ACL实验详解

访问控制列表ACL（Access Control List）是由一条或多条规则组成的集合。所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。

ACL本质上是一种报文过滤器，规则是过滤器的滤芯。设备基于这些规则进行报文匹配，可以过滤出特定的报文，并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。

以下是ACL实验：

实验拓扑：

实验需求：

1.按照图示配置IP地址

2.全网路由互通

3.在Server1上配置HTTP和FTP服务

4.配置ACL实现如下效果

•    192.168.1.0/24网段不允许访问192.168.2.0/24 网段，要求使用基本 ACL 实现

  
  

•    Client1 可以访问 SERVER1 的 HTTP 服务，但不能访问 FTP 服务

•    Client2 可以访问 SERVER1 的 FTP 服务，但不能访问 HTTP 服务

•    192.168.2.0/24 网段不允许访问 SERVER1，要求通过高级 ACL 实现、

实验解法：

1.配置IP地址部分略

2.R1，R2，R3上配置RIP使全网路由互通

3.在Server1上配置开启HTTP和FTP服务

步骤 1：R1，R2，R3上配置RIP使全网路由互通

[R1]rip 1
[R1-rip-1]version 2
[R1-rip-1]network 192.168.1.0
[R1-rip-1]network 12.0.0.0

[R2]rip 1
[R2-rip-1]version 2
[R2-rip-1]network 12.0.0.0
[R2-rip-1]network 23.0.0.0 
[R2-rip-1]network 192.168.2.0

[R3]rip 1
[R3-rip-1]version 2
[R3-rip-1]network 23.0.0.0
[R3-rip-1]network 192.168.3.0

步骤2：创建基本 ACL，使 192.168.1.0/24 网段不能访问 192.168.2.0/24 网段，并在 R2 的 g2/0/0接口的出方向配置流量过滤

[R2]acl number 2000
[R2-acl-basic-2000]rule 5 deny source 192.168.1.0 0.0.0.255
[R2]interface g2/0/0
[R2-GigabitEthernet2/0/0]traffic-filter outbound acl 2000

步骤3：创建高级 ACL，使 Client1 可以访问 SERVER1 的 HTTP 服务，但不能访问 FTP 服务；Client2 可以访问 SERVER1 的 FTP 服务，但不能访问 HTTP 服务，并在 R1 的 g0/0/0 接口的入方向配置流量过滤

[R1-acl-adv-3000]rule deny tcp source 192.168.1.1 0 destination 192.168.3.1 0 destination-port range 20 21
[R1-acl-adv-3000]rule deny tcp source 192.168.1.2 0 destination 192.168.3.1 0 destination-port eq 80
[R1]intface g0/0/0
[R1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

步骤4：创建高级 ACL，使Client3 不能访问 SERVER1，并在 R2 的 g2/0/0 接口的入方向配置包过滤

[R2]acl 3000
[R2-acl-adv-3000]rule deny ip source 192.168.2.0 0.0.0.255 destination 192.168.3.1 0
[R2]interface g2/0/0
[R2-GigabitEthernet2/0/0]traffic-filter inbound acl 3000

-  END -

微信号：hcie1024

学习热线：17365375526

官方网站：www.sannet.net