Packet Tracer - 配置编号的标准 IPv4 ACL(两篇)

Packet Tracer - 配置编号的标准 IPv4 ACL(第一篇)

目标

第 1 部分：计划 ACL 实施

第 2 部分：配置、应用和验证标准 ACL

背景/场景
标准访问控制列表 (ACL) 为路由器配置脚本，基于源地址控制路由器是允许还是拒绝数据包。本练习的主要内容是定义过滤标准、配置标准 ACL、将 ACL 应用于路由器接口并验证和测试 ACL 实施。路由器已经配置完成，包括 IP 地址以及增强型内部网关路由协议 (EIGRP) 路由。

说明
第 1 部分：规划 ACL 实施

步骤 1：调查当前的网络配置。
在将 ACL 应用于网络中之前，都必须确保网络中的连通性没有问题。通过选择一个 PC，然后 ping 网络上的其他设备，验证网络具有全面连接。您应该能够成功 ping 通每台设备。

步骤 2：评估两个网络策略，计划 ACL 实施。
a. 在R2上实施了以下网络策略：

192.168.11.0/24 网络不允许访问 192.168.20.0/24 网络上的 Web服务器。

允许所有其他访问。

要限制从 192.168.11.0/24 网络访问 192.168.20.254 网络上的 Web服务器，而不干扰其他流量，则必须在 R2上创建 ACL。该访问列表必须放置在连接 Web服务器的出站接口上。必须在R2 上创建另一个规则以允许所有其他流量。

b. 在R3上实施了以下网络策略：

不允许 192.168.10.0/24 网络与 192.168.30.0/24 网络通信。

允许所有其他访问。

要限制从 192.168.10.0/24 网络访问 192.168.30/24 网络，而不干扰其他流量，则需要在 R3上创建访问列表。该访问列表必须放置在连接 PC3的出站接口上。必须在R3上创建另一个规则以允许所有其他流量。

第 2 部分：配置、应用和验证标准 ACL
步骤 1：在 R2 上配置和应用编号的标准 ACL。
a. 在R2上创建编号为1的ACL，拒绝192.168.11.0/24网络访问192.168.20.0/24网络。

打开配置窗口

R2(config)# access-list 1 deny 192.168.11.0 0.0.0.255

b. 默认情况下，访问列表会拒绝与列表中的所有规则均不匹配的流量。要允许所有其他流量，则需要配置下面这条语句：

R2(config)# access-list 1 permit any

c. 在把访问列表应用在接口上过滤流量之前，最好首先检查访问列表的内容，以确认它会按照预期过滤流量。

R2# show access-lists

Standard IP access list 1

10 deny 192.168.11.0 0.0.0.255

20 permit any

d. 为了让这个 ACL 真的能够过滤流量，必须应用这个 ACL。在千兆以太网 G0/0 接口上应用 ACL 来过滤出站流量。注意：在实际运行的网络中，把未经测试的访问列表应用在活跃接口上可不是一个好主意。

R2(config)# interface GigabitEthernet0/0

R2(config-if)# ip access-group 1 out

步骤 2：在R3上配置和应用编号的标准 ACL。

a. 在R3 创建一个 ACL，在其中拒绝PC1 的网络 (192.168.10.0/24) 访问192.168.30.0/24网络。

R3(config)# access-list 1 deny 192.168.10.0 0.0.0.255

b. 默认情况下，ACL 会拒绝与列表中的所有规则均不匹配的流量。要允许所有其他流量，需要为 ACL 1 创建另一个规则。

R3(config)# access-list 1 permit any

c. 验证访问列表的配置是正确的。

R3# show access-lists

Standard IP access list 1

10 deny 192.168.10.0 0.0.0.255

20 permit any

d. 在千兆以太网 G0/0 接口上应用 ACL 来过滤出站流量。

R3(config)# interface GigabitEthernet0/0

R3(config-if)# ip access-group 1 out

步骤 3：验证 ACL 的配置和功能。
a. 使用 show run 或 show ip interface gigabitethernet 0/0 命令来验证 ACL 的应用。

