建立命名ACL實(shí)戰(zhàn)

本次實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu)如下：

成都創(chuàng)新互聯(lián)公司憑借在網(wǎng)站建設(shè)、網(wǎng)站推廣領(lǐng)域領(lǐng)先的技術(shù)能力和多年的行業(yè)經(jīng)驗(yàn)，為客戶提供超值的營(yíng)銷型網(wǎng)站建設(shè)服務(wù)，我們始終認(rèn)為：好的營(yíng)銷型網(wǎng)站就是好的業(yè)務(wù)員。我們已成功為企業(yè)單位、個(gè)人等客戶提供了成都做網(wǎng)站、成都網(wǎng)站制作服務(wù)，以良好的商業(yè)信譽(yù)，完善的服務(wù)及深厚的技術(shù)力量處于同行領(lǐng)先地位。

實(shí)驗(yàn)?zāi)康?/h4>

完成在sw-3路由上命名ACL的建立，實(shí)現(xiàn)實(shí)驗(yàn)要求：

允許vlan10中的PC2主機(jī)訪問(wèn)PC4；

拒絕vlan10中的其它主機(jī)訪問(wèn)PC4；

允許其它網(wǎng)絡(luò)主機(jī)訪問(wèn)PC4。

實(shí)驗(yàn)步驟：

1、完成四臺(tái)PC機(jī)IP地址的設(shè)置

PC1

PC1> ip 192.168.100.20 192.168.100.1
Checking for duplicate address...
PC1 : 192.168.100.20 255.255.255.0 gateway 192.168.100.1

PC2

PC2> ip 192.168.100.30 192.168.100.1
Checking for duplicate address...
PC1 : 192.168.100.30 255.255.255.0 gateway 192.168.100.1

PC3

PC3> ip 192.168.200.10 192.168.200.1
Checking for duplicate address...
PC1 : 192.168.200.10 255.255.255.0 gateway 192.168.200.1

PC4

PC4> ip 192.168.10.10 192.168.10.1
Checking for duplicate address...
PC1 : 192.168.10.10 255.255.255.0 gateway 192.168.10.1

2、完成二層交換機(jī)sw的設(shè)置

sw(config)#no ip routing                    //關(guān)閉路由功能（原鏡像為三層交換機(jī)，所以這里需關(guān)閉路由功能）
sw(config)#vlan 10,20                       //劃分vlan廣播域
sw(config-vlan)#ex
sw(config)#int f 1/1
sw(config-if)#sw mo ac
sw(config-if)#sw ac vlan 10
sw(config-if)#ex
sw(config)#int f 1/2
sw(config-if)#sw mo ac
sw(config-if)#sw ac vlan 10
sw(config-if)#int f 1/3
sw(config-if)#sw mo ac 
sw(config-if)#sw ac vlan 20
sw(config-if)#ex 
sw(config)#do show vlan-sw b

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa1/0, Fa1/4, Fa1/5, Fa1/6
                                                Fa1/7, Fa1/8, Fa1/9, Fa1/10
                                                Fa1/11, Fa1/12, Fa1/13, Fa1/14
                                                Fa1/15
10   VLAN0010                         active    Fa1/1, Fa1/2
20   VLAN0020                         active    Fa1/3
1002 fddi-default                     act/unsup 
1003 token-ring-default               act/unsup 
1004 fddinet-default                  act/unsup 
1005 trnet-default                    act/unsup 
sw(config)#int f 1/0
sw(config-if)#sw tr en do
sw(config-if)#sw mo tr
sw(config-if)#e
*Mar  1 00:03:06.579: %DTP-5-TRUNKPORTON: Port Fa1/0 has become dot1q trunk
sw(config-if)#ex
sw(config)#do show int f 1/0

3、完成三層交換機(jī)sw-3的設(shè)置

sw-3(config)#vlan 10,20
sw-3(config-vlan)#ex
sw-3(config)#int vlan 10
sw-3(config-if)#ip add 192.168.100.1 255.255.255.0
sw-3(config-if)#no shut 
sw-3(config-if)#int vlan 20
sw-3(config-if)#ip add 192.168.200.1 255.255.255.0
sw-3(config-if)#no shut 
sw-3(config-if)#ex
sw-3(config)#int f 1/1
sw-3(config-if)#ip add 192.168.10.1 255.255.255.0             //該端口為二層端口無(wú)法設(shè)定IP地址

% IP addresses may not be configured on L2 links.

sw-3(config-if)#no switchport                                //關(guān)閉路由功能，使其成為三層端口
sw-3(config-if)#ip add 192.168.10.1 255.255.255.0
sw-3(config-if)#no shut
sw-3(config-if)#ex
sw-3(config)#int f 1/0
sw-3(config-if)#sw mo tr 
*Mar  1 00:02:43.731: %DTP-5-TRUNKPORTON: Port Fa1/0 has become dot1q trunk
*Mar  1 00:02:44.235: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to up
*Mar  1 00:02:44.243: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to up
sw-3(config-if)#sw tr en dot
sw-3(config-if)#ex 
sw-3(config)#

注意：此時(shí)，sw-3上未進(jìn)行ACL的設(shè)置，如果實(shí)驗(yàn)步驟全部正確，應(yīng)可以全網(wǎng)互通。

實(shí)例如下：

如果出現(xiàn)以上結(jié)果，則可以繼續(xù)下面的操作。否則，請(qǐng)自行進(jìn)行檢查。

4、進(jìn)行ACL的設(shè)置

sw-3

sw-3(config)#ip access-list standard zhy                  //建立命名訪問(wèn)控制列表
sw-3(config-std-nacl)#5 permit host 192.168.100.30        //開(kāi)頭的5為序列號(hào)，可不寫。不寫則進(jìn)行默認(rèn)排序
sw-3(config-std-nacl)#deny 192.168.100.0 0.0.0.255        //拒絕100網(wǎng)段的全部主機(jī)
sw-3(config-std-nacl)#permit any                   
sw-3(config-std-nacl)#ex
sw-3(config)#do show access-lists
Standard IP access list zhy
    5 permit 192.168.100.30
    15 deny   192.168.100.0, wildcard bits 0.0.0.255
    25 permit any
sw-3(config)#
sw-3(config)#int f 1/1
sw-3(config-if)#ip access-group zhy out                //應(yīng)in口為虛口，設(shè)置ACL比較繁瑣。因此本次實(shí)驗(yàn)將ACL設(shè)置在out口。
sw-3(config-if)#ex
sw-3(config)#

實(shí)驗(yàn)結(jié)果

實(shí)驗(yàn)成功?。。。?！

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

名稱欄目：建立命名訪問(wèn)控制列表實(shí)戰(zhàn)-創(chuàng)新互聯(lián)
鏈接地址：http://weahome.cn/article/djhhih.html