地址表

目标：

• 配置OSPF MD5身份验证。

• 配置NTP服务。

• 设置路由器将消息记录到syslog服务器。

• 配置R3路由器以支持SSH连接。

背景/场景：

在本练习中，您将配置OSPF MD5身份验证以实现安全的路由更新。

NTP服务器是本次活动中主NTP服务器。您需要在NTP服务器和路由器上配置身份验证，并设置路由器允许软件时钟通过NTP与时间服务器同步。同时，您还需要配置路由器定期使用从NTP获取的时间更新硬件时钟。

Syslog服务器在此活动提供消息记录功能。您需要配置路由器识别接收日志消息的远程主机（即Syslog服务器）。

您需要在路由器上配置时间戳服务以便于记录日志。在使用Syslog监控网络时，在Syslog消息中显示正确的日期和时间至关重要。

此外，您还将配置R3路由器，使其能够通过SSH而非Telnet进行安全管理。服务器已经预先配置好了相应的NTP和Syslog服务，NTP无需身份验证。路由器已预设了以下密码：

1
2

启用密码：ciscoenpa55
vty线路密码：ciscovtypa55

注意：请注意，在开发本活动所使用的Packet Tracer版本（v6.2）中，MD5是最强支持的加密方式。虽然MD5存在已知的安全漏洞，但在实际操作中应根据组织的安全需求选择合适的加密方法。在本活动中，安全要求指定使用MD5加密。

第一部分：配置OSPF MD5身份验证

步骤1：测试连通性。所有设备应能成功ping通所有其他IP地址。

步骤2：为区域0内的所有路由器配置OSPF MD5身份验证。

针对区域0中的所有路由器设置OSPF MD5身份验证：

1
2

R1(config)# router ospf 1
R1(config-router)# area 0 authentication message-digest

1
2

R2(config)#router ospf 1
R2(config-router)#area 0 authentication message-digest

1
2

R3(config)#router ospf 1
R3(config-router)#area 0 authentication message-digest

步骤3：为区域0内的所有路由器配置MD5密钥。

在R1、R2和R3的串行接口上配置MD5密钥，对密钥1使用密码 MD5pa55 。

1
2

R1(config)# interface s0/0/0
R1(config-if)# ip ospf message-digest-key 1 md5 MD5pa55

1
2
3
4

R2(config)#interface Serial0/0/0
R2(config-if)#ip ospf message-digest-key 1 md5 MD5pa55
R2(config)#interface Serial0/0/1
R2(config-if)#ip ospf message-digest-key 1 md5 MD5pa55

1
2

R3(config)#interface Serial0/0/1
R3(config-if)#ip ospf message-digest-key 1 md5 MD5pa55

步骤4：验证配置。

a. 使用命令 show ip ospf interface 验证MD5身份验证配置是否正确生效。

b. 验证端到端的连通性，确保网络连接无误。

第二部分：配置NTP

步骤1：在PC-A上启用NTP身份验证。

a. 在PC-A上，点击服务标签下的“NTP”以确认NTP服务已启用。

b. 为配置NTP身份验证，请点击“认证”下的“启用”。使用密钥1和密码NTPpa55进行身份验证。

步骤2：将R1、R2和R3配置为NTP客户端。

1
2
3

R1(config)#ntp server 192.168.1.5 key 1
R2(config)#ntp server 192.168.1.5 key 1
R3(config)#ntp server 192.168.1.5 key 1

通过执行命令 show ntp status 来验证客户端配置是否正确。

步骤3：配置路由器定期更新硬件时钟。

设置R1、R2和R3路由器定期从NTP同步的时间更新硬件时钟。

1
2
3

R1(config)#ntp update-calendar
R2(config)#ntp update-calendar
R3(config)#ntp update-calendar

退出全局配置模式，并使用命令 show clock 来验证硬件时钟是否已成功更新。

步骤4：在路由器上配置NTP身份验证。

在R1、R2和R3上使用密钥 1 和密码 NTPpa55 配置NTP身份验证。

1
2
3

R1(config)# ntp authenticate
R1(config)# ntp trusted-key 1
R1(config)# ntp authentication-key 1 md5 NTPpa55

1
2
3

R2(config)# ntp authenticate
R2(config)# ntp trusted-key 1
R2(config)# ntp authentication-key 1 md5 NTPpa55

1
2
3

R3(config)# ntp authenticate
R3(config)# ntp trusted-key 1
R3(config)# ntp authentication-key 1 md5 NTPpa55

