Packet Tracer - IPv4 ACL 的实施挑战(完美解析)
目标
· 在路由器上配置命名的标准ACL。
· 在路由器上配置命名的扩展ACL。
· 在路由器上配置扩展ACL来满足特定的 通信需求。
· 配置ACL来控制对网络设备终端线路的 访问。
· 在适当的路由器接口上,在适当的方向上 配置ACL。
· 验证已配置 ACL 的运行。
背景/场景
在这个Packet Tracer练习中,您要配置扩展IPv4 ACL、 命名的标准IPv4 ACL和命名的扩展IPv4 ACL,来满足特定的通信需求。
说明
步骤1: 验证新公司网络的连通性。
首先,在配置ACL之前 测试网络的连通性。所有主机都应该可以ping通所有其他主机。
步骤2:按照需求配置 标准和扩展 ACL。
配置ACL以满足以下要求:
重要指南:
o 请勿 在 ACL 末尾明确配置 deny any 语句。
o 尽可能 使用简便参数 (host 和 any)。
o 按照这里指定的顺序, 编写ACL语句来满足要求。
o 在最有效的位置和方向上应用ACL。
ACL 1 的要求
o 创建 ACL 101。
o 明确禁止从互联网向企业的 Web 服务器发起 FTP 访问。
o 不允许来自互联网的 ICMP 流量去往 HQ LAN 1 中的任何主机。
o 放行所有其他流量。
ACL 2 的要求
o 使用 ACL 编号 111
o HQ LAN 1 中的主机都不能访问分支机构服务器。
o 放行所有其他流量。
ACL 3 的要求
o 创建命名的标准 ACL。使用名称 vty_block。您必须使用这个 名称来配置ACL。
o 只有 HQ LAN 2 网络中的地址才能访问 HQ 路由器的 VTY 线路。
ACL 4 的要求
o 创建一个名为 branch_to_hq 的命名扩展 ACL。您必须使用这个 名称来配置ACL。
o 分支机构所有 LAN 中的所有主机都不能访问 HQ LAN 1。 针对每个分支机构的LAN配置一条访问列表语句。
o 放行所有其他流量。
步骤3:验证 ACL 的操作。
a. 按照拓扑,测试下列设备之间的连通性。 注意测试结果是否成功。
注意:使用 show ip access-lists 命令 来验证 ACL 的操作。使用 clear access list counters 命令 来重置匹配计数器。
问题1:
从分支 PC 向企业 Web 服务器 发起 ping 测试。是否会成功?说明原因。
哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?列出访问列表的名称或编号、所应用的路由器, 以及流量匹配的那条语句。
从 HQ LAN 1 中的 PC-1 ping 分支机构服务器。 是否会成功?说明原因。
哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?
在外部服务器上打开 Web 浏览器, 尝试访问企业 Web 服务器上的网页。测试成功了吗?说明原因。
哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?
b. 从互联网向内部服务器发起测试连接。
问题2:
从互联网用户 PC 上的命令行中, 尝试向分支机构服务器发起 FTP 连接。 FTP 连接成功了吗?
要想阻止互联网用户与分支机构服务器之间建立 FTP 连接, 应该对访问列表做什么修改?
要想拒绝这个流量,应该在访问列表中 添加哪些语句?
