您的位置:360文档中心› 实验十一 扩展ACL配置与调试

实验十一 扩展ACL配置与调试

合集下载

实验11:在路由器上配置访问控制ACL实验

实验11:在路由器上配置访问控制ACL实验

实验11:在路由器上配置访问控制(ACL )实验一、实验目的1、 理解ACL 的原理2、 掌握在路由器上配置ACL 的方法二、实验设备计算机中安装了Boson NetSim 网络模拟软件三、实验原理及内容IP ACL 实现对流经路由器或交换机的数据包根据一定的规则进行过滤,从而提高网络可管理性和安全性四、实验步骤1、使用Boson Network Designer 设计如下的网络拓扑图,并导入到Boson NetSim 中 (注意:这里的路由器应选择2621型号)2、按照实验目的的拓朴图对网络进行配置(过程略)3、配置Router1、Router2的动态路由Router1(config)#route ripRouter1(config-route)#version 2PC2PC1PC3 Router1 Router2192.168.1.1/24 F0/1S0/0 S0/0 F0/0 F0/0192.168.1.2/24192.168.2.1/24 192.168.2.2/24 192.168.3.1/24 192.168.3.2/24 192.168.4.1/24192.168.4.2/24Router1(config-route)#network 192.168.1.0Router1(config-route)#network 192.168.2.0Router1(config-route)#network 192.168.3.0Router2(config)#route ripRouter2(config-route)#version 2Router2(config-route)#network 192.168.3.0Router2(config-route)#network 192.168.4.0(配置Router1、Router2的静态路由Router1(config)# ip router 192.168.4.0 255.255.255 s0/0Router2(config)# ip router 192.168.1.0 255.255.255 s0/0Router2(config)# ip router 192.168.2.0 255.255.255 s0/0)4、配置IP ACLRouter2(config)#access-list 1 deny 192.168.2.0 0.0.0.255 否认,不准Router2(config)#access-list 1 permit 192.168.1.0 0.0.0.255 允许5、应用IP ACL1)Router2(config)#interface f0/02)Router2(config)#ip access-group 1 out 在接口出栈流调用6、验证测试(进入PC1)1)ping 192.168.4.2问题:能否ping通? 能(进入PC2)2)ping 192.168.4.2问题:能否ping通? 不能。

ACL实验配置

ACL实验配置

ACL实验配置ACL 高度总结:(以下总结希望都去做实验验证一下)1.为了避免 ACL 过多,号不够用,标准列表和扩展列表的范围进行了扩充标准:1-99,1300-1999扩展:100-199 ,2000-26992.路由器上的 ACL 不对自己产生的流量产生作用。

3.ACL 没有定义内容,就相当于不存在。

4.ACL 在一个接口的一个方向上只能配置一个访问列表,后面的会覆盖前面的5.不论是标准还是扩展列表,每个条目之间都是一个鼻孔出气,想要去掉某一个条目,实现不了,要么都去掉,要么都存在;但是命名的访问列表可以去掉单独的某一条目。

添加的条目会自动添加在末尾,不能在中间添加我们现在把R1和R5作为PC机,在R2、R3、R4上运行RIP v2,保障路由畅通。

一、标准ACL:要求: 192.168.1.0网络的数据不能访问192.168.4.0网络1、我们先在R2上配置ACL:access-list 1deny 192.168.1.0 0.0.0.255 拒绝192.168.1.0的数据通过access-list 1 permit any 允许其它网络的数据通过在接口上应用:interface fa0/0ip access-group 1 in 在法FA0/0口的进方向上应用ACL1测试:用PC0去ping 192.168.4.2,我们发现ping不通,说明ACL生效了,但是我们用PC0去ping其它的网络,比如ping 172.16.1.1,也ping不通,因为标准ACL只能对源进行控制,现在R2拒绝了来自192.168.1.0的数据,不管是到哪儿去的,所以R1现在哪儿都去不了。

在R2上用扩展的ping ,用192.168.1.2这个s0口的地址去ping 192.168.4.2,我们发现可以ping通,这是因为对于路由器自己产生的数据,ACL不起作用。

2、我们在R4上配置ACL:access-list 1deny 192.168.1.0 0.0.0.255 access-list 1 permit any在接口上应用:interface Serial1ip access-group 1 out 在s0口的出方向上应用ACL1在R2上把ACL去掉。

-扩展ACL实验报告

-扩展ACL实验报告
【路由与交换技术】实验报告
班级:计13本2学号:**********姓名:刘飞
实验名称扩展访问控制列表的配置
实验类型
验证型
实验日期
2016-3-17
实验地点
2S—417
实验时间(星期节次)
星期四 3、4节
指导教师
叶培顺
成绩
一、实验目的及要求:(教师填写)
1.进一步理解访问控制列表的作用及工作过程
2.掌握扩展访问控制列表的配置
拒绝所有从网络192.168.1.0来的FTP数据包到达网络
五实验总结:
本次实验需要配置的设备较多,所以配置比较费时间。在配置扩展ACL时,出现问题,在和同学讨论后解决了。本次实验总体完成的较好。
3.掌握命名访问控制列表的配置
.搭建实验环境,连接网络拓扑图
2.路由器基本配置,包括路由器命名以及各接口配置等
3.RIP路由协议配置
4.扩展ACL配置
三、实验环境:(包括拓扑图与实验设备型号)
实验设备:
路由器:2811
交换机:2960-24
主机:PC-PT
服务器:DNS FTP HTTP
拓扑图
四、实验步骤(包括:配置命令与运行结果截图)
1.配置各主机IP地址与默认网关(注意不同网段主机IP)
2.启用路由器各接口并配置局域网接口与广域网接口地址(注意区分DTE与DCE)
3.配置RIP路由协议,使得网络连通
4.配置服务器
配置主机:
5.配置扩展ACL
6.配置扩展ACL

