基本和擴充ACL 配置

基本和擴充ACL實驗

R1:配置RIPV2，禁用自動彙總。

FO/O.5：172.17.115.254 VLAN 5  技術 擁用管理權限

FO/O.6：172.17.116.254 VLAN 6  财務

FO/O.7：172.17.117.254 VLAN 7  市場

FO/O.8：172.17.118.254 VLAN 8  管理

F0/1:193.168.1.1/30 

SWITCH 1:配置RIPV2，禁用自動彙總。

VLAN 5 :3-10接口

VLAN 6 :11-18接口

SWITCH 1:

VLAN 8 :3-10接口

VLAN 7 :11-18接口

R2:配置RIPV2，禁用自動彙總。

F0/1:192.168.1.2/30

F0/0:192.168.1.5/30

R3:

F0/0:192.168.1.6/30

F0/1:192.168.2.254/30

ACL要求：

網絡裝置隻允許技術登陸

SERVER 1:WWW     允許HTTP,PING 禁其它服務。

192.168.2.1/24     

SERVER 2:FTP     允許FTP 禁其它服務,允許管理、财務，禁止其它通路。

192.168.2.2/24

SERVER 1:TFTP    允許TFTP 禁其它服務，允許市場，禁止其它通路。

192.168.2.3/24

<a target="_blank" href="http://blog.51cto.com/attachment/201103/170530378.jpg"></a>

各個裝置基本配置完成并配置路由并測通後，利用标準ACL加擴充ACL實作

各個網絡裝置上的設定：

R2(config)#access-list 2 permit 172.17.115.0 0.0.0.255   基本ACL ，隻能根據源位址進行過濾

R2(config)#access-list 2 deny any                               ACL最後的隐含拒絕，預設的，不用手動配置。有ACL最後加上access-list 2 permit any  即使    隐含拒絕無效。                         

R2(config)#line vty 0 4

R2(config-line)#access-class 2 in

R2(config-line)#exi

擴充ACL，放置在R3上。

R(config)#access-list 101 permit ip 172.17.115.0 0.0.0.255 192.168.2.0 0.0.0.255    允許172.17.115.0網段通路192.168.2.0網段。注意關鍵字IP代表任意IP協定

R(config)#access-list 101 permit tcp any host 192.168.2.1 eq 80   允許任意網段通路192.168.2.1的80端口。需要嚴格比對80端口（即WWW，HTTP服務）

R(config)#access-list 101 permit icmp any host 192.168.2.1  允許任意網段PING 192.168.2.1

R(config)#access-list 101 permit tcp 172.17.116.0 0.0.0.255 host 192.168.2.2 eq ftp  remark server    添加注釋 SERVER（我用的cisco packet trader 模拟器是不支援的）   

R(config)#access-list 101 permit tcp 172.17.118.0 0.0.0.255 host 192.168.2.2 eq ftp          允許172.17.117.0網段通路192.68.2.2需要比對FTP端口。

R(config)#access-list 101 permit tcp 172.17.117.0 0.0.0.255 host 192.168.2.3 eq tftp        允許172.17.117.0網段通路192.68.2.3，我用的cisco packet trader 模拟器是不支援eq tftp或者是eq 69的，eq ftp、eq 80是支援的。

R(config)#int f0/1

R(config-if)#ip access-group 101 out   在F0/1上的出口方向配置ACL 101，不可以配置為在f0/0接口的的進口方向，因為ACL會過濾掉RIP路由的更新。）

R(config-if)#exi

進行測試，通路控制目标已經達到。

說一下命名ACL的文法：

例如：ip access-list standard {name}

         permit 192.168.9.1 0.0.0.0

         deny   host 192.168.9.2

ip access-list extended {name}

permit ip any 192.168.1.0 0.0.0.255 eq www    

deny   ip any any 

本文轉自  還不算暈  51CTO部落格，原文連結:http://blog.51cto.com/haibusuanyun/516025