15实验十五,,扩展,ACL,实验

实验十五 扩展 ACL 实验 一、实验目的 1、了解什么是标准的 ACL； 2、了解标准和扩展 ACL 的区别； 3、了解扩展 ACL 不同的实现方法； 二、应用环境 标准 ACL 只能限制源 IP 地址，而扩展 ACL 的限制权限就很广泛，包括源 IP、目的 IP、服务类型等。

三、实验设备 1、DCRS-5650 交换机 2 台 3、PC 机 2 台 4、Console 线 2 根 5、直通网线若干 四、实验拓扑

五、实 验要求 目的：禁止 PC2 telnet 交换机 A。

1、在交换机 A 和交换机 B 上分别划分两个基于端口的 VLAN 见表：

2、交换机 A 和 B 通过 24 口级联 3、配置交换机 A 和 B 各 vlan 虚拟借口的 ip 地址见表：

4、PC1-PC2 的网络设置见表: 设 备 Ip 地址 Gateway mask PC1 192.168.10.101 192.168.10.1 255.255.255.0 PC2 192.168.20.101 192.168.20.1 255.255.255.0 5、验证 1、配置 ACL 之前，PC1、PC2 都可以 ping 通 vlan30 2、配置 ACL 后，PC1 可以 ping vlan30 而 PC2 的不可以 ping 通 vlan30 若实验结果和理论相符，则本实验完成 交 换 机 Vlan 端口成员 交换机 A 10 1-8 20 9-46 100 24 交换机 B 30 1-8 101 24 Vlan10 Vlan20 Vlan30 Vlan100 Vlan101 192.168.10.1 192.168.20.1 192.168.30.1 192.168.100.1 192.168.100.2

六、实验步骤 1.交换机恢复出厂(以交换机 A 为例，交换机 B 配置步骤同 A) DCS-5650-28C>enable  DCS-5650-28C#set default  Are you sure? [Y/N] = y！是否确认？  DCS-5650-28C#write  DCS-5650-28C#reload Process with reboot? [Y/N] y 2.配置交换机 VlAN 信息 交换机 A：创建 vlan10 和 vlan20、vlan100 和并给相应 vlan 添加端口。

 switch-RSA(Config)#vlan 10  switch-RSA(Config-Vlan10)#switchport interface Ethernet 0/0/1-8  switch-RSA(Config-Vlan10)#exit  switch-RSA(Config)#vlan 20  switch-RSA(Config-Vlan20)#switchport interface ethernet 0/0/9-16  switch-RSA(Config-Vlan20)#exit  switch-RSA(Config)#vlan 100  switch-RSA(Config-Vlan100)#switchport interface ethernet 0/0/24  Set the port Ethernet1/24 access vlan 100 successfully  switch-RSA(Config-Vlan100)#exit

验证配置：

 switch-RSA#show vlan

交换机 B：创建 vlan 30 和 vlan 40、vlan101 和并给相应 vlan 添加端口。（配置命令与交换机 A 配置类似）如图：

验证配置：

 switch-RSB#show vlan 3.配置交换机各 vlan 虚接口的 IP 地址 注意：若要配置多个 IP 时，必须开启三层转发功能（默认情况下此功能关闭，需要先开启此功能） switch-RSA((Config)#l3 enable（此命令不能自动补全，需手动输入）分别给交换机 A 的 Vlan 10、Vlan 20、Vlan 100 配置 IP 地址  switch-RSA(Config)#int vlan 10  switch-RSA(Config-If-Vlan10)#ip address 192.168.10.1 255.255.255.0  switch-RSA(Config-If-Vlan10)#no shut  switch-RSA(Config-If-Vlan10)#exit

 switch-RSA(Config)#int vlan 20  switch-RSA(Config-If-Vlan20)#ip address 192.168.20.1 255.255.255.0  switch-RSA(Config-If-Vlan20)#no shut  switch-RSA(Config-If-Vlan20)#exit  switch-RSA(Config)#int vlan 100  switch-RSA(Config-If-Vlan100)#ip address 192.168.100.1 255.255.255.0  switch-RSA(Config-If-Vlan100)#no shut  switch-RSA(Config-If-Vlan100)#exit 给交换机 B 的 Vlan 30、Vlan 40、Vlan 101 配置 IP 地址(配置方式同交换机 A)如图：

