C组实验报告22.docVIP

实验 22 配置专家 ACL 组名：C组 组长：程达 组员：陈婉丽 张佳莉 张文倩 张青 邢留洋 郝亚磊 【实验名称】 配置专家ACL。 【实验目的】 使用专家ACL实现高级的访问控制。 【背景描述】 某公司的一个简单局域网中，通过使用1台交换机提供主机及服务器的接入，并且所有主 机和服务器均属于同一个VLAN（VLAN 2）中。网络中有3台主机和一台财务服务器（Accounting Server）。现在需要实现访问控制，只允许财务部主机（172.16.1.1）访问财务服务器上的财务服 务（TCP 5555），而其他服务不允许访问。 【需求分析】 专家ACL可以根据配置的规则对网络中的数据进行过滤。 【实验拓扑】 实验的拓扑图，如图22-1所示。 图22-1 【实验设备】 交换机1台 PC机4台 【预备知识】 交换机基本配置、专家ACL原理及配置。 【实验原理】 专家ACL是考虑到实际网络的复杂需求，将ACL的检测元素扩展到源MAC地址、目的 MAC地址、源IP地址、目的IP地址、源端口、目的端口和协议，从而实现对数据的更精确的 过滤，满足网络的复杂需求。 当应用了专家ACL的接口接收或发送报文时，将根据接口配置的ACL规则对数据进行检 查，并采取相应的措施（允许通过或拒绝通过），从而达到访问控制的目的，提高网络安全性。 【实验步骤】 步骤1 交换机基本配置。 Switch#configure terminal Switch(config)#vlan 2 Switch(config-vlan)#exit Switch(config)#interface range fastEthernet 0/1-3 Switch(config-if-range)#switchport access vlan 2 Switch(config-if-range)#exit Switch(config)#interface fastEthernet 0/12 Switch(config-if)#switchport access vlan 2 Switch(config-if)#exit 步骤2 配置专家ACL。 由于本例中使用的交换机不支持出方向（out）的专家ACL，所以需要将专家ACL配置在 接入主机端口的入方向（in）。由于只允许财务部主机访问财务服务器的特定服务，所以需要在 接入其他主机接口的入方向禁止其访问财务服务器，并在接入财务部主机接口的入方向只允许 其访问财务服务器上的特定服务。 配置针对非财务部主机的专家ACL。 Switch(config)#expert access-list extended deny_to_accsrv Switch(config-exp-nacl)#deny any any host 172.16.1.254 host 000d.000d.000d ！拒绝到达财务服务器的所有流量 Switch(config-exp-nacl)#permit any any any any ！允许其他所有流量 Switch(config-exp-nacl)#exit 配置针对财务部主机的专家ACL。 Switch(config)#expert access-list extended allow_to_accsrv5555 Switch(config-exp-nacl)#permit tcp host 172.16.1.1 host 000a.000a.000a host 172.16.1.254 any eq 5555 ！允许财务部主机访问财务服务器上的特定服务 Switch(config-exp-nacl)#permit icmp host 172.16.1.1 host 000a.000a.000a host 172.16.1.254 host 000d.000d.000d ！允许财务部主机到达财务服务器的ICMP报文，以便后续进行测试 Switch(config-exp-nacl)#deny any any host 172.16.1.254 any ！拒绝到达财务服务器的所有流量 Switch(config-exp-nacl)#permit any any any any ！允许其他 所有流量 Switch(config-exp-nacl)#exit 步骤3 应用ACL。 将专家ACL“deny_to_accsrv”应用到F0/2接口和F0/3接口的入方向，以限制非财务部主 机访问财务服务器。 Switch(config)#interface fastEthernet 0/2 Switch(config-if)#expert access-