交换机扩展ACL基本配置

交换机扩展ACL基本配置

交换机扩展ACL基本配置一、复习标准ACL配置1、标准ACL配置过程(1)定义标准ACL:access-list 数字标号 {deny|permit} <源网络号> <反掩码>(3)应用到VLAN虚接口:ip access-group 数字标号 out2、按下列要求写出配置命令序列(1)拒绝网络3内的所有计算机访问网络1(2)拒绝主机PC1访问网络1二、授新课标准ACL(访问控制列表)只能从源端控制网络中计算机的所有网络行为,如果从数据包的目标端或数据包中所请求的服务类型来控制网络行为,需要使用到扩展访问列表。

配置扩展访问列表的过程如下:1、定义扩展ACL规则:access-list 数字标号 {deny | permit} 协议 <源网络号> <反掩码> [sPort <源端口>] host IP地址 [dPort <目标端口号>]2、绑定到端口或VLAN虚接口:ip access-group 数字标号 in注意:扩展ACL的应用要尽量靠近源端。

扩展ACL的数字标号必须在100-199之间。

例:按下列结构图组网,并完成相关要求的配置。

1、下表配置VLAN2、在PC2中运行Windows2003虚拟机,并配置FTP服务(只要求能够提供匿名下载即可)和WEB服务。

3、测试PC1和PC2之间的连通性,PC1能否正确访问PC2中的2个服务?4、拒绝PC1所在网络访问PC2所在的网络。

5、取消以上一题的ACL应用6、拒绝PC1所在网络访问PC2虚拟机中的FTP服务,并测试配置是否成功?7、拒绝PC1所在网络访问PC2虚拟机中的WEB和FTP服务,并测试配置是否成功?作业:按下列拓扑结构图写出相关配置命令1、下表配置VLAN2、拒绝PC1所在网络访问PC2所在的网络。

3、拒绝PC1所在网络访问PC2虚拟机中的WEB和FTP服务。

标准ACL和扩展

标准ACL和扩展

标准A C L和扩展A C L(总5页)本页仅作为文档封面,使用时可以删除This document is for reference only-rar21year.March实验1:标准ACL一实验目的通过本实验可以掌握:(1)ACL设计原则和工作过程(2)定义标准ACL(3)应用ACL(4)标准ACL调试二拓扑结构三实验步骤(1)步骤1:配置路由器R1Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#host R1R1(config)#int fa 0/0R1(config-if)#ip addR1(config-if)#no shutR1(config-if)#%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upR1(config-if)#int fa 0/1R1(config-if)#ip addBad mask /24 for addressR1(config-if)#ip addR1(config-if)#no shutR1(config-if)#%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to upR1(config-if)#int s0/0/0R1(config-if)#ip addR1(config-if)#clock rate 64000R1(config-if)#no shut%LINK-5-CHANGED: Interface Serial0/0/0, changed state to downR1(config-if)#exitR1(config)#router eigrp 1R1(config-router)#networkR1(config-router)#networkR1(config-router)#networkR1(config-router)#no auto(2)步骤2:配置路由器R2Router>enRouter#conftEnter configuration commands, one per line. End with CNTL/Z.Router(config)#line con 0Router(config-line)#logg sRouter(config-line)#no ip domain-lRouter(config)#host R2R2(config)#int s0/0/0R2(config-if)#ip addR2(config-if)#no shutR2(config-if)#%LINK-5-CHANGED: Interface Serial0/0/0, changed state to upR2(config-if)#int s0/0/1R2(config-if)#ip add 25%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up5R2(config-if)#ip addR2(config-if)#clock rate 64000R2(config-if)#no shut%LINK-5-CHANGED: Interface Serial0/0/1, changed state to downR2(config)#int lo0R2(config-if)#%LINK-5-CHANGED: Interface Loopback0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to upR2(config-if)#ip addR2(config-if)#exitR2(config)#router eigrp 1R2(config-router)#networkR2(config-router)#networkR2(config-router)#%DUAL-5-NBRCHANGE: IP-EIGRP 1: Neighbor (Serial0/0/0) is up: new adjacencyR2(config-router)#networkR2(config-router)#no auto-summaryR2(config-router)#%DUAL-5-NBRCHANGE: IP-EIGRP 1: Neighbor (Serial0/0/0) is up: new adjacencyR2(config-router)#exitR2(config)#access-list 1 deny End with CNTL/Z.Router(config)#line con 0Router(config-line)#logg sRouter(config-line)#no ip domain-lRouter(config)#host R3R3(config)#int fa 0/0R3(config-if)#ip addR3(config-if)#no shutR3(config-if)#%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upR3(config-if)#int s0/0/1R3(config-if)#ip addR3(config-if)#no shut%LINK-5-CHANGED: Interface Serial0/0/1, changed state to upR3(config-if)#%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to upR3(config-if)#exitR3(config)#router eigrp 1R3(config-router)#networkR3(config-router)#network%DUAL-5-NBRCHANGE: IP-EIGRP 1: Neighbor (Serial0/0/1) is up: new adjacencyR3(config-router)#no auto-summary%DUAL-5-NBRCHANGE: IP-EIGRP 1: Neighbor (Serial0/0/1) is up: new adjacency四实验调试在PC1网络所在主机上ping ,应该通,在PC2网络所在的主机上ping 应该不通,在主机PC3上Telnet ,应该成功。

