實作存取控制清單
目標：
測試基本連通性 
建立並套用存取控制清單 (ACL) 
驗證 ACL 的套用情況
背景/準備工作
作為 IT 人員，您應要求與網路設計師一起定義將在新的網路設計中實作的防火牆規則集。防火牆規則集規定了所允許的網路活動的確切類型。作為網路設計師，您站在網路安全的最前線。安全政策規定了允許哪些使用者和使用者群組存取特定資源，以及拒絕哪些類型的存取。設計防火牆規則集和存取控制清單時，一般的原則是拒絕所有既非獲得指定授權又非回覆合法查詢的流量。每個防火牆規則集可能需要多條 ACL 陳述，並且可能需要套用在流進和流出方向上。在本場景中，您將建立一個 ACL 範例，該範例可能套用到防火牆規則集中。
步驟 1：驗證網路連通性
在即時模式下開始本練習。 
觀察連線上的鏈路燈。所有鏈路燈都應該呈綠色亮起，才能測試基本連通性。 
透過在兩台 PC 的命令提示視窗中 ping 所有終端裝置（PC 和伺服器），驗證兩台 PC 是否可以相互通訊
步驟 2：建立將設定在路由器 Edge1 上的存取控制清單。
注意：可透過很多方式來編寫 ACL，關鍵在於它能否正常工作。然而，出於本練習的目的，必須按特定的方法來編寫 ACL，以保證練習 100% 完成。特殊考慮因素：
使用 any 替代 0.0.0.0 255.255.255.255。 
使用連接埠名稱代替連接埠號（例如：www 替代 80)。 
使用 100 來識別該 ACL。

拒絕發往網路 10.0.10.0/24 的所有 Web 流量。 
拒絕發往網路 10.0.10.0/24 的所有 FTP 流量。 
拒絕發往網路 10.0.10.0/24 的所有 telnet 流量。 
如果流量最初是由內部位址發起，則允許從任何來源發往任何內部目的地的 TCP 流量。 
允許從任何來源發往任何內部目的地的 ICMP 回覆。 
允許從任何來源發往任何內部目的地的 ICMP 無法到達訊息。 
拒絕其他所有流量。
步驟 3：檢查路由器上設定的存取控制清單
按一下 Edge1 上的 CLI 標籤，檢查已設定的 ACL。 
使用下列命令檢視路由器上已設定的 ACL： 
show running-config 
show access-lists 100
步驟 4：確定要套用 ACL 的適當介面。
檢查完 ACL 後，確定應該套用 ACL 的位置 
必須將 ACL 套用到介面上，才能作用於網路流量 
請記住，每個連接埠的每個協定在每個方向上只允許一個 ACL。
在路由器 Edge1 上使用 CLI 模式將 ACL 套用到適當的介面上以過濾進入該路由器的流量
步驟 5：檢查 ACL 的效果。
驗證對應的流量是否被允許或拒絕。 
應該允許內部 PC： 
Ping 所有裝置（使用命令提示字元）。 
從位址為 192.168.2.10 的 Web 伺服器發出 HTTP 請求（使用內部 PC 上的 Web 瀏覽器）。 
透過 Telnet 方式存取位址為 172.16.1.1 的 網際網路 路由器（使用命令提示字元）– 密碼 = cisco。使用命令 exit 返回到 PC 提示字元。 
透過 FTP 方式存取外部 PC（使用 Simulation [模擬] 模式和 Complex PDU [複雜 PDU] 來模擬 FTP 流量 – 對於 Complex PDU [複雜 PDU]，請將 Select Application [選擇應用] 設定為：FTP，目的 IP 位址：192.168.1.10，來源埠：50000，單次時間：1）。
應該拒絕外部 PC： 
Ping Edge1、內部 PC 和資料中心（使用命令提示字元）。 
從資料中心 10.0.10.20 發出 HTTP 請求（使用外部 PC 上的 Web 瀏覽器）。但它應該仍可存取位址為 192.168.2.10 的 Web 伺服器。 
透過 FTP 方式存取外部 PC（使用 Simulation [模擬] 模式和 Complex PDU [複雜 PDU] 來模擬 FTP 流量 – 對於 Complex PDU [複雜 PDU]，請將 Select Application [選擇應用] 設定為：FTP，目的 IP 位址：10.0.10.10，來源埠：50000，單次時間：1）。
應該拒絕其他所有網路流量存取網路 10.0.10.0。
思考
套用了目前 ACL 後，您能透過 Telnet 方式從外部 PC 存取位址為 172.16.1.2 的路由器 Edge1 嗎？為什麼？ 
為什麼 ACL 中總是必須至少包含一條 Permit 陳述？