ACL扩展访问控制列表

实验环境

1、拓扑图中一台Linux服务器
2、两台PC机做客户机(Win10，Win10-2)

实验目的

1、只允许Win10-1访问Linux的Web服务，禁止访问其他服务
2、Win10-1访问Win10-2主机

实验步骤

1、在Linux系统上安装ftp服务和http服务

[root@localhost ~]# yum install httpd -y[root@localhost ~]# yum install vsftpd -y

2、安装完服务后，进入网卡配置，配置一个静态IP，然后重新启动网卡

[root@localhost html]# vim /etc/sysconfig/network-scripts/ifcfg-ens33    //配置网卡[root@localhost ~]# service network restart  //重新启动网卡

3、接下来绑定网卡，Linux绑定VMnet2网卡，Win10-1绑定VMnet1，Win10-2绑定VMnet3



4、打开两台Win10，分别配置固定IP


关闭Win10的防火墙，以免对实验造成影响
5、为了实验需要在/html和/ftp里创建两个文件

[root@localhost ~]# cd /var/www/html/   [root@localhost html]# ls[root@localhost html]# vim index.html   

[root@localhost html]# systemctl start httpd   //启动http服务[root@localhost html]# systemctl stop firewalld.service  //关闭防火墙 [root@localhost html]# setenforce 0   //关闭增强性安全功能[root@localhost html]# systemctl start vsftpd   //启动ftp服务[root@localhost html]# echo "this is ftp" > ftp.txt   //在ftp里写入内容

6、进入到RI路由器中配置，分别给接口配置ip地址


7、配置完之后查看主机之间的互通性


此时Win10-1和Win10-2都可以访问服务端的ftp和web服务



8、进入都R1里进行配置，达到实验目的

access-list 100 permit tcp host 192.168.1.2 host 192.168.100.100 eq www// 允许192.168.1.10的主机访问地址为192.168.100.100服务器的web服务（web属于tcp协议）

access-list 100 deny ip host 192.168.1.2 host 192.168.100.100// 拒绝192.168.1.10的主机访问地址为192.168.100.100服务器的任何服务（ip表示任何服务协议）

access-list 100 permit ip host 192.168.1.2 192.168.2.0 0.0.0.255// 允许192.168.1.10的主机访问2.0网段的主机

int f0/0  // 进入f0/0接口ip access-group 100 in // acl应用于f0/0接口上

实验结果

Win10-1依旧可以访问Web服务

也可ping通Win10-2主机，但是无法访问ftp服务