一、什么是标准ACL协议?有什么作用及配置方法?
(1)标准ACL(Access Control List)协议是一种用于控制网络设备上数据流进出的协议。标准ACL基于源IP地址来过滤数据流,可以允许或拒绝特定IP地址范围的数据包通过。
(2)标准ACL的作用包括:
- 控制流量:可以限制特定的IP地址或IP地址范围的数据流进出网络设备,提高网络安全性。
- 管理网络资源:可以根据需求对网络资源进行有效的分配和管理。
(3)标准ACL的配置方法如下:
- 进入特定网络设备的全局配置模式(conf t)。
- 使用命令行配置ACL规则,例如:
- 允许特定IP地址范围通过:
access-list <ACL号> permit <源IP地址>
- 拒绝特定IP地址范围通过:
access-list <ACL号> deny <源IP地址>
- 允许特定IP地址范围通过:
- 将ACL应用到特定接口的进出方向,例如:
- 应用到入方向:
ip access-group <ACL号> in
- 应用到出方向:
ip access-group <ACL号> out
- 应用到入方向:
需要注意的是,ACL规则的顺序很重要,应该按照从最具体到最宽泛的顺序配置规则,以避免规则冲突或意外的数据流限制。
二、下面我们通过一个简单的拓扑图来让大家更好的理解标准ACL的配置
第一步:根据图中提供的网段地址,为每台PC机以及路由器填上对应的IP地址
根据每台PC机所处的位置配置地址,这里可以统一给他们的地址为.1 / .2(每个IP网段共有254个地址是可以分配给PC机的,分别是第1~254,IP地址中的第一个地址.0是网络地址(保留地址),IP网段的最后一个地址.255是广播地址(保留地址)
由图可知,上述4台PC机以及2台服务器分别处在三个不同的网段中,因此题目中拓扑的PC机及服务器的IP规划我将这样规划:
PC0:192.168.1.1(IP地址),255.255.255.0(子网掩码)
PC1:192.168.1.2(IP地址),255.255.255.0(子网掩码)
PC2:192.168.2.1(IP地址),255.255.255.0(子网掩码)
PC3:192.168.2.2(IP地址),255.255.255.0(子网掩码)
Server1:192.168.3.1(IP地址),255.255.255.0(子网掩码)
Server2:192.168.3.2(IP地址),255.255.255.0(子网掩码)
第二步,规划路由器对应接口的IP地址
1. 通常情况下,连接交换机及PC机处的fa0/0接口要配的是254(表示允许这个网段的的所有PC机通过);但是这里题目要求路由器Router0要配置单臂路由,所以其fa0/0接口下我将不做任何配置,只需要打开fa0/0接口即可,ip地址的配置将在下面提到;Router1则照常完成其物理端口的配置(Router0的se0/0接口也正常配置)。
命令:
(1)路由器Router0上的配置
Router(config)#interface FastEthernet0/0
Router(config-if)#no shutdown(开启接口)
Router(config)#interface Serial0/0
Router(config-if)#ip address 10.1.1.1 255.255.255.0
Router(config-if)#no shutdown
(2)路由器Router1上的配置
Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#interface FastEthernet0/0
Router(config-if)#ip address 192.168.3.254 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(config)#interface Serial0/0
Router(config-if)#ip address 10.1.1.2 255.255.255.0
Router(config-if)#no shutdown
三、LAN1的PC划分到两个VLAN:VLAN 10、VLAN 20,配置单臂路由使得VLAN之间互通
(1)在交换机Switch0上创建两个VLAN ,按图示将PC划分到VLAN10、VLAN20中:
Switch>en
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#vlan 10(创建一个vlan编号为10的虚拟局域网)
Switch(config-vlan)#name vlan10(为VLAN10命名,可以用来标识VLAN的用途或名称;这一步也可以不配置)
Switch(config-vlan)#vlan 20
Switch(config-vlan)#name vlan20
Switch(config-vlan)#int fa0/1
Switch(config-if)#switchport mode access(设置接口fa0/1为访问模式,即用于连接终端设备)
Switch(config-if)#switchport access vlan 10(将接口fa0/1划分到VLAN10中,表示该接口连接的设备属于VLAN10)
Switch(config-if)#int fa0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#int fa0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
Switch(config-if)#int fa0/4
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
(2)将交换机Switch0与路由器Router0互联链路配置成TRUNK链路,并允许相应VLAN通过
Switch(config)#int fa0/24
Switch(config-if)#switchport mode trunk(将该接口配置为trunk模式,表示该接口将用于传输多个VLAN的数据)
Switch(config-if)#switchport trunk allowed vlan all(允许该trunk链路通过所有VLAN的数据传输,不对VLAN进行限制)
四、路由器上配置相应路由,使得全网互通
1. 在路由器Router0上的配置
(1)在Router0上配置单臂路由,使得全网PC互通
Router(config-if)#int fa0/0.1(进入FastEthernet 0/0接口的子接口1配置模式,这里的子接口号可以使其他的,只要配置的时候能区分好VLAN区域就行)