ACL标准ACL和扩展ACL实验任务.

ACL标准ACL和扩展ACL实验任务.

访问控制列表实验任务
项目编号 2 项目名称ACL基本配置训练对象计算机网络
专业
学时 4
课程名称《网络组建与互联》教材《网络互联技术》
目的1.访问控制列表作用
2.访问控制列表工作原理
3.访问控制列表分类
4.标准ACL的特征
5.扩展ACL的特征
6.标准ACL和扩展ACL的比较
7.通配符掩码
8.标准ACL的配置和调试
9.扩展ACL的配置和调试
10.命名ACL的配置和调试
11.access-class的应用
12.访问控制列表放置原则
一、实验环境
2个人一个小组,每人负责配置自己的路由器。

2台Cisco 2800或者2900系列路由器、一台交换机,每人一台计算机。

如下连接。

二、实验内容
1.配置各路由器的各个接口IP地址,路由器之间运行OSPF路由协议,并测试网络的连通性。

2.在R2上配置标准ACL并应用,拒绝172.16.1.10和网络172.16.2.0访问server1,测试ACL是否起
作用。

3.在R1配置扩展ACL,要求如下,同时测试ACL是否起作用。

(1)拒绝172.16.1.0网段访问server1的www服务
(2)拒绝172.16.2.0网段ping路由器R2
(3)拒绝172.16.1.10网段访问server1的DNS服务
4.将上面的编号ACL用命名的方式实现。

5.在R2上用access-class命令实现telnet的安全。

三、评分标准
1.按照要求完成各题,每个步骤20分。

标准ACL和扩展ACL

标准ACL和扩展ACL

v1.0 可编辑可修改实验1:标准ACL一实验目的通过本实验可以掌握:(1)ACL设计原则和工作过程(2)定义标准ACL(3)应用ACL(4)标准ACL调试二拓扑结构三实验步骤(1)步骤1:配置路由器R1Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#host R1R1(config)#int fa 0/0R1(config-if)#ip add shutR1(config-if)#%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state toupR1(config-if)#int fa 0/1R1(config-if)#ip add mask /24 for address add shutR1(config-if)#%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to upR1(config-if)#int s0/0/0R1(config-if)#ip add rate 64000R1(config-if)#no shut%LINK-5-CHANGED: Interface Serial0/0/0, changed state to downR1(config-if)#exitR1(config)#router eigrp 1R1(config-router)#network auto(2)步骤2:配置路由器R2Router>enRouter#conftEnter configuration commands, one per line. End with CNTL/Z.Router(config)#line con 0Router(config-line)#logg sRouter(config-line)#no ip domain-lRouter(config)#host R2R2(config)#int s0/0/0R2(config-if)#ip add shutR2(config-if)#%LINK-5-CHANGED: Interface Serial0/0/0, changed state to upR2(config-if)#int s0/0/1R2(config-if)#ip add 25%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up5 R2(config-if)#ip add rate 64000R2(config-if)#no shut%LINK-5-CHANGED: Interface Serial0/0/1, changed state to downR2(config)#int lo0R2(config-if)#%LINK-5-CHANGED: Interface Loopback0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up R2(config-if)#ip add eigrp 1R2(config-router)#network IP-EIGRP 1: Neighbor (Serial0/0/0) is up: new adjacencyR2(config-router)#network auto-summaryR2(config-router)#%DUAL-5-NBRCHANGE: IP-EIGRP 1: Neighbor (Serial0/0/0) is up: new adjacencyR2(config-router)#exitR2(config)#access-list 1 deny End with CNTL/Z.Router(config)#line con 0Router(config-line)#logg sRouter(config-line)#no ip domain-lRouter(config)#host R3R3(config)#int fa 0/0R3(config-if)#ip add shutR3(config-if)#%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upR3(config-if)#int s0/0/1R3(config-if)#ip add shut%LINK-5-CHANGED: Interface Serial0/0/1, changed state to upR3(config-if)#%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up R3(config-if)#exitR3(config)#router eigrp 1R3(config-router)#network IP-EIGRP 1: Neighbor (Serial0/0/1) is up: new adjacencyR3(config-router)#no auto-summary%DUAL-5-NBRCHANGE: IP-EIGRP 1: Neighbor (Serial0/0/1) is up: new adjacency四实验调试在PC1网络所在主机上ping ,应该通,在PC2网络所在的主机上ping 应该不通,在主机PC3上Telnet ,应该成功。

