三层交换机扩展访问控制列表
扩展访问控制列表实验
一、实训目的
通过配置扩展ACL,理解基于IP地址、协议和端口的包过滤原理和应用方法,使学生掌握扩展访问控制列表的配置方法。
二、实训任务
1.根据拓扑图连接网络设备,构建局域网。
2.配置扩展ACL,实现数据包的过滤。
3.配置标准ACL,理解和扩展ACL的区别。
4.测试网络连通性。
三、扩展访问控制列表的作用
| 标准 | 扩展 |
|---|---|
| 基于源地址 | 基于源地址和目标地址 |
| 允许和拒绝完整的TCP/IP协议 | 指定TCP/IP的特定协议和端口号 |
| 编号范围 1-99 | 编号范围 100-199 |
四、常用协议及端口号
| 协议 | 端口号 |
|---|---|
| Telnet | 23 |
| FTP | 20/21 |
| SMTP | 25 |
| POP3 | 110 |
| DNS | 53 |
| Http | 80 |
| TFTP | 69 |
五、扩展ACL配置示例
1、利用扩展ACL禁止vlan20和vlan 30互访,其它不受限制。
(1) 在交换机Swith0上配置扩展ACL。
Switch0(config)#access-list 100 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255
Switch0(config)#access-list 100 permit ip any any
Switch0(config)#interface vlan 20
Switch(config-if)#ip access-group 100 in
(2)在交换机Swith1上配置扩展ACL。
Switch1(config)#access-list 100 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255
Switch1(config)#access-list 100 permit ip any any
Switch1(config)#interface vlan 30
Switch1(config-if)#ip access-group 100 in
2、主机0可以ping通服务器,但不能访问www服务器,主机1所在的网络不能ping通服务器,但可以其他访问
# Switch 0
Switch(config)#access-list 188 deny tcp host 192.168.10.101 host 192.168.30.2 eq 80
Switch(config)#access-list 188 permit icmp host 192.168.10.101 host 192.168.30.2 echo
Switch(config)#access-list 188 permit ip any any
Switch(config)#access-list 188 deny icmp 192.168.20.0 0.0.0.255 host 192.168.30.2
Switch(config)#access-list 188 permit ip any any
最后分享一首自己很喜欢的诗(姑且算是吧)。我欲乘风向北行,雪落轩辕大如席,我欲借船向东游,绰约仙子迎风立,我欲踏云千万里,庙堂龙吟耐我何,昆仑之巅沐日光,沧海绝境见青山,长风万里燕归来,不见天涯人不回。
本文来自博客园,作者:NotYourferry,转载请注明原文链接:https://www.cnblogs.com/pinghuimolu/p/15700405.html
