1.扩展ACL简介:
扩展ACL可以更精确地控制基于源IP地址、目标IP地址、协议类型和端口号的流量。
2.配置背景:
为了实现公司内部只能使用FTP服务器传输文件并关闭其他所有服务和端口的需求,可以通过配置访问控制列表(ACL)在路由器或防火墙上进行流量控制。
网络拓扑如下:
- 公司内部网络:192.168.0.0/24
- 路由器连接内部网络的接口:GigabitEthernet 0/0
- 路由器连接FTP服务器所在网络的接口:GigabitEthernet 0/1
- FTP服务器IP地址:192.168.1.2
- 本实验接口IP采用手工配置,路由采用rip配置
3.具体配置:
3.1个接口IP配置:
PC:
FTP服务器:
1.点击FTP:
2.开启FTP服务,并创建用户和密码
3.添加IP
R1:
R1(config)#int g0/0
R1(config-if)#ip add 192.168.0.1 255.255.255.0R1(config)#int g0/1
R1(config-if)#ip add 192.168.1.1 255.255.255.03.2配置rip:
R1:
R1(config)#router rip
R1(config-router)#version 2
R1(config-router)#no auto-summary
R1(config-router)#network 192.168.0.0
R1(config-router)#network 192.168.1.0
R1(config-router)#exit
4.测试:
可以使用以下命令验证ACL的配置和应用情况:
show access-lists:查看ACL的详细配置。show ip interfaceGigabitEthernet0/0:查看接口GigabitEthernet 0/0上应用的ACL情况。
4.1使用ping命令网络不可达,因为ping是基于ICMP协议:
4.2FTP可以访问:
到此实验结束!!!
