一标准访问控制列表实验:

实验拓扑:

实验目的:掌握标准与扩展ACL的配置

实验要求:拒绝R1到R3的所有流量

实验步骤:

步骤1 按如上拓扑做好底层配置,并检测相邻设备之间的连通性

步骤2起静态路由,使全网互通

R1(config)#ip route 10.1.1.64 255.255.255.252 10.1.1.2

R3(config)#ip route 10.1.1.0 255.255.255.252 10.1.1.65

步骤3R3上做标准的ACL使R1不能访问R3

R3(config)#access-list 1 deny 10.1.1.1 0.0.0.0

或者使用命令

R3(config)#access-list 1 deny host 10.1.1.1

因为访问控制列表默认有一个拒绝所有的隐含条目,所以需要在最后加入一条:

R3(config)#access-list 1 permit any

标准ACL要放置在离目标近的地方,所以配置在R3S1的入向上面:

R3(config)#int s1

R3(config-if)#ip access-group 1 in

二 扩展访问控制列表实验:

实验拓扑:

实验目的:掌握扩展访问控制列表的配置

掌握如何使用扩展的访问控制列表实现网络的安全性

实验要求:拒绝任何来自192.168.1.0网络的icmp流量

只有PC1可以访问FTP服务器

实验步骤:步骤1按如上拓扑在做好底层配置,在三台路由器上启RIPv2协议,使之互通

R1(config)#router rip

R1(config-router)#version 2

R1(config-router)#no auto-summary

R1(config-rotuer)#network 10.0.0.0

R1(config-rotuer)#network 172.16.0.0

R2(config)#router rip

R2(config-router)#version 2

R2(config-router)#no auto-summary

R2(config-rotuer)#network 10.0.0.0

R3(config)#router rip

R3(config-router)#version 2

R3(config-router)#no auto-summary

R3(config-rotuer)#network 10.0.0.0

R3(config-router)#network 192.168.1.0

步骤3R3上做扩展的ACL,拒绝来自192.168.1.0网络的icmp流量

R3(config)#access-list 102 deny icmp 192.168.1.0 0.0.0.255 any

R3(config)#access-list 102 permit ip any any

R3(config)#int e0

R3(config-if)ip access-group 102 in

步骤4R1上做扩展的ACL使得只有PC1可以访问FTP服务器

注意FTP使用两个端口号,2021

R1(config)#access-list 110 permit tcp 192.168.1.1 0.0.0.0 172.16.1.2 0.0.0.0 eq 21

R1(config)#access-list 110 permit tcp 192.168.1.1 0.0.0.0 172.16.1.2 0.0.0.0 eq 20

R1(config)#int s0

R1(config-if)#ip access-group 110 in

三 命名的访问控制列表试验:

实验需求与拓扑图通上,将访问控制列表转换成命名的ACL

R3(config)#ip access-list extended deny_icmp

R3(config-ext-nacl)#deny icmp 192.168.1.0 0.0.0.255 any

R3(config-ext-nacl)#permit ip any any

R3(config)#int e0

R3(config-if)#ip access-group deny_icmp in

R1(config)#ip access-list extended deny_ftp

R1(config-ext-nacl)#permit tcp 192.168.1.1 0.0.0.0 172.16.1.2 0.0.0.0 eq 20

R1(config-ext-nacl)#permit tcp 192.168.1.1 0.0.0.0 172.16.1.2 0.0.0.0 eq 21

R1(config)#int s0

R1(config-if)#ip access-group deny_ftp in

命名ACL的最大优点在于可以修改其中任意一条,而使用编号的ACL则不能。

四:使用ACL对vty线路进行限制:

实验拓扑:

实验需求:在Router的VTY线路上通过ACL限制访问

只有PC1能够远程登录Router

实验步骤:

Router(config)#access-list 1 permit host 172.16.1.3

//因为ACL有隐含拒绝特性,所以不需要显式拒绝PC2

Router(config)#line vty 0 15

Router(config-line)#password stsd

Router(config-line)#login

Router(config-line)#access-class 1 in

标准与扩展ACL实验的更多相关文章

  1. 标准与扩展ACL

    标准与扩展ACL 案例1:配置标准ACL 案例2:配置扩展ACL 案例3:配置标准命名ACL 配置扩展命名ACL 1 案例1:配置标准ACL 1.1 问题 络调通后,保证网络是通畅的.同时也很可能出现 ...

