实验13-1:标准ACL

Ø    实验目的
通过本实验可以掌握:
(1)ACL 设计原则和工作过程
(2)定义标准ACL
(3)应用ACL
(4)标准ACL 调试

Ø    拓扑结构

本实验拒绝PC1 所在网段访问路由器R1,同时只允许主机PC2 访问路由器R1的TELNET服务。整个网络配置EIGRP 保证IP 的连通性

Ø    实验步骤
n    步骤1:配置路由器R1
R1(config)#router eigrp 90
R1(config-router)#network 192.168.12.0 0.0.0.255
R1(config-router)#network 192.168.13.0 0.0.0.255
R1(config-router)#no auto-summary
R1(config)#access-list 1 deny 192.168.24.0 0.0.0.255 //定义ACL
R1(config)#access-list 1 permit any
R1(config)#interface Serial1/0
R1(config-if)#ip access-group 1 in //在接口下应用ACL
R1(config)#access-list 2 permit 192.168.35.5
R1(config-if)#line vty 0 4
R1(config-line)#access-class 2 in //在vty 下应用ACL
R1(config-line)#password cisco
R1(config-line)#login

n     步骤2:配置路由器R2
R2(config)#router eigrp 90
R2(config-router)#no auto
R2(config-router)#network 192.168.12.0 0.0.0.255
R2(config-router)#network 192.168.24.0

n     步骤3:配置路由器R3
R3(config)#router eigrp 90
R3(config-router)#network 192.168.13.0 0.0.0.255
R3(config-router)#network 192.168.35.0 0.0.0.255
R3(config-router)#no auto-summary

n     步骤4:配置路由器R4(PC1)
 Router(config)#host PC1
 PC1(config)#no ip routing
PC1(config)#int s1/1
PC1(config-if)#ip add 192.168.24.4 255.255.255.0
PC1(config-if)#no sh
PC1(config)#ip default-network 192.168.24.2

n     步骤5:配置路由器R5(PC2)
Router(config)#host PC2
PC2(config)#no ip routing
PC2(config)#int s1/0
PC2(config-if)#ip add 192.168.35.3 255.255.255.0
PC2(config-if)#no sh
PC2(config)#ip default-network 192.168.35.3

Ø    实验调试
 在PC1 网络所在的主机上ping 192.168.12.1,应该不通,在PC2 网络所在的主机上ping192.168.13.1,应该通,在主机PC2 上TELNET 192.168.13.1,应该成功。
n    PC1#ping 192.168.12.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)

n    PC2#telnet 192.168.13.1
Trying 192.168.13.1 ... Open
User Access Verification

Password:
R1>en
n    show ip access-lists
该命令用来查看所定义的IP 访问控制列表
R1#show ip access-lists
Standard IP access list 1
    10 deny   192.168.24.0, wildcard bits 0.0.0.255 (11 matches)
    20 permit any (672 matches)
Standard IP access list 2
10 permit 192.168.35.5 (2 matches)

n    show ip interface
R1#show ip int s1/0
Serial1/0 is up, line protocol is up
  Internet address is 192.168.12.1/24
  Broadcast address is 255.255.255.255
  Address determined by setup command
  MTU is 1500 bytes
  Helper address is not set
  Directed broadcast forwarding is disabled
  Multicast reserved groups joined: 224.0.0.10
  Outgoing access list is not set
  Inbound  access list is 1

实验13-2:扩展ACL

Ø    实验目的
通过本实验可以掌握:
(1)定义扩展ACL
(2)应用扩展ACL
(3)扩展ACL 调试

Ø    拓扑结构

本实验要求只允许PC2 所在网段的主机访问路由器R1 的WWW 和TELNET 服务,并拒绝PC1 所在网段PING 路由器R1。删除实验1 中定义的ACL,保留EIGRP 的配置。

Ø    实验过程
n     步骤1:配置路由器R1
 R1(config)#no access-list 1 //删除ACL
R1(config)#no access-list 2

n     步骤2:配置路由器R2
R2(config)#acc 100 deny icmp 192.168.24.0 0.0.0.255 host 192.168.12.1
R2(config)#int s1/1
R2(config-if)#ip access-group 100 in
R2应用ACL之前,PC1能ping通R1(192.168.12.1);应用后,不能ping通了

PC1#ping 192.168.12.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)

n     步骤3:配置路由器R3
     R3(config)#acc100 permit tcp 192.168.35.0 0.0.0.255 host 192.168.13.1 eq 23
     R3(config)#acc 100 permit tcp 192.168.35.0 0.0.0.255 host 192.168.13.1  eq 80
     R3(config)#int s1/0
R3(config-if)#ip access-group 100 in
//R3应用ACL之前,PC2可以telnet到R1(192.168.13.1);应用后,不能telnet

PC2#telnet 192.168.13.1
Trying 192.168.13.1 ...
% Destination unreachable; gateway or host down

【技术要点】
尽量考虑将扩展的访问控制列表放在靠近过滤源的位置上,这样创建的过滤器就不会反过来影响其它接口上的数据流。另外,尽量使标准的访问控制列表靠近目的,由于标准访问控制列表只使用源地址,如果将其靠近源会阻止数据包流向其他端口。

实验13-3:命名ACL

命名ACL 允许在标准ACL 和扩展ACL 中,使用字符串代替前面所使用的数字来表示ACL;命名ACL 还可以被用来从某一特定的ACL 中删除个别的控制条目,这样可以让网络管理员方便地修改ACL。

