52：擴展ACL訪問控制列表實驗三

5.3擴展ACL訪問控制列表實驗三（VLAN方式、VTY訪問限制）【項目情境】假設(shè)你是某公司的網(wǎng)絡(luò)管理員，公司的銷售部（假設(shè)你是某公司的網(wǎng)絡(luò)管理員，公司的銷售部（網(wǎng)段），經(jīng)理部（網(wǎng)段），和內(nèi)網(wǎng)WWW和FTP服務(wù)器（），為了安全起見，公司領(lǐng)導(dǎo)要求禁止銷售部/24網(wǎng)段訪問內(nèi)網(wǎng)WWW和FTP服務(wù)器的telnet端口，但經(jīng)理部不受限制。要求使用編號方式在三層交換機的VTY上進行標(biāo)準ACL的應(yīng)用，增強遠程登錄的安全性。3Packiit1「目目的】：isco In匚-3Packiit1惠伴霜礙遂項查看工H攔披箜助JP3劍客論壇漢訃--btilpd日E,匚n 12.邏【相關(guān)設(shè)備】掌握命名方式擴尚訪問控制列表的制定規(guī)貝嘗配置方法。 鞏固三層交換機的SVI路由功能和在三層交換機的VTY上進行擴展ACL的應(yīng)爵移動對蠹三層交換機1臺、二層交換機1臺（模擬外網(wǎng)服務(wù)器），直連線3根。【項目拓撲】/24惠伴霜礙遂項查看工H攔披箜助JP3劍客論壇漢訃--btilpd日E,匚n 12.邏【相關(guān)設(shè)備】掌握命名方式擴尚訪問控制列表的制定規(guī)貝嘗配置方法。 鞏固三層交換機的SVI路由功能和在三層交換機的VTY上進行擴展ACL的應(yīng)爵移動對蠹三層交換機1臺、二層交換機1臺（模擬外網(wǎng)服務(wù)器），直連線3根?！卷椖客負洹?24PC-PTPCIPC-PTPC2/24Vlanl0(F0/l-5):/24F「y] VI：ii3LIL.FLl/11-15)： VIaril：/24 /24^2 /2950T-24' SwitchB3560-24PSFO/6SwitchAVlaii20(F0/6-10):1T/24【項目任務(wù)】1.如上圖搭建網(wǎng)絡(luò)環(huán)境對三層交換機建立相應(yīng)的VLAN，加入對應(yīng)端口并配置SVI地址，形成路由。1時間：皿百配置戡新碗tchB的地址和默認網(wǎng)嬴設(shè)置SWitfehB的遠程登錄密碼為Wjxvtc。產(chǎn)，測試所有設(shè)備之間

命令及聯(lián)通性「的聯(lián)通性（應(yīng)該全通）?！鲈赑C1和PC2遠程登錄Swi■ 三一2J新建切桃到PDU列表窗口幽開始III齡宜IO|］閔本地磁盤（匚）畫116,擴展ACL訪問控制列...|皆PacketTracer5.0byCisc...-1-設(shè)置擴展IP訪問控制列表(命名方式)，禁止/24網(wǎng)段訪問/24網(wǎng)段的telnet端口，其他不受影響。查看配置和端口的狀態(tài)，并測試結(jié)果(PC1telnetSwitchB不通，PC1pingSwitchB通，但PC2telnetSwitchB通，PC2pingSwitchB通)。把PC1的地址改成,PC1telnetSwitchB仍然不通，PC1pingSwitchB通。對三層交換機SwitchA配置遠程登錄密碼為wjxvtc，特權(quán)密碼為abcdef(加密方式)。設(shè)置標(biāo)準IP訪問控制列表(編號方式)，只允許PC1可以對三層交換機SwitchA進行遠程登錄。測試結(jié)果(PC1可以telnetSwitchA，PC2不能telnetSwitchA)。最后把配置以及ping的結(jié)果截圖打包，以“學(xué)號姓名”為文件名，提交作業(yè)。使用銳捷設(shè)備(2、3人一組)完成上面的步驟，將SwitchB改成一臺PC?！緦嶒灻睢繉θ龑咏粨Q機SwitchA配置遠程登錄密碼為wjxvtc，特權(quán)密碼為abcdef(加密方式)。SwitchA(config)#linevty015SwitchA(config-line)#passwordwjxvtcSwitchA(config-line)#loginSwitchA(config-line)#exitSwitchA(config)#enablesecretabcdef設(shè)置標(biāo)準IP訪問控制列表(編號方式)，只允許PC1可以對三層交換機SwitchA進行遠程登錄。定義規(guī)則：SwitchA(config)#access-list9permithostSwitchA(config)#access-list9denyany應(yīng)用端口：SwitchA(config)#linevty015SwitchA(config-line)#access-class9in【注意事項】比較在三層交換機上進行VLAN地址設(shè)置和進行端口地址的區(qū)別和相同點。注意在三層交換機VTY上進行標(biāo)準ACL應(yīng)用的access-class9in命令?！