  2. 标准ACL、扩展ACL和命名ACL的配置详解

    访问控制列表(ACL)是应用在路由器接口的指令列表(即规则).这些指令列表用来告诉路由器,那些数据包可以接受,那些数据包需要拒绝. 访问控制列表(ACL)的工作原理 ACL使用包过滤技术,在路由器上读 ...

  3. Cisco基础(四):配置标准ACL、配置扩展ACL、配置标准命名ACL、配置扩展命名ACL

    一.配置标准ACL 目标: 络调通后,保证网络是通畅的.同时也很可能出现未经授权的非法访问.企业网络既要解决连连通的问题,还要解决网络安全的问题. 配置标准ACL实现拒绝PC1(IP地址为192.16 ...

  4. ACL 实验

    一.环境准备 1. 软件:GNS3 2. 路由:c7200 二.实验操作 实验要求: 1. 掌握标准 ACL.扩展 ACL 的配置方法. 2. 掌握命名 ACL 的配置方法. 3. 掌握访问控制列表配 ...

  5. ACL实验

    ACL实验 基本配置:略 首先根据题目策略的需求1,从这个角度看,我们需要做一条高级ACL,因为我们不仅要看你是谁,还要看你去干什么事情,用高级ACL来做的话,对于我们华为设备,只写拒绝,因为华为默认 ...

  6. PHP扩展开发--实验成功

    原文:http://kimi.it/496.html http://blog.csdn.net/u011957758/article/details/72234075 ---------------- ...

  7. 扩展ACL

  8. 实验16:ACL

    实验13-1:标准ACL Ø    实验目的通过本实验可以掌握:(1)ACL 设计原则和工作过程(2)定义标准ACL(3)应用ACL(4)标准ACL 调试 Ø    拓扑结构 本实验拒绝PC1 所在网 ...

  9. cisco 的ACL

    搞网络好几年了,怎么说呢,水平一直停留在NA-NP之间,系统的学完NA后,做了不少实验,后来也维护了企业的网络,各种网络设备都玩过(在商汤用的Juniper srx 550 我认为在企业环境,非IDC ...

随机推荐

  1. Android:如何实现更换主题

    关键代码:setTheme(int ID); 注意点: 1.设置主题必须要在setContentView() 之前调用,所以需要写个Intent去重新开启Activity. 2.为了切换主题保证流畅性 ...

  2. HDU 5810 Balls and Boxes

    n*(m-1)/(m*m) #pragma comment(linker, "/STACK:1024000000,1024000000") #include<cstdio&g ...

  3. ios UIApplication简单使用

    每个app有且只有一个UIApplication对象,当程序启动的时候通过调用UIApplicationMain方法得到的.可以通过sharedApplication方法得到. UIApplicati ...

  4. 笔记整理--Linux守护进程

    Linux多进程开发(三)进程创建之守护进程的学习 - _Liang_Happy_Life__Dream - 51CTO技术博客 - Google Chrome (2013/10/11 16:48:2 ...

  5. hdu_5787_K-wolf Number(数位DP)

    题目链接:hdu_5787_K-wolf Number 题意: 给你一个区间,让你找满足任意k个数位内都没有相同的数字的个数 题解: 因为k不大,就直接将当前pos的前k-1个数传进去就行了 #inc ...

  6. openwrt ramips随记

    ar71xx / brcm47xx / brcm63xx / ramips是指cpu的系列,ramips是指ralink系列的

  7. Entity Framework技巧系列之十四 - Tip 56

    提示56. 使用反射提供程序编写一个OData Service 在TechEd我收到一大堆有关将数据作为OData暴露的问题. 到目前为止你大概知道可以使用数据服务与Entity Framework将 ...

  8. cmd命令行查看当前系统版本和版本是32位还是64位

  9. 解决不能打开wifi问题

    使用 命令svc wifi来调试,避免使用GUI 相关资料  https://community.freescale.com/thread/319407 D/WifiService( 313): se ...

  10. 报表Reporting S而vice是 错误的解决

    Reporting Services 错误 报表服务器无法打开与报表服务器数据库的连接.所有请求和处理都要求与数据库建立连接. (rsReportServerDatabaseUnavailable)获 ...