实验目的
通过本实验可以掌握ACL 的工作方式和工作过程,定义编号和命名标准 ACL 的方法,接口和 VTY 下应用标准 ACL 的方法。
配置 ACL 实验拓扑如下图所示。本实验中,通过配置标准 ACL 实现拒绝 IOU5所在网段访问 Ser01,同时只允许主机 IOU4 访问路由器 IOU1、IOU2 和 IOU3 的 Telnet 服务,实现对路由器进行远程管理。同时配置扩展ACL实现IOU4所在网段拒绝ping通服务器IOU6,允许IOU4 和IOU5所在的网段访问服务器IOU6的telnet服务,整个网络配置 OSPF 路由协议保证 IP 的连通性。
实验拓扑图:
IP地址规划
1.配置路由器、PC、服务器的IP地址
IOU1配置各接口IP
IOU1(config)#interface ethernet 0/0
IOU1(config-if)#ip address 172.16.1.1 255.255.255.0
IOU1(config-if)#no shutdown
IOU1(config-if)#exit
IOU1(config)#interface ethernet 0/1
IOU1(config-if)#ip address 172.16.2.1 255.255.255.0
IOU1(config-if)#no shutdown
IOU1(config-if)#exit
IOU1(config)#interface serial 2/0
IOU1(config-if)#ip address 172.16.10.1 255.255.255.0
IOU1(config-if)#no shutdown
IOU1(config-if)#exit
IOU2配置各接口IP
IOU2#config terminal
IOU2(config)#interface serial 2/0
IOU2(config-if)#ip address 172.16.10.2 255.255.255.0
IOU2(config-if)#no shutdown
IOU2(config-if)#exit
IOU2(config)#interface serial 2/1
IOU2(config-if)#ip address 172.16.20.1 255.255.255.0
IOU2(config-if)#no shutdown
IOU2(config-if)#exit
IOU3配置各接口IP
IOU3#config terminal
IOU3(config)#interface serial 2/0
IOU3(config-if)#ip address 172.16.20.2 255.255.255.0
IOU3(config-if)#no shutdown
IOU3(config-if)#exit
IOU3(config)#interface ethernet 0/0
IOU3(config-if)#ip address 172.16.3.1 255.255.255.0
IOU3(config-if)#no shutdown
IOU3(config-if)#exit
IOU4配置IP
IOU4#config terminal
IOU4(config)#interface ethernet 0/0
IOU4(config-if)#ip address 172.16.1.100 255.255.255.0
IOU4(config-if)#no shutdown
IOU4(config-if)#exit
IOU5配置IP
IOU5#config terminal
IOU5(config)#interface ethernet 0/0
IOU5(config-if)#ip address 172.16.2.100 255.255.255.0
IOU5(config-if)#no shutdown
IOU5(config-if)#exit
IOU6配置IP
IOU6#config terminal
IOU6(config)#interface ethernet 0/0
IOU6(config-if)#ip address 172.16.3.100 255.255.255.0
IOU6(config-if)#no shutdown
IOU6(config-if)#exit
2.配置动态路由,默认路由
IOU1配置动态路由
IOU1(config)#router rip
IOU1(config-router)#version 2
IOU1(config-router)#no auto-summary
IOU1(config-router)#network 172.16.0.0
IOU1(config-router)#exit
IOU2配置动态路由
IOU2(config)#router rip
IOU2(config-router)#version 2
IOU2(config-router)#no auto-summary
IOU2(config-router)#network 172.16.0.0
IOU2(config-router)#exit
IOU3配置动态路由
IOU3(config)#router rip
IOU3(config-router)#version 2
IOU3(config-router)#no auto-summary
IOU3(config-router)#network 172.16.0.0
IOU3(config-router)#exit
IOU4配置默认路由
IOU4(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.1
IOU5(config)#ip route 0.0.0.0 0.0.0.0 172.16.2.1
IOU6(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1
配置完成后使用show ip route命令查看配置结果
3.IOU3,服务器配置telnet
IOU3配置telnet
IOU3(config)#username admin privilege 15 password cisco \\telnet 用户名 密码
IOU3(config)#line vty 0 4
IOU3(config-line)#login local
IOU3(config-line)#transport input telnet
IOU3(config-line)#exit
IOU6配置telnet
IOU6(config)#username admin privilege 15 password cisco \\telnet 用户名 密码
IOU6(config)#line vty 0 4
IOU6(config-line)#login local
IOU6(config-line)#transport input telnet
IOU6(config-line)#exit
4.配置标准ACL,使IOU3只允许172.16.1.0进行telnet
IOU3配置
IOU3(config)#access-list 2 permit 172.16.1.0 0.0.0.255 \\只允许172.16.1.0进行telnet
IOU3(config)#line vty 0 4
IOU3(config-line)#access-class 2 in \\ 将标准ACL应用于VTY
IOU3(config-line)#exit
配置完成后使用show access-lists命令查看配置结果
使用telnet测试结果
IOU4 172.16.1.0可以telnet
IOU5 不允许telnet
5.配置扩展ACL 使服务器只允许172.16.2.0使用ping测试,允许172.16.1.0机172.16.2.0 telnet
IOU3 配置
IOU3(config)#access-list 100 deny icmp 172.16.1.0 0.0.0.255 host 172.16.3.100 \\禁止172.16.1.0/24 网段的主机ping通服务器172.16.3.100
IOU3(config)#access-list 100 permit ip any any \\允许其他任何流量
IOU3(config)#access-list 100 permit tcp 172.16.2.0 0.0.0.255 host 172.16.3.100 eq telnet \\允许172.16.2.0 telnet 服务器
IOU3(config)#access-list 100 permit tcp 172.16.1.0 0.0.0.255 host 172.16.3.100 eq telnet \\允许172.16.1.0 telnet 服务器
IOU3(config)#interface serial 2/0
IOU3(config-if)#ip access-group 100 in \\将扩展ACL应用于接口
IOU3(config-if)#exi
配置完成后使用show access-lists命令查看配置结果
使用ping和telnet命令测试
IOU4 172.16.1.0 不允许ping通服务器172.16.3.100,可以telnet
IOU5 172.16.2.0 允许ping通服务器172.16.3.100,可以telnet
