标准与扩展ACL实验
一标准访问控制列表实验:
实验拓扑:
实验目的:掌握标准与扩展ACL的配置
实验要求:拒绝R1到R3的所有流量
实验步骤:
步骤1 按如上拓扑做好底层配置,并检测相邻设备之间的连通性
步骤2起静态路由,使全网互通
R1(config)#ip route 10.1.1.64 255.255.255.252 10.1.1.2
R3(config)#ip route 10.1.1.0 255.255.255.252 10.1.1.65
步骤3在R3上做标准的ACL使R1不能访问R3
R3(config)#access-list 1 deny 10.1.1.1 0.0.0.0
或者使用命令
R3(config)#access-list 1 deny host 10.1.1.1
因为访问控制列表默认有一个拒绝所有的隐含条目,所以需要在最后加入一条:
R3(config)#access-list 1 permit any
标准ACL要放置在离目标近的地方,所以配置在R3的S1的入向上面:
R3(config)#int s1
R3(config-if)#ip access-group 1 in
二 扩展访问控制列表实验:
实验拓扑:
实验目的:掌握扩展访问控制列表的配置
掌握如何使用扩展的访问控制列表实现网络的安全性
实验要求:拒绝任何来自192.168.1.0网络的icmp流量
只有PC1可以访问FTP服务器
实验步骤:步骤1按如上拓扑在做好底层配置,在三台路由器上启RIPv2协议,使之互通
R1(config)#router rip
R1(config-router)#version 2
R1(config-router)#no auto-summary
R1(config-rotuer)#network 10.0.0.0
R1(config-rotuer)#network 172.16.0.0
R2(config)#router rip
R2(config-router)#version 2
R2(config-router)#no auto-summary
R2(config-rotuer)#network 10.0.0.0
R3(config)#router rip
R3(config-router)#version 2
R3(config-router)#no auto-summary
R3(config-rotuer)#network 10.0.0.0
R3(config-router)#network 192.168.1.0
步骤3在R3上做扩展的ACL,拒绝来自192.168.1.0网络的icmp流量
R3(config)#access-list 102 deny icmp 192.168.1.0 0.0.0.255 any
R3(config)#access-list 102 permit ip any any
R3(config)#int e0
R3(config-if)ip access-group 102 in
步骤4在R1上做扩展的ACL使得只有PC1可以访问FTP服务器
注意FTP使用两个端口号,20与21:
R1(config)#access-list 110 permit tcp 192.168.1.1 0.0.0.0 172.16.1.2 0.0.0.0 eq 21
R1(config)#access-list 110 permit tcp 192.168.1.1 0.0.0.0 172.16.1.2 0.0.0.0 eq 20
R1(config)#int s0
R1(config-if)#ip access-group 110 in
三 命名的访问控制列表试验:
实验需求与拓扑图通上,将访问控制列表转换成命名的ACL:
R3(config)#ip access-list extended deny_icmp
R3(config-ext-nacl)#deny icmp 192.168.1.0 0.0.0.255 any
R3(config-ext-nacl)#permit ip any any
R3(config)#int e0
R3(config-if)#ip access-group deny_icmp in
R1(config)#ip access-list extended deny_ftp
R1(config-ext-nacl)#permit tcp 192.168.1.1 0.0.0.0 172.16.1.2 0.0.0.0 eq 20
R1(config-ext-nacl)#permit tcp 192.168.1.1 0.0.0.0 172.16.1.2 0.0.0.0 eq 21
R1(config)#int s0
R1(config-if)#ip access-group deny_ftp in
命名ACL的最大优点在于可以修改其中任意一条,而使用编号的ACL则不能。
四:使用ACL对vty线路进行限制:
实验拓扑:
实验需求:在Router的VTY线路上通过ACL限制访问
只有PC1能够远程登录Router
实验步骤:
Router(config)#access-list 1 permit host 172.16.1.3
//因为ACL有隐含拒绝特性,所以不需要显式拒绝PC2
Router(config)#line vty 0 15
Router(config-line)#password stsd
Router(config-line)#login
Router(config-line)#access-class 1 in
标准与扩展ACL实验的更多相关文章
- 标准与扩展ACL
标准与扩展ACL 案例1:配置标准ACL 案例2:配置扩展ACL 案例3:配置标准命名ACL 配置扩展命名ACL 1 案例1:配置标准ACL 1.1 问题 络调通后,保证网络是通畅的.同时也很可能出现 ...
