实验13-1:标准ACL

Ø    实验目的
通过本实验可以掌握:
(1)ACL 设计原则和工作过程
(2)定义标准ACL
(3)应用ACL
(4)标准ACL 调试

Ø    拓扑结构

本实验拒绝PC1 所在网段访问路由器R1,同时只允许主机PC2 访问路由器R1的TELNET服务。整个网络配置EIGRP 保证IP 的连通性

Ø    实验步骤
n    步骤1:配置路由器R1
R1(config)#router eigrp 90
R1(config-router)#network 192.168.12.0 0.0.0.255
R1(config-router)#network 192.168.13.0 0.0.0.255
R1(config-router)#no auto-summary
R1(config)#access-list 1 deny 192.168.24.0 0.0.0.255 //定义ACL
R1(config)#access-list 1 permit any
R1(config)#interface Serial1/0
R1(config-if)#ip access-group 1 in //在接口下应用ACL
R1(config)#access-list 2 permit 192.168.35.5
R1(config-if)#line vty 0 4
R1(config-line)#access-class 2 in //在vty 下应用ACL
R1(config-line)#password cisco
R1(config-line)#login

n     步骤2:配置路由器R2
R2(config)#router eigrp 90
R2(config-router)#no auto
R2(config-router)#network 192.168.12.0 0.0.0.255
R2(config-router)#network 192.168.24.0

n     步骤3:配置路由器R3
R3(config)#router eigrp 90
R3(config-router)#network 192.168.13.0 0.0.0.255
R3(config-router)#network 192.168.35.0 0.0.0.255
R3(config-router)#no auto-summary

n     步骤4:配置路由器R4(PC1)
 Router(config)#host PC1
 PC1(config)#no ip routing
PC1(config)#int s1/1
PC1(config-if)#ip add 192.168.24.4 255.255.255.0
PC1(config-if)#no sh
PC1(config)#ip default-network 192.168.24.2

n     步骤5:配置路由器R5(PC2)
Router(config)#host PC2
PC2(config)#no ip routing
PC2(config)#int s1/0
PC2(config-if)#ip add 192.168.35.3 255.255.255.0
PC2(config-if)#no sh
PC2(config)#ip default-network 192.168.35.3

Ø    实验调试
 在PC1 网络所在的主机上ping 192.168.12.1,应该不通,在PC2 网络所在的主机上ping192.168.13.1,应该通,在主机PC2 上TELNET 192.168.13.1,应该成功。
n    PC1#ping 192.168.12.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)

n    PC2#telnet 192.168.13.1
Trying 192.168.13.1 ... Open
User Access Verification

Password:
R1>en
n    show ip access-lists
该命令用来查看所定义的IP 访问控制列表
R1#show ip access-lists
Standard IP access list 1
    10 deny   192.168.24.0, wildcard bits 0.0.0.255 (11 matches)
    20 permit any (672 matches)
Standard IP access list 2
10 permit 192.168.35.5 (2 matches)

n    show ip interface
R1#show ip int s1/0
Serial1/0 is up, line protocol is up
  Internet address is 192.168.12.1/24
  Broadcast address is 255.255.255.255
  Address determined by setup command
  MTU is 1500 bytes
  Helper address is not set
  Directed broadcast forwarding is disabled
  Multicast reserved groups joined: 224.0.0.10
  Outgoing access list is not set
  Inbound  access list is 1

实验13-2:扩展ACL

Ø    实验目的
通过本实验可以掌握:
(1)定义扩展ACL
(2)应用扩展ACL
(3)扩展ACL 调试

Ø    拓扑结构

本实验要求只允许PC2 所在网段的主机访问路由器R1 的WWW 和TELNET 服务,并拒绝PC1 所在网段PING 路由器R1。删除实验1 中定义的ACL,保留EIGRP 的配置。

Ø    实验过程
n     步骤1:配置路由器R1
 R1(config)#no access-list 1 //删除ACL
R1(config)#no access-list 2

n     步骤2:配置路由器R2
R2(config)#acc 100 deny icmp 192.168.24.0 0.0.0.255 host 192.168.12.1
R2(config)#int s1/1
R2(config-if)#ip access-group 100 in
R2应用ACL之前,PC1能ping通R1(192.168.12.1);应用后,不能ping通了

