路由与交换系列高级IP ACL特性与配置实验

2022-11-25 283

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介： ? 掌握高级 IP ACL的原理? 掌握ACL在企业网络中的应用? 掌握高级IP ACL的配置方式? 掌握高级IP ACL的验证效果

高级IP ACL特性与配置实验

1.1【实验目的】

? 掌握高级 IP ACL的原理

? 掌握ACL在企业网络中的应用

? 掌握高级IP ACL的配置方式

? 掌握高级IP ACL的验证效果

1.2【实验环境】

华为ENSP模拟器

实验拓扑图如下图所示。

1.3【实验过程及实验结果】

1.地址配置

IP地址规划表

设备名称	设备接口	IP	网关	所属VLAN
STP服务器	E0/0/1	192.168.20.100/24	192.168.20.1/24
私有服务器	E0/0/2	192.168.20.200/24	192.168.20.1/24
PC1	E0/0/1	10.20.30.10/24	10.20.30.1/24	VLAN30
PC2	E0/0/1	10.20.60.10/24	10.20.60.1/24	VLAN60
PC3	E0/0/2	10.20.60.20/24	10.20.60.1/24	VLAN60
Client 1	E0/0/2	10.20.30.30/24	10.20.30.1/24	VLAN30
Client 2	E0/0/3	10.20.60.30/24	10.20.60.1/24	VLAN60
AR1	G0/0/2	172.16.20.1/24
	G0/0/0	10.20.80.2/24
	G0/0/1	10.20.100.2/24
AR2	G0/0/0	172.16.20.2/24
AR2	G0/0/1	192.168.20.1/24
LSW1	E0/0/1	10.20.30.1/24		VLAN30
	E0/0/2	10.20.30.1/24		VLAN30
	E0/0/5	10.20.80.1/24		VLAN 1
LSW2	E0/0/1	10.20.60.1/24		VLAN60
	E0/0/2
	E0/0/3
	E0/0/5	10.20.100.1/24		VLAN 1

2.IP编址与基本配置

给所有路由器配置IP地址信息。

AR1

[AR1]int G0/0/0

[AR1-GigabitEthernet0/0/0]ip address 10.20.80.2 24

[AR1-GigabitEthernet0/0/0]int G0/0/1

[AR1-GigabitEthernet0/0/1]ip address 10.20.100.2 24

[AR1-GigabitEthernet0/0/1]int G0/0/2

[AR1-GigabitEthernet0/0/2]ip address 172.16.20.1 24

[AR1-GigabitEthernet0/0/2]q

AR2

[AR2]int G0/0/0

[AR2-GigabitEthernet0/0/0]ip address 172.16.20.2 24

[AR2-GigabitEthernet0/0/0]int G0/0/1

[AR2-GigabitEthernet0/0/1]ip address 192.168.20.1 24

[AR2-GigabitEthernet0/0/1]q

3.在LSW1和LSW2中配置VLAN

LSW1

[LSW1]vlan 30

[LSW1-vlan30]description Jack20-Local_VLAN30

[LSW1-vlan30]q

[LSW1]

[LSW1]int vlan 30

[LSW1-Vlanif30]ip add 10.20.30.1 24

[LSW1-Vlanif30]int vlan 1

[LSW1-Vlanif1]ip add 10.20.80.1 24

[LSW1-Vlanif1]int e0/0/1

[LSW1-Ethernet0/0/1]port link-type access

[LSW1-Ethernet0/0/1]port default vlan 30

[LSW1-Ethernet0/0/1]int e0/0/2

[LSW1-Ethernet0/0/2]port link-type access

[LSW1-Ethernet0/0/2]port default vlan 30

[LSW1-Ethernet0/0/2]int e0/0/5

[LSW1-Ethernet0/0/5]port link-type trunk

[LSW1-Ethernet0/0/5]port trunk allow-pass vlan all

[LSW1-Ethernet0/0/5]q

LSW2

[LSW2]vlan 60

[LSW2-vlan60]description Jack20-Local_VLAN60

[LSW2-vlan60]q

[LSW2]