- 标准ACL、扩展ACL和命名ACL的配置详解
访问控制列表(ACL)是应用在路由器接口的指令列表(即规则).这些指令列表用来告诉路由器,那些数据包可以接受,那些数据包需要拒绝. 访问控制列表(ACL)的工作原理 ACL使用包过滤技术,在路由器上读 ...
- Cisco基础(四):配置标准ACL、配置扩展ACL、配置标准命名ACL、配置扩展命名ACL
一.配置标准ACL 目标: 络调通后,保证网络是通畅的.同时也很可能出现未经授权的非法访问.企业网络既要解决连连通的问题,还要解决网络安全的问题. 配置标准ACL实现拒绝PC1(IP地址为192.16 ...
- ACL 实验
一.环境准备 1. 软件:GNS3 2. 路由:c7200 二.实验操作 实验要求: 1. 掌握标准 ACL.扩展 ACL 的配置方法. 2. 掌握命名 ACL 的配置方法. 3. 掌握访问控制列表配 ...
- ACL实验
ACL实验 基本配置:略 首先根据题目策略的需求1,从这个角度看,我们需要做一条高级ACL,因为我们不仅要看你是谁,还要看你去干什么事情,用高级ACL来做的话,对于我们华为设备,只写拒绝,因为华为默认 ...
- PHP扩展开发--实验成功
原文:http://kimi.it/496.html http://blog.csdn.net/u011957758/article/details/72234075 ---------------- ...
- 扩展ACL
- 实验16:ACL
实验13-1:标准ACL Ø 实验目的通过本实验可以掌握:(1)ACL 设计原则和工作过程(2)定义标准ACL(3)应用ACL(4)标准ACL 调试 Ø 拓扑结构 本实验拒绝PC1 所在网 ...
- cisco 的ACL
搞网络好几年了,怎么说呢,水平一直停留在NA-NP之间,系统的学完NA后,做了不少实验,后来也维护了企业的网络,各种网络设备都玩过(在商汤用的Juniper srx 550 我认为在企业环境,非IDC ...
随机推荐
- json 与entity/list/map的转换
一 json -> entity User.java package com.xxx.hotel.train.json.json2entity; import java.io.Serializ ...
- 阅读《大道至简第一章》读后感(java伪代码)
大道至简讲述的是软件工程实践者的思想,书的第一章引用了著名的----愚公移山这一历史故事,向我们讲述了编程的精义.汤问篇中所述的愚公移山这一事件,我们看到了原始需求的产生---“惩山北之塞,出入之迂” ...
- Python基础篇-day2
主要内容: for循环 while循环 格式化输出(2) 数据统计及记录 ############################################################# 1 ...
- #ifdef,#else,#endif,#if 拾忆
预处理就是在进行编译的第一遍词法扫描和语法分析之前所作的工作.说白了,就是对源文件进行编译前,先对预处理部分进行处理,然后对处理后的代码进行编译.这样做的好处是,经过处理后的代码,将会变的很精短. ...
- 超界文字滚动 (id和类型两种实现方式)
//根据元素id <!DOCTYPE html><html lang="zh-CN"><head> <meta charset=" ...
- 第四十二节,configparser特定格式的ini配置文件模块
configparser用于处理特定格式的文件,其本质上是利用open来操作文件. 特定格式的ini配置文件模块,用于处理ini配置文件,注意:这个ini配置文件,只是ini文件名称的文本文件,不是后 ...
- <context:annotation-config> 和 <context:component-scan>的区别
转自:GOOD spring <context:annotation-config> 跟 <context:component-scan>诠释及区别 <context:a ...
- if语句,函数function
1.语句 一般分为顺序,分支和循环语句. if是分支语句 格式1:if(){} 若满足就进入花括号,若不满足就跳过 格式2:if(){}else(){}二选一.若if满足则else一定不执行,反之则 ...
- Docker学习笔记 — Docker私有仓库搭建【转载】
标签: Docker 2015-03-10 21:08 24190人阅读 评论(0) 收藏 举报 分类: Docker(26) 目录(?)[+] 和Mavan的管理一样,Dockers不仅 ...
- hostent h_addr_list
struct hostent { char FAR * h_name; /* official name of host */ char FAR * FAR * h_aliases; /* alias ...