实训目的
- 利用扩展ACL进行VTY访问限制。
实训背景
ACL(Access Control List, 访问控制列表)是指对流经路由器或交换机的数据包根据一定的规则进行过滤的控制,可以提高网络可管理性和安全性。
扩展ACL是可基于源地址、目地址及端口号作为判断依据,从而决定规定符合条件的数据包是否允许通过。扩展ACL可以实现用户对WWW服务、FTP服务分别做出是否可访问的决策。
实训拓扑
使用扩展ACL限制应用服务-聚星云学院
实训所需设备:
| 设备类型 | 设备型号 | 数量 |
|---|---|---|
| 三层交换机 | S3760 | 1 |
| 主机 | Windows 10 | 2 |
实训步骤
步骤1:基本配置。
SW1:
Ruijie>enable
Ruijie#configure terminal
Ruijie(config)#hostname SW1
SW1(config)#
步骤2:在交换机上为其配置Telnet远程登陆。
SW1(config)#line vty 0 4
SW1(config-line)#password juxing
SW1(config-line)#login
SW1(config-line)#enable password ccna
SW1(config)#
步骤3:全网基本IP地址配置。
SW1(config)#interface vlan 1
SW1(config-if-VLAN 1)#ip address 192.168.1.1 255.255.255.0
SW1(config-if-VLAN 1)#exit
SW1(config)#
步骤4:给PC1和PC2配置IP。
PC1:
使用扩展ACL限制应用服务-聚星云学院
PC2:
使用扩展ACL限制应用服务-聚星云学院
步骤5:在没有配置ACL时,默认所有机器都可以远程登陆。
使用扩展ACL限制应用服务-聚星云学院
步骤6:在交换机上配置扩展ACL,禁止IP为:192.168.1.2的主机访问交换机的Telnet服务。
SW1(config)#ip access-list extended 101
SW1(config-ext-nacl)#10 deny tcp host 192.168.1.2 host 192.168.1.1 eq telnet
SW1(config-ext-nacl)#20 permit ip any any
SW1(config-ext-nacl)#exit
SW1(config)#
步骤7:将配置的扩展ACL应用到离PC1最近的端口。
SW1(config)#interface fastEthernet 0/1
SW1(config-if-FastEthernet 0/1)#ip access-group 101 in
SW1(config-if-FastEthernet 0/1)#end
SW1#
步骤8:配置了ACL之后,PC1(192.168.1.2)无法Telnet远程登陆到交换机SW1,但是PC1 ping SW1是通的,说明扩展ACL的控制粒度可以精确到具体应用(即端口)。
使用扩展ACL限制应用服务-聚星云学院
使用扩展ACL限制应用服务-聚星云学院
网友评论