PT 练习 5.3.4.2 配置扩展 ACL(教师版)

合集下载

PT 练习 5.3.4.2 配置扩展 ACL(教师版)

PT 练习 5.3.4：配置扩展 ACL（教师版）拓扑图地址表S0/0/010.1.1.1 255.255.255.252R1Fa0/0192.168.10.1 255.255.255.0Fa0/1192.168.11.1 255.255.255.0S0/0/010.1.1.2 255.255.255.252S0/0/110.2.2.2 255.255.255.252 R2S0/1/0209.165.200.225 255.255.255.224Fa0/0192.168.20.1 255.255.255.0S0/0/110.2.2.1 255.255.255.252 R3Fa0/0192.168.30.1 255.255.255.0S0/0/1209.165.200.226 255.255.255.224ISPFa0/0209.165.201.1 255.255.255.224Fa0/1209.165.202.129 255.255.255.224PC1网卡192.168.10.10 255.255.255.0PC2网卡192.168.11.10 255.255.255.0PC3网卡192.168.30.10 255.255.255.0PC4网卡192.168.30.128 255.255.255.0WEB/TFTP网卡192.168.20.254 255.255.255.0ServerWEB Server网卡209.165.201.30 255.255.255.224Outside Host网卡209.165.202.158 255.255.255.224学习目标•检查当前的网络配置•评估网络策略并规划 ACL 实施•配置采用数字编号的扩展 ACL•配置命名扩展 ACL简介扩展 ACL 是一种路由器配置脚本，根据源地址、目的地址，以及协议或端口来控制路由器应该允许还是应该拒绝数据包。

扩展 ACL 比标准 ACL 更加灵活而且精度更高。

路由器交换机配置教程任务5.4扩展ACL

一．扩展访问控制列表的作用
标准
基于源地址允许和拒绝完整的 TCP/IP协议
扩展
基于源地址和目标地址指定TCP/IP的特定协议和端口号
编号范围 1-991
编号范围 100-199
二．扩展访问控制列表的语法
access-list 访问控制列表号 {deny|permit} [通配符掩码] 目的网络地址 [通配符掩码] 协议类型源网络地址
任务5.5 扩展ACL
【实训目的】
通过配置扩展ACL，理解基于IP地址、协议和端口的包过滤原理和应用方法，使学生掌握扩展访问控制列表的配置方法。
【实训任务】
1.根据拓扑图连接网络设备，构建局域网。
2.配置扩展ACL，实现数据包的过滤。
3.配置标准ACL，理解和扩展ACL的区别。 4.测试网络连通性。
[运算符端口号]
协议类型包括IP、TCP、UDP、ICMP、OSPF等。
运算符有lt、gt、eq、neq,分别表示"小于、大于、等于、不等于"。
三．常用协议及端口号
协议 Telnet FTP SMTP POP3 DNS Http TFTP
端口号 23 20/21 25 110 53 80 69
四.扩展ACL配置示例
利用扩展ACL禁止vlan20和vlan 30互访，其它置扩展ACL。 Switch0(config)#access-list 100 deny ip 192.168.20.0 0.0.0.255 192.168.30.0 0.0.0.255 Switch0(config)#access-list 100 permit ip any any Switch0(config)#interface vlan 20 Switch(config-if)#ip access-group 100 in （2）在交换机Swith1上配置扩展ACL。 Switch1(config)#access-list 100 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255 Switch1(config)#access-list 100 permit ip any any Switch1(config)#interface vlan 30 Switch1(config-if)#ip access-group 100 in

扩展ACL

U.U.U
Success rate is 0 percent (0/5)
R2#ping10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
U.U.U
R1>
R1>ping10.2.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.2.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 68/176/252 ms
步骤五：将ACL应用到接口
R3(config)#interface fastethernet 0/0
R3(config-if)#ip access-group100 in
R3(config-if)#exit
步骤六：测试
R1>ping172.16.1.2
Type escape sequence to abort.
R1>telnet10.2.2.1
Trying 10.2.2.1 ...
% Destination unreachable; gateway or host down
R2#ping172.16.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.2, timeout is 2 seconds:

交换机扩展ACL基本配置

交换机扩展ACL基本配置一、复习标准ACL配置1、标准ACL配置过程(1)定义标准ACL：access-list 数字标号 {deny|permit} <源网络号> <反掩码>(3)应用到VLAN虚接口：ip access-group 数字标号 out2、按下列要求写出配置命令序列(1)拒绝网络3内的所有计算机访问网络1(2)拒绝主机PC1访问网络1二、授新课标准ACL(访问控制列表)只能从源端控制网络中计算机的所有网络行为，如果从数据包的目标端或数据包中所请求的服务类型来控制网络行为，需要使用到扩展访问列表。

配置扩展访问列表的过程如下：1、定义扩展ACL规则：access-list 数字标号 {deny | permit} 协议 <源网络号> <反掩码> [sPort <源端口>] host IP地址 [dPort <目标端口号>]2、绑定到端口或VLAN虚接口：ip access-group 数字标号 in注意：扩展ACL的应用要尽量靠近源端。

