标签:f0 int ip 网络 192.168 ACL access 实验
文章目录
实验拓扑
![实验拓扑](https://gitee.com/jixiansiwei/ImagesBed/raw/master/Network/Configuration/ACL/实验拓扑.png)
实验要求
-
拒绝
192.168.1.96/27
访问FTP -
拒绝
192.168.161/27
访问FTP符 -
拒绝
192.168.1.128/27
访问Web服务 -
允许其他所有访问
附加:
-
拒绝
192.168.1.2/27
访问192.168.1.32/27
网段 -
只允许
192.168.1.1/27
主机可以telnet
三层交换机 -
只允许
192.168.1.2
使用ssh
管理三层交换机
实验过程
0x01 基础配置
-
SW0交换机的基础配置,操作结果如下图所示。
-
multiSW0交换机的基础配置,操作结果如下图所示。
-
Router0路由器的基础配置,操作结果如下图所示。
-
SW1交换机的基础配置,操作结果如下图所示。
0x02 应用于服务器的ACL
-
在Router0的
f0/0
接口配置ACL,操作结果如下图所示。 -
验证ACL是应用成功,这里只验证第一条ACL,操作结果如下图所示。
0x03 远程管理的配置
-
在三层交换机上配置Telnet,操作结果如下图所示。
-
在三层交换机上配置SSH,操作结果如下图所示。
0x04 应用于三层交换机的ACL
-
在三层交换机上配置ACL,操作结果如下图所示。
-
验证ACL是否应用成功,这里值验证应用于SSH的ACL,操作结果如下图所示。
实验总结
- ACL的创建步骤为:
- 创建ACL
- 将ACL应用于接口(需要指定
in/out
)
- 当一个ACL中有多条规则时,要的别关注应用的接口和方向
附录
基础配置:
SW0配置:
en
conf t
hostname SW0
vlan 10
vlan 100
ex
int range f0/1-2
switchport mode access
switchport access vlan 10
int f0/3
switchport mode access
switchport access vlan 100
int f0/4
switchport mode trunk
multiSW0配置:
en
conf t
hostname multiSW0
int f0/1
switchport trunk encapsulation dot1q
switchport mode trunk
vlan 10
vlan 100
ex
int vlan 10
ip add 192.168.1.30 255.255.255.224
no sh
int vlan 100
ip add 192.168.1.62 255.255.255.224
no sh
int f0/2
no switchport
ip add 192.168.1.65 255.255.255.224
no sh
ex
ip routing
ip route 0.0.0.0 0.0.0.0 192.168.1.66
Router0配置:
en
conf t
hostname Router0
int f0/0
ip add 192.168.1.66 255.255.255.224
no sh
int f1/0
ip add 192.168.1.190 255.255.255.224
no sh
int f0/1.1
encapsulation dot1Q 20
ip add 192.168.1.126 255.255.255.224
no sh
int f0/1.2
encapsulation dot1Q 200
ip add 192.168.1.158 255.255.255.224
no sh
int f0/1
no sh
ex
ip route 0.0.0.0 0.0.0.0 192.168.1.65
SW1配置:
en
conf t
hostname SW1
vlan 20
vlan 200
ex
int f0/1
switchport mode access
switchport access vlan 20
int f0/2
switchport mode access
switchport access vlan 200
int f0/3
switchport mode trunk
Router0的f0/0接口配置ACL:
1.拒绝192.168.1.96/27访问FTP
2.拒绝192.168.161/27访问FTP符
3.拒绝192.168.1.128/27访问Web服务
4.允许其他所有访问
access-list 101 deny tcp 192.168.1.96 0.0.0.31 host 192.168.1.33 eq 21
access-list 101 deny tcp host 192.168.1.161 host 192.168.1.33 eq 21
access-list 101 deny tcp 192.168.1.128 0.0.0.31 host 192.168.1.33 eq 80
access-list 101 permit tcp any any
int f0/0
ip access-group 101 out
telnet配置:
enable pass cisco
username cisco password 0 cisco
line vty 0 4
login local
ssh配置:
hostname multiSW0
ip domain-name cisco.com
ip ssh time-out 120
ip ssh authentication-retries 3
crypto key generate rsa general-keys modulus 1024
username admin password 0 admin
line vty 5 9
transport input all
login local
1.拒绝192.168.1.2/27访问192.168.1.32/27网段(multiSW)
2.只允许192.168.1.1/27主机可以telnet三层交换机
3.只允许192.168.1.2使用ssh管理三层交换机
access-list 102 deny ip host 192.168.1.2 192.168.1.32 0.0.0.31
access-list 102 permit tcp host 192.168.1.1 host 192.168.1.1 eq telnet
access-list 102 permit tcp host 192.168.1.2 host 192.168.1.1 eq 22
access-list 102 permit ip any any
int vlan 10
ip access-group 102 in
标签:f0,int,ip,网络,192.168,ACL,access,实验 来源: https://blog.csdn.net/qq_38768365/article/details/114276016
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。