建立命名訪問控制列表實戰

建立命名ACL實戰

本次實驗拓撲結構如下：

實驗目的

完成在sw-3路由上命名ACL的建立，實現實驗要求：

允許vlan10中的PC2主機訪問PC4；

拒絕vlan10中的其它主機訪問PC4；

允許其它網絡主機訪問PC4。

實驗步驟：

1、完成四臺PC機IP地址的設置

PC1

PC1> ip 192.168.100.20 192.168.100.1
Checking for duplicate address...
PC1 : 192.168.100.20 255.255.255.0 gateway 192.168.100.1

PC2

PC2> ip 192.168.100.30 192.168.100.1
Checking for duplicate address...
PC1 : 192.168.100.30 255.255.255.0 gateway 192.168.100.1

PC3

PC3> ip 192.168.200.10 192.168.200.1
Checking for duplicate address...
PC1 : 192.168.200.10 255.255.255.0 gateway 192.168.200.1

PC4

PC4> ip 192.168.10.10 192.168.10.1
Checking for duplicate address...
PC1 : 192.168.10.10 255.255.255.0 gateway 192.168.10.1

2、完成二層交換機sw的設置

sw(config)#no ip routing                    //關閉路由功能（原鏡像為三層交換機，所以這里需關閉路由功能）
sw(config)#vlan 10,20                       //劃分vlan廣播域
sw(config-vlan)#ex
sw(config)#int f 1/1
sw(config-if)#sw mo ac
sw(config-if)#sw ac vlan 10
sw(config-if)#ex
sw(config)#int f 1/2
sw(config-if)#sw mo ac
sw(config-if)#sw ac vlan 10
sw(config-if)#int f 1/3
sw(config-if)#sw mo ac 
sw(config-if)#sw ac vlan 20
sw(config-if)#ex 
sw(config)#do show vlan-sw b

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa1/0, Fa1/4, Fa1/5, Fa1/6
                                                Fa1/7, Fa1/8, Fa1/9, Fa1/10
                                                Fa1/11, Fa1/12, Fa1/13, Fa1/14
                                                Fa1/15
10   VLAN0010                         active    Fa1/1, Fa1/2
20   VLAN0020                         active    Fa1/3
1002 fddi-default                     act/unsup 
1003 token-ring-default               act/unsup 
1004 fddinet-default                  act/unsup 
1005 trnet-default                    act/unsup 
sw(config)#int f 1/0
sw(config-if)#sw tr en do
sw(config-if)#sw mo tr
sw(config-if)#e
*Mar  1 00:03:06.579: %DTP-5-TRUNKPORTON: Port Fa1/0 has become dot1q trunk
sw(config-if)#ex
sw(config)#do show int f 1/0

3、完成三層交換機sw-3的設置

sw-3(config)#vlan 10,20
sw-3(config-vlan)#ex
sw-3(config)#int vlan 10
sw-3(config-if)#ip add 192.168.100.1 255.255.255.0
sw-3(config-if)#no shut 
sw-3(config-if)#int vlan 20
sw-3(config-if)#ip add 192.168.200.1 255.255.255.0
sw-3(config-if)#no shut 
sw-3(config-if)#ex
sw-3(config)#int f 1/1
sw-3(config-if)#ip add 192.168.10.1 255.255.255.0             //該端口為二層端口無法設定IP地址

% IP addresses may not be configured on L2 links.

sw-3(config-if)#no switchport                                //關閉路由功能，使其成為三層端口
sw-3(config-if)#ip add 192.168.10.1 255.255.255.0
sw-3(config-if)#no shut
sw-3(config-if)#ex
sw-3(config)#int f 1/0
sw-3(config-if)#sw mo tr 
*Mar  1 00:02:43.731: %DTP-5-TRUNKPORTON: Port Fa1/0 has become dot1q trunk
*Mar  1 00:02:44.235: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to up
*Mar  1 00:02:44.243: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to up
sw-3(config-if)#sw tr en dot
sw-3(config-if)#ex 
sw-3(config)#

注意：此時，sw-3上未進行ACL的設置，如果實驗步驟全部正確，應可以全網互通。

實例如下：

如果出現以上結果，則可以繼續下面的操作。否則，請自行進行檢查。

4、進行ACL的設置

sw-3

sw-3(config)#ip access-list standard zhy                  //建立命名訪問控制列表
sw-3(config-std-nacl)#5 permit host 192.168.100.30        //開頭的5為序列號，可不寫。不寫則進行默認排序
sw-3(config-std-nacl)#deny 192.168.100.0 0.0.0.255        //拒絕100網段的全部主機
sw-3(config-std-nacl)#permit any                   
sw-3(config-std-nacl)#ex
sw-3(config)#do show access-lists
Standard IP access list zhy
    5 permit 192.168.100.30
    15 deny   192.168.100.0, wildcard bits 0.0.0.255
    25 permit any
sw-3(config)#
sw-3(config)#int f 1/1
sw-3(config-if)#ip access-group zhy out                //應in口為虛口，設置ACL比較繁瑣。因此本次實驗將ACL設置在out口。
sw-3(config-if)#ex
sw-3(config)#

實驗結果

實驗成功！！！！！