b. 通过使用两个 ACL，将根据第 1 部分详述的策略来限制网络流量。使用以下测试来验证 ACL 的实施：

· 从192.168.10.10到192.168.11.10 的ping成功。

· 从192.168.10.10到192.168.20.254的ping成功。

· 从192.168.11.10到192.168.20.254的ping失败。

· 从192.168.10.10到192.168.30.10的ping失败。

· 从192.168.11.10到192.168.30.10的ping成功。

· 从192.168.30.10到192.168.20.254的ping成功。

c. 再次在路由器R2 和 R3上使用命令 show access-lists。在输出中您应该会看到访问列表中每条语句的数据包匹配数量。注意：根据发送和接收 ping 的数量，在您的实验中，路由器显示的匹配数量可能会有所不同。

R2# show access-lists

Standard IP access list 1

10 deny 192.168.11.0 0.0.0.255 (4 match(es))

20 permit any (8 match(es))

R3# show access-lists

Standard IP access list 1

10 deny 192.168.10.0 0.0.0.255 (4 match(es))

20 permit any (8 match(es))

配置脚本如下:

R2

enable

conf t

access-list 1 deny 192.168.11.0 0.0.0.255

ccess-list 1 permit any

interface GigabitEthernet0/0

ip access-group 1 out

end

R3

enable

conf

access-list 1 deny 192.168.10.0 0.0.0.255

access-list 1 permit any

interface GigabitEthernet0/0

ip access-group 1 out

end

完成结果如下:

Packet Tracer - 配置编号的标准 IPv4 ACL(第二篇)

目标

第 1 部分：配置和应用命名的标准 ACL

第 2 部分：验证 ACL 实施

背景/场景
资深网络管理员指派您创建一个命名的标准ACL，来过滤去往文件服务器的访问。文件服务器中包含Web应用所使用的数据库。只有Web管理工作站PC1和Web服务器需要访问文件服务器。其他所有去往文件服务器的流量都应该被拒绝。

说明
第 1 部分：配置和应用命名的标准 ACL

步骤 1：在配置和应用 ACL 之前验证连通性。
三个工作站都应该可以ping通 Web 服务器和文件服务器。

步骤 2：配置命名的标准 ACL。
打开配置窗口

a. 在R1上配置命名的ACL。

R1(config)# ip access-list standard File_Server_Restrictions

R1(config-std-nacl)# permit host 192.168.20.4

R1(config-std-nacl)# permit host 192.168.100.100

R1(config-std-nacl)# deny any

注意：出于评分的目的，ACL的名称要区分大小写，语句的顺序必须与上述显示相同。

b. 在接口上应用访问列表之前，要使用 show access-lists 命令来确认访问列表的内容。确保您没有误输入IP地址，并且命令的顺序也是正确的。

R1# show access-lists

Standard IP access list File_Server_Restrictions

10 permit host 192.168.20.4

20 permit host 192.168.100.100

30 deny any

步骤 3：应用命名的ACL
a. 在Fa0/1接口的出站方向上应用ACL。

R1(config-if)#interface f0/1

注意：在实际运行的网络中，把未经测试的访问列表应用在活跃接口上可不是一个好主意。

R1(config-if)# ip access-group File_Server_Restrictions out

b. 保存配置。

关闭配置窗口

第 2 部分：验证ACL的部署

步骤 1：验证ACL 配置以及在接口上的应用。
打开配置窗口

使用 show access-lists 命令验证 ACL 配置。使用 show run 或 show ip interface fastethernet 0/1 命令验证 ACL 是否已应用于正确接口。

步骤 2：验证ACL 是否正常工作。
所有三个工作站都可以ping通Web 服务器，但只有PC1和Web服务器可以 ping通文件服务器。再次使用 show access-list 命令来查看每条语句上匹配的数据包数量。

PC0

PC1

PC2

配置脚本如下:

R1

enable

conf t

ip access-list standard File_Server_Restrictions

permit host 192.168.20.4

permit host 192.168.100.100

deny any

exit

int f0/1

ip access-group File_Server_Restrictions out

end