扩展ACL的数字标号必须在100－199之间。

例：按下列结构图组网，并完成相关要求的配置。

1、下表配置VLAN2、在PC2中运行Windows2003虚拟机，并配置FTP服务(只要求能够提供匿名下载即可)和WEB服务。

3、测试PC1和PC2之间的连通性，PC1能否正确访问PC2中的2个服务？4、拒绝PC1所在网络访问PC2所在的网络。

5、取消以上一题的ACL应用6、拒绝PC1所在网络访问PC2虚拟机中的FTP服务，并测试配置是否成功？7、拒绝PC1所在网络访问PC2虚拟机中的WEB和FTP服务，并测试配置是否成功？作业：按下列拓扑结构图写出相关配置命令1、下表配置VLAN2、拒绝PC1所在网络访问PC2所在的网络。

3、拒绝PC1所在网络访问PC2虚拟机中的WEB和FTP服务。

由器交换机配置任务5.4扩展acl教学教案

• 实例演示：假设我们需要禁止内网用户访问外网的Web服务（HTTP协议），可以进行如下配置
实例演示与操作指南
```
access-list 101 deny tcp 192.168.1.0 0.0.0.255 any eq 80
实例演示与操作指南
access-list
101
permit ip any any
流量统计与分析
利用扩展ACL的匹配计数功能，对网络流量进行统计和分析，为网络优化和故障排查提供数据支持。
QoS服务质量保障
优先级标记
通过扩展ACL对特定流量进行识别和标记，以便在网络设备中实施优先级队列调度，确保关键业务流量的低延迟、高可靠性传输。
拥塞避免与控制
结合扩展ACL和QoS技术，实现拥塞避免和控制机制，如尾丢弃、随机早期检测等，降低网络拥塞对业务的影响。
任务要求
学员需要了解扩展ACL的基本原理和功能，掌握配置命令和步骤，能够独立完成扩展ACL的配置和测试。
配置步骤详解
步骤一
确定访问控制需求

步骤二
登录设备并进入配置模式
配置步骤详解
使用控制台线或远程登录方式连接到路由器或交换机，并进入全局配置模式。
步骤三：定义扩展ACL
使用命令`access-list [number] [permit|deny] [protocol] [source address] [source port] [destination address] [destination port]`定义扩展ACL规则。其中， [number]为ACL编号， [permit|deny]为允许或拒绝访问， [protocol]为协议类型，[source address]和[destination address]分别为源地址和目的地址，[source port]和[destination port]分别为源

5.2：扩展ACL访问控制列表实验三(VLAN方式、VTY访问限制)

5.3 扩展ACL访问控制列表实验三(VLAN方式、VTY访问限制) 【项目情境】假设你是某公司的网络管理员，公司的销售部（172.16.1.0网段），经理部（172.16.2.0网段），和内网WWW和FTP服务器（172.16.4.2），为了安全起见，公司领导要求禁止销售部172.16.1.0/24网段访问内网WWW和FTP服务器的telnet端口，但经理部不受限制。

要求使用编号方式在三层交换机的VTY上进行标准ACL的应用，增强远程登录的安全性。

【项目目的】1.掌握命名方式扩展访问控制列表的制定规则与配置方法。

2.巩固三层交换机的SVI路由功能和在三层交换机的VTY上进行扩展ACL的应用。

【相关设备】三层交换机1台、二层交换机1台(模拟外网服务器)，直连线3根。

【项目拓扑】【项目任务】1.如上图搭建网络环境，对三层交换机建立相应的VLAN，加入对应端口并配置SVI 地址，形成路由。

2.配置PC机、SwitchB的地址和默认网关，设置SwitchB的远程登录密码为wjxvtc。

测试所有设备之间的联通性(应该全通)。

在PC1和PC2远程登录SwitchB，测试telnet 命令及联通性。

3.设置扩展IP访问控制列表（命名方式），禁止172.16.1.0/24网段访问172.16.4.0/24网段的telnet端口，其他不受影响。

查看配置和端口的状态，并测试结果(PC1 telnet SwitchB不通，PC1 ping SwitchB通，但PC2 telnet SwitchB通，PC2 ping SwitchB通)。

把PC1的地址改成172.16.1.3，PC1 telnet SwitchB仍然不通，PC1 ping SwitchB通。

4.对三层交换机SwitchA配置远程登录密码为wjxvtc，特权密码为abcdef（加密方式）。

5.设置标准IP访问控制列表（编号方式）,只允许PC1可以对三层交换机SwitchA 进行远程登录。

PT 实验 3.5.2.2 VLAN 配置练习(教师版)

PT 练习 3.5.2： VLAN 配置练习（教师版）拓扑图地址表设备接口IP地址子网掩码默认网关S1S1VLAN56VLAN56192.168.56.11 255.255.255.0 不适用S2S2VLAN56VLAN56192.168.56.12 255.255.255.0 不适用S3S3VLAN56VLAN56192.168.56.13 255.255.255.0 不适用PC1PC1NIC网卡192.168.10.21 255.255.255.0 192.168.10.1 PC2PC2NIC网卡192.168.20.22 255.255.255.0 192.168.20.1 PC3PC3NIC网卡192.168.20.23 255.255.255.0 192.168.30.1 PC4PC4NIC网卡192.168.10.24 255.255.255.0 192.168.10.1 PC5PC5NIC网卡192.168.20.25 