标准ACL、扩展ACL和命名ACL的配置详解

标准ACL、扩展ACL和命名ACL的配置详解

标准ACL、扩展ACL和命名ACL的配置详解访问控制列表(ACL)是应⽤在路由器接⼝的指令列表(即规则)。

这些指令列表⽤来告诉路由器,那些数据包可以接受,那些数据包需要拒绝。

访问控制列表(ACL)的⼯作原理ACL使⽤包过滤技术,在路由器上读取OSI七层模型的第3层和第4层包头中的信息。

如源地址,⽬标地址,源端⼝,⽬标端⼝等,根据预先定义好的规则,对包进⾏过滤,从⽽达到访问控制的⽬的。

ACl是⼀组规则的集合,它应⽤在路由器的某个接⼝上。

对路由器接⼝⽽⾔,访问控制列表有两个⽅向。

出:已经过路由器的处理,正离开路由器的数据包。

⼊:已到达路由器接⼝的数据包。

将被路由器处理。

如果对路由器的某接⼝应⽤了ACL,那么路由器对数据包应⽤该组规则进⾏顺序匹配,使⽤匹配即停⽌的,不匹配则使⽤默认规则的⽅式来过滤数据包。

如下图:访问控制列表的类型标准访问控制列表:根据数据包的源IP地址来允许或拒绝数据包,标准访问控制列表的访问控制列表号是1-99。

扩展访问控制列表:根据数据包的源IP地址,⽬的IP地址,指定协议,端⼝和标志,来允许或拒绝数据包。

扩展访问控制列表的访问控制列表号是100-199配置标准控制列表创建标准ACL的语法如下:Router(config)#access-list access-list-number {permit|deny} source [souce-wildcard]下⾯是命令参数的详细说明access-list-number:访问控制列表号,标准ACL取值是1-99。

permit|deny:如果满⾜规则,则允许/拒绝通过。

source:数据包的源地址,可以是主机地址,也可以是⽹络地址。

source-wildcard:通配符掩码,也叫做反码,即⼦⽹掩码去反值。

如:正常⼦⽹掩码255.255.255.0取反则是0.0.0.255。

删除已建⽴的标准ACL语法如下:Router(config)#no access-list access-list-number列如:创建⼀个ACL允许192.168.1.0⽹段的所有主机。

网络设备安装与调试chp23ACL_23.1标准ACL和扩展ACL实验指导

网络设备安装与调试chp23ACL_23.1标准ACL和扩展ACL实验指导

ACL基本配置1.实验目的通过本实验可以掌握:(1)访问控制列表作用(2)访问控制列表工作原理(3)访问控制列表分类(4)标准ACL的特征(5)扩展ACL的特征(6)标准ACL和扩展ACL的比较(7)通配符掩码(8)标准ACL的配置和调试(9)扩展ACL的配置和调试(10)命名ACL的配置和调试(11)access-class的应用(12)访问控制列表放置原则2.实验拓扑实验拓扑如图所示。

3.实验要求(1)在R2上配置标准ACL并应用,拒绝172.16.1.10和网络172.16.2.0访问server1,测试ACL是否起作用。

(2)在R1配置扩展ACL,要求如下,同时测试ACL是否起作用。

①拒绝172.16.1.0网段访问server1的www服务②拒绝172.16.2.0网段ping路由器R2③拒绝172.16.1.10网段访问server1的DNS服务4.实验步骤和调试(1)配置标准ACL在路由器R2R2(config)#access-list 1 deny host 172.16.1.10R2(config)#access-list 1 deny 172.16.2.0 0.0.0.255R2(config)#access-list 1 per anyR2(config)#int f0/0R2(config-if)#ip access-group 1 outR2#sh access-listsStandard IP access list 1deny host 172.16.1.10 (4 match(es))deny 172.16.2.0 0.0.0.255 (4 match(es))permit any (4 match(es))(2)配置扩展ACL在路由器R1R2(config)#no access-list 1R1(config)#access-list 100 deny tcp 172.16.1.0 0.0.0.255 host 172.16.3.100 eq 80R1(config)#access-list 100 deny icmp 172.16.2.0 0.0.0.255 host 172.16.12.2 R1(config)#access-list 100 deny icmp 172.16.2.0 0.0.0.255 host 172.16.3.2 R1(config)#access-list 100 deny udp host 172.16.1.10 host 172.16.3.100 eq 53 R1(config)#access-list 100 per ip an anyR1(config)#int s0/0/0R1(config-if)#ip access-group 100 outR1(config-if)#endR1#show access-lists 100Extended IP access list 100deny tcp 172.16.1.0 0.0.0.255 host 172.16.3.100 eq www (41 match(es)) deny icmp 172.16.2.0 0.0.0.255 host 172.16.12.2 (4 match(es))deny icmp 172.16.2.0 0.0.0.255 host 172.16.3.2 (4 match(es))deny udp host 172.16.1.10 host 172.16.3.100 eq domain (8 match(es))permit ip any any (11 match(es))R1#sh ip int s0/0/0Serial0/0/0 is up, line protocol is up (connected)Internet address is 172.16.12.1/24Broadcast address is 255.255.255.255Address determined by setup commandMTU is 1500Helper address is not setDirected broadcast forwarding is disabledOutgoing access list is 100Inbound access list is not setProxy ARP is enabledSecurity level is defaultSplit horizon is enabledICMP redirects are always sentICMP unreachables are always sentICMP mask replies are never sentIP fast switching is disabledIP fast switching on the same interface is disabled IP Flow switching is disabledIP Fast switching turbo vectorIP multicast fast switching is disabledIP multicast distributed fast switching is disabled Router Discovery is disabledIP output packet accounting is disabledIP access violation accounting is disabledTCP/IP header compression is disabledRTP/IP header compression is disabledProbe proxy name replies are disabledPolicy routing is disabledNetwork address translation is disabledWCCP Redirect outbound is disabledWCCP Redirect exclude is disabledBGP Policy Mapping is disabled。

