高级IP ACL特性与配置实验
1.1【实验目的】
• 掌握高级 IP ACL的原理
• 掌握ACL在企业网络中的应用
• 掌握高级IP ACL的配置方式
• 掌握高级IP ACL的验证效果
1.2【实验环境】
华为ENSP模拟器
实验拓扑图如下图所示。
1.3【实验过程及实验结果】
1.地址配置
IP地址规划表
设备名称 |
设备接口 |
IP |
网关 |
所属VLAN |
STP服务器 |
E0/0/1 |
192.168.20.100/24 |
192.168.20.1/24 |
|
私有服务器 |
E0/0/2 |
192.168.20.200/24 |
||
PC1 |
E0/0/1 |
10.20.30.10/24 |
10.20.30.1/24 |
VLAN30 |
PC2 |
E0/0/1 |
10.20.60.10/24 |
10.20.60.1/24 |
VLAN60 |
PC3 |
E0/0/2 |
10.20.60.20/24 |
10.20.60.1/24 |
VLAN60 |
Client 1 |
E0/0/2 |
10.20.30.30/24 |
10.20.30.1/24 |
VLAN30 |
Client 2 |
E0/0/3 |
10.20.60.30/24 |
10.20.60.1/24 |
VLAN60 |
AR1 |
G0/0/2 |
172.16.20.1/24 |
||
G0/0/0 |
10.20.80.2/24 |
|||
G0/0/1 |
10.20.100.2/24 |
|||
AR2 |
G0/0/0 |
172.16.20.2/24 |
||
G0/0/1 |
192.168.20.1/24 |
|||
LSW1 |
E0/0/1 |
10.20.30.1/24 |
VLAN30 |
|
E0/0/2 |
||||
E0/0/5 |
10.20.80.1/24 |
VLAN 1 |
||
LSW2 |
E0/0/1 |
10.20.60.1/24 |
VLAN60 |
|
E0/0/2 |
||||
E0/0/3 |
||||
E0/0/5 |
10.20.100.1/24 |
VLAN 1 |
2.IP编址与基本配置
给所有路由器配置IP地址信息。
AR1
[AR1]int G0/0/0
[AR1-GigabitEthernet0/0/0]ip address 10.20.80.2 24
[AR1-GigabitEthernet0/0/0]int G0/0/1
[AR1-GigabitEthernet0/0/1]ip address 10.20.100.2 24
[AR1-GigabitEthernet0/0/1]int G0/0/2
[AR1-GigabitEthernet0/0/2]ip address 172.16.20.1 24
[AR1-GigabitEthernet0/0/2]q
AR2
[AR2]int G0/0/0
[AR2-GigabitEthernet0/0/0]ip address 172.16.20.2 24
[AR2-GigabitEthernet0/0/0]int G0/0/1
[AR2-GigabitEthernet0/0/1]ip address 192.168.20.1 24
[AR2-GigabitEthernet0/0/1]q
3.在LSW1和LSW2中配置VLAN
LSW1
[LSW1]vlan 30
[LSW1-vlan30]description Jack20-Local_VLAN30
[LSW1-vlan30]q
[LSW1]
[LSW1]int vlan 30
[LSW1-Vlanif30]ip add 10.20.30.1 24
[LSW1-Vlanif30]int vlan 1
[LSW1-Vlanif1]ip add 10.20.80.1 24
[LSW1-Vlanif1]int e0/0/1
[LSW1-Ethernet0/0/1]port link-type access
[LSW1-Ethernet0/0/1]port default vlan 30
[LSW1-Ethernet0/0/1]int e0/0/2
[LSW1-Ethernet0/0/2]port link-type access
[LSW1-Ethernet0/0/2]port default vlan 30
[LSW1-Ethernet0/0/2]int e0/0/5
[LSW1-Ethernet0/0/5]port link-type trunk
[LSW1-Ethernet0/0/5]port trunk allow-pass vlan all
[LSW1-Ethernet0/0/5]q
LSW2
[LSW2]vlan 60
[LSW2-vlan60]description Jack20-Local_VLAN60
[LSW2-vlan60]q
[LSW2]
[LSW2]int vlan 60
[LSW2-Vlanif60]ip add 10.20.60.1 24
[LSW2-Vlanif60]int vlan 1
[LSW2-Vlanif1]ip add 10.20.100.1 24