255.255.255.0 192.168.20.1 PC6PC6NIC网卡192.168.30.26 255.255.255.0 192.168.30.1端口分配（交换机2 和 3）Fa0/1 – 0/5 VLAN 99 – Management&Native 192.168.56.0/24Fa0/6 – 0/10 VLAN 30 – Guest(Default) 192.168.30.0/24Fa0/11 – 0/17 VLAN 10 – Faculty/Staff 192.168.10.0/24Fa0/18 – 0/24 VLAN 20 – Students 192.168.20.0/24 学习目标•执行交换机上的基本配置任务•创建 VLAN•分配交换机端口到 VLAN•添加、移动和更改端口•检验 VLAN 配置•对交换机间连接启用中继•检验中继配置•保存VLAN 配置任务 1：执行基本交换机配置根据以下指导原则配置交换机。

标准ACL、扩展ACL和命名ACL的配置详解

标准ACL、扩展ACL和命名ACL的配置详解访问控制列表(ACL)是应⽤在路由器接⼝的指令列表(即规则)。

这些指令列表⽤来告诉路由器，那些数据包可以接受，那些数据包需要拒绝。

访问控制列表(ACL)的⼯作原理ACL使⽤包过滤技术，在路由器上读取OSI七层模型的第3层和第4层包头中的信息。

如源地址，⽬标地址，源端⼝，⽬标端⼝等，根据预先定义好的规则，对包进⾏过滤，从⽽达到访问控制的⽬的。

ACl是⼀组规则的集合，它应⽤在路由器的某个接⼝上。

对路由器接⼝⽽⾔，访问控制列表有两个⽅向。

出：已经过路由器的处理，正离开路由器的数据包。

⼊：已到达路由器接⼝的数据包。

将被路由器处理。

如果对路由器的某接⼝应⽤了ACL，那么路由器对数据包应⽤该组规则进⾏顺序匹配，使⽤匹配即停⽌的，不匹配则使⽤默认规则的⽅式来过滤数据包。

如下图：访问控制列表的类型标准访问控制列表：根据数据包的源IP地址来允许或拒绝数据包，标准访问控制列表的访问控制列表号是1-99。

扩展访问控制列表：根据数据包的源IP地址，⽬的IP地址，指定协议，端⼝和标志，来允许或拒绝数据包。

扩展访问控制列表的访问控制列表号是100-199配置标准控制列表创建标准ACL的语法如下：Router(config)#access-list access-list-number {permit|deny} source [souce-wildcard]下⾯是命令参数的详细说明access-list-number：访问控制列表号，标准ACL取值是1-99。

permit|deny：如果满⾜规则，则允许/拒绝通过。

source：数据包的源地址，可以是主机地址，也可以是⽹络地址。

source-wildcard：通配符掩码，也叫做反码，即⼦⽹掩码去反值。

如：正常⼦⽹掩码255.255.255.0取反则是0.0.0.255。

删除已建⽴的标准ACL语法如下：Router(config)#no access-list access-list-number列如：创建⼀个ACL允许192.168.1.0⽹段的所有主机。

PT 练习 5.5.2：生成树协议技能练习(教师版)

PT 练习 5.5.2：生成树协议技能练习（教师版）拓扑图地址表设备接口IP地址子网掩码默认网关S1 VLAN 99 172.17.99.11 255.255.255.0 不适用S2 VLAN 99 172.17.99.12 255.255.255.0 不适用S3 VLAN 99 172.17.99.13 255.255.255.0 不适用PC1 网卡172.17.10.21 255.255.255.0 172.17.10.12 PC2 网卡172.17.20.22 255.255.255.0 172.17.20.12 PC3 网卡172.17.30.23 255.255.255.0 172.17.30.12端口分配－ S2端口分配网络Fa0/1 - 0/5802.1q 中继（本征 VLAN 99）172.17.99.0 /24Fa0/6 - 0/10VLAN 30 – Guest(Default)172.17.30.0 /24Fa0/11 - 0/17VLAN 10 – Faculty/Staff172.17.10.0 /24Fa0/18 - 0/24VLAN 20 - Students172.17.20.0 /24学习目标•执行基本交换机配置•配置主机PC 上的以太网接口•配置 VLAN•配置生成树•优化STP简介在本练习中，您需要做的工作有：执行基本交换机配置、配置 PC 地址、配置 VLAN、研究生成树协议并学习如何优化该协议。

任务 1：执行基本交换机配置根据以下原则配置交换机S1、S2 和 S3 并保存配置：按照拓扑所示配置交换机主机名。

•禁用DNS查找。

•将执行模式口令配置为class。

•为控制台连接配置口令cisco。

•为vty 连接配置口令cisco。

Switch>enableSwitch#configure terminalEnter configuration commands, one per line. End with CNTL/Z.Switch(config)#hostname S1S1(config)#enable secret classS1(config)#no ip domain-lookupS1(config)#line console 0S1(config-line)#password ciscoS1(config-line)#loginS1(config-line)#line vty 0 15S1(config-line)#password ciscoS1(config-line)#loginS1(config-line)#end%SYS-5-CONFIG_I: Configured from console by consoleS1#copy running-config startup-configDestination filename [startup-config]?Building configuration...[OK]任务 2：配置主机 PC 上的以太网接口使用地址表中的 IP 地址、子网掩码和网关配置 PC1、PC2 和 PC3 的以太网接口。

