部Client及Web服务器
生产部Client:
Server-Web:
Step3:配置ACL前验证通信及HTTP访问
① 通信验证
② HTTP访问
上图现象表明生产部Client可以ping通Web服务器,也可以通过HTTP访问Web。
Step4:ACL配置
LSW3:
1. #
2. acl number 3000
3. rule 5 deny icmp source 192.168.1.128 0.0.0.127
4. #
5. interface Ethernet0/0/5
6. port link-type access
7. port default vlan 20
8. stp edged-port enable
9. traffic-filter outbound acl 3000
10. #
Step5:验证
① 验证能否Ping通
② 验证HTTP是否有效
(三)设置企业财务服务器,只允许财务部门VLAN 的电脑访问
Step1:构建拓扑图如下:
Step2:ACL配置前通信验证
① 生产部与财务部服务器访问验证
以生产部1为例:
② 财务部与财务部服务器访问验证
以财务部1为例:
Step3:ACL配置
LSW4:
1. #
2. acl number 2000
3. rule 5 permit source 192.168.1.0 0.0.0.127
4. rule 10 deny
5. #
6. interface Ethernet0/0/6
7. port link-type access
8. port default vlan 10
9. traffic-filter outbound acl 2000
10. #
Step4:验证
① 生产部与财务部服务器访问验证
以生产部1为例:
② 财务部与财务部服务器访问验证
以财务部1为例:
该现象表明其他部门无法访问财务部服务器,但财务部的设备可以访问。
五、补充两句
首先,重申一下该实验后面在局域网中的拓扑是根据实验三的预配进行的,其链接如下: 网络系统集成实验(三)| 系统集成虚拟局域网(VLAN)配置
https://blog.csdn.net/as12138/article/details/129978438?spm=1001.2014.3001.5501,如果要根据该文章进行配置,请各位一定要首先进行预配。
其次,该文章仅供参考,希望各位能够根据文章自己进行配置,而不是直接复制该文章到作业中进行提交,直接使用他人的作业成果不仅起不到学习的效果也会对自己和他人的实际成绩造成影响,这是令人所不齿的,感谢各位理解。
最后,感谢各位能够认真看完该篇文章,如果觉得还不错的话欢迎点个赞,也欢迎大家一起交流,感谢各位支持,不胜荣幸。
