任务2.3-标准命名式ACL和扩展命名式ACL的应用.ppt

任务2.3-标准命名式ACL和扩展命名式ACL的应用,任务目标：,掌握标准命名式ACL和扩展命名式ACL的配置。,实训内容：,通过在R2811上配置标准命名式ACL或扩展命名式ACL，使得： 拒绝上的所有主机访问PCa和PCb； 允许网络向PCa、PCb发出的ftp流量，同时拒绝其它所有的流量。,实训网络拓扑：,图2-3-1 实训网络拓扑示意图,实训指导：,配置R2811： Router /用户模式 Routerenable /进入特权模式 Router#configure terminal /进入全局模式 Router(config)#hostname R2811 /重命名 R2811(config)#interface fastethernet 0/0 /进入端口fa 0/0 R2811(config-if)#ip address /为该端口配置管理地址 R2811(config-if)#no shutdown /开启端口,R2811(config-if)#interface fastethernet 0/1 /进入端口0/1 R2811(config-if)#ip address /为该端口配置管理地址 R2811(config-if)#no shutdown /开启端口 R2811(config-if)#interface fastethernet 1/0 /进入端口1/0 R2811(config-if)#ip address /为该端口配置管理地址 R2811(config-if)#no shutdown /开启端口,在配置标准命名式ACL前，PCc能够ping通、浏览以及ftp到PCa、PCb；PCd能够ping通、浏览以及ftp到PCa、PCb。,图2-3-2 PCc ping通PCa、PCb,图2-3-3 PCc浏览PCa服务器,图2-3-4 PCc浏览PCb服务器,图2-3-5 PCc ftp到PCa、PCb,图2-3-6 PCd ping通PCa、PCb,图2-3-7 PCd浏览PCa服务器,图2-3-8 PCd浏览PCb服务器,图2-3-9 PCd ftp到PCa、PCb,拒绝上的所有主机访问PCa和PCb R2811(config-if)#exit /退到全局模式 R2811(config)#ip access-list standard denyftp /创建一条命名式标准ACL denyftp R2811(config-std-nacl)#deny 55 /拒绝所有来自网络的流量 R2811(config-std-nacl)#permit any /允许其它所有网络,R2811(config-std-nacl)#exit /退到全局模式 R2811(config)#interface fastethernet 1/0 /进入到端口1/0 R2811(config-if)#ip access-group denyftp out /将命名式标准ACL denyftp应用到fastethernet 1/0的出方向 R2811(config-if)#exit /退到全局模式,进行上述配置后，发现PCc ping不通PCa、PCb，PCc浏览不了PCa、PCb，PCc telnet不到PCa、PCb。,图2-3-10 PCc ping不通PCa、PCb,图2-3-11 PCc不能浏览PCa服务器,图2-3-12 PCc不能浏览PCb服务器,图2-3-13 PCc不能telnet到PCa、PCb,允许网络向PCa、PCb发出的ftp流量，同时拒绝其它所有的流量。,R2811(config)#ip access-list extended allowftp /创建一条命名式扩展ACL allowftp R2811(config-ext-nacl)#permit tcp 55 host eq ftp /允许网络向主机PCa发出的ftp流量 R2811(config-ext-nacl)#permit tcp 55 host eq ftp /允许网络向主机PCb发出的ftp流量,R2811(config-ext-nacl)#deny ip any any /拒绝其它所有的流量 R2811(config-ext-nacl)#exit /退到全局模式 R2811(config)#interface fastethernet 0/1 /进到端口fa 0/1 R2811(config-if)#ip access-group allowftp in /将命名式扩展ACL allowftp应用到fa 0/1的入方向,进行上述配置后，发现PCd ping不通