步骤5：配置路由器对日志消息添加时间戳。

在路由器上配置日志记录的时间戳服务。

1
2
3

R1(config)#service timestamps log datetime msec
R2(config)#service timestamps log datetime msec
R3(config)#service timestamps log datetime msec

第三部分：配置路由器将消息记录到Syslog服务器

步骤1：配置路由器以识别接收日志消息的远程主机（即Syslog服务器）。

路由器控制台将会显示一条消息，表明已经开始记录日志。

1
2
3

R1(config)#logging 192.168.1.6
R2(config)#logging 192.168.1.6
R3(config)#logging 192.168.1.6

步骤2：验证日志配置。

使用命令 show logging 来验证是否已启用日志记录功能。

步骤3：检查Syslog服务器的日志记录。

在Syslog服务器对话框的服务标签下，选择“Syslog服务”按钮。观察从路由器接收到的日志消息。

注意：通过在路由器上执行命令可以生成服务器上的日志消息。例如，进入和退出全局配置模式会生成一个信息性配置消息。您可能需要点击其他服务，然后再点击Syslog以刷新消息显示界面。

第四部分：配置R3以支持SSH连接

步骤1：配置域名 在R3上配置一个域名 ccnasecurity.com 。

1

R3(config)#ip domain-name ccnasecurity.com

步骤2：配置R3上SSH服务器的登录用户 创建一个用户名为 SSHadmin ，具有最高权限级别的用户ID，并设置秘密密码为 ciscosshpa55 。

1

R3(config)# username SSHadmin privilege 15 secret ciscosshpa55

步骤3：配置R3上的入站vty线路 要求使用本地用户账户进行强制登录和验证，只接受SSH连接。

1
2
3

R3(config)#line vty 0 4
R3(config-line)# login local
R3(config-line)# transport input ssh

步骤4：删除R3上的现有密钥对 如有任何现有的RSA密钥对，应在路由器上将其删除。

1

R3(config)#crypto key zeroize rsa

注：如果不存在任何密钥，您可能会收到此消息： % No Signature RSA Keys found in configuration.

步骤5：为R3生成RSA加密密钥对 路由器使用RSA密钥对进行SSH传输数据的身份验证和加密。配置RSA密钥时，选择模数为 1024 （默认值为512，范围为360至2048）。

1
2
3
4
5
6
7
8

R3(config)# crypto key generate rsa
The name for the keys will be: R3.ccnasecurity.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
 
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

注：在Packet Tracer中为R3生成RSA加密密钥对的命令与实验室中的有所不同。

步骤6：验证SSH配置 使用 show ip ssh 命令查看当前设置，确保身份验证超时和重试次数保持默认值120和3。

步骤7：配置SSH超时和认证参数 可以更改默认的SSH超时和认证参数使其更加严格。将超时时间设置为 90 秒，认证重试次数设为 2 次，版本设为 2 。

1
2
3

R3(config)#ip ssh version 2
R3(config)#ip ssh authentication-retries 2
R3(config)#ip ssh time-out 90

再次执行 show ip ssh 命令确认这些值已更改。

步骤8：尝试从PC-C通过Telnet连接到R3 打开PC-C的桌面，选择“命令提示符”图标。从PC-C输入命令通过Telnet连接到R3。

1

PC> telnet 192.168.3.1

此连接应失败，因为R3已被配置为仅在其虚拟终端线上接受SSH连接。

步骤9：通过SSH从PC-C连接到R3 打开PC-C的桌面，选择“命令提示符”图标。从PC-C输入命令通过SSH连接到R3。当提示输入密码时，请输入为管理员账户配置的密码 ciscosshpa55 。

1

PC> ssh -l SSHadmin 192.168.3.1

步骤10：通过R2使用SSH连接到R3 为了对R3进行故障排查和维护，ISP的管理员必须使用SSH访问路由器CLI。在R2的CLI中，输入命令通过SSH版本2使用 SSHadmin 用户账户连接到R3。当提示输入密码时，请输入为管理员配置的密码 ciscosshpa55 。

1

R2# ssh -v 2 -l SSHadmin 10.2.2.1

步骤11：检查结果 您的完成百分比应为100%。点击“检查结果”以查看反馈信息和已完成所需组件的验证情况。

实验脚本：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69

# PART1
R1:
router ospf 1
area 0 authentication message-digest
interface Serial0/0/0
ip ospf message-digest-key 1 md5 MD5pa55