网络设备配置与调试项目实训 项目8.3-扩展ACL配置

网络设备配置与调试项目实训 项目8.3-扩展ACL配置

ruijie (config)#access-list listnumber {permit|deny} protocol source source-wildcard-mask destination destination- wildcard-mask [ operator port ]
路由器名称为ruijie 处于全局配置模式
5
模块8.3 扩展ACL配置
网络中心
WEB
172.16.2.0 WEB FTP
WEB
FTP
企业内网
192.168.1.0
ቤተ መጻሕፍቲ ባይዱ
6
模块8.3 扩展ACL配置
2)扩展ACL规则 (1)依据源IP地址、目的IP地址、协议 及端口号进行过滤; (2)从上至下的检测顺序; (3)最后隐藏一条拒绝所有数据报的语 句。
项目八 局域网安全与管理
模块8.3 扩展ACL配置
模块8.3 扩展ACL配置
内容简介
描述扩展ACL的相关知识和技能训练,重 点是扩展ACL主要功能及应用配置等。
2
模块8.3 扩展ACL配置
知识目标、技能点
能够描述扩展ACL定义及应用; 掌握扩展ACL配置技能。
3
模块8.3 扩展ACL配置
11
模块8.3 扩展ACL配置
Operator:操作符(lt-小于,eq-等于, gt-大于,neg-不等于,range-包含) ; Port:端口号,用于指定端口范围,默认 为全部端口号0~65 535,只有TCP和 UDP协议指定端口范围需要两个端口号 码,其他的操作符只要一个端口号。
12
模块8.3 扩展ACL配置
路由器名称为ruijie 处于端口配置模式 ACL编号

路由与交换--ACL基本命令及其实验配置

路由与交换--ACL基本命令及其实验配置

路由与交换--ACL基本命令及其实验配置1 ACL 的配置1.1 创建 ACL标准 ACLrouter(config)#access-list <ACL表号> {permit|deny}{<源IP|host><反掩码>|any} //表号1~99扩展 ACLrouter(config)#access-list <ACL表号> {permit|deny}{<协议名称>|<端⼝号>}{<源IP><反掩码>}{<⽬的IP><反掩码>}{<关系><协议名称>} //表号101~1991.2 应⽤ ACLrouter(config-if)#{协议栈} access-group <ACL表号> {in|out} //协议栈可以为IP或IPX2 ACL 上机实验2.1 ACL 配置举例 1router(config)#access-list 1 deny 10.0.0.10.0.0.0//ACL表号为1,丢弃10.0.0.1发出的数据包,相当于 deny host 10.0.0.1router(config)#access-list 1 permit anyrouter(config)#access-list 2 permit any //ACL表号为2,可以转发任意数据包router(config)#int s0/0router(config-if)#ip access-group 1in//该接⼝输⼊⽅向应⽤ACL列表组1,拒绝来⾃10.0.0.1的数据包router(config-if)#ip access-group 2out//该接⼝输出⽅向应⽤ACL列表组2,允许发出流经该路由器的所有数据包2.2 ACL 配置举例 2router(config)#access-list 101 deny tcp 172.16.0.00.0.255.255 host 192.168.1.1 eq telnet //不允许172.16.0.0⽹络的数据包telnet主机192.168.1.1router(config)#access-list 101 permit ip any any //允许转发其他任何数据包router(config)#int s0/0router(config-if)#ip access-group 101in2.3 ACL 配置举例 3限制只允许 192.168.2.2 访问 192.168.1.2 的 80 端⼝,192.168.3.2 访问 192.168.1.2 的 DNS。