PC1#ping 192.168.12.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)

n     步骤3:配置路由器R3
     R3(config)#acc100 permit tcp 192.168.35.0 0.0.0.255 host 192.168.13.1 eq 23
     R3(config)#acc 100 permit tcp 192.168.35.0 0.0.0.255 host 192.168.13.1  eq 80
     R3(config)#int s1/0
R3(config-if)#ip access-group 100 in
//R3应用ACL之前,PC2可以telnet到R1(192.168.13.1);应用后,不能telnet

PC2#telnet 192.168.13.1
Trying 192.168.13.1 ...
% Destination unreachable; gateway or host down

【技术要点】
尽量考虑将扩展的访问控制列表放在靠近过滤源的位置上,这样创建的过滤器就不会反过来影响其它接口上的数据流。另外,尽量使标准的访问控制列表靠近目的,由于标准访问控制列表只使用源地址,如果将其靠近源会阻止数据包流向其他端口。

实验13-3:命名ACL

命名ACL 允许在标准ACL 和扩展ACL 中,使用字符串代替前面所使用的数字来表示ACL;命名ACL 还可以被用来从某一特定的ACL 中删除个别的控制条目,这样可以让网络管理员方便地修改ACL。

Ø    实验目的
通过本实验可以掌握:
(1)定义命名ACL
(2)应用命名ACL

2.拓扑结构

实验步骤
本实验给出如何用命名ACL 来实现实验13-1 中和实验13-2 中的要求
n    在路由器R1上配置命名的标准ACL 实现实验13-1 的要求
R1(config)#ip access-list standard stand
R1(config-std-nacl)#deny 192.168.24.0 0.0.0.255
R1(config-std-nacl)#permit any
R1(config)#interface Serial1/0
R1(config-if)#ip access-group stand in
R1(config)#ip access-list standard class
R1(config-std-nacl)#permit 192.168.35.5
R1(config-if)#line vty 0 4
R1(config-line)#access-class class in
n    在路由器R1 上查看命名访问控制列表
R1#show ip access-lists
Standard IP access list class
    10 permit 192.168.35.5
Standard IP access list stand
    10 deny   192.168.24.0, wildcard bits 0.0.0.255
ermit any (48 matches)
n    在路由器R2 和R3 上配置命名的扩展ACL 实现实验11-2 的要求
R2(config)#ip access-list extended ext1
R2(config-ext-nacl)#deny icmp 192.168.24.0 0.0.0.255 host 192.168.12.1
R2(config-std-nacl)#permit ip any any
R2(config)#interface Serial1/1
R2(config-if)#ip access-group ext in

R3(config)#ip access-list extended ext2
R3(config-ext-nacl)#permit tcp 192.168.35.0 0.0.0.255 host 192.168.13.1 eq 23
R3(config-ext-nacl)#permit tcp 192.168.35.0 0.0.0.255 host 1.1.1.1 eq 80
R3(config-std-nacl)#permit ip any any
R3(config)#interface Serial1/0
R3(config-if)#ip access-group ext2 in

附加:基于时间ACL应用例子
R3(config)#time-range time //定义时间范围
R3(config-time-range)#periodic weekdays 8:00 to 18:00
R3(config)#access-list 111 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet
time-range time //在访问控制列表中调用time-range

实验16:ACL的更多相关文章

  1. [nRF51822] 11、基础实验代码解析大全 · 实验16 - 内部FLASH读写

     一.实验内容: 通过串口发送单个字符到NRF51822,NRF51822 接收到字符后将其写入到FLASH 的最后一页,之后将其读出并通过串口打印出数据. 二.nRF51822芯片内部flash知识 ...

  2. 【Python】【demo实验16】【练习实例】【打印所有水仙花数】

    题目: 打印出所有的"水仙花数",所谓"水仙花数"是指一个三位数,其各位数字立方和等于该数本身.例如:153是一个"水仙花数",因为153= ...

  3. [nRF51822] 12、基础实验代码解析大全 · 实验19 - PWM

    一.PWM概述: PWM(Pulse Width Modulation):脉冲宽度调制技术,通过对一系列脉冲的宽度进行调制,来等效地获得所需要波形. PWM 的几个基本概念: 1) 占空比:占空比是指 ...

