ACL訪問控制列表之擴展篇(實踐)

實踐環境部署

服務器:一臺Linux虛擬機(CentOS 7)
客戶機:兩臺Windows 10虛擬機(win10-1\win0-2)

---

---

拓撲結構圖

---

---

實踐步驟

第一步:先使用Linux服務器安裝服務,用以驗證ACL效果

1.聯網狀態安裝服務

yum install httpd -y      //安裝web服務

yum install vsftpd -y      //安裝ftp服務

---

2.創建測試文件,用以驗證

root@192 ~]# cd /var/www/html/          //進入web站點目錄
[root@192 html]# vim index.html          //編輯網頁內容文件

<h1>this is test web </h1>                  //寫入內容

[root@192 ftp]# cd /var/ftp/          進入ftp目錄
[root@192 ftp]# echo "this is test ftp" > test.txt      //寫入內容到測試文本
[root@192 ftp]# cat test.txt                           //查看文件及內容
this is test ftp

---

3.關閉安全項並開啓服務

[root@192 ~]# systemctl start httpd          //開啓web服務
[root@192 ~]# systemctl start vsftpd        //開啓ftp服務
[root@192 ~]# systemctl stop firewalld.service         //關閉防火牆
[root@192 ~]# setenforce 0                                    //關閉加強型安全功能
[root@192 ~]# netstat -ntap | egrep '(21|80)'          //查看服務端口狀態
tcp6       0      0 :::80                   :::*                    LISTEN      3293/httpd          
tcp6       0      0 :::21                   :::*                    LISTEN      3312/vsftpd

---

---

第二步:調整網絡鏈接模式

1.爲Linux服務器綁定靜態IP,並將網卡綁定僅主機模式

[root@192 ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens33      //編輯網卡文件

TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
BOOTPROTO=static                                    //將dhcp換成static,靜態模式
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_FAILURE_FATAL=no
IPV6_ADDR_GEN_MODE=stable-privacy
NAME=ens33
UUID=88cf4975-29b8-4041-9cb0-456a56d1fddb
DEVICE=ens33
ONBOOT=yes
IPADDR=192.168.100.100                              //設定IP地址
NETMASK=255.255.255.0                              //設定子網掩碼
GATEWAY=192.168.100.1                            //設定網關ip地址

[root@192 ~]# systemctl restart network      //從新啓動網絡服務

---

2.客戶機手工配置IP地址,並關閉防火牆

(1)配置win10-1的IP地址

(2)配置win10-2的IP地址

(3)關閉防火牆

---

---

第三步:配置路由器R1

R1#conf t
R1(config-if)#int f0/0                          
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#int f0/1
R1(config-if)#ip add 192.168.100.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#int f1/0
R1(config-if)#ip add 192.168.2.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#do show ip route

C    192.168.1.0/24 is directly connected, FastEthernet0/0
C    192.168.2.0/24 is directly connected, FastEthernet1/0
C    192.168.100.0/24 is directly connected, FastEthernet0/1

---

---

第四步:測試客戶機間通信以及訪問服務

1.測試客戶機win10-1與客戶機win10-2間通信

C:\Users\czt>ping 192.168.2.2                           //使用客戶機win10-1ping客戶機win10-2IP地址

正在 Ping 192.168.2.2 具備 32 字節的數據:
來自 192.168.2.2 的回覆: 字節=32 時間=14ms TTL=127
來自 192.168.2.2 的回覆: 字節=32 時間=13ms TTL=127
來自 192.168.2.2 的回覆: 字節=32 時間=19ms TTL=127
來自 192.168.2.2 的回覆: 字節=32 時間=18ms TTL=127

192.168.2.2 的 Ping 統計信息:
    數據包: 已發送 = 4，已接收 = 4，丟失 = 0 (0% 丟失)，
往返行程的估計時間(以毫秒爲單位):
    最短 = 13ms，最長 = 19ms，平均 = 16ms

---

2.使用客戶機win10-1訪問Linux提供的服務

(1)訪問web服務

(2)服務ftp服務

---

---

第五步:根據需求.設定擴展ACL

R1(config)#access-list 100 permit tcp host 192.168.1.2 host 192.168.100.100 eq www        //根據需求設定容許客戶機1訪問Linux服務器的web服務

R1(config)#access-list 100 deny ip host 192.168.1.2 host 192.168.100.100      //設定拒絕客戶機1訪問Linux服務器的其餘服務

R1(config)#access-list 100 permit ip host 192.168.1.2 192.168.2.0 0.0.0.255        //容許客戶機1訪問客戶機2的整個網段

R1(config)#int f0/0 
R1(config-if)#ip access-group 100 in      //將擴展ACL放置在端口f0/0的入方向

R1(config-if)#do show access-list        //查看ACL列表
Extended IP access list 100                                 //擴展IP訪問列表100
    10 permit tcp host 192.168.1.2 host 192.168.100.100 eq www
    20 deny ip host 192.168.1.2 host 192.168.100.100 (6 matches)
    30 permit ip host 192.168.1.2 192.168.2.0 0.0.0.255
        //根據設定逐條執行

---

---

第六步:測試設定ACL後的效果

1.測試客戶機win10-1與客戶機win10-2間通信

C:\Users\czt>ping 192.168.2.2

正在 Ping 192.168.2.2 具備 32 字節的數據:
來自 192.168.2.2 的回覆: 字節=32 時間=14ms TTL=127
來自 192.168.2.2 的回覆: 字節=32 時間=21ms TTL=127
來自 192.168.2.2 的回覆: 字節=32 時間=15ms TTL=127
來自 192.168.2.2 的回覆: 字節=32 時間=20ms TTL=127

192.168.2.2 的 Ping 統計信息:
    數據包: 已發送 = 4，已接收 = 4，丟失 = 0 (0% 丟失)，
往返行程的估計時間(以毫秒爲單位):
    最短 = 14ms，最長 = 21ms，平均 = 17ms

---

2.使用客戶機win10-1訪問Linux提供的服務

(1)訪問web服務,反向能夠正常訪問

---

(2)服務ftp服務,會跳出沒法鏈接服務器的提示信息

到這裏擴展ACL實踐就圓滿完成了,感興趣的朋友能夠動手試一試噢!