实验十一:ACL的配置

实验十一:ACL的配置

实验十一:ACL的配置一:实验目的掌握创建ACL,应用ACL,编辑ACL的相关命令。

根据网络拓扑实现:(1)不允许R1访问R3;(2)拒绝R1访问R3的Telnet流量。

二:实验过程(1)在Packet Tracer模拟器上构建ACL配置的网络拓扑结构:(2)R1的配置:Router>enaRouter#configConfiguring from terminal, memory, or network [terminal]?Enter configuration commands, one per line. End with CNTL/Z.Router(config)#host R1R1(config)#int s2/0R1(config-if)#ip add 12.1.1.1 255.255.255.0R1(config-if)#no shutR2(config-if)#clock rate 9600R1(config-if)#ip route 0.0.0.0 0.0.0.0 12.1.1.2(3)R2的配置:Router>enaRouter#configConfiguring from terminal, memory, or network [terminal]?Enter configuration commands, one per line. End with CNTL/Z.Router(config)#host R2R2(config)#int s2/0R2(config-if)#ip add 12.1.1.2 255.255.255.0R2(config-if)#no shut%LINK-5-CHANGED: Interface Serial2/0, changed state to upR2(config-if)#clock rate 9600R2(config-if)#int s3/0R2(config-if)#ip add 23.1.1.2 255.255.255.0R2(config-if)#no shut%LINK-5-CHANGED: Interface Serial3/0, changed state to downR2(config-if)#clock rate 9600R2(config-if)#end(4)R3的配置:Router>enaRouter#configConfiguring from terminal, memory, or network [terminal]?Enter configuration commands, one per line. End with CNTL/Z.Router(config)#int s3/0Router(config-if)#ip add 23.1.1.3 255.255.255.0Router(config-if)#no shut%LINK-5-CHANGED: Interface Serial3/0, changed state to upRouter(config-if)#clock rate%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial3/0, changed state to up9600Router(config-if)#end此时在R1上使用ping命令:(结果显示连通)R1#ping 23.1.1.3Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 23.1.1.3, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 47/59/63 ms (5)在R3上创建ACL,并在其s3/0口上应用该ACL:Router(config)#access-list 1 deny 12.1.1.1Router(config)#access-list 1 permit anyRouter(config)#int s3/0Router(config-if)#ip access-group 1 inRouter(config-if)#end此时再在R1上使用ping命令:(结果显示为不同)R1#ping 23.1.1.3Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 23.1.1.3, timeout is 2 seconds:.....Success rate is 0 percent (0/5)(6)取消ACL1在3/0上的应用,创建扩展ACL100,并在其s3/0口上应用该ACL:Router(config)#access-list 100 deny tcp host 12.1.1.1 host 23.1.1.3 eq TelnetRouter(config)#access-list 100 permit ip any anyRouter(config)#int s3/0Router(config-if)#ip access-group 100 inRouter(config-if)#end(7)在R1上ping23.1.1.3,可以ping通,但在R1上Telnet 23.1.1.3,提示目标不可达:R1#ping 23.1.1.3Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 23.1.1.3, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 46/59/63 msR1#telnet 23.1.1.3Trying 23.1.1.3 ...% Connection timed out; remote host not responding(7)在R2上ping23.1.1.3,可以ping通,在R2上Telnet 23.1.1.3,提示虚拟终端密码没有设置:R2#ping 23.1.1.3Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 23.1.1.3, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 31/31/32 msR2#telnet 23.1.1.3Trying 23.1.1.3 ...Open[Connection to 23.1.1.3 closed by foreign host](8)在R2上设置虚拟终端密码:Router(config)#line vty 0 4Router(config-line)#login% Login disabled on line 66, until 'password' is set% Login disabled on line 67, until 'password' is set% Login disabled on line 68, until 'password' is set% Login disabled on line 69, until 'password' is set% Login disabled on line 70, until 'password' is setRouter(config-line)#password 123456Router(config-line)#exit(9)在R2上Telnet 23.1.1.3,提示密码输入,输入密码后实现远程登录即可配置R2:R2#telnet 23.1.1.3Trying 23.1.1.3 ...OpenUser Access VerificationPassword:Router>三:实验总结访问控制列表ACL在实现配置路由器接受那些数据包,拒绝那些数据包很好用。