4.配置静态路由 交换机 A：

 switch-RSA(Config)#ip route 0.0.0.0 0.0.0.0 192.168.100.2 验证配置：

switch-RSA(Config)#show ip route 交换机 B：

 Switch-RSB: ip route 0.0.0.0 0.0.0.0 192.168.100.1 验证配置：

5.在交换机 B 的 VLan30 端口上配置端口的回环测试功能，保证 vlan30 可以 ping 通 6.验证（本验证是基于在没有配置 ACL 之前进行的）7.配置访问控制表(ACL)方法 1：配置命名标准 IP 访问列表(其中 test2 为指定名称) switch-RSA(Config)#ip access-list extended test2  switch-RSA(Config-Std-Nacl-test2)#deny icmp 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255  switch-RSA(Config-Std-Nacl-test2)#deny host-source PC 端口 Ping 结果 原因 PC1：192.168.10.101 0/0/1 192.168.100.1 通 PC2：192.168.20.101 0/0/9 192.168.200.1 通

192.168.20.101  switch-RSA(Config-Std-Nacl-test2)#exit  switch-RSA(Config)# 验证配置：

8.开启访问控制列表功能，默认动作为全部开启  switch-RSA(Config)#firewall enable  switch-RSA(Config)#firewall default permit(两种方法任选其一) 9.结果 七、注意事项和排错 1.端口可以成功绑定的 ACL 数目取决于已绑定的 ACL 的内容以及硬件资源限制，如果因为硬件资源有限无法配置会提示用户相关信息。

2.可以配置 ACL 拒绝某些 ICMP 报文通过以防止“冲击波”等病毒攻击。

八、共同思考 1.第五步，绑定 access-group 到端口的时候，in 和 out 参数各有什么含义？ 2.能否通过 ACL 实现 A 可以访问 B，但是 B 不可以访问 A？ PC 端口 Ping 结果 原因 PC1：192.168.10.101 0/0/1 192.168.30.1 通 PC2：192.168.20.101 0/0/9 192.168.30.1 不通

九、课后练习 配置“数字标准 IP 访问列表”完成同样的功能。

十、相关配置命令详解 ACL 配置任务序列 1.配置 access-list（1）配置数字标准 IP 访问列表（2）配置数字扩展 IP 访问列表（3）配置命名标准 IP 访问列表 a)创建一个命名标准 IP 访问列表 b)指定多条 permit 或 deny 规则表项（4）配置命名扩展 IP 访问列表 a)创建一个命名扩展 IP 访问列表 b)指定多条 permit 或 deny 规则表项 c)退出访问表配置模式 2 ．配置包过滤功能（1）全局打开包过滤功能（2）配置默认动作（default action）3.将 accessl-list 绑定到特定端口的特定方向 配置 access-list（1）配置数字标准 IP 访问列表（2）配置数字扩展 IP 访问列表 命令 解释 全局配置模式 access-list {deny | permit} {{ } | any-source | {host-source }} no access-list 创建一条数字标准 IP 访问列表，如果已有此访问列表，则增加一条规则（rule）表项；本命令的 no 操作为删除一条数字标准 IP 访问列表。

（3）配置命名标准 IP 访问列表 命令 解释 全局配置模式 access-list {deny | permit} icmp {{ } | any-source | {host-source }} {{ } | any-destination | {host-destination }} [ []] [precedence

] [tos ] 创建一条 icmp 数字扩展 IP 访问规则；如果此编号数字扩展访问列表不存在则创建此访问列表。

access-list {deny | permit} igmp {{ } | any-source | {host-source }} {{ } | any-destination | {host-destination }} [] [precedence

] [tos ] 创建一条 igmp 数字扩展 IP 访问规则；如果此编号数字扩展访问列表不存在则创建此访问列表。

access-list {deny | permit} tcp {{ } | any-source | {host-source }} [sPort ] {{ } | any-destination | {host-destination }} [dPort ] [ack | fin | psh | rst | syn | urg] [precedence

] [tos ] 创建一条 tcp 数字扩展 IP 访问规则；如果此编号数字扩展访问列表不存在则创建此访问列表。

access-list {deny | permit} udp {{ } | any-source | {host-source }} [sPort ] {{ } | any-destination | {host-destination }} [dPort ] [precedence

