基于eNSP的ACL配置实验

一、实验目的

二、实验设备

三、实验内容

四、实验步骤

1.组网

(1)搭建环境

(2)设置各主机IP地址

(3) 配置各网段的网关地址

2.配置路由器的相关设置

(1)配置路由器的端口地址

(2)配置网络路由

3.配置ACL命令

（1）禁止192.168.1.0/24网段所有PC访问192.168.5.0/24网段，使用ping测试。

（2）禁止192.168.1.10主机访问192.168.2.0/24网段，使用ping测试。

（3）禁止192.168.1.20主机访问192.168.6.20主机的WWW服务。（ping+服务器访问页面测试）

（4）禁止任何网段ping测试192.168.3.0网段。

（5）仅允许192.168.2.0/24网段访问192.168.4.0/24，使用ping测试。

（6）仅允许192.168.4.10主机远程登录（telnet）192.168.6.20主机，只配置，不需要测试。

（7）仅允许192.168.4.10主机远程桌面（TCP 目的端口3389）192.168.6.20主机，只配置，不需要测试。

一、实验目的

1. 掌握ACL的分类及作用；

2. 掌握ACL的配置方法；

二、实验设备

路由器：AR2240×3

交换机：S5700×2

终端：PC×6、Clinet×1、Server×1

三、实验内容

完成上图拓扑

tips：在AR1中，默认只有3个端口，系统提示：“无可用端口！”时，右键“AR1”→设置→将“4GEW-T”拖动到指定位置

效果如下：

现在需求如下：

（1）禁止192.168.1.0/24网段所有PC访问192.168.5.0/24网段，使用ping测试。

（2）禁止192.168.1.10主机访问192.168.2.0/24网段，使用ping测试。

（3）禁止192.168.1.20主机访问192.168.6.20主机的WWW服务。（ping+服务器访问页面测试）

（4）禁止任何网段ping测试192.168.3.0网段。

（5）仅允许192.168.2.0/24网段访问192.168.4.0/24，使用ping测试。

（6）仅允许192.168.4.10主机远程登录（telnet）192.168.6.20主机，只配置，不需要测试。

（7）仅允许192.168.4.10主机远程桌面（TCP 目的端口3389）192.168.6.20主机，只配置，不需要测试。

四、实验步骤

1.组网

(1)搭建环境

按照如图1.1所示搭建实验环境，并将设备启动。

(2)设置各主机IP地址

PC1配置情况如下图所示，其余PC的IP地址为该网段的可用地址即可。

(3) 配置各网段的网关地址

网关地址都设置为所在网段可用地址的第一个

即：x.x.x.1

2.配置路由器的相关设置

(1)配置路由器的端口地址

配置AR1:

[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[AR1-GigabitEthernet0/0/0]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 192.168.2.1 24
[AR1-GigabitEthernet0/0/1]int g0/0/2
[AR1-GigabitEthernet0/0/2]ip add 192.168.3.1 24
[AR1-GigabitEthernet0/0/2]int g6/0/0
[AR1-GigabitEthernet6/0/0]ip add 192.168.12.1 24

AR2、AR3如下图：

(2)配置网络路由

使得各网段能够互通（静态路由、动态路由均可）

这里配置的是通过ospf协议配置动态路由

配置AR1

[AR1]ospf 1
[AR1-ospf-1]area 0
[AR1-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255
[AR1-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[AR1-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255
[AR1-ospf-1-area-0.0.0.0]network 192.168.23.0 0.0.0.255

测试：抓图验证各网段是否能够互通。

pc1 ping pc2 通

pc1 ping pc3 通

pc1 ping pc4 通

pc1 ping pc5 通

pc1 ping pc6通

3.配置ACL命令

根据实验需求，配置相应的ACL命令，要求在实验报告中写出配置命令，并通过抓图验证。

（1）禁止192.168.1.0/24网段所有PC访问192.168.5.0/24网段，使用ping测试。

在AR3上配置acl 2000

[AR3]acl 2000
[AR3-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255
[AR3-acl-basic-2000]int g0/0/1
[AR3-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