九渲媒Y(jié)果】1.SwitchA#showiprouteCodes:C- connected, S-static,I-IGRP, R-RIP,M-mobile, B- BGPD- EIGRP,EX -EIGRPexternal,O- OSPF,IA-OSPFinter areaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGPi- IS-IS,L1 -IS-ISlevel-1,L2- IS-ISlevel-2,ia-IS-IS interarea*- candidate default,U-per-user staticroute,o-ODRP-periodicdownloadedstaticrouteGatewayoflastresortisnotset/24issubnetted,3subnetsC is directly connected, Vlan10C is directly connected, Vlan20C is directly connected, Vlan302.SwitchB#showrunning-configBuildingconfiguration...Currentconfiguration:1053bytesversion12.1noservicepassword-encryptionhostnameSwitchBenablesecret5$1$mERr$OAZJyntnash.EflFFzcMJ1interfaceFastEthernet0/1interfaceFastEthernet0/2interfaceFastEthernet0/3interfaceFastEthernet0/4interfaceFastEthernet0/5interfaceFastEthernet0/6interfaceFastEthernet0/7interfaceFastEthernet0/8interfaceFastEthernet0/9interfaceFastEthernet0/10interfaceFastEthernet0/11interfaceFastEthernet0/12interfaceFastEthernet0/13interfaceFastEthernet0/14interfaceFastEthernet0/15interfaceFastEthernet0/16interfaceFastEthernet0/17interfaceFastEthernet0/18interfaceFastEthernet0/19interfaceFastEthernet0/20interfaceFastEthernet0/21interfaceFastEthernet0/22interfaceFastEthernet0/23interfaceFastEthernet0/24interfaceGigabitEthernet1/1interfaceGigabitEthernet1/2interfaceVlan1ipaddressipdefault-gatewaylinecon0linevty04passwordwjxvtcloginlinevty515passwordwjxvtcloginend3.SwitchA#showaccess-listsStandardIPaccesslist9permithostdenyany4.SwitchA#showrunning-configBuildingconfiguration...Currentconfiguration:1677bytesversion12.2noservicepassword-encryptionhostnameSwitchAipsshversion1port-channelload-balancesrc-macinterfaceFastEthernet0/1switchportaccessvlan10interfaceFastEthernet0/2switchportaccessvlan10interfaceFastEthernet0/3switchportaccessvlan10interfaceFastEthernet0/4switchportaccessvlan10interfaceFastEthernet0/5switchportaccessvlan10interfaceFastEthernet0/6switchportaccessvlan20interfaceFastEthernet0/7switchportaccessvlan20interfaceFastEthernet0/8switchportaccessvlan20interfaceFastEthernet0/9switchportaccessvlan20interfaceFastEthernet0/10switchportaccessvlan20interfaceFastEthernet0/11switchportaccessvlan30interfaceFastEthernet0/12switchportaccessvlan30interfaceFastEthernet0/13switchportaccessvlan30interfaceFastEthernet0/14switchportaccessvlan30interfaceFastEthernet0/15switchportaccessvlan30interfaceFastEthernet0/16interfaceFastEthernet0/17interfaceFastEthernet0/18interfaceFastEthernet0/19interfaceFastEthernet0/20interfaceFastEthernet0/21interfaceFastEthernet0/22interfaceFastEthernet0/23interfaceFastEthernet0/24interfaceGigabitEthernet0/1interfaceGigabitEthernet0/2interfaceVlan