] [tos ] 创建一条 udp 数字扩展 IP 访问规则；如果此编号数字扩展访问列表不存在则创建此访问列表。

a.创建一个命名标准 IP 访问列表 b.指定多条 permit 或 deny 规则 c.退出命名标准 IP 访问列表配置模式（4）配置命名扩展 IP 访问列表 a.创建一个命名扩展 IP 访问列表 b.指定多条 permit 或 deny 规则 命令 解释 全局配置模式 ip access standard no ip access standard 创建一条命名标准 IP 访问列表；本命令的 no 操作为删除此命名标准 IP 访问列表。

命令 解释 命名标准 IP 访问列表配置模式 [no] {deny | permit} {{ } | any-source | {host-source }} 创 建 一 条 命 名 标 准 IP 访 问 规 则（rule）；本命令的 no 操 作为 删除 此命 名标 准 IP 访 问规 则（rule）。

命令 解释 命名标准 IP 访问列表配置模式 Exit 退出命名标准 IP 访问列表配置模式。

命令 解释 全局配置模式 ip access extended no ip access extended 创建一条命名扩展 IP 访问列表；本命令的 no 操作为删除此命名扩展 IP 访问列表。

命令 解释 命名扩展 IP 访问列表配置模式

[no] {deny | permit} icmp {{ } | any-source | {host-source }} {{ } | any-destination | {host-destination }} [ []] [precedence

] [tos ] 创建一条 icmp 命名扩展 IP 访问规则（rule）；本命令的 no 操作为删除此命名扩展 IP 访问规则（rule）。

[no] {deny | permit} igmp {{ } | any-source | {host-source }} {{ } | any-destination | {host-destination }} [] [precedence

] [tos ] 创建一条 igmp 命名扩展 IP 访问规则（rule）；本命令的 no 操作为删 除 此 命 名 扩 展 IP 访 问 规 则（rule）。

[no] {deny | permit} tcp {{ } | any-source | {host-source }} [sPort ] {{ } | any-destination | {host-destination }} [dPort ] [ack | fin | psh | rst | syn | urg] [precedence

] [tos ] 创建一条 tcp 命名扩展 IP 访问规则（rule）；本命令的 no 操作为删除此命名扩展 IP 访问规则（rule）。

[no] {deny | permit} udp {{ } | any-source | {host-source }} [sPort ] {{ } | any-destination | {host-destination }} [dPort ] [precedence

] [tos ] 创建一条 udp 命名扩展 IP 访问规则（rule）；本命令的 no 操作为删除此命名扩展 IP 访问规则（rule）。

（c）退出命名扩展 IP 访问列表配置模式、配置包过滤功能（1）全局打开包过滤功能（2）配置默认动作(default action)（3）将 accessl-list 绑定到特定端口的特定方向 [no] {deny | permit} {eigrp | gre | igrp | ipinip | ip | } {{ } | any-source | {host-source }} {{ } | any-destination | {host-destination }} [precedence

] [tos ] 创建一条其他 IP 协议的命名扩展 IP 访问规则（rule）；本命令的 no 操作为删除此命名扩展 IP 访问规则（rule）。

命令 解释 命 Exit 退出命名扩展 IP 访问列表配置模式。

命令 解释 全局配置模式 firewall enable 全局打开包过滤功能。

firewall disable 全局关闭包过滤功能。

命令 解释 全局配置模式 firewall default permit 设置默认动作为 permit。

firewall default deny 设置默认动作为 deny。

命令 解释 物理接口配置模式

 access-list(extended)命 令 ：

access-list {deny | permit} icmp {{ } | any-source | {host-source }} {{ } | any-destination | {host-destination }} [ []] [precedence

] [tos ] access-list {deny | permit} igmp {{ } | any-source | {host-source }} {{ } | any-destination | {host-destination }} [] [precedence

] [tos ] access-list {deny | permit} tcp {{ } | any-source | {host-source }} [sPort ] {{ } | any-destination | {host-destination }} [dPort ] [ack | fin | psh | rst | syn | urg] [precedence

