思科标准与扩展ACL配置实验
一.ACL概述
1.简介
ACL(访问控制列表)ACL (Access Control List,访问控制列表)是一系列运用到路由器接口的策略列表。这些策略告诉路由器接收哪些数据包、拒绝哪些数据包,接收或者拒绝根据一定的规则进行,如源地址、目标地址、端口号等。ACL使得用户能够管理数据流,检测特定的数据包。对数据包进行丢弃跟允许等操作。
2.ACL基本原则
1.按顺序执行,由上至下,只要有一条满足,则不会继续查找。
2.任何ACL都有隐含拒绝,如果都不匹配,那么一定匹配最后的隐含拒绝所有条目
3.在接口上应用ACL,in(进)或out(出)
3.ACL的类型
1.标准ACL: access-list-number编号1~99之间的整数,只针对源地址进行过滤。
2.扩展ACL: access-list-number编号100~199之间的整数,可以同时使用源地址和目标地址作为过滤条件,还可以针对不同的协议、协议的特征、端口号、时间范围等过滤。可以更加细微的控制通信量。
3.动态ACL
4.自反ACL
5.基于时间的ACL
二.ACL实验
1.基本ACL实验
实验拓扑
实验要求
1.192.168.1.0网络主机不能访问172.16.2.0网络
2.192.168.2.0网络主机可以访问172.16.2.0网络
配置
本实验在路由器R1进行ACL配置
配置标准ACL条目
Router(config)#access-list 1 deny 192.168.1.0 0.0.0.255 //创建一个编号为1的标准ACL条目,拒绝192.168.1.0网段
Router(config)#access-list 1 permit any //除192.168.1.0网段,都允许
在接口上应用ACL
Router(config)#int se0/0/0 //进入接口
Router(config-if)#ip access-group 1 in //在接口上应用编号为1的ACL条目,并配置该接口为进口
测试结果
192.168.1.2访问172.16.2.1
可以看到192.168.1.2访问不了172.16.2.1,数据包到了R1就已经被拦截
192.168.2.2访问172.16.2.1
可以看到192.168.2.2可以正常访问172.16.2.1
至此标准ACL实验结束!!!
2.扩展ACL实验
实验拓扑
本实验继续使用上面的拓扑进行配置
实验要求
1.192.168.2.0网段不能访问172.16.2.1的web服务
2.192.168.2.0网段可以ping通172.16.2.1
配置
配置扩展ACL条目
Router(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 172.16.2.1 eq www //创建一个编号为101的扩展ACL并拒绝192.168.2.0通过tcp端口80访问172.16.2.1www服务
Router(config)#access-list 101 permit ip any any //允许所有协议端口所有网段
在接口上应用ACL
Router(config)#int se0/0/0
Router(config-if)#ip access-group 101 in
Router(config-if)#exit
测试结果
192.168.2.2访问172.16.2.1www服务
可以看到是不能访问的
192.168.2.2ping172.16.2.1
可以看到ping功能正常
至此实验结束!!!
思科标准与扩展ACL配置实验相关推荐
- 实训二十三:交换机扩展 ACL 配置
一.实验目的 1. 了解什么是扩展的 ACL: 2. 了解标准和扩展 ACL 的区别: 3. 了解扩展 ACL 不同的实现方法: 二.应用环境 1.标准 ACL 只能限制源 IP 地址,而扩展 ACL ...
- 高级ACL配置实验报告
高级ACL配置实验报告 高级ACL配置 需求描述 -允许Client 1访问 Server 1的web服务 -允许Client 1访问网络192.168.3.0 /24 -禁止Client 1 访问其 ...
- ACL配置实验报告(XDU物联网安全)
个人博客地址:https://travis1024.github.io/ ACL配置实验 一.实验目的 深入理解用ACL实现访问控制的工作原理 二.实验所用仪器(或实验环境) 计算机科学与技术学院实验 ...
- 思科交换机Portfast和Uplinkfast配置实验
以下内容摘自笔者编著的<网管员必读--网络测试.监控和实验>一书. 9.3.6 思科交换机Portfast和Uplinkfast配置 本实验的步骤很简单,只是通过反复的ping测试来验证在 ...
- 基于eNSP的ACL配置实验
目录 一.实验目的 二.实验设备 三.实验内容 四.实验步骤 1.组网 (1)搭建环境 (2)设置各主机IP地址 (3) 配置各网段的网关地址 2.配置路由器的相关设置 (1)配置路由器的端口地址 ( ...
- 华为 eNSP 高级ACL配置实验
实验目的: 禁止人事部在每天的8:00 to 18:00 访问web服务器 禁止财务部星期一到星期五的8:00 to 00:00 访问FTP服务器 IT部不受限制 大致拓扑图,如下: 以下均为第一步操 ...
- eve-ng模拟思科交换机镜像与日志配置实验
用的是eve-ng进行实验的,通过抓包验证命令的正确性 直接上图吧: 交换机命令 Switch> Switch>en Switch#conf t Enter configuration c ...
- 思科扩展ACL具体怎么配置?
1. 理解扩展ACL的应用 2. 掌握扩展ACL的配置 1. 根据实验拓扑图,完成设备的基本配置: 2. 配置EIGRP,使得全网路由可达: 3. 在R3上部署ACL,只允许192.168.1.0/2 ...
- 标准ACL,扩展ACL
标准ACL,扩展ACL ACL概述 名为访问控制列表,对数据包进行过滤,工作在三层,在接口上启用. ACL类型有三大类,基于编号ACL,基于名称ACL,基于时间ACL,这里只讲常用的编号ACL 基于编 ...
最新文章
- spacemacs各种问题修复方法
- Java扑克牌(斗地主,手中牌的排序)【Comparator】
- 深入浅出学Hive:Hive体系结构
- Java FlatMapFunction in Spark: error: is not abstract and does not override abstract method解决方案
- python爬虫常见反爬措施_爬虫常见的反爬措施有哪些
- SecureCRT护眼设置
- Linux内存管理--物理内存分配【转】
- 简单干净的C#方法设计案例:SFCUI.AjaxValue()之二
- [转]Android中在SurfaceView上高效绘图
- Android 网络下载文件 图片 httpurl
- java解析json list
- TCP-IP详解:SACK选项(Selective Acknowledgment)
- RNN中的Teacher Forcing
- python单词怎么写_python 写的查单词的脚本
- Power Platform实战技术分享
- 苹果a15处理器参数
- HCIA笔记-常读常新
- 【RT-Thread】 TinyUSB挂载成U盘和文件系统,基于STM32F405RG
- 安全测评之安全功能整改设计及代码
- 保险业务管理系统(Java+Web+SSH+MySQL)