  4. Mit 分布式系统导论,Distributed Systems ,lab1 -lab6 总结,实验一到实验六总结

    终于把Mit的分布式系统导论课的实验1-6写完了 做得有些痛苦,但是收获也很大 http://pdos.csail.mit.edu/6.824-2012/labs/index.html 把实验1-6用 ...

  5. CCNA CCNP CCIE所有实验名称完整版

    实验1:通过Console端口访问Cisco路由器  实验2:通过Telnet访问Cisco路由器  实验3:配置终端服务器  实验4:通过浏览器访问路由器  实验5:模式切换.上下文帮助及查看有关信 ...

  6. Spring(一)--作用、IOC容器细节、搭配环境、Spring实验

    1.Spring作用:      1.生态体系庞大,全能型选手![springmvc是其一个子模块,jdbcTemplate能直接操作数据库!]      2.将其他组件粘合在一起      比如将S ...

  7. haproxy配置文件详解和ACL功能

    */ .hljs { display: block; overflow-x: auto; padding: 0.5em; color: #333; background: #f8f8f8; } .hl ...

  8. 成都国嵌-嵌入式linux必修实验手册…

    emouse收集整理,转载请注明: emouse的技术专栏 博客园:http://www.cnblogs.com/emouse/ CSDN:http://blog.csdn.net/haozi_198 ...

  9. Linux实战教学笔记43:squid代理与缓存实践(二)

    第6章 squid代理模式案例 6.1 squid传统正向代理生产使用案例 6.1.1 squid传统正向代理两种方案 (1)普通代理服务器 作为代理服务器,这是SQUID的最基本功能:通过在squi ...

随机推荐

  1. wow.js 使用及效果列表

    . 基本的样式列表 具体想要什么效果官网查看就行,https://daneden.github.io/animate.css/ 当然还有几个具体的方法,就是控制移入移出的时间,如下图.

  2. Centos虚拟机安装指南

    按照文档安装有任何问题,欢迎随时留言 ·准备工作: linux发行版CentOS镜像下载地址: http://isoredirect.centos.org/centos/7/isos/x86_64/ ...

  3. HDU5521 Meeting 题解 最短路

    题目链接:http://acm.hdu.edu.cn/showproblem.php?pid=5521 题目大意: 有 \(n\) 个点 \(m\) 个集合,一个点可能处于若干个集合内,属于第 \(i ...

  4. gulp的简介以及使用方法

    环境介绍: pro环境:生产环境,面向外部用户的环境,连接上互联网即可访问的正式环境. pre环境:灰度环境,外部用户可以访问,但是服务器配置相对低,其它和生产一样. test环境:测试环境,外部用户 ...

  5. 再也不怕和老外交流了!我用python实现一个微信聊天翻译助手!

    前言 在前面的一篇文章如何用python“优雅的”调用有道翻译中咱们清楚的写过如何一层一层的解开有道翻译的面纱,并且笔者说过那只是脑洞的开始.现在笔者又回来了.当你遇到一些外国小哥哥小姐姐很心动.想结 ...

  6. Faceted project metadata file "/.settings/org.eclipse.wst.common.project.facet.core.xml" could not be read

    转载自 https://blog.csdn.net/qing_gee/article/details/79397052 Eclipse启动后项目报了下图这个错误,说是org.eclipse.wst.c ...

  7. 微信小程序之豆瓣电影

    此文是学习小程序第二天做出的一个小demo,调用了豆瓣电影的api,但是需要填上自己appId,现在项目的 目录如下图: 效果图如下: 在这个demo里面,我更改了小程序的navigationBar, ...

  8. vue中动态设置echarts画布大小

    document.getElementById('news-shopPagechart').style.height = this.heightpx2+'px'; //heightpx2定义在data ...

  9. SnowflakeId雪花ID算法,分布式自增ID应用

    概述 snowflake是Twitter开源的分布式ID生成算法,结果是一个Long型的ID.其核心思想是:使用41bit作为毫秒数,10bit作为机器的ID(5个bit是数据中心,5个bit的机器I ...

  10. js六种数据类型

    六种数据类型: undefined . boolean  .string .number .object .function 效果地址:https://scrimba.com/c/cEedDGTd 代 ...