] [tos ] access-list {deny | permit} udp {{ } | any-source | {host-source }} [sPort ] {{ } | any-destination | ip access-group {in|out } no ip access-group {in|out} 在 端 口 的 某 个 方 向 上 应 用 一 条 access-list；本命令的 no 操作为删除绑定在端口上的 access-list。

{host-destination }} [dPort ] [precedence

] [tos ] access-list {deny | permit} {eigrp | gre | igrp | ipinip | ip | } {{ } | any-source | {host-source }} {{ } | any-destination | {host-destination }} [precedence

] [tos ] no access-list 功能：创建一条匹配特定 IP 协议或所有 IP 协议的数字扩展 IP 访问规则；如果此编号数字扩展访问列表不存在，则创建此访问列表；本命令的 no 操作为删除一条数字扩展 IP 访问列表。

参数：

为访问表标号，100-199；为源 IP 地址，格式为点分十进制；为源 IP 的反掩码，格式为点分十进制；为目的 IP 地址，格式为点分十进制； 为目的 IP 的反掩码，格式为点分十进制，关心的位置 0，忽略的位置 1；，igmp 的类型；，icmp 的类型；，icmp 的协议编号；

，IP 优 先级，0-7；，tos 值，0-15；，源端口号，0-65535；，目的端口号，0-65535。

命令模式：全局配置模式 缺省情况：没有配置任何的访问列表。

使用指南：当用户第一次指定特定时，创建此编号的 ACL，之后在此 ACL 中添加表项。

举例：创建编号为 110 的数字扩展访问列表。拒绝 icmp 报文通过，允许目的地址为 192.168.0.1 目的端口为 32 的 udp 包通过。

Switch(Config)#access-list 110 deny icmp any-source any-destination Switch(Config)#access-list 110 permit udp any-source host-destination 192.168.0.1 dPort 32 access-list(standard)命 令 ：

access-list {deny | permit} {{ } | any-source | {host-source }} no access-list 功能：创建一条数字标准 IP 访问列表，如果已有此访问列表，则增加一条 rule 表项；本命令的 no 操作为删除一条数字标准 IP 访问列表 参数：为访问表标号，1-99；为源 IP 地址，格式为点分十进制；为源 IP 的反掩码，格式为点分十进制。

命令模式：全局配置模式 缺省情况：没有配置任何的访问列表。

使用指南：当用户第一次指定特定时，创建此编号的 ACL，之后在此 ACL 中添加表项。

举例：创建一条编号为 20 的数字标准 IP 访问列表，允许源地址为 10.1.1.0/24 的数据包通过，拒绝其余源地址为 10.1.1.0/16 的数据包通过。

Switch(Config)#access-list 20 permit 10.1.1.0 0.0.0.255 Switch(Config)#access-list 20 deny 10.1.1.0 0.0.255.25  firewall 命令：firewall { enable | disable} 功能：允许防火墙起作用或禁止防火墙起作用。

参数：enable 表示允许防火墙起作用；disable 表示禁止防火墙起作用。

缺省情况：缺省为防火墙不起作用。

命令模式：全局配置模式 使用指南：在允许和禁止防火墙时，都可以设置访问规则。但只有在防火墙起作用时才可以将规则应用至特定端口的特定方向上。使防火墙不起作用后将删除端口上绑定的所有 ACL。

举例：允许防火墙起作用。

Switch(Config)#firewall enable  firewall default 命令：firewall default {permit | deny} 功能：设置防火墙默认动作。

参数：

permit 表示允许数据包通过；deny 表示拒绝数据包通过。

命令模式：全局配置模式 缺省情况：缺省动作为 permit。

使用指南：此命令只影响端口入口方向的 IP 包，其余情况下数据包均可通过交换机。

举例：设置防火墙默认动作为拒绝数据包通过。

Switch(Config)#firewall default den  ip access extended 命令：ip access extended no ip access extended 功能：创建一条命名扩展 IP 访问列表；本命令的 no 操作为删除此命名扩展 IP 访问列表（包含所有表项）。

参数：为访问表标名，字符串长度为 1-8, 不允许为纯数字序列。

命令模式：全局配置模式

缺省情况：没有配置任何的访问列表。

使用指南：第一次以调用此命令后，只是创建一个空的命名访问列表，其中不包含任何表项 举例：创建一条名为 tcpFlow 的命名扩展 IP 访问列表。

Switch(Config)#ip access-list extended tcpFlow  ip access standard 命令：ip access standard no ip access standard 功能：创建一条命名标准 IP 访问列表；本命令的 no 操作为删除此命名标准 IP 访问列表（包 含所有表项）。

