收藏
下载资源

15实验十五扩展ACL实验.docx

文档编号:10858 上传时间:2022-06-08 格式:DOCX 页数:33 大小:18.84KB
下载 相关 举报
15实验十五扩展ACL实验.docx_第1页
第1页 / 共33页
15实验十五扩展ACL实验.docx_第2页
第2页 / 共33页
15实验十五扩展ACL实验.docx_第3页
第3页 / 共33页
点击查看更多>>
资源描述

1、15实验十五,扩展,ACL,实验实验十五 扩展 ACL 实验 一、 实验目的 1、 了解什么是标准的 ACL; 2、 了解标准和扩展 ACL 的区别; 3、 了解扩展 ACL 不同的实现方法; 二、 应用环境 标准 ACL 只能限制源 IP 地址,而扩展 ACL 的限制权限就很广泛,包括源 IP、目的 IP、服务类型等。 三、 实验设备 1、 DCRS-5650 交换机 2 台 3、 PC 机 2 台 4、 Console 线 2 根 5、 直通网线若干 四、 实验拓扑 五、实 验要求 目的:禁止 PC2 telnet 交换机 A 。 1、在交换机 A 和交换机 B 上分别划分两个基于端口的

2、VLAN 见表: 2、交换机 A 和 B 通过 24 口级联 3、配置交换机 A 和 B 各 vlan 虚拟借口的 ip 地址见表: 4、PC1-PC2 的网络设置见表: 设 备 Ip 地址 Gateway mask PC1 192.168.10.101 192.168.10.1 255.255.255.0 PC2 192.168.20.101 192.168.20.1 255.255.255.0 5、验证 1、配置 ACL 之前,PC1、PC2 都可以 ping 通 vlan30 2、配置 ACL 后,PC1 可以 ping vlan30 而 PC2 的不可以 ping 通 vlan30 若

3、实验结果和理论相符,则本实验完成 交 换 机 Vlan 端口成员 交换机 A 10 1-8 20 9-46 100 24 交换机 B 30 1-8 101 24 Vlan10 Vlan20 Vlan30 Vlan100 Vlan101 192.168.10.1 192.168.20.1 192.168.30.1 192.168.100.1 192.168.100.2 六 、实验步骤 1.交换机恢复出厂 (以交换机 A 为例,交换机 B 配置步骤同 A) DCS-5650-28C>enable DCS-5650-28C#set default Are you sure? Y/N = y !

4、是否确认? DCS-5650-28C#write DCS-5650-28C#reload Process with reboot? Y/N y 2.配置交换机 VlAN 信息 交换机 A:创建 vlan10 和 vlan20、 vlan100 和并给相应 vlan 添加端口。 switch-RSA(Config)#vlan 10 switch-RSA(Config-Vlan10)#switchport interface Ethernet 0/0/1-8 switch-RSA(Config-Vlan10)#exit switch-RSA(Config)#vlan 20 switch-RSA(C

5、onfig-Vlan20)#switchport interface ethernet 0/0/9-16 switch-RSA(Config-Vlan20)#exit switch-RSA(Config)#vlan 100 switch-RSA(Config-Vlan100)#switchport interface ethernet 0/0/24 Set the port Ethernet1/24 access vlan 100 successfully switch-RSA(Config-Vlan100)#exit 验证配置: switch-RSA#show vlan 交换机 B:创建 v

6、lan 30 和 vlan 40、 vlan101 和并给相应 vlan 添加端口。(配置命令与交换机 A 配置类似)如图: 验证配置: switch-RSB#show vlan 3.配置交换机各 vlan 虚接口的 IP 地址 注意:若要配置多个 IP 时,必须开启三层转发功能(默认情况下此功能关闭,需要先开启此功能) switch-RSA(Config)#l3 enable (此命令不能自动补全,需手动输入) 分别给交换机 A 的 Vlan 10 、Vlan 20、Vlan 100 配置 IP 地址 switch-RSA(Config)#int vlan 10 switch-RSA(Con

7、fig-If-Vlan10)#ip address 192.168.10.1 255.255.255.0 switch-RSA(Config-If-Vlan10)#no shut switch-RSA(Config-If-Vlan10)#exit switch-RSA(Config)#int vlan 20 switch-RSA(Config-If-Vlan20)#ip address 192.168.20.1 255.255.255.0 switch-RSA(Config-If-Vlan20)#no shut switch-RSA(Config-If-Vlan20)#exit switch-

