实验需求:

1、熟练掌握扩展ACL使用方法。

实验规划:

1、ACL 100表示内网主机可访问服务器,但只有网络管理员(PC1)才能通过telnet、SSH和远程桌面登陆服务器,外网只能访问服务器的80端口。

2、ACL 101 BIAOSHI 192.168.3.0 /24(PC2)网段主机可以访问服务器,可以访问网管网段,但不能访问其他部门,也不能访问内网。

3、ACL 102表示192.168.4.0 /24(PC3) 网段主机可访问服务器,可以访问网管网段,但不能访问其他部门,能访问内网

1、IP规划

ACL实验案例_4s

2、设置trunk

#sw1配置trunk
SW1(config)#int range e0/0-1
SW1(config-if-range)#sw tr en d
SW1(config-if-range)#sw m tr
#sw2配置trunk
SW2(config)#int e0/0
SW2(config-if)#sw tr en d
SW2(config-if)#sw m tr
#sw3配置trunk
SW3(config)#int e0/0
SW3(config-if)#sw tr en d
SW3(config-if)#sw m tr

3、配置vlan

#sw1配置vlan
SW1(config)#vlan 2,3,4,100
#sw2配置vlan
SW2(config)#vlan 2,3,4,100
#sw3配置vlan
SW3(config)#vlan 2,3,4,100

4、将pc1、2、3及服务器拉进vlan

#SW2上的操作
SW2(config)#int e0/1
SW2(config-if)#sw ac vlan 2
SW2(config)#int e0/2
SW2(config-if)#sw ac vlan 3
SW2(config-if)#int e0/3
SW2(config-if)#sw ac vlan 4
SW2(config-if)#do sh vlan
#sw3上的操作
SW3(config)#int e0/0
SW3(config-if)#sw ac vlan 100

5、设置ip地址

PC1(config)#int e0/0
PC1(config-if)#ip add 192.168.2.2 255.255.255.0
PC2(config)#int e0/0
PC2(config-if)#ip add 192.168.3.2 255.255.255.0
PC3(config)#int e0/0
PC3(config-if)#ip add 192.168.4.2 255.255.255.0
Serive(config)#int e0/0
Serive(config-if)#ip add 192.168.100.2 255.255.255.0
SW2(config)#int vlan 1
SW2(config-if)#ip add 192.168.0.2 255.255.255.0
SW2(config-if)#no sh
SW3(config)#int vlan 1
SW3(config-if)#ip add 192.168.0.3 255.255.255.0
SW3(config-if)#no sh
SW1(config)#int vlan 1
SW1(config-if)#ip add 192.168.0.1 255.255.255.0
SW1(config-if)#no sh
SW1(config-if)#int vlan 2
SW1(config-if)#ip add 192.168.2.1 255.255.255.0
SW1(config-if)#no sh
SW1(config-if)#int vlan 
SW1(config-if)#ip add 192.168.3.1 255.255.255.0
SW1(config-if)#no sh
SW1(config-if)#int vlan 4
SW1(config-if)#ip add 192.168.4.1 255.255.255.0
SW1(config-if)#no sh
SW1(config-if)#int vlan 100
SW1(config-if)#ip add 192.168.100.1 255.255.255.0
SW1(config-if)#no sh
SW1(config-if)#int e0/2
SW1(config-if)#no sw
SW1(config-if)#ip add 10.0.0.1 255.255.255.0
R1(config)#int e0/2
R1(config-if)#ip add 10.0.0.2 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int loo 0
R1(config-if)#ip add 123.0.0.1 255.255.255.0

6、生成路由表及vty

SW1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.2
R1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1
PC1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1
PC2(config)#ip route 0.0.0.0 0.0.0.0 192.168.3.1
PC3(config)#ip route 0.0.0.0 0.0.0.0 192.168.4.1
Serive(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.1
SW2(config)#ip route 0.0.0.0 0.0.0.0 192.0.0.1
SW3(config)#ip route 0.0.0.0 0.0.0.0 192.168.0.1
SW2(config)#username benet privilege 15 password test
SW2(config)#line vty 0 4
SW2(config-line)#login local
SW2(config-line)#transport input all
SW3(config)#username benet privilege 15 password test
SW3(config)#line vty 0 4
SW3(config-line)#login local
SW3(config-line)#transport input all
SW1(config)#username benet privilege 15 password test
SW1(config)#line vty 0 4
SW1(config-line)#login local
SW1(config-line)#transport input all
Serive(config)#username benet privilege 15 password test
Serive(config)#line vty 0 4
Serive(config-line)#login local
Serive(config-line)#transport input all

使用ping测试全网是否互通

ACL实验案例_服务器_02

使用telnet测试pc1是否可以远程所有网络设备

ACL实验案例_服务器_03

ACL实验案例_4s_04

ACL实验案例_4s_05

ACL实验案例_服务器_06

使用telnet测试pc2是否能telnet sw1

ACL实验案例_服务器_07

7、生成ACL

#设置acl 100
SW1(config)access-list 100 permit ip 192.168.2.0 0.0.0.255 host 192.168.100.2
SW1(config)access-list 100 deny ip 192.168.0.0 0.0.255.255 host 192.168.100.2 eq 22
SW1(config)access-list 100 deny ip 192.168.0.0 0.0.255.255 host 192.168.100.2 eq telnet
SW1(config)access-list 100 deny ip 192.168.0.0 0.0.255.255 host 192.168.100.2 eq 3389
SW1(config)access-list 100 permint ip 192.168.0.0 0.0.255.255 host 192.168.100.2
SW1(config)access-list 100 permint tcp any host 192.168.100.2 eq 80
#将acl 100放置端口
SW1(config)#int vlan 100
SW1(config-if)#ip access-group 100 out
#设置acl 101
SW1(config)access-list 101 permit ip 192.168.3.0 0.0.0.255 host 192.168.100.2
SW1(config)access-list 101 permit ip 192.168.3.0 0.0.0.255  192.168.2.0 0.0.0.255
#将acl 101放置端口
SW1(config)#int vlan 3
SW1(config-if)#ip access-group 101 in
#设置acl 102
SW1(config)#access-list 102 permit ip 192.168.4.0 0.0.0.255 host 192.168.100.2
SW1(config)#access-list 102 permit ip 192.168.4.0 0.0.0.255 192.168.2.0 0.0.0.255
SW1(config)#access-list 102 deny ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255
SW1(config)#access-list 102 permit ip any any
#将acl 101放置端口
SW1(config)#int vlan 4
SW1(config-if)#ip access-group 102 in

用pc1进行ping及telnet测试

ACL实验案例_4s_08

用pc2进行ping及telnet测试

ACL实验案例_4s_09

用pc3进行ping及telnet测试

ACL实验案例_服务器_10


实验成功!!!!

THE END