R2:
router ospf 1
area 0 authentication message-digest
interface Serial0/0/0
ip ospf message-digest-key 1 md5 MD5pa55
interface Serial0/0/1
ip ospf message-digest-key 1 md5 MD5pa55

R3:
router ospf 1
area 0 authentication message-digest
interface Serial0/0/1
ip ospf message-digest-key 1 md5 MD5pa55

# PART2
# 打开NTP服务器，配置NTP服务。
R1:
ntp authentication-key 1 md5 NTPpa55
ntp authenticate
ntp trusted-key 1
ntp server 192.168.1.5 key 1
ntp update-calendar
service timestamps log datetime msec

R2:
ntp authentication-key 1 md5 NTPpa55
ntp authenticate
ntp trusted-key 1
ntp server 192.168.1.5 key 1
ntp update-calendar
service timestamps log datetime msec

R3:
ntp authentication-key 1 md5 NTPpa55
ntp authenticate
ntp trusted-key 1
ntp server 192.168.1.5 key 1
ntp update-calendar
service timestamps log datetime msec

# PART3
R1:
logging 192.168.1.6
R2:
logging 192.168.1.6
R3:
logging 192.168.1.6

# PART4
R3:
ip ssh version 2
ip ssh authentication-retries 2
ip ssh time-out 90
ip domain-name ccnasecurity.com
username SSHadmin privilege 15 secret ciscosshpa55
crypto key zeroize rsa

crypto key generate rsa

line vty 0 4
 login local
 transport input ssh

目标

• 确保将中心交换机（3560型号）设置为根桥。

• 保护生成树协议参数以防止对STP的操控攻击。

• 启用端口安全功能以防止CAM表溢出攻击。

背景/场景

最近网络遭受了一系列攻击。因此，网络管理员已指派您负责配置第二层安全措施。

为了确保网络性能和安全性达到最优状态，管理员希望确定中心3560型号交换机作为根桥。为防止对生成树协议进行篡改攻击，管理员希望确保STP参数得到安全配置。针对CAM表溢出攻击的风险，网络管理员决定配置端口安全策略，限制每个交换机端口学习到的MAC地址数量。一旦学习到的MAC地址超过设定的限制，管理员希望建立机制自动关闭该端口。

所有交换机设备已经预先配置了以下信息：

• 启用密码： ciscoenpa55

• 控制台密码： ciscoconpa55

• SSH用户名及密码： SSHadmin / ciscosshpa55

第一部分：配置根桥

步骤1：确定当前的根桥。

从中心交换机（Central）发出 show spanning-tree 命令，以确定当前的根桥、查看正在使用的端口及其状态。

Central#show spanning-tree

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18

VLAN0001
  Spanning tree enabled protocol ieee
  Root ID    Priority    32769
             Address     0009.7C61.9058
             Cost        4
             Port        25(GigabitEthernet0/1)
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32769  (priority 32768 sys-id-ext 1)
             Address     00D0.D31C.634C
             Hello Time  2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  20

Interface        Role Sts Cost      Prio.Nbr Type
---------------- ---- --- --------- -------- --------------------------------
Gi0/2            Desg FWD 4         128.26   P2p
Gi0/1            Root FWD 4         128.25   P2p
Fa0/1            Desg FWD 19        128.1    P2p

哪个交换机是当前的根桥？

基于当前的根桥，请绘制由此得出的生成树拓扑结构。

步骤2：将Central设置为主根桥。

使用命令 spanning-tree vlan 1 root primary ，将 Central 设置为根桥。

Central(config)#spanning-tree vlan 1 root primary

步骤3：将SW-1设置为备用根桥。

使用命令 spanning-tree vlan 1 root secondary ，将 SW-1 设置为备用根桥。

SW-1(config)#spanning-tree vlan 1 root secondary

步骤4：验证生成树配置。

发出 show spanning-tree 命令来验证Central已成为根桥。

在Central#提示符下执行了该命令后显示如下信息：

1
2
3
4
5
6

VLAN0001
   Spanning tree enabled protocol ieee
   Root ID  Priority      24577
            Address       00D0.D31C.634C
          -->>  This bridge is the root  <<--
            Hello Time  2 sec  Max Age  20 sec   Forward Delay  15 sec