[LSW2-Vlanif1]int e0/0/1
[LSW2-Ethernet0/0/1]port link-type access
[LSW2-Ethernet0/0/1]port default vlan 60
[LSW2-Ethernet0/0/1]int e0/0/2
[LSW2-Ethernet0/0/2]port link-type access
[LSW2-Ethernet0/0/2]port default vlan 60
[LSW2-Ethernet0/0/2]int e0/0/3
[LSW2-Ethernet0/0/3]port link-type access
[LSW2-Ethernet0/0/3]port default vlan 60
[LSW2-Ethernet0/0/3]int e0/0/5
[LSW2-Ethernet0/0/5]port link-type trunk
[LSW2-Ethernet0/0/5]port trunk allow-pass vlan all
[LSW2-Ethernet0/0/5]q
配置完成后,观察各设备的VLAN表
LSW2
从以上输出可以看到,创建的两个VLAN的端口绑定,Access和Trunk情况,以及给不同VLAN划分时的命名情况
4.在设备中添加OSPF配置
LSW1
[LSW1]ospf
[LSW1-ospf-1]area 0
[LSW1-ospf-1-area-0.0.0.0]net 10.20.30.0 0.0.0.255
[LSW1-ospf-1-area-0.0.0.0]net 10.20.80.0 0.0.0.255
[LSW1-ospf-1-area-0.0.0.0]q
[LSW1-ospf-1]q
LSW2
[LSW2]ospf
[LSW2-ospf-1]area 0
[LSW2-ospf-1-area-0.0.0.0]net 10.20.60.0 0.0.0.255
[LSW2-ospf-1-area-0.0.0.0]net 10.20.100.0 0.0.0.255
[LSW2-ospf-1-area-0.0.0.0]q
[LSW2-ospf-1]q
AR1
[AR1]ospf
[AR1-ospf-1]area 0
[AR1-ospf-1-area-0.0.0.0]net 172.16.20.0 0.0.0.255
[AR1-ospf-1-area-0.0.0.0]net 10.20.100.0 0.0.0.255
[AR1-ospf-1-area-0.0.0.0]net 10.20.80.0 0.0.0.255
[AR1-ospf-1-area-0.0.0.0]q
[AR1-ospf-1]q
AR2
[AR2]ospf
[AR2-ospf-1]area 0
[AR2-ospf-1-area-0.0.0.0]net 172.16.20.0 0.0.0.255
[AR2-ospf-1-area-0.0.0.0]net 192.168.20.0 0.0.0.255
[AR2-ospf-1-area-0.0.0.0]q
[AR2-ospf-1]q
配置完成后,观察各设备的路由表,分别查看:交换机LSW1、LSW2;路由器AR1、AR2
(1) LSW1
(2) LSW2
(3) AR1
(4) AR2
5.在AR1中配置高级IP ACL
在AR1中配置两条高级IP ACL一条使得VLAN 60中的所有TCP传输设备不能访问私有服务器,只有VLAN60可以访问;另一条使得VLAN 30中的所有TCP传输设备不能访问SFTP服务器,只有VLAN60可以访问
AR1
[AR1]acl 3000
[AR1-acl-adv-3000]rule deny tcp source 10.20.30.0 0.0.0.255 destination 192.168.20.100 0 destination-port eq 21
[AR1-acl-adv-3000]rule deny tcp source 10.20.60.0 0.0.0.255 destination 192.168.20.200 0
[AR1-acl-adv-3000]rule permit ip
[AR1-acl-adv-3000]q
[AR1]
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
[AR1-GigabitEthernet0/0/1]q
配置完成后,验证通讯情况
(1) 使用client1登录SFTP服务器&私有服务器
登录私有服务器
从以上两次连接可以看出VLAN 30中的所有TCP传输设备不能访问SFTP服务器,只能访问私有服务器
(2) 使用client2登录SFTP服务器&私有服务器
登录SFTP服务器
登录私有服务器
从以上两次连接可以看出VLAN 60中的所有TCP传输设备不能访问SFTP服务器,只能访问私有服务器
(3) 测试PC机与服务器间通讯
从以上两个不同VLAN主机的连接测试中可以看出可以成功的访问远端的两台服务器,因为其传输是通过ICMP报文的形式,所以不会受到两条高级IP ACL的影响,至此说明两条高级IP ACL配置正确。