根据上述内容我们来进行相关的配置:
ACL 1 的要求
o 创建 ACL 101。
o 明确禁止从互联网向企业的 Web 服务器发起 FTP 访问。
HQ(config)#access-list 101 deny tcp any host 192.168.1.70 eq ftp
o 不允许来自互联网的 ICMP 流量去往 HQ LAN 1 中的任何主机。
HQ(config)#access-list 101 deny icmp any 192.168.1.0 0.0.0.63
o 放行所有其他流量。
HQ(config)#access-list 101 permit ip any any
ACL 2 的要求
o 使用 ACL 编号 111
o HQ LAN 1 中的主机都不能访问分支机构服务器。
HQ(config-std-nacl)#access-list 111 deny ip any host 192.168.2.45
o 放行所有其他流量。
HQ(config)#access-list 111 permit ip any any
ACL 3 的要求
o 创建命名的标准 ACL。使用名称 vty_block。您必须使用这个 名称来配置ACL。
HQ(config)#ip access-list standard vty_block
o 只有 HQ LAN 2 网络中的地址才能访问 HQ 路由器的 VTY 线路。
HQ(config-std-nacl)# permit 192.168.1.64 0.0.0.7
HQ(config)#interface GigabitEthernet0/0/0
HQ(config-if)# ip access-group 111 in
HQ(config-if)#interface Serial0/1/0
HQ(config-if)# ip access-group 101 in
HQ(config-if)#line vty 0 4
HQ(config-line)# access-class vty_block i
ACL 4 的要求
o 创建一个名为 branch_to_hq 的命名扩展 ACL。您必须使用这个 名称来配置ACL。
Branch(config)#ip access-list extended branch_to_hq
o 分支机构所有 LAN 中的所有主机都不能访问 HQ LAN 1。 针对每个分支机构的LAN配置一条访问列表语句。
Branch(config-ext-nacl)# deny ip 192.168.2.0 0.0.0.31 192.168.1.0 0.0.0.63
Branch(config-ext-nacl)# deny ip 192.168.2.32 0.0.0.15 192.168.1.0 0.0.0.63
o 放行所有其他流量。
Branch(config-ext-nacl)# permit ip any any
Branch(config-ext-nacl)#interface Serial0/1/1
Branch(config-if)# ip access-group branch_to_hq out
回答一下问题1:
从分支 PC 向企业 Web 服务器 发起 ping 测试。是否会成功?说明原因。
答:可以ping 成功,因为 ACL 允许分支 PC 向企业 Web 服务器 发起。
哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?列出访问列表的名称或编号、所应用的路由器, 以及流量匹配的那条语句。
答:分支路由器上 branch_to_hq ACL 的最后一行是 permit ip any。
从 HQ LAN 1 中的 PC-1 ping 分支机构服务器。 是否会成功?说明原因。
答:ping 未成功,因为流量被访问列表阻止。
哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?
答:HQ 路由器上访问列表 111 中的语句 10 拒绝到分支服务器的所有流量。
HQ(config-std-nacl)#access-list 111 deny ip any host 192.168.2.45
在外部服务器上打开 Web 浏览器, 尝试访问企业 Web 服务器上的网页。测试成功了吗?说明原因。
答:外部服务器可以访问 Enterprise Web Server 上的网页。 不会阻止到 Enterprise Web Server 的 HTTP 流量。所以是可以ping成功的。
哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?
答:HQ 路由器上访问列表 101 中的第 20 行允许此流量。
HQ(config)#access-list 101 permit ip any any
回答一下问题2:
从互联网用户 PC 上的命令行中, 尝试向分支机构服务器发起 FTP 连接。 FTP 连接成功了吗?
答:从 Internet 用户 PC 到 Branch Server 的 FTP 连接成功。
要想阻止互联网用户与分支机构服务器之间建立 FTP 连接, 应该对访问列表做什么修改?
答:需要修改 HQ 路由器上的访问列表 101 以拒绝此流量
要想拒绝这个流量,应该在d访问列表中 添加哪些语句?
答:需要将语句“deny tcp any host 192.168.2.45 eq 21”或“deny tcp any host 192.168.2.45 range 20 21”添加到访问列表 101 中。
完成截图如下:
附录一键完成脚本如下:
Router HQ
enable
conf t
access-list 101 deny tcp any host 192.168.1.70 eq ftp
access-list 101 deny icmp any 192.168.1.0 0.0.0.63
access-list 101 permit ip any any
ip access-list standard vty_block
permit 192.168.1.64 0.0.0.7
access-list 111 deny ip any host 192.168.2.45
access-list 111 permit ip any any
int g0/0/0
ip access-group 111 in
int s0/1/0
ip access-group 101 in
line vty 0 4
access-class vty_block in
end
Router Branchenable
conf t
ip access-list extended branch_to_hq
deny ip 192.168.2.0 0.0.0.31 192.168.1.0 0.0.0.63
deny ip 192.168.2.32 0.0.0.15 192.168.1.0 0.0.0.63
permit ip any any
int s0/1/1
ip access-group branch_to_hq out
end