建立命名ACL实战
本次实验拓扑结构如下:
实验目的
完成在sw-3路由上命名ACL的建立,实现实验要求:
允许vlan10中的PC2主机访问PC4;
拒绝vlan10中的其它主机访问PC4;
允许其它网络主机访问PC4。
实验步骤:
<强> 1,完成四台PC机IP地址的设置
PC1
<代码> PC1>ip 192.168.100.20 192.168.100.1 检查重复的地址… PC1: 192.168.100.20 255.255.255.0网关192.168.100.1PC2
<代码> PC2>ip 192.168.100.30 192.168.100.1 检查重复的地址… PC1: 192.168.100.30 255.255.255.0网关192.168.100.1生物
<代码> PC3>ip 192.168.200.10 192.168.200.1 检查重复的地址… PC1: 192.168.200.10 255.255.255.0网关192.168.200.1PC4
<代码> PC4>ip 192.168.10.10 192.168.10.1 检查重复的地址… PC1: 192.168.10.10 255.255.255.0网关192.168.10.1<强> 2,完成二层交换机西南的设置
<代码> sw(配置)#没有ip路由//关闭路由功能(原镜像为三层交换机,所以这里需关闭路由功能) 西南(配置)# vlan 10, 20//划分vlan广播域 西南(config-vlan) #交货 西南(配置)# int f 1/1 sw (config-if) #西南密苏里州ac 西南(config-if) # sw ac vlan 10 西南(config-if) #交货 西南(配置)# int f 1/2 sw (config-if) #西南密苏里州ac 西南(config-if) # sw ac vlan 10 西南(config-if) # int f 1/3 sw (config-if) #西南密苏里州ac 西南(config-if) 20 # sw ac vlan 西南(config-if) #交货 西南(配置)#做显示vlan-sw b VLAN的名字状态端口 - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1默认活跃Fa1/0 Fa1/4 Fa1/5 Fa1/6 Fa1/7、Fa1/8 Fa1/9 Fa1/10 Fa1/11、Fa1/12 Fa1/13 Fa1/14 Fa1/15 10 Fa1/1 VLAN0010活跃,Fa1/2 20 VLAN0020活跃Fa1/3 1002年fddi-default 行为/unsup 1003年token-ring-default 行为/unsup 1004年fddinet-default 行为/unsup 1005年trnet-default 行为/unsup 西南(配置)# int f 1/0 西南(config-if) # sw tr en 西南(config-if) # sw莫tr 西南(config-if) # e * 3月1 00:03:06.579:% DTP-5-TRUNKPORTON:港口Fa1/0 dot1q树干 西南(config-if) #交货 西南(配置)#确实显示int f 1/0<强> 3,完成三层交换机sw-3的设置
<代码> sw-3(配置)# vlan 10、20 sw-3 (config-vlan) #交货 sw-3(配置)# int vlan 10 sw-3 (config-if) # ip添加192.168.100.1 255.255.255.0 sw-3 (config-if) #没有关闭 sw-3 (config-if) 20 # int vlan sw-3 (config-if) # ip添加192.168.200.1 255.255.255.0 sw-3 (config-if) #没有关闭 sw-3 (config-if) #交货 sw-3(配置)# int f 1/1 sw-3 (config-if) # ip添加192.168.10.1 255.255.255.0//该端口为二层端口无法设定ip地址 %的IP地址可能不是配置alt="建立命名访问控制列表实战">如果出现以上结果,则可以继续下面的操作,否则,请自行进行检查。
<强> 4,进行ACL的设置
sw-3
<代码> sw-3(配置)# ip访问列表标准zhy//建立命名访问控制列表 sw-3 (config-std-nacl) # 5允许主机192.168.100.30//开头的5为序列号,可不写,不写则进行默认排序 sw-3 (config-std-nacl) #否认192.168.100.0 0.0.0.255//拒绝100网段的全部主机 sw-3 (config-std-nacl) #允许任何 sw-3 (config-std-nacl) #交货 sw-3(配置)#做显示访问列表 标准zhy IP访问列表 5允许192.168.100.30 15否认192.168.100.0,通配符0.0.0.255碎片 25允许任何 sw-3(配置)# sw-3(配置)# int f 1/1 sw-3 (config-if) # ip访问组zhy//应在口为虚口,设置ACL比较繁琐,因此本次实验将ACL设置在口。 sw-3 (config-if) #交货 sw-3(配置)#实验结果
