设为首页收藏本站

中国学客联盟

 找回密码
 立即注册




查看: 898|回复: 10

[思科配置实例] cisco思科交换机扩展ACL实验

  [复制链接]

[UID商城]   [抢购靓号]

该用户从未签到

中级会员

Rank: 3Rank: 3Rank: 3

UID
57
威望
57
贡献
0
在线时间
1 小时
注册时间
2014-2-26
发表于 2016-4-4 18:46:12 | 显示全部楼层 |阅读模式
cisco思科交换机扩展ACL实验
一、 实验目的
1、 了解什么是扩展的 ACL;
2、 了解标准和扩展 ACL 的区别;
3、 了解扩展 ACL 不同的实现方法;
二、 应用环境
标准 ACL 只能限制源 IP 地址,而扩展 ACL 的限制权限就很广泛,包括源 IP、目的 IP、 服务类型等。
三、 实验设备
1、 DCRS-7604(或 6804 或 5526S)交换机 1 台
2、 DCS-3926S 交换机 1 台
3、 PC 机 2 台
4、 Console 线 1-2 根
5、 直通网线若干
四、 实验拓扑
QQ截图20160404184800.png
五、 实验要求
目的:禁止 PC2 telnet 交换机 A。
在交换机 A 和交换机 B 上分别划分两个基于端口的 VLAN:VLAN100,VLAN200。 交换机 A 端口 1 设置成 Trnuk 口:
VLAN
IP
Mask
100
192.168.100.1
255.255.255.0
200
192.168.200.1
255.255.255.0
Trunk 口

1/1 和 1/2
交换机 B 的配置如下:
VLAN
端口成员
100
1~8
200
9~16
Trunk 口
24
PC1-PC4 的网络设置为:
设备
IP 地址
gateway
Mask
PC1
192.168.100.11
192.168.100.1
255.255.255.0
PC2
192.168.200.22
192.168.200.1
255.255.255.0
验证:
1、配置 ACL 之前,PC1 和 PC2 都可以 telnet 交换机 A。
2、配置 ACL 后,PC1 可以 telnet 交换机 A,而 PC2 不可以 telnet 交换机 A。 若实验结果和理论相符,则本实验完成。
六、 实验步骤
第一步:交换机全部恢复出厂设置,在交换机中创建vlan100 和vlan200,并添加端口。
交换机 B:
switchB(Config)#vlan 100
switchB(Config-Vlan100)#
switchB(Config-Vlan100)#switchport interface ethernet 0/0/1-8
switchB(Config-Vlan100)#exit
switchB(Config)#vlan 200
switchB(Config-Vlan200)#switchport interface ethernet 0/0/9-16
switchB(Config-Vlan200)#exit
switchB(Config)#
第二步:设置交换机trunk 端口
交换机B:
switchB(Config)#interface ethernet 0/0/24
switchB(Config-Ethernet0/0/24)#switchport mode trunk
Set the port Ethernet0/0/24 mode TRUNK successfully
switchB(Config-Ethernet0/0/24)#switchport trunk allowed vlan all
set the port Ethernet0/0/24 allowed vlan successfully
switchB(Config-Ethernet0/0/24)#exit
switchB(Config)#
交换机A:
switchA(Config)#vlan 100
switchA(Config-Vlan100)#exit
switchA(Config)#vlan 200
switchA(Config-Vlan200)#exit
switchA(Config)#interface ethernet 1/1
switchA(Config-Ethernet1/1)#switchport mode trunk
Set the port Ethernet1/1 mode TRUNK successfully
switchA(Config-Ethernet1/1)#switchport trunk allowed vlan all
set the port Ethernet1/1 allowed vlan successfully
switchA(Config-Ethernet1/1)#exit
switchA(Config)#
第三步:交换机A 添加vlan 地址。
switchA(Config)#int v 100
switchA(Config-If-Vlan100)#ip ad 192.168.100.1 255.255.255.0
switchA(Config-If-Vlan100)#no shut
switchA(Config-If-Vlan100)#exit
switchA(Config)#int v 200
switchA(Config-If-Vlan200)#ip address 192.168.200.1 255.255.255.0
switchA(Config-If-Vlan200)#no shut
switchA(Config-If-Vlan200)#exit
第四步:配置交换机A 的telnet 信息
switchA(Config)#telnet-user admin password 0 admin
switchA(Config)#
第四步:不配置ACL 验证实验。
验证 PC1 和PC2 之间是否可以telnet 192.168.100.1 或者192.168.200.1
第五步:配置ACL
switchA(Config)#ip access-list extended test2
switchA(Config-Ext-Nacl-test2)#deny tcp 192.168.200.0 0.0.0.255
any-destination d-port 23 !拒绝192.168.200.0/24 telnet 数据
switchA(Config-Ext-Nacl-test2)#
switchA(Config)#firewall enable ! 配置访问控制列表功能开启
switchA(Config)#firewall default permit !默认动作为全部允许通过
switchA(Config)#interface ethernet 1/1 !绑定ACL 到各端口
switchA(Config-Ethernet1/1)#ip access-group test2 in
第六步:验证实验。
PC
端口
telnet
结果
原因
PC1:192.168.100.11/24
0/0/1
192.168.100.1