实训九扩展ACL配置与调试

实训九扩展ACL配置与调试1．实训目标在这个实训中，我们将在思科路由器上配置扩展ACL。

通过该实训我们可以进一步了解ACL的定义和应用，并且掌握扩展ACL的配置和调试。

2．实训拓扑实训的拓扑结构如图1所示。

图1 ACL实训拓扑结构3．实训要求根据图1，设计扩展ACL，在R1路由器上禁止PC2所在网络的http请求和所有的telnet请求，但仍能互相ping通。

4．实训步骤⑴、⑵、⑶、⑷步骤同实训13的操作完全相同，限于篇幅的限制，再这里就不一一讲述了。

⑸分别在R1和R2上启动HTTP服务：R1(config)#ip http serverR2(config)#ip http server⑹在R1路由器上禁止PC2所在网络的http请求和所有的telnet请求，但允许能够互相ping通：①在R1路由器上配置ACL：R1(config)# access-list 101 deny tcp 172.16.0.0 0.0.255.255 10.0.0.0 0.255.255.255 eq wwwR1(config)# access-list 101 deny tcp any any eq 23R1(config)# access-list 101 permit ip any anyR1(config)#interface s0/0R1(config-if)#i p access-group 101 in②测试上述配置：A．在PC2上访问10.1.1.1的WWW服务，结果是无法访问。

B．在PC2上访问192.168.100.1的WWW服务，结果如图2所示。

图2 在PC2上访问路由器R1的s0/0的结果【问题1】：为什么在PC2上访问同一个路由器的不同端口，会出现不同的结果？C.在PC2上远程登录10.1.1.1和192.168.100.1的结果如图3所示。

图3 从PC2上telnet到路由器R1的不同的接口D.从PC2上ping10.1.1.1和192.168.100.1的结果如4所示。

标准acl 扩展acl

标准acl 扩展acl标准ACL（Access Control List）和扩展ACL是网络安全中常用的两种访问控制列表，用于控制网络设备上的数据流向和访问权限。

本文将对标准ACL和扩展ACL进行详细介绍，并比较它们之间的区别和适用场景。

ACL是一种基于规则的访问控制机制，通过在路由器、交换机等网络设备上配置ACL规则，可以限制数据包的流向和访问权限。

ACL可以根据源IP地址、目标IP地址、协议类型、端口号等条件对数据包进行过滤和控制，从而提高网络的安全性和管理效率。

首先，我们来介绍标准ACL。

标准ACL是最简单的一种ACL类型，它只能根据源IP地址来匹配数据包，并根据匹配结果决定是否允许数据包通过。

标准ACL的配置范围是1-99和1300-1999，其中1-99用于过滤IPV4数据包，1300-1999用于过滤IPV6数据包。

标准ACL通常用于实现简单的访问控制策略，比如限制某些特定的IP地址访问网络设备或特定的网络服务。

与标准ACL相对应的是扩展ACL。

扩展ACL可以根据源IP地址、目标IP地址、协议类型、端口号等多种条件对数据包进行匹配，并根据匹配结果决定是否允许数据包通过。

扩展ACL的配置范围是100-199和2000-2699，其中100-199用于过滤IPV4数据包，2000-2699用于过滤IPV6数据包。

扩展ACL相对于标准ACL来说，能够实现更加灵活和精细化的访问控制策略，因此在实际应用中更加常见。

在实际应用中，我们应该根据具体的网络环境和安全需求来选择合适的ACL类型。

如果只需要简单地限制某些特定的IP地址访问网络设备或特定的网络服务，可以选择标准ACL；如果需要实现更加灵活和精细化的访问控制策略，可以选择扩展ACL。

另外，我们还需要注意ACL的配置顺序，因为ACL是按照配置顺序逐条匹配的，所以配置顺序的不当可能会导致意外的网络访问问题。

总之，标准ACL和扩展ACL是网络安全中常用的两种访问控制列表，它们可以帮助我们实现对网络数据流向和访问权限的精细化控制。

实验二十五配置标准IP ACL(教师用)

实验二十五配置标准IP ACL【实验名称】配置标准IP ACL。

【实验目的】使用标准IP ACL实现简单的访问控制。

【背景描述】某公司网络中，行政部、销售部门和财务部门分别属于不同的3个子网，3个子网之间使用路由器进行互联。

行政部所在的子网为172.16.1.0/24，销售部所在的子网为172.16.2.0/24，财务部所在的子网为172.16.4.0/24。

考虑到信息安全的问题，要求销售部门不能对财务部门进行访问，但行政部可以对财务部门进行访问。

【需求分析】标准IP ACL可以根据配置的规则对网络中的数据进行过滤。

【实验拓扑】PC1【实验设备】1、用户自定义2621路由器2台2、PC机3台【预备知识】路由器基本配置、标准IP ACL原理及配置。

【实验原理】标准IP ACL可以对数据包的源IP地址进行检查。

当应用了ACL的接口接收或发送数据包时，将根据接口配置的ACL规则对数据进行检查，并采取相应的措施，允许通过或拒绝通过，从而达到访问控制的目的，提高网络安全性。

【实验步骤】步骤1 R1基本配置。