acl的设置步骤和工作规则

acl的设置步骤和工作规则

acl的设置步骤和工作规则ACL(Access Control List)是一种用于控制网络设备访问权限的功能。

它可以根据设定的规则,限制特定IP地址或IP地址范围对网络资源的访问。

ACL的设置步骤和工作规则对于网络管理员来说非常重要,本文将对其进行详细介绍。

一、ACL的设置步骤1. 确定访问控制的需求:在设置ACL之前,首先需要确定网络中的哪些资源需要受到访问控制的限制。

这可以包括服务器、路由器、防火墙等网络设备。

2. 创建ACL规则:根据需求,创建ACL规则,确定哪些IP地址或IP地址范围可以访问特定的网络资源。

可以根据源IP地址、目的IP地址、协议类型、端口号等参数来定义规则。

可以使用数字表示法或名称表示法来表示IP地址范围。

3. 应用ACL规则:将创建好的ACL规则应用到相应的网络设备上。

这可以通过命令行界面或图形用户界面进行操作。

在应用ACL规则之前,需要确保网络设备已经启用了ACL功能。

4. 测试ACL规则:在应用ACL规则之后,需要进行测试以确保ACL规则能够正常工作。

可以尝试从受限制的IP地址访问网络资源,或者从允许访问的IP地址访问受限制的资源,以验证ACL规则的有效性。

5. 定期审查和更新ACL规则:ACL规则应该定期进行审查和更新,以适应网络环境的变化。

例如,当新增或删除了某些网络设备时,需要相应地更新ACL规则。

二、ACL的工作规则1. ACL规则的匹配顺序:当一个数据包到达网络设备时,ACL规则将按照特定的顺序进行匹配。

一般情况下,先匹配最具体的规则,然后再匹配更一般的规则。

如果有多个规则都匹配了同一个数据包,那么将根据匹配顺序的先后来确定应用哪个规则。

2. ACL规则的优先级:ACL规则可以设置优先级,以确保某些规则的应用顺序。

较高优先级的规则将会被先应用,而较低优先级的规则则会被忽略。

这可以用来处理特定的访问需求,例如允许特定IP 地址优先访问网络资源。

3. ACL规则的动作:ACL规则可以定义不同的动作,以控制数据包的处理方式。

ACL协议配置-扩展ACL.

ACL协议配置-扩展ACL.

扩展访问控制列表的配置
第二步,使用ip access-group命令将扩展访问控制列表应用到某接口
信令类型
Router(config-if)#ip access-group access-list-number { in | out }
扩展ACL的配置实例
172.16.3.0
非172.16.0.0网段
第一步,使用access-list命令创建扩展访问控制列表
信令类型
Router(config)#access-list access-list-number { permit | deny } protocol [source source-wildcard destination destination-wildcard ] [operator port] [established] [log]
第二步,应用到接口E0的出方向
Router(config)#interface fastethernet 0/0 Router(config-if)#ip access-group 101 out
通信技术专业教学资源库 南京信息职业技术学院
谢谢
主讲:丁秀锋
通信技术专业教学资源库 南京信息职业技术学院
《数据网组建》课程
ACL基本配置
主讲:丁秀锋
目录
01 ACL配置步骤 02 扩展ACL配置 03 扩展ACL应用
ACL的配置步骤
ACL的配置包括以下两个步骤,请依次进行配置:
信令类型
1
定义访问控制列表
2
将访问控列表应用到物理端口
扩展访问控制列表的配置
Router(信co令n类fig型)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21 Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20 Router(config)#access-list 101 permit ip any any

标准ACL和扩展ACL

标准ACL和扩展ACL

实验1:标准ACL一实验目的通过本实验可以掌握:(1)ACL设计原则和工作过程(2)定义标准ACL(3)应用ACL(4)标准ACL调试二拓扑结构三实验步骤(1)步骤1:配置路由器R1Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#host R1R1(config)#int fa 0/0R1(config-if)#ip add 10.1.1.1 255.255.255.0R1(config-if)#no shutR1(config-if)#%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upR1(config-if)#int fa 0/1R1(config-if)#ip add 172.16.1.0 255.255.255.0Bad mask /24 for address 172.16.1.0R1(config-if)#ip add 172.16.1.1 255.255.255.0R1(config-if)#no shutR1(config-if)#%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state toupR1(config-if)#int s0/0/0R1(config-if)#ip add 192.168.12.1 255.255.255.0R1(config-if)#clock rate 64000R1(config-if)#no shut%LINK-5-CHANGED: Interface Serial0/0/0, changed state to downR1(config-if)#exitR1(config)#router eigrp 1R1(config-router)#network 10.1.1.0 0.0.0.255R1(config-router)#network 172.16.1.0 0.0.0.255R1(config-router)#network 192.168.12.0R1(config-router)#no auto(2)步骤2:配置路由器R2Router>enRouter#conftEnter configuration commands, one per line. End with CNTL/Z.Router(config)#line con 0Router(config-line)#logg sRouter(config-line)#no ip domain-lRouter(config)#host R2R2(config)#int s0/0/0R2(config-if)#ip add 192.168.12.2 255.255.255.0R2(config-if)#no shutR2(config-if)#%LINK-5-CHANGED: Interface Serial0/0/0, changed state to upR2(config-if)#int s0/0/1R2(config-if)#ip add 192.168.23.2 25%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up5 R2(config-if)#ip add 192.168.23.2 255.255.255.0R2(config-if)#clock rate 64000R2(config-if)#no shut%LINK-5-CHANGED: Interface Serial0/0/1, changed state to downR2(config)#int lo0R2(config-if)#%LINK-5-CHANGED: Interface Loopback0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up R2(config-if)#ip add 2.2.2.2 255.255.255.0R2(config-if)#exitR2(config)#router eigrp 1R2(config-router)#network 2.2.2.0 0.0.0.255R2(config-router)#network 192.168.12.0 0.0.0.255R2(config-router)#%DUAL-5-NBRCHANGE: IP-EIGRP 1: Neighbor 192.168.12.1 (Serial0/0/0) is up: new adjacencyR2(config-router)#network 192.168.23.0 0.0.0.255R2(config-router)#no auto-summaryR2(config-router)#%DUAL-5-NBRCHANGE: IP-EIGRP 1: Neighbor 192.168.12.1 (Serial0/0/0) is up: new adjacencyR2(config-router)#exitR2(config)#access-list 1 deny 172.16.1.0 0.0.0.255 //定义标准ACLR2(config)#access-list 1 permit anyR2(config)#interface s0/0/0R2(config-if)#ip access-group 1 in //在接口上开启ACLR2(config-if)#access-list 2 permit 172.16.3.1 //定义标准ACLR2(config)#line vty 0 4R2(config-line)#access-class 2 in //在vty上开启ACLR2(config-line)#password ciscoR2(config-line)#login(3)步骤3:配置路由器R3Router>enRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#line con 0Router(config-line)#logg sRouter(config-line)#no ip domain-lRouter(config)#host R3R3(config)#int fa 0/0R3(config-if)#ip add 172.16.3.3 255.255.255.0R3(config-if)#no shutR3(config-if)#%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upR3(config-if)#int s0/0/1R3(config-if)#ip add 192.168.23.3 255.255.255.0R3(config-if)#no shut%LINK-5-CHANGED: Interface Serial0/0/1, changed state to upR3(config-if)#%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to upR3(config-if)#exitR3(config)#router eigrp 1R3(config-router)#network 172.16.3.0 0.0.0.255R3(config-router)#network 192.168.23.0 0.0.0.255%DUAL-5-NBRCHANGE: IP-EIGRP 1: Neighbor 192.168.23.2 (Serial0/0/1) is up: newadjacencyR3(config-router)#no auto-summary%DUAL-5-NBRCHANGE: IP-EIGRP 1: Neighbor 192.168.23.2 (Serial0/0/1) is up: new adjacency四实验调试在PC1网络所在主机上ping 2.2.2.2,应该通,在PC2网络所在的主机上ping 2.2.2.2 应该不通,在主机PC3上Telnet 2.2.2.2,应该成功。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