PC2:192.168.200.11/24
0/0/9
192.168.200.1
不通
PC1:
login:admin
password:*****
switchA>en
switchA#
switchA#exit
switchA>exit
失去了跟主机的连接。
PC2
CDocuments and SettingsAdministrator>telnet 192.168.200.1
正在连接到192.168.200.1...不能打开到主机的连接, 在端口 23: 连接失败
CDocuments and SettingsAdministrator>
七、 注意事项和排错
1、 端口可以成功绑定的 ACL 数目取决于已绑定的 ACL 的内容以及硬件资源限制,如 果因为硬件资源有限无法配置会提示用户相关信息。
2、 可以配置 ACL 拒绝某些 ICMP 报文通过以防止“冲击波”等病毒攻击。
八、 配置序列
switchA#show run
Current configuration:
!
hostname switchA
!
telnet-user admin password 0 admin
!
!
ip access-list extended test2
deny tcp 192.168.200.0 0.0.0.255 0.0.0.0 255.255.255.255 d-port 23
!
firewall enable
!
!
Vlan 1
vlan 1
!
Vlan 100
vlan 100
!
Vlan 200
vlan 200
!
Interface Ethernet1/1
ip access-group test2 in
switchport mode trunk
!
Interface Ethernet1/2
!
……
Interface Ethernet1/28
!
interface Vlan100
interface vlan 100
ip address 192.168.100.1 255.255.255.0
!
interface Vlan200
interface vlan 200
ip address 192.168.200.1 255.255.255.0
!
Interface Ethernet0
!
switchA#
九、 共同思考
1、 第五步,绑定 access-group 到端口的时候,in 和 out 参数各有什么含义?
2、 能否通过 ACL 实现 A 可以访问 B,但是 B 不可以访问 A?
中国学客联盟

[UID商城]   [抢购靓号]

该用户从未签到

中级会员

Rank: 3Rank: 3Rank: 3

UID
3640393
威望
64
贡献
0
在线时间
0 小时
注册时间
2016-9-5
发表于 2016-9-6 15:46:13 | 显示全部楼层
好帖就是要顶
中国学客联盟

[UID商城]   [抢购靓号]

该用户从未签到

中级会员

Rank: 3Rank: 3Rank: 3

UID
3640395
威望
63
贡献
0
在线时间
0 小时
注册时间
2016-9-6
发表于 2016-9-6 15:58:52 | 显示全部楼层
顶顶多好
中国学客联盟

[UID商城]   [抢购靓号]

该用户从未签到

中级会员

Rank: 3Rank: 3Rank: 3

UID
3640391
威望
68
贡献
0
在线时间
0 小时
注册时间
2016-9-5
发表于 2016-9-6 16:26:58 | 显示全部楼层
很好哦
中国学客联盟

[UID商城]   [抢购靓号]

该用户从未签到

中级会员

Rank: 3Rank: 3Rank: 3

UID
3640388
威望
63
贡献
0
在线时间
0 小时
注册时间
2016-9-4
发表于 2016-9-6 15:51:23 | 显示全部楼层
LZ真是人才
中国学客联盟

[UID商城]   [抢购靓号]

该用户从未签到

中级会员

Rank: 3Rank: 3Rank: 3

UID
3640378
威望
66
贡献
0
在线时间
0 小时
注册时间
2016-8-30
发表于 2016-9-6 16:27:33 | 显示全部楼层
非常好的内容,路过看看,保存一下
中国学客联盟

[UID商城]   [抢购靓号]

该用户从未签到

高级会员

Rank: 4

UID
885
威望
164
贡献
0
在线时间
1 小时
注册时间
2014-2-26
发表于 2016-10-12 18:02:13 | 显示全部楼层
很不错
中国学客联盟

[UID商城]   [抢购靓号]

该用户从未签到

高级会员

Rank: 4

UID
3553480
威望
155
贡献
0
在线时间
1 小时
注册时间
2014-6-16
发表于 2016-10-12 18:06:15 | 显示全部楼层
真心顶

[UID商城]   [抢购靓号]

该用户从未签到

高级会员

Rank: 4

UID
885
威望
164
贡献
0
在线时间
1 小时
注册时间
2014-2-26
发表于 2016-10-12 18:02:51 | 显示全部楼层
LZ真是人才
中国学客联盟

[UID商城]   [抢购靓号]

该用户从未签到

中级会员

Rank: 3Rank: 3Rank: 3

UID
3640437
威望
62
贡献
0
在线时间
0 小时
注册时间
2016-10-12
发表于 2016-10-12 18:12:14 | 显示全部楼层
内容非常不错,谢谢楼主,我学到了
中国学客联盟
 懒得打字嘛,点击右侧快捷回复【左侧自定义内容】  【右侧自定义内容】
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表