配置思路

acl应用在vlan in和out_路由器

1>pc配置:

acl应用在vlan in和out_网络_02

2>交换机配置:
Router(config)#interface f0/0
Router(config-if)#ip address 192.168.10.254 255.255.255.0
Router(config-if)#no shutdown 
Router(config-if)#interface f0/1
Router(config-if)#ip address 192.168.20.1 255.255.255.0
Router(config-if)#no shutdown
(思路:先激活路由模式 ---  进入接口 --- 关闭交换机模式 ---  配置ip --- 创建vlan --- 进入vlan --- 给vlan配置ip网关 ----  把pc的接口分别放入vlan)
3>三层交换机配置:
Switch(config)#ip routing(开启路由模式)
Switch(config)#interface f0/1(进入F0/1接口)
Switch(config-if)#no switchport (关闭交换机模式)
Switch(config-if)#ip address 192.168.20.2 255.255.255.0
Switch(config-if)#no shutdown  (激活)
Switch(config)#vlan 100 (创建vlan 100)
Switch(config-vlan)#vlan 200(创建vlan 200)
Switch(config-vlan)#exit(保存并退出)
Switch(config)#interface vlan 100(进入vlan 100)
Switch(config-if)#ip address 192.168.100.254 255.255.255.0(给vlan 100配置网关)
Switch(config-if)#no shutdown(激活)
Switch(config)#interface vlan 200(创建vlan 200)
Switch(config-if)#ip address 192.168.200.254 255.255.255.0
Switch(config-if)#no shutdown(激活)
Switch(config)#interface f0/2(进入接口f0/2)
Switch(config-if)#switchport mode access (交换机端口模式访问)
Switch(config-if)#switchport access vlan 100(交换机端口接入vlan 100)
Switch(config)#interface f0/3(进入接口f0/3)
Switch(config-if)#switchport mode access (交换机端口模式访问)
Switch(config-if)#switchport access vlan 200(交换机端口接入vlan 200)
Switch#show ip route(查看路由器状态)

acl应用在vlan in和out_acl_03


acl应用在vlan in和out_交换机_04

3>配置默认路由:
Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.20.2 ---- (路由器的默认路由)
Switch(config)#exit
Router#show ip route

acl应用在vlan in和out_交换机_05

3>Switch(config)#ip route 0.0.0.0 0.0.0.0 192.168.20.1---- (交换机路由模式的默认路由)
Switch(config)#exit
Switch#show ip route

acl应用在vlan in和out_acl_06

测试 — 基础环境搭建完成

acl应用在vlan in和out_路由器_07

进入ACL实验

acl应用在vlan in和out_网络_08

1>路由器配置: -----  ACL默认丢掉所有,所以只丢一个的时候也要允许整个网段
Router(config)#access-list 10 deny host 192.168.10.1(访问列表10拒绝主机10.1)
Router(config)#interface f0/0(进入接口f0/0)
Router(config-if)#ip access-group 10 in(从f0/0入口开始阻止)
Router(config)#do show access-list(查看标准IP访问列表)
Router(config)#access-list 10 permit 192.168.10.0 0.0.0.255(允许整个网段通过)=Router(config)#access-list 10 permit any    
Router#show access-lists(查看标准IP访问列表)

acl应用在vlan in和out_网络_09

因为源192.168.10.1的f0/0接口已经被阻止,所以100.1 ping 不了10.1
就近原则 ---  找最近的路由器
三层交换机不能从接口阻止
要在vlan上面阻止
2>三层交换机配置:
Switch(config)#access-list 11 deny 192.168.100.1 0.0.0.0(访问列表11拒绝主机100.1)
Switch(config)#interface vlan 100(进入vlan虚拟接口)
Switch(config-if)#ip access-group 11 in(从vlan 100阻止)

acl应用在vlan in和out_acl应用在vlan in和out_10

ACL实验拓展 — 拓展ACL

acl应用在vlan in和out_acl_11

3>服务器配置网页:

acl应用在vlan in和out_交换机_12

4>在pc端测试打开服务器的IP地址:

acl应用在vlan in和out_acl应用在vlan in和out_13


acl应用在vlan in和out_acl应用在vlan in和out_14

5>配置三层交换机: 
Switch(config)#access-list 100 permit tcp host 192.168.200.1 host 192.168.10.2    (列表允许主机200.1访问10.2)
Switch(config)#access-list 100 deny tcp 192.168.200.0 0.0.0.255 host 192.168.10.2 eq 21 (列表阻止主机200.1访问10.2的21端口)
Switch(config)#access-list 100 deny icmp 192.168.200.1 0.0.0.0 host 192.168.10.2 (列表拒绝主机200.1访问10.2的ping命令 ---- icmp(ping包))
Switch(config)#interface vlan 200(进入vlan 200)
Switch(config-if)#ip access-group 100 in (从vlan阻止)

acl应用在vlan in和out_路由器_15

5>测试 
192.168.200.1  ----  能打开网站  (成功)

acl应用在vlan in和out_网络_16

192.168.200.1  ----- ping不通 192.168.10.2 (成功)

acl应用在vlan in和out_路由器_17