实验拓扑:
首先,完成全网互通配置,全网互通的前提下进行ACL实验。
全网互通这里不在进行讲解。
首先我们完成第一步配置,
问:PC-1可以ping通AR-2设备,对ar-2的Telnet和FTP 访问受限,访问AR-1不受限制
答:通过观看题目,我们要针对PC2去往AR-2上的数据做一个拒绝,题目为对AR-2的Telnet和FTP 访问受限,所以我们要针对源地址(PC)去往AR的接口做限制。
首先 我们查看一下AR-2的接口状态
说明我们要对AR-2的接口进行策略
发现我们已经对AR-2的所有接口都进行了测试,因为华为的ACL针对数据是默认允许的,所以我们不做下一动作。
问 :PC2不可以PING通ar-2设备。ar-2可以ping通PC-2,对ar-2的Telnet和ftp访问受限,PC2仅可以ping通ar-1的网关地址。对ar-1的Telnet和FTP访问受限
答:我们把它分为2个小问题,依次解决
首先 PC2不可以PING通ar-2设备。ar-2可以ping通PC-2,对ar-2的Telnet和ftp访问受限
办法:通过阅读,我的办法是,拒绝目的地址ar-2发往PC2的ping的回复包,或者PC2去往AR-2的请求包,实现PC不可以通信AR-2,但是AR-2却可以ping通PC2,因为数据包是有去有回的,所以我们把去的路和回来的路干掉其中一条就可以。对于ar-2的Telnet和ftp访问受限,我们也和上边一样拒接TCP传输的Telnet和FTP做限制就可以
规则41 拒绝源地址192.168.1.102的发往目标地址12.1.1.2的ping的请求包,规则42和43拒绝了源地址对目标网段12.1.1.2的Telnet和FTP服务。(注意,要把源地址去往AR-2上的所有接口全都拒绝掉,因为我懒就只拒绝了12.1.1.2,) ,因为我们前面没有挂接ACL ,所以虽然你写完了策略但是不挂在接口上是无法生效的,所以我们挂在接口上,接口上有俩个方向分别是inbound 和outbound 方向,一个为接口的入站方向,一个为接口的出站方向,那么针对此拓扑,我们挂在在AR-1的G0/0/0的入站方向,然后测试实验现象。
挂接完成,我们先看一下效果,
完成需求,因为PC无法Telnet,所以这里不在演示,你可以换台路由器进行检测,
第二个问题:PC2仅可以ping通ar-1的网关地址。对ar-1的Telnet和FTP访问受限
办法:首先就是把去往所有目的(除AR-1的网关接口)的PING 的请求包拒接掉,对AR-1的Telnet和FTP访问受限,我们也针对源地址去往目标地址的Telnet和FTP拒绝掉.
答: 拒绝PC2去往ar-1除网关外的接口的ping的请求包对ar-1的Telnet和FTP访问受限,下面的配置没有对环回口1.1.1.1进行限制。
然后挂接预配置ACL
在预配置ACL的基础上做修改使得ar-2通过FTP顺利下载到ar-1的配置文件
答:因为是AR-2ftp登录AR-1的,其次因为ACL的***按顺序匹配,匹配到本数据,就不会往下匹配。可以看到我们允许了AR-2的12.1.1.2 FTP 登录AR-1的12.1.1.1
开启FTP服务,随便设个用户和密码,然后FTP登录AR-1的12.1.1.1.下载AR-1.cfg的文件
思考: 第一问和第二问的ACL如何挂接可以做到最高效
答: 网络设备的一个接口的一个方向同一时间只能挂接一个ACL编号,但是***不限制,可以看到我写了很多的***,但是都在ACL 3000的配置下。
下附ACL参考配置