从192.168.1.10的pc1 ping 192.168.5.10 由图3.1可知，配置acl后ping不通，证明acl配置成功

（2）禁止192.168.1.10主机访问192.168.2.0/24网段，使用ping测试。

在AR1配置acl 2000

[AR1]acl 2000

[AR1-acl-basic-2000]rule deny source 192.168.1.10 0.0.0.0
[AR1-acl-basic-2000]int g0/0/1
[AR1-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

用192.168.1.10的pc1 ping 192.168.2.10 由图3.2可知，配置acl后ping不同，证明acl配置成功

（3）禁止192.168.1.20主机访问192.168.6.20主机的WWW服务。（ping+服务器访问页面测试）

配置acl指令前，先进行测试

①启动server1的http服务

②在client1中ping192.168.6.20 可以ping通

③由图3.3.3可知服务器网页测试正常

④在AR1上配置acl 3000

[AR1]acl 3000
[AR1-acl-adv-3000]rule deny tcp source 192.168.1.20 0.0.0.0 destination 192.168.
6.20 0.0.0.0 destination-port eq www
[AR1-acl-adv-3000]int g0/0/0
[AR1-GigabitEthernet0/0/0]traffic-filter inbound acl 3000

⑤ 由图3.3.4可知，ping不通

由图3.3.5可知，网页服务异常，证明acl配置成功

（4）禁止任何网段ping测试192.168.3.0网段。

在AR1上配置acl 3001

[AR1]acl 3001
[AR1-acl-adv-3001]rule deny icmp source any destination 192.168.3.0 0.0.0.255
[AR1-acl-adv-3001]int g0/0/2
[AR1-GigabitEthernet0/0/2]traffic-filter outbound acl 3001

由图3.4.1、3.4.2、可知任何网段都无法用ping测试192.168.3.10，证明acl配置成功

（5）仅允许192.168.2.0/24网段访问192.168.4.0/24，使用ping测试。

在AR2上配置acl 2000

[AR2]acl 2000
[AR2-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255
[AR2-acl-basic-2000]rule deny source any
[AR2-acl-basic-2000]int g0/0/1
[AR2-GigabitEthernet0/0/1]traffic-filter outbound acl 2000

由图3.5.1可知，192.168.2.10的pc2可以ping通192.168.4.10

图3.5.2、3.5.3可知，其他网段的pc ping不通192.168.4.10，证明acl配置成功

（6）仅允许192.168.4.10主机远程登录（telnet）192.168.6.20主机，只配置，不需要测试。

在AR2上配置acl 3000

[AR2]acl 3000
[AR2-acl-adv-3000]rule permit tcp source 192.168.4.10 0.0.0.0 destination 192.168.6.20 0.0.0.0 destination-port eq 23
[AR2-acl-adv-3000]rule deny tcp source any destination 192.168.6.20 0.0.0.0 destination-port eq 23
[AR2-acl-adv-3000]int g0/0/1
[AR2-GigabitEthernet0/0/1]traffic-filter inbound acl 3000

（7）仅允许192.168.4.10主机远程桌面（TCP 目的端口3389）192.168.6.20主机，只配置，不需要测试。

在AR2上查看配置

[AR2]display traffic-filter applied-record
-----------------------------------------------------------
Interface Direction AppliedRecord
-----------------------------------------------------------
GigabitEthernet0/0/1 outbound acl 2000
GigabitEthernet0/0/1 inbound acl 3000
-----------------------------------------------------------

可知在g0/0/1的入方向已经有acl 3000 ，一个端口一个方向只能配置一个acl，所以需要将acl 3000执行 undo命令

[AR2]int g0/0/1
[AR2-GigabitEthernet0/0/1]undo traffic-filter inbound

在AR2上配置acl 3001

[AR2]acl 3001
[AR2-acl-adv-3001]rule permit tcp source 192.168.4.10 0.0.0.0 destination 192.168.6.20 0.0.0.0 destination-port eq 3389
[AR2-acl-adv-3001]rule deny tcp source any destination 19.168.6.20 0.0.0.0 destination-port eq 3389
[AR2-acl-adv-3001]int g0/0/1
[AR2-GigabitEthernet0/0/1]traffic-filter inbound acl 3001