根据上述信息，哪个交换机是当前的根桥？

基于新的根桥设置，请绘制由此得出的生成树拓扑结构。

第二部分：防止STP攻击

步骤1：在所有接入端口上启用PortFast。

PortFast应在连接至单个工作站或服务器的接入端口上配置，以使它们更快地进入活动状态。在SW-A和SW-B的相连接入端口上使用 spanning-tree portfast 命令来启用 PortFast 。

SW-A(config)#int range f0/1-4 SW-A(config-if-range)#spanning-tree portfast

SW-B(config)#int range f0/1-4 SW-B(config-if-range)#spanning-tree portfast

步骤2：在所有接入端口上启用BPDU防护。

BPDU guard是一项功能，可以有助于防止恶意交换机和在接入端口上的欺骗行为。在SW-A和SW-B的接入端口上启用BPDU防护。

注解：为了防止STP报文（BPDU）操纵攻击，在接口配置模式下可以对每个单独端口使用命令 spanning-tree bpduguard enable 来启用BPDU防护；或者在全局配置模式下使用命令 spanning-tree portfast bpduguard default 来默认为所有启用PortFast的端口启用BPDU防护。针对本活动评分目的，请使用 spanning-tree bpduguard enable 命令。

SW-A(config)#int range f0/1-4 SW-A(config-if-range)#spanning-tree bpduguard enable

SW-B(config)#int range f0/1-4 SW-B(config-if-range)#spanning-tree bpduguard enable

步骤3：启用根保护。

根保护可以在非根端口的所有交换机端口上启用，最好部署在连接到其他非根交换机的端口上。使用 show spanning-tree 命令确定每个交换机上根端口的位置。

在SW-1上，在端口F0/23和F0/24上启用根保护。同样，在SW-2上，在端口F0/23和F0/24上也启用根保护。

SW-1(config)#int range f0/23-24 SW-1(config-if-range)#spanning-tree guard root

SW-2(config)#int range f0/23-24 SW-2(config-if-range)#spanning-tree guard root

第三部分：配置端口安全并禁用未使用端口

步骤1：在连接到主机设备的所有端口上配置基本端口安全。

此操作应在SW-A和SW-B的所有接入端口上执行。设置允许学习的MAC地址最大数量为 2 ，允许动态学习MAC地址，并将违规处理方式设为 shutdown （关闭）。

注解：只有当交换机端口配置为接入模式时，才能启用端口安全功能。

SW-A(config)#interface range f0/1 - 22 SW-A(config-if-range)#switchport mode access SW-A(config-if-range)#switchport port-security SW-A(config-if-range)#switchport port-security maximum 2 SW-A(config-if-range)#switchport port-security violation shutdown SW-A(config-if-range)#switchport port-security mac-address sticky

SW-B(config)#interface range f0/1-22 SW-B(config-if-range)#switchport mode access SW-B(config-if-range)#switchport port-security max SW-B(config-if-range)#switchport port-security maximum 2 SW-B(config-if-range)#switchport port-security violation shutdown SW-B(config-if-range)#switchport port-security mac-address sticky

为什么与其它交换机设备相连的端口不启用端口安全？

步骤2：验证端口安全配置。

a. 在SW-A上，输入命令 show port-security interface f0/1 来确认已成功配置了端口安全。

SW-A#show port-security int f0/1 Port Security : Enabled Port Status : Secure-up Violation Mode : Shutdown Aging Time : 0 mins Aging Type : Absolute SecureStatic Address Aging : Disabled Maximum MAC Addresses : 2 Total MAC Addresses : 0 Configured MAC Addresses : 0 Sticky MAC Addresses : 0 Last Source Address:Vlan : 0000.0000.0000:0 Security Violation Count : 0

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13

SW-A# show port-security interface f0/1
端口安全              : 已启用
端口状态                : 安全且已启动
违规模式             : 关闭端口
老化时间                 : 0分钟
老化类型                 : 绝对时间
静态安全MAC地址老化: 禁用
最大MAC地址数      : 2
总MAC地址数        : 0
已配置MAC地址数   : 0
粘性MAC地址数       : 0
最近源地址:VLAN   : 0000.0000.0000:0
安全违规计数         : 0

b. 从C1向C2发送Ping请求，然后再次输入 show port-security interface f0/1 命令，以验证交换机是否已学会C1的MAC地址。

步骤3：禁用未使用的端口。

禁用当前所有未使用的端口。

SW-A(config)#int range f0/5-22 SW-A(config-if-range)#shutdown

SW-B(config)#int range f0/5-22 SW-B(config-if-range)#shutdown

步骤4：检查结果。

您的完成度应为100%。点击“检查结果”查看反馈信息以及所需组件完成情况的验证。

实验脚本：

Central:

1
2

! 使Central成为Vlan1的根桥
spanning-tree vlan 1 root primary

SW-1:

1
2
3
4
5
6

! 使SW-1成为Vlan1的次根桥
spanning-tree vlan 1 root secondary
! 进入f0/23-f0/24端口
interface range fastEthernet 0/23 - fastEthernet 0/24
! 启用STP根防护功能，在此端口不接受拥有更优BID的BPDU报文
spanning-tree guard root 

SW-2:

1
2
3
4

! 进入f0/23-f0/24端口
interface range fastEthernet 0/23 - fastEthernet 0/24
! 启用STP根防护功能，在此端口不接受拥有更优BID的BPDU报文
spanning-tree guard root 

SW-A:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20

! 选择接入的端口，F0/1-F0/4
interface range fastEthernet 0/1 - fastEthernet 0/4
! 让F0/1-F0/4端口开启portfast（不参与生成树）
spanning-tree portfast 
! 为他们启用BPDU防护功能，在此端口不接受BPDU；收到BPDU，端口禁用
spanning-tree bpduguard enable 
! 开启access模式
switchport mode access
! 开启端口安全
switchport port-security 
! 设置最大Mac学习数为2
switchport port-security maximum 2
! 设置学习到的Mac地址将被保存
switchport port-security mac-address sticky 
! 设置超过措施：关闭端口
switchport port-security violation shutdown 
! 进入不使用的端口
interface range fastEthernet 0/5 - fastEthernet 0/22
! 关闭
shutdown

SW-B:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20

! 选择接入的端口，F0/1-F0/4
interface range fastEthernet 0/1 - fastEthernet 0/4
! 让F0/1-F0/4端口开启portfast（不参与生成树）
spanning-tree portfast 
! 为他们开启BPDU
spanning-tree bpduguard enable 
! 开启access模式
switchport mode access
! 开启端口安全
switchport port-security 
! 设置最大Mac学习数为2
switchport port-security maximum 2
! 设置学习到的Mac地址将被保存
switchport port-security mac-address sticky 
! 设置超过措施：关闭端口
switchport port-security violation shutdown 
! 进入不使用的端口
interface range fastEthernet 0/5 - fastEthernet 0/22
! 关闭
shutdown

地址表

目标

第一部分：配置、应用并验证一个编号扩展访问控制列表（Extended ACL）

第二部分：配置、应用并验证一个命名扩展访问控制列表（Extended Named ACL）

背景/场景

两位员工需要访问由服务器提供的服务。PC1只需要FTP访问权限，而PC2仅需Web访问权限。两台计算机都能ping通服务器，但彼此之间不能互相ping通。

第一部分：配置、应用并验证一个编号扩展访问控制列表

步骤 1：配置ACL以允许FTP和ICMP流量

a. 在R1的全局配置模式下，输入以下命令确定扩展访问列表的第一个有效编号。

R1(config)# access-list ? <1-99> IP标准访问列表 <100-199> IP扩展访问列表

b. 向命令中添加数字100后跟问号。

R1(config)# access-list 100 ? deny 拒绝指定的数据包 permit 允许转发指定的数据包 remark 访问列表条目注释

c. 为了允许FTP流量，在“permit”后面输入问号。

R1(config)# access-list 100 permit ? ahp 认证报头协议 eigrp 思科 EIGRP 路由协议 esp 封装安全负载 gre 思科 GRE 隧道 icmp Internet 控制消息协议 ip 任意 Internet 协议 ospf OSPF 路由协议 tcp 传输控制协议 udp 用户数据报协议

d. 此ACL允许FTP和ICMP流量。虽然ICMP已列出，但FTP未列出，因为FTP使用TCP协议。因此，输入“tcp”进一步细化ACL帮助信息。

R1(config)# access-list 100 permit tcp ? A.B.C.D 源地址 any 任意源主机 host 单个源主机

e. 注意可以通过使用“host”关键字仅过滤PC1的流量，或者允许任何主机。在本例中，允许任何属于172.22.34.64/27网络地址范围内的设备。输入网络地址后跟问号。

