配置扩展ACL

1.扩展ACL简介：

扩展ACL可以更精确地控制基于源IP地址、目标IP地址、协议类型和端口号的流量。

2.配置背景：

为了实现公司内部只能使用FTP服务器传输文件并关闭其他所有服务和端口的需求，可以通过配置访问控制列表（ACL）在路由器或防火墙上进行流量控制。

网络拓扑如下：

• 公司内部网络：192.168.0.0/24
• 路由器连接内部网络的接口：GigabitEthernet 0/0
• 路由器连接FTP服务器所在网络的接口：GigabitEthernet 0/1
• FTP服务器IP地址：192.168.1.2
• 本实验接口IP采用手工配置，路由采用rip配置

3.具体配置：

3.1个接口IP配置：

PC：

FTP服务器：

1.点击FTP：

2.开启FTP服务，并创建用户和密码

3.添加IP

R1：

R1(config)#int g0/0
R1(config-if)#ip add 192.168.0.1 255.255.255.0R1(config)#int g0/1
R1(config-if)#ip add 192.168.1.1 255.255.255.0

3.2配置rip：

R1：

R1(config)#router rip
R1(config-router)#version 2
R1(config-router)#no auto-summary
R1(config-router)#network 192.168.0.0
R1(config-router)#network 192.168.1.0
R1(config-router)#exit

4.测试：

可以使用以下命令验证ACL的配置和应用情况：

• show access-lists：查看ACL的详细配置。
• show ip interface GigabitEthernet 0/0：查看接口GigabitEthernet 0/0上应用的ACL情况。

4.1使用ping命令网络不可达，因为ping是基于ICMP协议： 

 

4.2FTP可以访问：

 

到此实验结束！！！