参数：为访问表标名，字符串长度为 1-8。

命令模式：全局配置模式 缺省情况：没有配置任何的访问列表。

使用指南：第一次以调用此命令后，只是创建一个空的命名访问列表，其中不包含任何表项。

举例：创建一条名为 ipFlow 的命名标准 IP 访问列表。

Switch(Config)#ip access-list standard ipFlow  ip access-group 命令：ip access-group { in|out } no ip access-group { in|out } 功能：在端口的入口方向上应用一条 access-list；本命令的 no 操作为删除绑定在端口上的 access-list。

参数：为命名访问表的名字，字符串长度为 1-8。

命令模式：物理接口配置模式 缺省情况：没有绑定任何 ACL。

使用指南：一个端口只可以绑定一条入口规则，目前不支持在出口方向应用 Access-list。

举例：将名为 aaa 的访问列表绑定到端口的入口方向上。

Switch(Config-Ethernet1/1)#ip access-group aaa in  permit | deny(extended)命 令 ：

[no] {deny | permit} icmp {{ } | any-source | {host-source }} {{ } | any-destination | {host-destination }} [ []] [precedence

] [tos ] [no] {deny | permit} igmp {{ } | any-source | {host-source }} {{ } | any-destination | {host-destination }} [] [precedence

] [tos ] [no] {deny | permit} tcp {{ } | any-source | {host-source }} [sPort ] {{ } | any-destination | {host-destination }} [dPort ] [ack | fin | psh | rst | syn | urg] [precedence

] [tos ] [no] {deny | permit} udp {{ } | any-source | {host-source }} [sPort ] {{ } | any-destination | {host-destination }} [dPort ] [precedence

] [tos ]

[no] {deny | permit} {eigrp | gre | igrp | ipinip | ip | } {{ } any-source | {host-source }} {{ } | any-destination | {host-destination }} [precedence

] [tos ] 功能：创建或删除一条匹配特定 IP 协议或所有 IP 协议的命名扩展 IP 访问规则。

参数：为源 IP 地址，格式为点分十进制；为源 IP 的反掩码，格式为点 分十进制；为目的 IP 地址，格式为点分十进制；为目的 IP 的反掩码，格式为点分十进制，关心的位置 0，忽略的位置 1；，igmp 的类型，0－255； ，icmp 的类型，0－255；，icmp 的协议编号，0－255；

，IP 优先级，0－7；，tos 值，0-15；，源端口号，0-65535；，目的端口号，0-65535。

命令模式：命名扩展 IP 访问列表配置模式 缺省情况：没有配置任何的访问列表。

举例：创建名为 udpFlow 的扩展访问列表。拒绝 igmp 报文通过，允许目的地址为 192.168.0.1 目的端口为 32 的 udp 包通过。

Switch(Config)#ip access-list extended udpFlow Switch(Config-Ext-Nacl-udpFlow)#access-list 110 deny igmp any-source any-destination Switch(Config-Ext-Nacl-udpFlow)#access-list 110 permit udp any-source host-destination 192.168.0.1 dPort 32

 permit | deny(standard)命 令 ：

{deny | permit} {{ } | any-source | {host-source }} no {deny | permit} {{ } | any-source | {host-source }} 功能：创建一条命名标准 IP 访问规则（rule）；本命令的 no 操作为删除此命名标准 IP 访问规则（rule）。

参数：

为源 IP 地址，格式为点分十进制；为源 IP 的反掩码，格式为点分十进制。

命令模式：命名标准 Ip 访问列表配置模式 缺省情况：没有配置任何的访问列表。

举例：允许源地址为 10.1.1.0/24 的数据包通过，拒绝其余源地址为 10.1.1.0/16 的数据包通过。

Switch(Config)# ip access-list standard ipFlow Switch(Config-Std-Nacl-ipFlow)# permit 10.1.1.0 0.0.0.255 Switch(Config-Std-Nacl-ipFlow)# deny 10.1.1.0 0.0.255.255

数据结构实验

流体力学实验

实验操作

实验记录本

实验设备