高级IP ACL特性与配置实验

1.1【实验目的】

• 掌握高级 IP ACL的原理

• 掌握ACL在企业网络中的应用

• 掌握高级IP ACL的配置方式

• 掌握高级IP ACL的验证效果

1.2【实验环境】

华为ENSP模拟器

实验拓扑图如下图所示。

1.3【实验过程及实验结果】

1.地址配置

IP地址规划表

2.IP编址与基本配置

给所有路由器配置IP地址信息。

AR1

[AR1]int G0/0/0

[AR1-GigabitEthernet0/0/0]ip address 10.20.80.2 24

[AR1-GigabitEthernet0/0/0]int G0/0/1

[AR1-GigabitEthernet0/0/1]ip address 10.20.100.2 24

[AR1-GigabitEthernet0/0/1]int G0/0/2

[AR1-GigabitEthernet0/0/2]ip address 172.16.20.1 24

[AR1-GigabitEthernet0/0/2]q

AR2

[AR2]int G0/0/0

[AR2-GigabitEthernet0/0/0]ip address 172.16.20.2 24

[AR2-GigabitEthernet0/0/0]int G0/0/1

[AR2-GigabitEthernet0/0/1]ip address 192.168.20.1 24

[AR2-GigabitEthernet0/0/1]q

3.在LSW1和LSW2中配置VLAN

LSW1

[LSW1]vlan 30

[LSW1-vlan30]description Jack20-Local_VLAN30

[LSW1-vlan30]q

[LSW1]

[LSW1]int vlan 30

[LSW1-Vlanif30]ip add 10.20.30.1 24

[LSW1-Vlanif30]int vlan 1

[LSW1-Vlanif1]ip add 10.20.80.1 24

[LSW1-Vlanif1]int e0/0/1

[LSW1-Ethernet0/0/1]port link-type access

[LSW1-Ethernet0/0/1]port default vlan 30

[LSW1-Ethernet0/0/1]int e0/0/2

[LSW1-Ethernet0/0/2]port link-type access

[LSW1-Ethernet0/0/2]port default vlan 30

[LSW1-Ethernet0/0/2]int e0/0/5

[LSW1-Ethernet0/0/5]port link-type trunk

[LSW1-Ethernet0/0/5]port trunk allow-pass vlan all

[LSW1-Ethernet0/0/5]q

LSW2

[LSW2]vlan 60

[LSW2-vlan60]description Jack20-Local_VLAN60

[LSW2-vlan60]q

[LSW2]

[LSW2]int vlan 60

[LSW2-Vlanif60]ip add 10.20.60.1 24

[LSW2-Vlanif60]int vlan 1

[LSW2-Vlanif1]ip add 10.20.100.1 24

[LSW2-Vlanif1]int e0/0/1

[LSW2-Ethernet0/0/1]port link-type access

[LSW2-Ethernet0/0/1]port default vlan 60

[LSW2-Ethernet0/0/1]int e0/0/2

[LSW2-Ethernet0/0/2]port link-type access

[LSW2-Ethernet0/0/2]port default vlan 60

[LSW2-Ethernet0/0/2]int e0/0/3

[LSW2-Ethernet0/0/3]port link-type access

[LSW2-Ethernet0/0/3]port default vlan 60

[LSW2-Ethernet0/0/3]int e0/0/5

[LSW2-Ethernet0/0/5]port link-type trunk

[LSW2-Ethernet0/0/5]port trunk allow-pass vlan all

[LSW2-Ethernet0/0/5]q

配置完成后，观察各设备的VLAN表

LSW2

从以上输出可以看到，创建的两个VLAN的端口绑定，Access和Trunk情况，以及给不同VLAN划分时的命名情况

4.在设备中添加OSPF配置

LSW1

[LSW1]ospf

[LSW1-ospf-1]area 0

[LSW1-ospf-1-area-0.0.0.0]net 10.20.30.0 0.0.0.255

[LSW1-ospf-1-area-0.0.0.0]net 10.20.80.0 0.0.0.255

[LSW1-ospf-1-area-0.0.0.0]q

[LSW1-ospf-1]q

LSW2

[LSW2]ospf

[LSW2-ospf-1]area 0

[LSW2-ospf-1-area-0.0.0.0]net 10.20.60.0 0.0.0.255

[LSW2-ospf-1-area-0.0.0.0]net 10.20.100.0 0.0.0.255

[LSW2-ospf-1-area-0.0.0.0]q

[LSW2-ospf-1]q

AR1

[AR1]ospf

[AR1-ospf-1]area 0

[AR1-ospf-1-area-0.0.0.0]net 172.16.20.0 0.0.0.255

[AR1-ospf-1-area-0.0.0.0]net 10.20.100.0 0.0.0.255

[AR1-ospf-1-area-0.0.0.0]net 10.20.80.0 0.0.0.255

[AR1-ospf-1-area-0.0.0.0]q

[AR1-ospf-1]q

AR2

[AR2]ospf

[AR2-ospf-1]area 0

[AR2-ospf-1-area-0.0.0.0]net 172.16.20.0 0.0.0.255

[AR2-ospf-1-area-0.0.0.0]net 192.168.20.0 0.0.0.255

[AR2-ospf-1-area-0.0.0.0]q

[AR2-ospf-1]q

配置完成后，观察各设备的路由表，分别查看：交换机LSW1、LSW2；路由器AR1、AR2

（1） LSW1

（2） LSW2

（3） AR1

（4） AR2

5.在AR1中配置高级IP ACL

在AR1中配置两条高级IP ACL一条使得VLAN 60中的所有TCP传输设备不能访问私有服务器，只有VLAN60可以访问；另一条使得VLAN 30中的所有TCP传输设备不能访问SFTP服务器，只有VLAN60可以访问

AR1

[AR1]acl 3000

[AR1-acl-adv-3000]rule deny tcp source 10.20.30.0 0.0.0.255 destination 192.168.20.100 0 destination-port eq 21

[AR1-acl-adv-3000]rule deny tcp source 10.20.60.0 0.0.0.255 destination 192.168.20.200 0

[AR1-acl-adv-3000]rule permit ip

[AR1-acl-adv-3000]q

[AR1]

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

[AR1-GigabitEthernet0/0/0]int g0/0/1

[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

[AR1-GigabitEthernet0/0/1]q

配置完成后，验证通讯情况

（1） 使用client1登录SFTP服务器&私有服务器

登录私有服务器

从以上两次连接可以看出VLAN 30中的所有TCP传输设备不能访问SFTP服务器，只能访问私有服务器

（2） 使用client2登录SFTP服务器&私有服务器

登录SFTP服务器

登录私有服务器

从以上两次连接可以看出VLAN 60中的所有TCP传输设备不能访问SFTP服务器，只能访问私有服务器

（3） 测试PC机与服务器间通讯

从以上两个不同VLAN主机的连接测试中可以看出可以成功的访问远端的两台服务器，因为其传输是通过ICMP报文的形式，所以不会受到两条高级IP ACL的影响，至此说明两条高级IP ACL配置正确。