GNS3中配置扩展ACL的详细教程

"本教程详细介绍了如何在GNS3环境中配置扩展访问控制列表(ACL)，以实现特定的网络访问控制。实验目标包括理解扩展ACL的设计原理，学习其实际应用，并通过设置ACL来阻止PC2通过R1访问R2，同时允许PC3仅能通过telnet连接到路由器R2。拓扑结构包括了PC1、PC2、PC3以及路由器R1和R2，所有设备通过不同的接口相互连接。实验步骤详细描述了配置每台设备的过程，包括IP地址的分配，接口的启用，以及EIGRP路由协议的配置。" 在GNS3中实现扩展ACL，首先需要了解其基本概念。扩展ACL比标准ACL提供了更精细的过滤规则，可以根据源IP地址、目的IP地址、端口号等多维度条件来控制流量。在这个实验中，扩展ACL将被用于限制PC2与R2之间的通信，并允许PC3仅通过特定服务（telnet）与R2交互。 实验步骤如下： 1. 配置PC： - PC1、PC2和PC3分别被配置了不同的IP地址，例如PC1的IP地址为10.1.1.2，PC2的IP地址为172.16.1.2，PC3的IP地址为172.16.3.2。同时，设置了默认网关，以便它们可以访问网络中的其他设备。 2. 配置路由器： - R1的接口0/0连接到PC1所在的网络，接口0/1连接到PC2所在的网络，接口S1/0则作为与其他网络的连接点。R1配置了相应的IP地址，并启用EIGRP路由协议，宣告了其所有接口的网络。 - R2的接口S1/0连接到R1，接口S1/1连接到其他网络，同时有一个Loopback0接口用于EIGRP的身份验证。R2也配置了相应的IP地址，并同样宣告了其网络。 接下来，要在R1上创建扩展ACL以实现实验目的： - 首先，进入全局配置模式，使用`access-list`命令定义ACL。例如，可以创建一个名为`EXT_ACL`的ACL，拒绝来自PC2的ICMP流量，允许PC3的telnet流量。 - 对于PC2，可以添加一条规则拒绝所有来自172.16.1.2的ICMP（ping）流量，如：`access-list EXT_ACL deny icmp any host 172.16.1.2` - 对于PC3，可以添加一条规则允许所有来自172.16.3.2的TCP流量到端口23（telnet），如：`access-list EXT_ACL permit tcp any host 172.16.3.2 eq telnet` 最后，需要将这个ACL应用到R1的相关接口上，以控制进出的流量。例如，如果要阻止PC2通过接口0/1访问R2，可以在该接口的出方向应用ACL：`interface 0/1`，然后`ip access-group EXT_ACL out`。 通过这种方式，扩展ACL在GNS3环境中成功实施，实现了对网络流量的精细化控制。实验完成后，应验证PC2无法ping通R2，而PC3能够通过telnet连接到R2，以确认ACL配置正确无误。