高级IP ACL特性与配置实验2
2.1【实验目的】
• 掌握高级 IP ACL的原理
• 掌握ACL在企业网络中的应用
• 掌握高级IP ACL的配置方式
• 掌握高级IP ACL的验证效果
2.2【实验环境】
华为ENSP模拟器
实验拓扑图如下图所示。
2.3【实验过程及实验结果】
1.地址配置
IP地址规划表
设备名称 |
设备接口 |
IP |
网关 |
所属VLAN |
Server1 |
E0/0/0 |
10.20.10.100/24 |
10.20.10.1/24 |
VLAN10 |
PC1 |
E0/0/2 |
10.20.20.20/24 |
10.20.20.1/24 |
VLAN20 |
PC2 |
E0/0/3 |
10.20.30.30/24 |
10.20.30.1/24 |
VLAN30 |
AR1 |
G0/0/1.20 |
10.20.20.1/24 |
VLAN20 |
|
G0/0/0 |
172.16.20.1/30 |
|||
G0/0/1.30 |
10.20.30.1/24 |
VLAN30 |
||
AR2 |
G0/0/0 |
172.16.20.2/30 |
||
G0/0/1 |
10.20.60.1/24 |
|||
LSW2 |
E0/0/1 |
10.20.60.2/24 |
VLAN 1 |
|
E0/0/2 |
10.20.10.1/24 |
VLAN10 |
2.IP编址与基本配置
给所有路由器配置IP地址信息。
AR1
[AR1]int g0/0/1.20 [AR1-GigabitEthernet0/0/1.20]dot1q termination vid 20 [AR1-GigabitEthernet0/0/1.20]ip add 10.20.20.1 24 [AR1-GigabitEthernet0/0/1.20]arp broadcast enable [AR1-GigabitEthernet0/0/1.20]q [AR1]int g0/0/1.30 [AR1-GigabitEthernet0/0/1.30]dot1q termination vid 30 [AR1-GigabitEthernet0/0/1.30]ip add 10.20.30.1 24 [AR1-GigabitEthernet0/0/1.30]arp broadcast enable [AR1-GigabitEthernet0/0/1.30]q [AR1]int g0/0/0 [AR1-GigabitEthernet0/0/0]ip add 172.16.20.1 30 [AR1-GigabitEthernet0/0/0]q
AR2
[AR2]int G0/0/0 [AR2-GigabitEthernet0/0/0]ip address 172.16.20.2 30 [AR2-GigabitEthernet0/0/0]int G0/0/1 [AR2-GigabitEthernet0/0/1]ip address 10.20.60.1 24 [AR2-GigabitEthernet0/0/1]q
3.在LSW1和LSW2中配置VLAN
LSW1
LSW2
[LSW2]vlan 10 [LSW2-vlan10]description Jack20-Local_VLAN10 [LSW2-vlan10]q [LSW2]int vlan 10 [LSW2-Vlanif10]ip add 10.20.10.1 24 [LSW2-Vlanif10]int vlan 1 [LSW2-Vlanif1]ip add 10.20.60.2 24 [LSW2-Vlanif1]q [LSW2] [LSW2]int e 0/0/1 [LSW2-Ethernet0/0/1]port link-type trunk [LSW2-Ethernet0/0/1]port trunk allow-pass vlan all [LSW2-Ethernet0/0/1]int e 0/0/2 [LSW2-Ethernet0/0/2]port link-type access [LSW2-Ethernet0/0/2]port default vlan 10 [LSW2-Ethernet0/0/2]q
配置完成后,观察LSW2的VLAN表
从以上输出可以看到,创建的两个VLAN的端口绑定,Access和Trunk情况,以及给不同VLAN划分时的命名情况
4.在设备中添加OSPF配置
AR1
[AR1]ospf [AR1-ospf-1]area 0 [AR1-ospf-1-area-0.0.0.0]net 10.20.0.0 0.0.255.255 [AR1-ospf-1-area-0.0.0.0]net 172.16.20.0 0.0.0.3 [AR1-ospf-1-area-0.0.0.0]q [AR1-ospf-1]q
AR2
[AR2]ospf [AR2-ospf-1]area 0 [AR2-ospf-1-area-0.0.0.0]net 10.20.0.0 0.0.255.255 [AR2-ospf-1-area-0.0.0.0]net 172.16.20.0 0.0.0.3 [AR2-ospf-1-area-0.0.0.0]q [AR2-ospf-1]q
LSW2
[LSW2]ospf [LSW2-ospf-1]area 0 [LSW2-ospf-1-area-0.0.0.0]net 10.20.0.0 0.0.255.255 [LSW2-ospf-1-area-0.0.0.0]q [LSW2-ospf-1]q
配置完成后,观察各设备的路由表,分别查看:交换机LSW2;路由器AR1
(1) AR1
(2) LSW2
5.在AR1中配置高级IP ACL
在这个企业网环境中,管理员需要通过高级IP ACL实现: VLAN10中服务器只能由VLAN30中的主机进行访问,于是决定在AR1的接口上实施相应的过滤行为,并创建一个高级IP ACL
AR1
[AR1]acl 3000 [AR1-acl-adv-3000]rule deny ip source 10.20.20.0 0.0.0.255 destination 10.20.10.0 0.0.0.255 [AR1-acl-adv-3000]q [AR1] [AR1]int g0/0/1 [AR1-GigabitEthernet0/0/1]traffic-filter inbound acl 3000 [AR1-GigabitEthernet0/0/1]q
配置完成后,验证通讯情况和过滤情况
(1)VLAN20中的PC1访问VLAN10中服务器
从以上输出可以看出,PC1访问服务器时,直接在AR1处(网关)就被过滤了
(2)VLAN30中的PC1访问VLAN10中服务器
2.4【实验总结】
高级ACL,可以同时匹配数据包的源IP、目标IP、源端口、目标端口、协议号,匹配数据包更加精准。
ACL 的工作原理:
使用ACL在匹配数据包的过程中,会按照 rule 的号码从小到大依次匹配。
如果能匹配成功,则后续的条目不再进行检查;
如果匹配不成功,则继续匹配下面的 rule ;
如果所有的 rule 都没有匹配成功,则执行ACL最后一个隐含的条目
如果 acl 和 traffic-filter 结合使用,acl最后隐含的条目是:允许所有
如果 acl 和 其他工具结合在一起使用,acl 最后隐含的条目是:拒绝所有