R1#configure terminalR1 (config)#interface fastEthernet 1/0R1 (config-if)#ip address 172.16.1.1 255.255.255.0R1 (config-if)#exitR1 (config)#interface fastEthernet 1/1R1 (config-if)#ip address 172.16.2.1 255.255.255.0R1 (config-if)#exitR1 (config)#interface serial 1/2R1 (config-if)#ip address 172.16.3.1 255.255.255.0R1 (config-if)#exit步骤2 R2基本配置。

R2#configure terminalR2 (config)#interface serial 1/2R2 (config-if)#ip address 172.16.3.2 255.255.255.0R2 (config-if)#exitR2 (config)#interface fastEthernet 1/0R2 (config-if)#ip address 172.16.4.1 255.255.255.0R2 (config-if)#exit步骤3 查看R1、R2接口状态。

《配置扩展acl访问控制列表》说课稿

《配置扩展访问控制列表》说课稿计算机系胡江海一、教材分析《网络设备安装与调试》是计算机网络技术专业学生必修的一门专业核心课程。

本课程的主要任务是使学生掌握各种网络互联设备的基本工作原理和联网技术，并能运用这些设备进行网络设计、完成网络配置。

本课选自中等职业学校计算机应用与软件技术专业教学用书《中小型网络构建与管理》第五单元项目三---“保障网络区域安全”中的任务实施二---配置扩展访问控制列表的知识。

本课内容是前面工作的延续，更是后面工作的内容的铺垫。

二、学情分析本课授课对象是网络专业一年级的学生。

学生在第一学期已经初步掌握网络设备的基础知识，对网络设备有一定的感知，并具备一定的小组合作与自主学习能力。

但学生对专业课学习的兴趣不高，为此在教学任务的设计中充分选用了真实的工作任务以调动学生的学习兴趣。

并结合职业特点，强调学生自主学习。

三、教学目标、教学重点及难点（一）知识目标1.熟悉扩展访问控制列表工作原理。

2.理解扩展访问控制列表的安全管理功能。

（二）能力目标1.能够正确配置访问控制列表。

2.能够通过配置扩展访问控制列表，实现网络设备远程安全限制访问。

（三）情感态度价值观目标通过配置扩展访问控制列表，引导学生树立网络安全意识。

（四）教学重点、难点1.重点正确配置扩展访问控制列表2.难点通过配置扩展访问控制列表，实现网络设备远程安全限制访问。

四、教学策略教法：任务驱动教学法学法：自主学习、合作探究五、教学过程设计与分析（一）问题导入、激发兴趣（3分钟）教师讲述发生在XXX公司的一个网络故障事件：2012年7月15日，xxx公司财务处、行政处、总经办和信息中心四个部门网络全面瘫痪，所有电脑无法访问互联网，公司网络管理员排查了交换机、路由器、服务器、pc终端等设备，依然没有找到原因，问题到底出在哪里？（此处教师引导学生思考）最后，网络管理员无意之中发现是网络设备的配置被人修改了，才导致了这次故障的出现。

实验二十八配置扩展IPACL教师用

提高网络可靠性：通过配置扩展IPAC L，可以确保关键业务的网络流量得到优先处理，提高网络的可靠性。
简化网络管理：扩展 I PA C L 可以实现自动化配置和管理，减少手动干预，提高网络管理的效率。
方便网络管理
配置扩展IPACL可以方便网络管理员对网络进行管理和控制，提高网络的安全性和稳定性。
选择扩展IP ACL并点击启用
按照需求配置规则并保存设置
确保IP地址范围正确
配置前先确定IP地址范围，避免误操作
确认IP地址是否符合业务需求和网络规划
避免IP地址冲突，及时更新IP 地址表
测试配置后的IP地址范围是否正常
配置前先检查 I PA C L 是否已存在
避免重复创建IPACL
实验体会与建议
实验过程中遇到的问题和解决方法实验结果与预期的差异及原因分析对实验原理和操作流程的深入理解对实验中使用的工具和资源的改进建议
感谢您的观看
添加标题
添加标题
添加标题
添加标题
定期检查 I PA C L 配置是否符合企业网络策略，保证网络正常运行
定期检查 I PA C L 配置是否及时更新，以应对网络威胁的变化
提高网络安全
防止未经授权的访问
限制不必要的网络流量
增强数据保护和隐私
提升网络性能和稳定性
通过配置扩展IPACL，可以更加灵活地控制网络流量，优化网络性能，提高网络的可用性和可靠性。
配置扩展IPACL可以帮助网络管理员更好地保护网络免受恶意攻击和未经授权的访问，确保网络安全。
配置扩展IPACL可以简化网络管理流程，减少网络管理员的工作量，提高工作效率。

PT 练习 4.4.2：VTP 配置(教师版)

PT 练习 4.4.2：VTP 配置（教师版）拓扑图地址表设备接口IP 地址子网掩码S1 VLAN 99 172.31.99.11 255.255.255.0S2 VLAN 99 172.31.99.12 255.255.255.0S3 VLAN 99 172.31.99.13 255.255.255.0PC1 网卡172.31.10.1 255.255.255.0PC2 网卡172.31.20.1 255.255.255.0PC3 网卡172.31.30.1 255.255.255.0PC4 网卡172.31.10.2 255.255.255.0PC5 网卡172.31.20.2 255.255.255.0PC6 网卡172.31.30.2 255.255.255.0端口分配（S2 和 S3）学习目标•执行基本交换机配置•配置主机 PC 上的以太网接口•在交换机上配置 VTP简介在本练习中，您的任务包括：执行基本的交换机配置、配置 VTP 和中继、了解 VTP 模式、创建和分发VLAN 信息以及将端口分配给 VLAN任务 1：执行基本交换机配置根据以下原则配置交换机 S1、S2 和 S3 并保存配置：•按照拓扑所示配置交换机主机名。

