一标准访问控制列表实验:

实验拓扑:

实验目的:掌握标准与扩展ACL的配置

实验要求:拒绝R1到R3的所有流量

实验步骤:

步骤1 按如上拓扑做好底层配置,并检测相邻设备之间的连通性

步骤2起静态路由,使全网互通

R1(config)#ip route 10.1.1.64 255.255.255.252 10.1.1.2

R3(config)#ip route 10.1.1.0 255.255.255.252 10.1.1.65

步骤3R3上做标准的ACL使R1不能访问R3

R3(config)#access-list 1 deny 10.1.1.1 0.0.0.0

或者使用命令

R3(config)#access-list 1 deny host 10.1.1.1

因为访问控制列表默认有一个拒绝所有的隐含条目,所以需要在最后加入一条:

R3(config)#access-list 1 permit any

标准ACL要放置在离目标近的地方,所以配置在R3S1的入向上面:

R3(config)#int s1

R3(config-if)#ip access-group 1 in

二 扩展访问控制列表实验:

实验拓扑:

实验目的:掌握扩展访问控制列表的配置

掌握如何使用扩展的访问控制列表实现网络的安全性

实验要求:拒绝任何来自192.168.1.0网络的icmp流量

只有PC1可以访问FTP服务器

实验步骤:步骤1按如上拓扑在做好底层配置,在三台路由器上启RIPv2协议,使之互通

R1(config)#router rip

R1(config-router)#version 2

R1(config-router)#no auto-summary

R1(config-rotuer)#network 10.0.0.0

R1(config-rotuer)#network 172.16.0.0

R2(config)#router rip

R2(config-router)#version 2

R2(config-router)#no auto-summary

R2(config-rotuer)#network 10.0.0.0

R3(config)#router rip

R3(config-router)#version 2

R3(config-router)#no auto-summary

R3(config-rotuer)#network 10.0.0.0

R3(config-router)#network 192.168.1.0

步骤3R3上做扩展的ACL,拒绝来自192.168.1.0网络的icmp流量

R3(config)#access-list 102 deny icmp 192.168.1.0 0.0.0.255 any

R3(config)#access-list 102 permit ip any any

R3(config)#int e0

R3(config-if)ip access-group 102 in

步骤4R1上做扩展的ACL使得只有PC1可以访问FTP服务器

注意FTP使用两个端口号,2021

R1(config)#access-list 110 permit tcp 192.168.1.1 0.0.0.0 172.16.1.2 0.0.0.0 eq 21

R1(config)#access-list 110 permit tcp 192.168.1.1 0.0.0.0 172.16.1.2 0.0.0.0 eq 20

R1(config)#int s0

R1(config-if)#ip access-group 110 in

三 命名的访问控制列表试验:

实验需求与拓扑图通上,将访问控制列表转换成命名的ACL

R3(config)#ip access-list extended deny_icmp

R3(config-ext-nacl)#deny icmp 192.168.1.0 0.0.0.255 any

R3(config-ext-nacl)#permit ip any any

R3(config)#int e0

R3(config-if)#ip access-group deny_icmp in

R1(config)#ip access-list extended deny_ftp

R1(config-ext-nacl)#permit tcp 192.168.1.1 0.0.0.0 172.16.1.2 0.0.0.0 eq 20

R1(config-ext-nacl)#permit tcp 192.168.1.1 0.0.0.0 172.16.1.2 0.0.0.0 eq 21

R1(config)#int s0

R1(config-if)#ip access-group deny_ftp in

命名ACL的最大优点在于可以修改其中任意一条,而使用编号的ACL则不能。

四:使用ACL对vty线路进行限制:

实验拓扑:

实验需求:在Router的VTY线路上通过ACL限制访问

只有PC1能够远程登录Router

实验步骤:

Router(config)#access-list 1 permit host 172.16.1.3

//因为ACL有隐含拒绝特性,所以不需要显式拒绝PC2

Router(config)#line vty 0 15

Router(config-line)#password stsd

Router(config-line)#login

Router(config-line)#access-class 1 in

标准与扩展ACL实验的更多相关文章

  1. 标准与扩展ACL

    标准与扩展ACL 案例1:配置标准ACL 案例2:配置扩展ACL 案例3:配置标准命名ACL 配置扩展命名ACL 1 案例1:配置标准ACL 1.1 问题 络调通后,保证网络是通畅的.同时也很可能出现 ...