[LSW2]int vlan 60

[LSW2-Vlanif60]ip add 10.20.60.1 24

[LSW2-Vlanif60]int vlan 1

[LSW2-Vlanif1]ip add 10.20.100.1 24

[LSW2-Vlanif1]int e0/0/1

[LSW2-Ethernet0/0/1]port link-type access

[LSW2-Ethernet0/0/1]port default vlan 60

[LSW2-Ethernet0/0/1]int e0/0/2

[LSW2-Ethernet0/0/2]port link-type access

[LSW2-Ethernet0/0/2]port default vlan 60

[LSW2-Ethernet0/0/2]int e0/0/3

[LSW2-Ethernet0/0/3]port link-type access

[LSW2-Ethernet0/0/3]port default vlan 60

[LSW2-Ethernet0/0/3]int e0/0/5

[LSW2-Ethernet0/0/5]port link-type trunk

[LSW2-Ethernet0/0/5]port trunk allow-pass vlan all

[LSW2-Ethernet0/0/5]q

配置完成后，观察各设备的VLAN表

LSW2

从以上输出可以看到，创建的两个VLAN的端口绑定，Access和Trunk情况，以及给不同VLAN划分时的命名情况

4.在设备中添加OSPF配置

LSW1

[LSW1]ospf

[LSW1-ospf-1]area 0

[LSW1-ospf-1-area-0.0.0.0]net 10.20.30.0 0.0.0.255

[LSW1-ospf-1-area-0.0.0.0]net 10.20.80.0 0.0.0.255

[LSW1-ospf-1-area-0.0.0.0]q

[LSW1-ospf-1]q

LSW2

[LSW2]ospf

[LSW2-ospf-1]area 0

[LSW2-ospf-1-area-0.0.0.0]net 10.20.60.0 0.0.0.255

[LSW2-ospf-1-area-0.0.0.0]net 10.20.100.0 0.0.0.255

[LSW2-ospf-1-area-0.0.0.0]q

[LSW2-ospf-1]q

AR1

[AR1]ospf

[AR1-ospf-1]area 0

[AR1-ospf-1-area-0.0.0.0]net 172.16.20.0 0.0.0.255

[AR1-ospf-1-area-0.0.0.0]net 10.20.100.0 0.0.0.255

[AR1-ospf-1-area-0.0.0.0]net 10.20.80.0 0.0.0.255

[AR1-ospf-1-area-0.0.0.0]q

[AR1-ospf-1]q

AR2

[AR2]ospf

[AR2-ospf-1]area 0

[AR2-ospf-1-area-0.0.0.0]net 172.16.20.0 0.0.0.255

[AR2-ospf-1-area-0.0.0.0]net 192.168.20.0 0.0.0.255

[AR2-ospf-1-area-0.0.0.0]q

[AR2-ospf-1]q

配置完成后，观察各设备的路由表，分别查看：交换机LSW1、LSW2；路由器AR1、AR2

（1） LSW1

（2） LSW2

（3） AR1

（4） AR2

5.在AR1中配置高级IP ACL

在AR1中配置两条高级IP ACL一条使得VLAN 60中的所有TCP传输设备不能访问私有服务器，只有VLAN60可以访问；另一条使得VLAN 30中的所有TCP传输设备不能访问SFTP服务器，只有VLAN60可以访问

AR1

[AR1]acl 3000

[AR1-acl-adv-3000]rule deny tcp source 10.20.30.0 0.0.0.255 destination 192.168.20.100 0 destination-port eq 21

[AR1-acl-adv-3000]rule deny tcp source 10.20.60.0 0.0.0.255 destination 192.168.20.200 0

[AR1-acl-adv-3000]rule permit ip

[AR1-acl-adv-3000]q

[AR1]

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

[AR1-GigabitEthernet0/0/0]int g0/0/1

[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

[AR1-GigabitEthernet0/0/1]q

配置完成后，验证通讯情况

（1）使用client1登录SFTP服务器&私有服务器

登录私有服务器

从以上两次连接可以看出VLAN 30中的所有TCP传输设备不能访问SFTP服务器，只能访问私有服务器

（2）使用client2登录SFTP服务器&私有服务器

登录SFTP服务器

登录私有服务器

从以上两次连接可以看出VLAN 60中的所有TCP传输设备不能访问SFTP服务器，只能访问私有服务器

（3）测试PC机与服务器间通讯

从以上两个不同VLAN主机的连接测试中可以看出可以成功的访问远端的两台服务器，因为其传输是通过ICMP报文的形式，所以不会受到两条高级IP ACL的影响，至此说明两条高级IP ACL配置正确。

路由与交换系列高级IP ACL特性与配置实验

1.1【实验目的】

1.2【实验环境】

1.3【实验过程及实验结果】

热门文章

最新文章

相关课程

相关电子书

相关实验场景