•禁用 DNS 查找。

•将执行模式口令配置为class。

•将控制台和 vty 连接口令配置为 cisco。

任务 2：配置主机 PC 上的以太网接口使用地址表中的 IP 地址配置PC1、PC2、PC3、PC4、PC5 和 PC6 的以太网接口。

本练习无需配置默认网关。

任务 3：在交换机上配置 VTPVTP 可让网络管理员通过创建 VTP 域来控制网络上的 VLAN 实例。

在每个 VTP 域中，可以将一台或多台交换机配置为 VTP 服务器。

然后可以在 VTP 服务器上创建 VLAN，并将这些 VLAN 传送给域中的其它交换机。

常见的 VTP 配置任务是设置工作模式、域和口令。

ACL协议配置-扩展ACL.

扩展访问控制列表的配置
第二步，使用ip access-group命令将扩展访问控制列表应用到某接口
信令类型
Router（config-if）#ip access-group access-list-number { in | out }
扩展ACL的配置实例
172.16.3.0
非172.16.0.0网段
第一步，使用access-list命令创建扩展访问控制列表
信令类型
Router(config)#access-list access-list-number { permit | deny } protocol [source source-wildcard destination destination-wildcard ] [operator port] [established] [log]
第二步，应用到接口E0的出方向
Router(config)#interface fastethernet 0/0 Router（config-if）#ip access-group 101 out
通信技术专业教学资源库南京信息职业技术学院
谢谢
主讲：丁秀锋
通信技术专业教学资源库南京信息职业技术学院
《数据网组建》课程
ACL基本配置
主讲：丁秀锋
目录
01 ACL配置步骤 02 扩展ACL配置 03 扩展ACL应用
ACL的配置步骤
ACL的配置包括以下两个步骤，请依次进行配置：
信令类型
1
定义访问控制列表
2
将访问控列表应用到物理端口
扩展访问控制列表的配置
Router(信co令n类fig型)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 Router(config)#access-list 101 permit ip any any

-扩展ACL实验报告

【路由与交换技术】实验报告
班级：计13本2学号：**********姓名：刘飞
实验名称扩展访问控制列表的配置
实验类型
验证型
实验日期
2016-3-17
实验地点
2S—417
实验时间（星期节次）
星期四 3、4节
指导教师
叶培顺
成绩
一、实验目的及要求：（教师填写）
1.进一步理解访问控制列表的作用及工作过程
2.掌握扩展访问控制列表的配置
拒绝所有从网络192.168.1.0来的FTP数据包到达网络
五实验总结：
本次实验需要配置的设备较多，所以配置比较费时间。在配置扩展ACL时，出现问题，在和同学讨论后解决了。本次实验总体完成的较好。
3.掌握命名访问控制列表的配置
.搭建实验环境，连接网络拓扑图
2.路由器基本配置，包括路由器命名以及各接口配置等
3.RIP路由协议配置
4.扩展ACL配置
三、实验环境：（包括拓扑图与实验设备型号）
实验设备：
路由器：2811
交换机：2960-24
主机：PC-PT
服务器：DNS FTP HTTP
拓扑图
四、实验步骤（包括：配置命令与运行结果截图）
1.配置各主机IP地址与默认网关（注意不同网段主机IP）
2.启用路由器各接口并配置局域网接口与广域网接口地址(注意区分DTE与DCE)
3.配置RIP路由协议，使得网络连通
4.配置服务器
配置主机：
5.配置扩展ACL
6.配置扩展ACL

PT 练习 5.5.1.2 基本访问控制列表(教师版)

PT 练习 5.5.1：基本访问控制列表（教师版）拓扑图地址表设备接口IP 地址子网掩码默认网关Fa0/0192.168.10.1 255.255.255.0 不适用R1Fa0/1192.168.11.1 255.255.255.0 不适用S0/0/010.1.1.1 255.255.255.252 不适用Fa0/0192.168.20.1 255.255.255.0 不适用S0/0/010.1.1.2 255.255.255.252 不适用R2S0/0/110.2.2.1 255.255.255.252 不适用Lo0209.165.200.225 255.255.255.224 不适用Fa0/0192.168.30.1 255.255.255.0 不适用R3S0/0/110.2.2.2255.255.255.252不适用地址表接下页地址表（续）S1VLAN 1192.168.10.2 255.255.255.0 192.168.10.1S2VLAN 1192.168.11.2 255.255.255.0 192.168.11.1S3VLAN 1192.168.30.2 255.255.255.0 192.168.30.1PC1网卡192.168.10.10255.255.255.0 192.168.10.1 PC2网卡192.168.11.10255.255.255.0 192.168.11.1 PC3网卡192.168.30.10255.255.255.0 192.168.30.1 Web Server网卡192.168.20.254255.255.255.0 192.168.20.1学习目标•执行基本的路由器和交换机配置•配置标准 ACL•配置扩展 ACL•使用标准 ACL 控制对 vty 线路的访问•排查 ACL 问题简介本练习将设计、应用、测试访问列表配置并排查问题。