  2. 标准ACL、扩展ACL和命名ACL的配置详解

    访问控制列表(ACL)是应用在路由器接口的指令列表(即规则).这些指令列表用来告诉路由器,那些数据包可以接受,那些数据包需要拒绝. 访问控制列表(ACL)的工作原理 ACL使用包过滤技术,在路由器上读 ...

  3. Cisco基础(四):配置标准ACL、配置扩展ACL、配置标准命名ACL、配置扩展命名ACL

    一.配置标准ACL 目标: 络调通后,保证网络是通畅的.同时也很可能出现未经授权的非法访问.企业网络既要解决连连通的问题,还要解决网络安全的问题. 配置标准ACL实现拒绝PC1(IP地址为192.16 ...

  4. ACL 实验

    一.环境准备 1. 软件:GNS3 2. 路由:c7200 二.实验操作 实验要求: 1. 掌握标准 ACL.扩展 ACL 的配置方法. 2. 掌握命名 ACL 的配置方法. 3. 掌握访问控制列表配 ...

  5. ACL实验

    ACL实验 基本配置:略 首先根据题目策略的需求1,从这个角度看,我们需要做一条高级ACL,因为我们不仅要看你是谁,还要看你去干什么事情,用高级ACL来做的话,对于我们华为设备,只写拒绝,因为华为默认 ...

  6. PHP扩展开发--实验成功

    原文:http://kimi.it/496.html http://blog.csdn.net/u011957758/article/details/72234075 ---------------- ...

  7. 扩展ACL

  8. 实验16:ACL

    实验13-1:标准ACL Ø    实验目的通过本实验可以掌握:(1)ACL 设计原则和工作过程(2)定义标准ACL(3)应用ACL(4)标准ACL 调试 Ø    拓扑结构 本实验拒绝PC1 所在网 ...

  9. cisco 的ACL

    搞网络好几年了,怎么说呢,水平一直停留在NA-NP之间,系统的学完NA后,做了不少实验,后来也维护了企业的网络,各种网络设备都玩过(在商汤用的Juniper srx 550 我认为在企业环境,非IDC ...

随机推荐

  1. 测试sql性能方法

    SET STATISTICS io ON         SET STATISTICS time ON         go          ---你要测试的sql语句          selec ...

  2. UVALive - 3026 Period kmp next数组的应用

    input n 2<=n<=1000000 长度为n的字符串,只含小写字母 output Test case #cas 长度为i时的最小循环串 循环次数(>1) 若没有则不输出 做法 ...

  3. ExecutorService的submit(Runnable x)和execute(Runnable x) 两个方法的本质区别

    Runnable任务没有返回值,而Callable任务有返回值.并且Callable的call()方法只能通过ExecutorService的submit(Callable <T> tas ...

  4. 2013最新Android常用的工具类整理

    主要介绍总结的Android开发中常用的工具类,大部分同样适用于Java. 目前包括HttpUtils.DownloadManagerPro.ShellUtils.PackageUtils. Pref ...

  5. python paramiko基本

    基本 import paramiko blade = '192.168.0.10' port = 22 username = 'admin' password = ' localpath = '/ho ...

  6. Boxes in a Line(移动盒子)

      You have n boxes in a line on the table numbered 1 . . . n from left to right. Your task is to sim ...

  7. LeetCode OJ 108. Convert Sorted Array to Binary Search Tree

    Given an array where elements are sorted in ascending order, convert it to a height balanced BST. 把一 ...

  8. HTML5的自定义属性data-*详细介绍和JS操作实例

    当然高级浏览器下可通过脚本进行定义和数据存取.在项目实践中非常有用. 例如: 复制代码 代码如下: <div id = "user" data-uid = "123 ...

  9. Bitmap和Drawable浅谈

    一.概念区别 Bitmap - 称作位图,一般位图的文件格式后缀为bmp,当然编码器也有很多如RGB565.RGB8888.作为一种逐像素的显示对象执行效率高,但是缺点也很明显存储效率低.我们理解为一 ...

  10. CDONTS组件

    在ASP中发送Email时往往需要一个COM组件支持,如果你没有第三方的Email组件,你可以使用IIS本身提供CDONTS EMail组件.这个组件使用时需要安装和启动SMTP服务.这个组件的名称为 ...