8、RSA(Config)#int vlan 100 switch-RSA(Config-If-Vlan100)#ip address 192.168.100.1 255.255.255.0 switch-RSA(Config-If-Vlan100)#no shut switch-RSA(Config-If-Vlan100)#exit 给交换机 B 的 Vlan 30 、Vlan 40、Vlan 101 配置 IP 地址(配置方式同交换机 A)如图: 4.配置静态路由 交换机 A: switch-RSA(Config)#ip route 0.0.0.0 0.0.0.0 192.168.100.2

9、验证配置: switch-RSA(Config)#show ip route 交换机 B: Switch-RSB: ip route 0.0.0.0 0.0.0.0 192.168.100.1 验证配置: 5.在交换机 B 的 VLan30 端口上配置端口的回环测试功能,保证 vlan30 可以 ping 通 6.验证(本验证是基于在没有配置 ACL 之前进行的) 7.配置访问控制表(ACL) 方法 1:配置命名标准 IP 访问列表 (其中 test2 为指定名称) switch-RSA(Config)#ip access-list extended test2 switch-RSA(Conf

10、ig-Std-Nacl-test2)#deny icmp 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255 switch-RSA(Config-Std-Nacl-test2)#deny host-source PC 端口 Ping 结果 原因 PC1:192.168.10.101 0/0/1 192.168.100.1 通 PC2:192.168.20.101 0/0/9 192.168.200.1 通 192.168.20.101 switch-RSA(Config-Std-Nacl-test2)#exit switch-RSA(Config)# 验

11、证配置: 8.开启访问控制列表功能,默认动作为全部开启 switch-RSA(Config)#firewall enable switch-RSA(Config)#firewall default permit (两种方法任选其一) 9.结果 七、 注意事项和排错 1.端口可以成功绑定的 ACL 数目取决于已绑定的 ACL 的内容以及硬件资源限制,如果因为硬件资源有限无法配置会提示用户相关信息。 2.可以配置 ACL 拒绝某些 ICMP 报文通过以防止冲击波等病毒攻击。 八、 共同思考 1.第五步,绑定 access-group 到端口的时候,in 和 out 参数各有什么含义? 2.能否通过

12、 ACL 实现 A 可以访问 B,但是 B 不可以访问 A? PC 端口 Ping 结果 原因 PC1:192.168.10.101 0/0/1 192.168.30.1 通 PC2:192.168.20.101 0/0/9 192.168.30.1 不通 九、 课后练习 配置数字标准 IP 访问列表完成同样的功能。 十、 相关配置命令详解 ACL 配置任务序列 1. 配置 access-list (1) 配置数字标准 IP 访问列表 (2) 配置数字扩展 IP 访问列表 (3) 配置命名标准 IP 访问列表 a) 创建一个命名标准 IP 访问列表 b) 指定多条 permit 或 deny

13、规则表项 (4)配置命名扩展 IP 访问列表 a) 创建一个命名扩展 IP 访问列表 b) 指定多条 permit 或 deny 规则表项 c) 退出访问表配置模式 2 配置包过滤功能 (1)全局打开包过滤功能 (2)配置默认动作(default action) 3. 将 accessl-list 绑定到特定端口的特定方向 配置 access-list (1)配置数字标准 IP 访问列表 (2)配置数字扩展 IP 访问列表 命令 解释 全局配置模式 access-list <num> deny | permit <sIpAddr> <sMask> | any

14、-source | host-source <sIpAddr> no access-list <num> 创建一条数字标准 IP 访问列表,如果已有此访问列表,则增加一条规则(rule)表项;本命令的 no 操作为删除一条数字标准 IP 访问列表。 (3)配置命名标准 IP 访问列表 命令 解释 全局配置模式 access-list <num> deny | permit icmp <sIpAddr> <sMask> | any-source | host-source <sIpAddr> <dIpAddr>

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 办公文档 > 工作范文

启牛文库网为“电子文档交易平台”,即用户上传的文档直接卖给(下载)用户,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。

本站是网络服务平台方,若您的权利被侵害,请立刻联系我们并提供证据,侵权客服QQ:709425133 欢迎举报。

©2012-2025 by www.wojuba.com. All Rights Reserved.

经营许可证编号:京ICP备14006015号