任务 1：执行基本的路由器和交换机配置根据以下说明配置 R1、R2 和 R3 路由器以及 S1、S2 和 S3 交换机：•依照拓扑图配置主机名。

交换机的ACL配置练习

交换机的ACL配置练习在通常的网络管理中，我们都希望允许一些连接的访问，而禁止另一些连接的访问，但许多安全工具缺乏网络管理所需的基本通信流量过滤的灵活性和特定的控制手段。

三层交换机功能强大，有多种管理网络的手段，它有内置的ACL(访问控制列表)，因此我们可利用ACL(访问控制列表)控制Internet的通信流量。

以下是我们利用联想的三层交换机3508GF 来实现ACL功能的过程。

利用标准ACL控制网络访问当我们要想阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者想要拒绝某一协议簇的所有通信流量时，可以使用标准访问控制列表来实现这一目标。

标准访问控制列表检查数据包的源地址，从而允许或拒绝基于网络、子网或主机IP 地址的所有通信流量通过交换机的出口。

标准ACL的配置语句为：Switch#access-list access-list-number（1~99){permit|deny}{anyA|source[source-wildcard-mask]}{any|destination[destination-mask]}例1：允许192.168.3.0网络上的主机进行访问：Switch#access-list 1 permit 192.168.3.0 0.0.0.255例2：禁止172.10.0.0网络上的主机访问：Switch#access-list 2 deny 172.10.0.0 0.0.255.255例3：允许所有IP的访问：Switch#access-list 1 permit 0.0.0.0 255.255.255.255例4：禁止192.168.1.33主机的通信：Switch#access-list 3 deny 192.168.1.33 0.0.0.0上面的0.0.0.255和0.0.255.255等为32位的反掩码，0表示“检查相应的位”，1表示“不检查相应的位”。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

扩展 ACL 比标准 ACL 更加灵活而且精度更高。

本练习的主要内容是定义过滤标准、配置扩展 ACL、将 ACL 应用于路由器接口并检验和测试 ACL 实施。

路由器已经过配置，包括 IP 地址和EIGRP 路由。

用户执行口令是 cisco，特权执行口令是 class。

任务 1：检查当前的网络配置步骤 1. 查看路由器的运行配置。

逐一在三台路由器的特权执行模式下使用 show running-config 命令查看运行配置。

请注意，接口和路由已配置完整。

将 IP 地址配置与上面的地址表相比较。

此时，路由器上应该尚未配置任何 ACL。

本练习不需要配置 ISP 路由器。

假设 ISP 路由器不属于您的管理范畴，而是由 ISP 管理员配置和维护。

步骤 2. 确认所有设备均可访问所有其它位置。

将任何 ACL 应用于网络中之前，都必须确认网络完全连通。

如果应用 ACL 之前不测试网络连通性，排查故障会非常困难。

要确保整个网络连通，请在不同的网络设备之间使用ping 命令和tracert命令检验连接。

任务 2：评估网络策略并规划 ACL 实施步骤 1. 评估 R1 LAN 的策略。

•对于 192.168.10.0/24 网络，阻止 telnet 访问所有位置，并且阻止通过 TFTP 访问地址为192.168.20.254 的企业 Web/TFTP Server。

允许所有其它访问。

•对于 192.168.11.0/24 网络，允许通过 TFTP 和 Web 访问地址为 192.168.20.254 的企业Web/TFTP Server。

阻止从 192.168.11.0/24 网络发往 192.168.20.0/24 网络的所有其它流量。

允许所有其它访问。

步骤 2. 为 R1 LAN 规划 ACL 实施。

•用两个 ACL 可完全实施 R1 LAN 的安全策略。

•第一个 ACL 支持策略的第一部分，配置在 R1 上并应用于 Fast Ethernet 0/0 接口的入站流量。

•第二个 ACL 支持策略的第二部分，配置在 R1 上并应用于 Fast Ethernet 0/1 接口的入站流量。

步骤 3. 评估 R3 LAN 的策略。

•阻止 192.168.30.0/24 网络的所有 IP 地址访问 192.168.20.0/24 网络的所有 IP 地址。

•允许 192.168.30.0/24 的前一半地址访问所有其它目的地址。

•允许 192.168.30.0/24 的后一半地址访问 192.168.10.0/24 网络和 192.168.11.0/24 网络。

•允许 192.168.30.0/24 的后一半地址通过 Web 访问和 ICMP 访问所有其余目的地址。

•明确拒绝所有其它访问。

步骤 4. 为 R3 LAN 规划 ACL 实施。

本步骤需要在 R3 上配置一个 ACL 并应用于 FastEthernet 0/0 接口的入站流量。