Router(config-subif)#encapsulation dot1Q 10(配置子接口1的VLAN封装类型为802.1Q,并指定VLAN ID为10)
Router(config-subif)#ip add 192.168.1.254 255.255.255.0(为子接口1配置IP地址为192.168.1.254,子网掩码为255.255.255.0)
Router(config-subif)#int fa0/0.2
Router(config-subif)#encapsulation dot1Q 20
Router(config-subif)#ip add 192.168.2.254 255.255.255.0
Router(config-subif)#exit
(2)在Router0上完成环回接口、ospf协议及静态路由的配置
Router(config)#int loopback 0
Router(config-if)#ip add 1.1.1.1 255.255.255.0
Router(config-if)#router ospf 1
Router(config-router)#network 192.168.1.0 255.255.255.0 area 0
Router(config-router)#network 192.168.2.0 255.255.255.0 area 0
Router(config-router)#exit
Router(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2(静态路由,8个0 + 下一跳地址)
2. 在路由器Router1上的配置
(1)在Router1上完成环回接口、ospf协议及静态路由的配置
Router>enable
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#int loopback 0
Router(config-if)#ip add 2.2.2.2 255.255.255.0
Router(config-if)#router ospf 1
Router(config-router)#network 192.168.3.0 255.255.255.0 area 0
Router(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1(静态路由,8个0 + 下一跳地址)
3.全网互通,完成题目要求二
五、在Router0路由器上配置标准ACL,要求按下面要求配置即可:
(1)了解ACL的详细配置指南及原理
1. ACL配置流程:
2. 通配符掩码规则:
3. ACL出接口的配置选择:
(2)完成题目要求的标准ACL配置
1. VLAN 10中IP地址主机位为奇数的PC可以访问LAN2的服务器,其他PC不能访问;
Router>en
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list 1 permit 192.168.1.1 0.0.0.254(创建了一个名为1【可以使1-99之间的任意数字】的访问控制列表(ACL),这条命令允许VLAN 10中IP地址主机位为奇数的PC(例如192.168.1.1、192.168.1.3、192.168.1.5等)访问LAN2的服务器。)
Router(config)#access-list 1 deny 192.168.1.0 0.0.0.255(添加拒绝规则,阻止其他PC访问LAN2的服务器)
Router(config)#exit
注意:
1. 上面的permit与deny两条命令顺序不能调换,因为ACL命令是顺序优先原则,由上到下匹配的;
2. 如果题目要求是只允许主机位为偶数的PC机通过,则可以这样配置:Router(config)#acces#-li#t 10 permit 192.168.1.0 0.0.0.254(也可以是192.168.1.2/192.168.1.4等等,只要最后一位是偶数即可)
补充:
在ACL中使用通配符时,通配符的作用是指定一个范围。在这种情况下,0.0.0.254
的通配符表示只匹配IP地址的最后一个位为0或1的地址。这样做是为了确保只有主机位为奇数的IP地址(即最后一位为1的IP地址)被允许通过ACL,而主机位为偶数的IP地址(即最后一位为0的IP地址)被拒绝。
在IPv4地址中,每个IP地址由32位组成,分为网络位和主机位。在ACL中,我们可以使用通配符来匹配特定的IP地址范围。通配符中的1表示"匹配",0表示"不匹配"。因此,0.0.0.254
的通配符会匹配最后一位为0或1的IP地址,即奇数位(偶数位)的IP地址。
2. VLAN20中除了第一台PC可以访问服务器,其他PC均不能访问LAN2的服务器。
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#access-list 1 permit host 192.168.2.1(创建一个标准ACL(ACL编号为1),表示只允许主机位为192.168.2.1的主机通过ACL)
Router(config)#access-list 1 deny 192.168.2.0 0.0.0.255(这条命令在ACL 1中追加创建了一个拒绝规则,拒绝IP地址范围为192.168.2.0 - 192.168.2.255的所有主机通过ACL,0.0.0.255
表示匹配192.168.2.0/24网段中的所有IP地址)
Router(config)#int s0/0
Router(config-if)#ip access-group 1 out(这条命令将ACL 1应用于Serial 0/0接口的出方向;
out
关键字表示ACL应用于出方向,即从该接口发送出去的数据流会受到ACL的影响。)
注意:ip access-group 1 out也可以在要求(1)中就配置,表示启动ACL 1上的配置)
六、此时已完成题目所有要求,可以分别在LAN1与LAN2区域各添加一台PC机测试更直观的效果,记得为PC机做对应配置,此处不做展示(测试可以用捉包的方式测试,也可以在路由器内sh ip route查看配置情况,使用sh running-config可以查看配置的命令)
好啦,到这里已经完成了本次配置的内容学习啦,觉得学到东西的各位朋友们可以关注博主并点个赞哦 ~ 您的认可是我坚持创作的动力。小白会不定期更新,关注小白让你实时了解更多的思科路由配置知识!!!
注:本文章配置皆为个人学习理解,如有不同理解或有讲解错误的地方,欢迎评论区留言指出,谢谢!