一、网络拓扑图
二、 实验步骤:
1、规划好每个节点的IP地址,搭建以下拓扑图:
2、按照拓扑图配置个节点的IP、路由器的静态路由、PC机的网关,验证实现全网互通。
3、配置基本ACL,PC3不能实现与PC1和PC2互通,PC0能实现与所有PC机互通,并有验证,命令如下:
zuo(config)#access-list 10 deny 192.168.1.0 0.0.0.255 //配置拒绝192.168.1.0网段的流量的规则
zuo(config)#interface gigabitEthernet 0/2 //进入gigabitEthernet 0/2
zuo(config-if)#ip access-group 10 in //在此端口调用规则access-list 10 ,在此端口为192.168.1.1数据的入口,所以选择in
验证结果:
由上结果可知,当规则在192.168.1.1的网关入向应用时,PC3的数据进不了路由器。取消在PC3网关上的规则,在gigabitEthernet 0/1上应用上述规则.命令如下:
zuo(config-if)#no ip access-group 10 in //取消规则在gigabitEthernet 0/2上调用
zuo(config-if)#interface gigabitEthernet 0/1 //进入gigabitEthernet 0/1
zuo(config-if)#ip access-group 10 out //在gigabitEthernet 0/1上应用规则,因为gigabitEthernet 0/2只能是192.168.1.1流量的出端口,所以后面选择out
验证:
综上所述,如果当规则应用到192.168.1.1的网关上时,所有PC机都不能与PC3互通,因为PC3的数据进不了网关路由
如果规则在PC3数据流出口配置时,不仅PC3访问不了路由器以外的设备,PC0也访问不了路由器以外的设备。因为PC2的IP与规则不匹配,默认被也被拒绝了。
再配置一条允许除PC3以外所有的流量都能通过的规则,在同一个ACL列表下追加规则,命令如下:
zuo(config)#access-list 10 permit any //配置允许所有流量通过
验证:
综上所述,如果在配置规则的时候,流量没有匹配住规则,则被拒绝,所以在设置针对某一流量的规则时,追加一条允许所有的规则。
4、配置扩展ACL,允许左边的路由器远程登录右边的路由器,但不允许登录中间的路由器。
思路:因为左边和中间路由上有两个IP所以配置规则的时候,需要写四条规则分别拒绝左边路由的三个IP访问中间路由器的两个IP,telnet的源端口随机,目标端口23,所以规则的源端口为所有,目标端口为23,命令如下:
zuo(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 192.168.5.2 eq 23
zuo(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 192.168.6.1 eq 23
zuo(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.5.2 eq 23
zuo(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.6.1 eq 23
zuo(config)#access-list 101 deny tcp 192.168.5.1 0.0.0.0 host 192.168.5.2 eq 23
zuo(config)#access-list 101 deny tcp 192.168.5.1 0.0.0.0 host 192.168.6.1 eq 23
以上四条规则是拒绝左边路由的三个IP分别访问中间路由的两个IP
zuo(config)#access-list 101 permit ip any any //允许所有TCP流量通过
zuo(config)#interface gigabitEthernet 0/1 //进入接口gigabitEthernet 0/1
zuo(config-if)#ip access-group 101 out //调用规则
验证:
由上图可知,规则没有生效,原因是ACL规则只对穿越路由器的流量起作用,对路由器本身的流量不起作用。
将上述规则应用到中间路由的gigabitEthernet 0/10端口,删除左边路由的ACL配置,在中间路由上的左边端口调用上述规则
命令如下:
zhong(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.5.2 eq 23
zhong(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.6.1 eq 23
zhong(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 192.168.6.1 eq 23
zhong(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 192.168.5.2 eq 23
zhong(config)#access-list 101 deny tcp 192.168.5.1 0.0.0.0 host 192.168.5.2 eq 23
zhong(config)#access-list 101 deny tcp 192.168.5.1 0.0.0.0 host 192.168.6.1 eq 23
zhong(config)#access-list 101 permit ip any any
zhong(config-if)#interface gigabitEthernet 0/0
zhong(config-if)#ip access-group 101 in
验证:
综上所述:思科设备ACL规则,只对穿越路由器的流量起作用,对路由器本身的数据,不产生作用,而且如果所有规则都没有匹配住该流量,则默认拒绝。
原文地址:http://blog.51cto.com/13725021/2134842