銳捷實戰系類 (三十三) 使用擴展ACL限制應用服務

實訓目的

• 利用擴展ACL進行VTY訪問限制。

實訓背景

ACL(Access Control List, 訪問控制列表)是指對流經路由器或交換機的數據包根據一定的規則進行過濾的控制，可以提高網路可管理性和安全性。

擴展ACL是可基於源地址、目地址及埠號作為判斷依據，從而決定規定符合條件的數據包是否允許通過。擴展ACL可以實現用戶對WWW服務、FTP服務分別做出是否可訪問的決策。

實訓拓撲

實訓所需設備：

|設備類型|設備型號|數量|

|主機|Windows 10|2|

實訓步驟

步驟1：基本配置。

SW1：

Ruijie>enableRuijie#configure terminalRuijie(config)#hostname SW1SW1(config)#

步驟2：在交換機上為其配置Telnet遠程登陸。

SW1(config)#line vty 0 4SW1(config-line)#password juxingSW1(config-line)#loginSW1(config-line)#enable password ccnaSW1(config)#

步驟3：全網基本IP地址配置。

SW1(config)#interface vlan 1SW1(config-if-VLAN 1)#ip address 192.168.1.1 255.255.255.0SW1(config-if-VLAN 1)#exitSW1(config)#

步驟4：給PC1和PC2配置IP。

PC1：

PC2：

步驟5：在沒有配置ACL時，默認所有機器都可以遠程登陸。

步驟6：在交換機上配置擴展ACL，禁止IP為：192.168.1.2的主機訪問交換機的Telnet服務。

SW1(config)#ip access-list extended 101SW1(config-ext-nacl)#10 deny tcp host 192.168.1.2 host 192.168.1.1 eq telnetSW1(config-ext-nacl)#20 permit ip any anySW1(config-ext-nacl)#exitSW1(config)#

步驟7：將配置的擴展ACL應用到離PC1最近的埠。

SW1(config)#interface fastEthernet 0/1SW1(config-if-FastEthernet 0/1)#ip access-group 101 inSW1(config-if-FastEthernet 0/1)#endSW1#

步驟8：配置了ACL之後，PC1（192.168.1.2）無法Telnet遠程登陸到交換機SW1，但是PC1 ping SW1是通的，說明擴展ACL的控制粒度可以精確到具體應用(即埠)。