扩展ACL配置与调试
1.实验目标
在这个实验中,我们将在Cisco 2611XM路由器上配置扩展ACL。

通过该实验我们可以进一步了解ACL的定义和应用,并且掌握扩展ACL的配置和调试。

2.实验拓扑
实验的拓扑结构如图1所示。

图1 ACL实验拓扑结构
3.实验要求
根据图1,设计扩展ACL,在R1路由器上禁止PC2所在网络的http请求和所有的telnet请求,但仍能互相ping通。

4.实验步骤
⑴、⑵、⑶、⑷步骤同实验13的操作完全相同,限于篇幅的限制,再这里就不一一讲述了。

⑸分别在R1和R2上启动HTTP服务:
R1(config)#ip http server
R2(config)#ip http server
⑹在R1路由器上禁止PC2所在网络的http请求和所有的telnet请求,但允许能够互相ping通:
①在R1路由器上配置ACL:
R1(config)# access-list 101 deny tcp 172.16.0.0 0.0.255.255 10.0.0.0 0.255.255.255 eq www
R1(config)# access-list 101 deny tcp any any eq 23
R1(config)# access-list 101 permit ip any any
R1(config)#interface s0/0
R1(config-if)#i p access-group 101 in
②测试上述配置:
A.在PC2上访问10.1.1.1的WWW服务,结果是无法访问。

B.在PC2上访问192.168.100.1的WWW服务,结果如图2所示。

图2 在PC2上访问路由器R1的s0/0的结果
【问题1】:为什么在PC2上访问同一个路由器的不同端口,会出现不同的结果?
C.在PC2上远程登录10.1.1.1和192.168.100.1的结果如图3所示。

图3 从PC2上telnet到路由器R1的不同的接口
D.从PC2上ping10.1.1.1和192.168.100.1的结果如4所示。

【问题2】:为什么在C和D的测试结果却是相同的?
③查看定义ACL列表:
R1#show access-lists
Extended IP access list 101
deny tcp 172.16.0.0 0.0.255.255 10.0.0.0 0.255.255.255 eq www (12 matches) deny tcp any any eq telnet (224 matches)
permit ip any any (122 matches)
【问题3】:为什么我们定义ACL标号没有延续实验13的标号选为3,而是101?
【问题4】:“any”代表什么含义?
【问题5】:如果想拒绝PC2到主机10.1.1.2的FTP服务,应该怎样定义ACL?
图4 从PC2上ping到路由器R1的不同的接口
5.实验问题参考答案
【问题1】:这是由我们所定义的ACL决定的,“access-list 101 deny tcp 172.16.0.0 0.0.255.255 10.0.0.0 0.255.255.255 eq www”的含义是拒绝网络172.16.0.0到网络10.0.0.0的http请求,并没有拒绝到网络192.168.100.0的http请求,所以访问192.168.100.1可以成功,而访问10.1.1.1却被拒绝。

【问题2】:同样是由我们的ACL引起的,“access-list 101 deny tcp any any eq 23” 和
“access-list 101 permit ip any any”两条语句的源和目的都是“any”,也就是全部的,当然访问的结果是一样的。

【问题3】:因为扩展ACL标号的范围是100-199。

【问题4】:“any”代表“0.0.0.0 255.255.255.255”。

【问题5】:access-list 101 deny tcp host 172.16.1.1 host 10.1.1.1 eq 21。

相关文档
最新文档