R1(config)# access-list 100 permit tcp 172.22.34.64 ? A.B.C.D 源通配符位

f. 计算通配符掩码，通过计算子网掩码的二进制相反数。

255.255.255.224 = 11111111.11111111.11111111.11100000 0.0.0.31 = 00000000.00000000.00000000.00011111

g. 输入通配符掩码后跟问号。

R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 ? A.B.C.D 目的地址 any 任意目的主机 eq 仅匹配给定端口号上的数据包 gt 仅匹配具有较大端口号的数据包 host 单个目的主机 lt 仅匹配具有较小端口号的数据包 neq 仅匹配非给定端口号上的数据包 range 仅匹配端口号范围内的数据包

h. 配置目标地址。在此场景中，我们正在为单个目标（即服务器）过滤流量。输入“host”关键字后跟服务器的IP地址。

R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 ? dscp 匹配具有给定 dscp 值的数据包 eq 仅匹配给定端口号上的数据包 established 已建立 gt 仅匹配有更大端口号的数据包 lt 仅匹配有更小端口号的数据包 neq 仅匹配不具有给定端口号的数据包 precedence 匹配具有给定优先级值的数据包 range 仅匹配端口号范围内的数据包

i. 注意其中一个选项是（回车）。换句话说，您可以按Enter键，该语句将允许所有TCP流量。然而，我们只允许FTP流量；因此，输入“eq”关键字后跟问号以显示可用选项。然后输入“ftp”并按Enter。

R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ftp

j. 创建第二个访问列表语句以允许从PC1到Server的ICMP（ping等）流量。注意，访问列表编号保持不变，并且不需要指定特定类型的ICMP流量。

R1(config)# access-list 100 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62 <0-65535> 端口号 ftp 文件传输协议 (21) pop3 邮局协议 v3 (110) smtp 简单邮件传输协议 (25) telnet Telnet (23) www 万维网（HTTP，80）

k. 默认情况下，所有其他流量都将被拒绝。

步骤 2：在正确接口上应用ACL以过滤流量

从R1的角度看，ACL 100应用于与Gigabit Ethernet 0/0接口相连的网络中的入站流量。进入接口配置模式并应用ACL。

R1(config)# interface gigabitEthernet 0/0 R1(config-if)# ip access-group 100 in

步骤 3：验证ACL实现

a. 从PC1 ping Server。如果无法成功ping通，请先验证IP地址是否正确。

b. 从PC1 FTP至Server。用户名和密码均为cisco。

PC> ftp 172.22.34.62

c. 退出Server上的FTP服务。

ftp> quit

d. 从PC1 ping PC2。由于未明确允许此流量，目标主机应无法到达。

第二部分：配置、应用并验证一个命名扩展访问控制列表

步骤 1：配置ACL以允许HTTP访问和ICMP

a. 命名ACL以“ip”关键字开始。在R1的全局配置模式下，输入以下命令后跟问号。

R1(config)# ip access-list ? extended 扩展访问列表 standard 标准访问列表

b. 您可以配置命名的标准和扩展ACL。由于此访问列表需要过滤源和目标IP地址，因此必须是扩展类型。将名称设为 HTTP_ONLY （请注意，在Packet Tracer中评分时，名称区分大小写）。

R1(config)# ip access-list extended HTTP_ONLY

c. 提示符会改变。现在您处于扩展命名ACL配置模式。PC2 LAN上的所有设备都需要TCP访问权限。输入网络地址后跟问号。

R1(config-ext-nacl)# permit tcp 172.22.34.96 ? A.B.C.D 源通配符位

d. 另一种计算通配符的方法是从255.255.255.255减去子网掩码：

R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 ?

e. 完成语句，指定服务器地址，并筛选www流量，如同第一部分操作一样。

R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www

f. 创建第二个访问列表语句，允许从PC2到Server的ICMP（ping等）流量。注意：提示符保持不变，此处无需指定特定类型的ICMP流量。

R1(config-ext-nacl)# permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62

g. 默认情况下，所有其他流量都将被拒绝。退出扩展命名ACL配置模式。

步骤 2：在正确接口上应用ACL以过滤流量

从R1的角度看，访问列表HTTP_ONLY应用于与Gigabit Ethernet 0/1接口相连的网络中的入站流量。进入接口配置模式并应用ACL。

R1(config)# interface gigabitEthernet 0/1 R1(config-if)# ip access-group HTTP_ONLY in

步骤 3：验证ACL实现

a. 从PC2 ping Server。如果ping成功，则继续进行下一步；如果不成功，请先验证IP地址是否正确。

b. 从PC2通过FTP连接到Server。连接应该失败。

c. 在PC2上打开网页浏览器，将Server的IP地址作为URL输入。连接应该成功建立。