步骤 5. 评估通过 ISP 进入的 Internet 流量的策略。

•仅允许 Outside Host 通过端口 80 与内部 Web Server 建立 Web 会话。

•仅允许已建立 TCP 会话进入。

•仅允许 ping 应答通过 R2。

步骤 6. 为通过 ISP 进入的 Internet 流量规划 ACL 实施。

本步骤需要在 R2 上配置一个 ACL 并应用于 Serial 0/1/0 接口的入站流量。

任务 3：配置采用数字编号的扩展 ACL步骤 1. 确定通配符掩码。

在 R1 上实施访问控制策略需要两个 ACL。

这两个 ACL 将用于拒绝整个 C 类网络。

您需要配置一个通配符掩码，匹配这些 C 类网络中每个网络的所有主机。

例如，要匹配整个 192.168.10.0/24 子网，通配符掩码就应为 0.0.0.255。

此掩码可以理解为“检查、检查、检查、忽略”，实质上能匹配整个 192.168.10.0/24 网络。

步骤 2. 为 R1 配置第一个扩展 ACL。

在全局配置模式下，使用编号 110 配置第一个 ACL。

首先需要阻止 192.168.10.0/24 网络中的所有 IP 地址telnet 至任何位置。

编写语句时，请确定您目前处于全局配置模式下。

R1(config)#access-list 110 deny tcp 192.168.10.0 0.0.0.255 any eq telnet接下来要阻止 192.168.10.0/24 网络中的所有 IP 地址通过 TFTP 访问地址为 192.168.20.254 的主机。

R1(config)#access-list 110 deny udp 192.168.10.0 0.0.0.255 host192.168.20.254 eq tftp最后要允许所有其它流量。

R1(config)#access-list 110 permit ip any any步骤 3. 为 R1 配置第二个扩展 ACL。

用编号 111 配置第二个 ACL。

允许 192.168.11.0/24 网络中的任何 IP 地址通过 WWW 访问地址为192.168.20.254 的主机。

R1(config)#access-list 111 permit tcp 192.168.11.0 0.0.0.255 host192.168.20.254 eq www然后，允许 192.168.11.0/24 网络中的任何 IP 地址通过 TFTP 访问地址为 192.168.20.254 的主机。

R1(config)#access-list 111 permit udp 192.168.11.0 0.0.0.255 host192.168.20.254 eq tftp阻止从 192.168.11.0/24 网络发往 192.168.20.0/24 网络的所有其它流量。

R1(config)#access-list 111 deny ip 192.168.11.0 0.0.0.255 192.168.20.00.0.0.255最后，允许任何其它流量。

此语句用于确保不会阻止来自其它网络的流量。

R1(config)#access-list 111 permit ip any any步骤 4. 检验 ACL 配置。

在 R1 上发出show access-lists命令，确认您的配置。

输出应类似下例：R1#show access-listsExtended IP access list 110deny tcp 192.168.10.0 0.0.0.255 any eq telnetdeny udp 192.168.10.0 0.0.0.255 host 192.168.20.254 eq tftppermit ip any anyExtended IP access list 111permit tcp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq wwwpermit udp 192.168.11.0 0.0.0.255 host 192.168.20.254 eq tftpdeny ip 192.168.11.0 0.0.0.255 192.168.20.0 0.0.0.255permit ip any any步骤 5. 将语句应用到接口。

要将 ACL 应用到某个接口，请进入该接口的接口配置模式。

配置ip access-group access-list-number {in | out}命令，将相应 ACL 应用于该接口。

每个 ACL 都用于过滤入站流量。

将 ACL 110 应用于 FastEthernet 0/0 接口，ACL 111 应用于FastEthernet 0/1 接口。

R1(config)#interface fa0/0R1(config-if)#ip access-group 279.40 cmR1(config-if)#interface fa0/1R1(config-if)#ip access-group 281.94 cm确认这两个 ACL 显示于 R1 的运行配置中而且已应用到正确的接口。

步骤 6. 测试 R1 上配置的 ACL。

配置和应用 ACL 后，必须测试是否能按照预期阻止或允许流量。

•尝试从 PC1 telnet 访问任何设备。

此流量应该阻止。

•尝试从 PC1 通过 HTTP 访问企业 Web/TFTP Server。

此流量应该允许。

•尝试从 PC2 通过 HTTP 访问 Web/TFTP Server。

此流量应该允许。

•尝试从 PC2 通过 HTTP 访问外部 Web Server。

PT 练习 5.3.4.2 配置扩展 ACL(教师版)