Ø    实验目的
通过本实验可以掌握:
(1)定义命名ACL
(2)应用命名ACL

2.拓扑结构

实验步骤
本实验给出如何用命名ACL 来实现实验13-1 中和实验13-2 中的要求
n    在路由器R1上配置命名的标准ACL 实现实验13-1 的要求
R1(config)#ip access-list standard stand
R1(config-std-nacl)#deny 192.168.24.0 0.0.0.255
R1(config-std-nacl)#permit any
R1(config)#interface Serial1/0
R1(config-if)#ip access-group stand in
R1(config)#ip access-list standard class
R1(config-std-nacl)#permit 192.168.35.5
R1(config-if)#line vty 0 4
R1(config-line)#access-class class in
n    在路由器R1 上查看命名访问控制列表
R1#show ip access-lists
Standard IP access list class
    10 permit 192.168.35.5
Standard IP access list stand
    10 deny   192.168.24.0, wildcard bits 0.0.0.255
ermit any (48 matches)
n    在路由器R2 和R3 上配置命名的扩展ACL 实现实验11-2 的要求
R2(config)#ip access-list extended ext1
R2(config-ext-nacl)#deny icmp 192.168.24.0 0.0.0.255 host 192.168.12.1
R2(config-std-nacl)#permit ip any any
R2(config)#interface Serial1/1
R2(config-if)#ip access-group ext in

R3(config)#ip access-list extended ext2
R3(config-ext-nacl)#permit tcp 192.168.35.0 0.0.0.255 host 192.168.13.1 eq 23
R3(config-ext-nacl)#permit tcp 192.168.35.0 0.0.0.255 host 1.1.1.1 eq 80
R3(config-std-nacl)#permit ip any any
R3(config)#interface Serial1/0
R3(config-if)#ip access-group ext2 in

附加:基于时间ACL应用例子
R3(config)#time-range time //定义时间范围
R3(config-time-range)#periodic weekdays 8:00 to 18:00
R3(config)#access-list 111 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet
time-range time //在访问控制列表中调用time-range

实验16:ACL的更多相关文章

  1. [nRF51822] 11、基础实验代码解析大全 · 实验16 - 内部FLASH读写

     一.实验内容: 通过串口发送单个字符到NRF51822,NRF51822 接收到字符后将其写入到FLASH 的最后一页,之后将其读出并通过串口打印出数据. 二.nRF51822芯片内部flash知识 ...

  2. 【Python】【demo实验16】【练习实例】【打印所有水仙花数】

    题目: 打印出所有的"水仙花数",所谓"水仙花数"是指一个三位数,其各位数字立方和等于该数本身.例如:153是一个"水仙花数",因为153= ...

  3. [nRF51822] 12、基础实验代码解析大全 · 实验19 - PWM

    一.PWM概述: PWM(Pulse Width Modulation):脉冲宽度调制技术,通过对一系列脉冲的宽度进行调制,来等效地获得所需要波形. PWM 的几个基本概念: 1) 占空比:占空比是指 ...

  4. Mit 分布式系统导论,Distributed Systems ,lab1 -lab6 总结,实验一到实验六总结

    终于把Mit的分布式系统导论课的实验1-6写完了 做得有些痛苦,但是收获也很大 http://pdos.csail.mit.edu/6.824-2012/labs/index.html 把实验1-6用 ...

  5. CCNA CCNP CCIE所有实验名称完整版

    实验1:通过Console端口访问Cisco路由器  实验2:通过Telnet访问Cisco路由器  实验3:配置终端服务器  实验4:通过浏览器访问路由器  实验5:模式切换.上下文帮助及查看有关信 ...

  6. Spring(一)--作用、IOC容器细节、搭配环境、Spring实验

    1.Spring作用:      1.生态体系庞大,全能型选手![springmvc是其一个子模块,jdbcTemplate能直接操作数据库!]      2.将其他组件粘合在一起      比如将S ...

  7. haproxy配置文件详解和ACL功能

    */ .hljs { display: block; overflow-x: auto; padding: 0.5em; color: #333; background: #f8f8f8; } .hl ...

  8. 成都国嵌-嵌入式linux必修实验手册…

    emouse收集整理,转载请注明: emouse的技术专栏 博客园:http://www.cnblogs.com/emouse/ CSDN:http://blog.csdn.net/haozi_198 ...

  9. Linux实战教学笔记43:squid代理与缓存实践(二)

    第6章 squid代理模式案例 6.1 squid传统正向代理生产使用案例 6.1.1 squid传统正向代理两种方案 (1)普通代理服务器 作为代理服务器,这是SQUID的最基本功能:通过在squi ...

随机推荐

  1. 浅谈Java的默认和静态方法

    目录 浅谈Java的默认和静态方法 Java新增默认方法有啥用 Java新增的静态方法有啥用 浅谈Java的默认和静态方法 允许在接口中声明默认方法和静态方法,是JDK1.8新增的特性.存在即合理,两 ...

  2. 【转】Algorithms -离散概率值(discrete)和重置、洗牌(shuffle)算法及代码

    离散概率值(discrete) 和 重置\洗牌(shuffle) 算法 及 代码 本文地址: http://blog.csdn.net/caroline_wendy/article/details/1 ...

  3. Idea 注册方式,亲测可用

    参考:https://www.cnblogs.com/aacoutlook/p/9036299.html 2018年3月 <License server>方式不能使用了,只好尝试<A ...

  4. Java和PHP加解密

    PHP代码 <?php //DES加解密工具 class DesEncrypt { var $key; var $iv; function DesEncrypt($key, $iv=0) { $ ...

  5. 【JavaWeb学习】过滤器Filter

    一.简介 Filter也称之为过滤器,它是Servlet技术中最激动人心的技术,WEB开发人员通过Filter技术,对web服务器管理的所有web资源:例如Jsp, Servlet, 静态图片文件或静 ...

  6. Bonny手机APP试用体验

    在上周四(即6月13日)下午,应王建民老师的邀请,我参观了学长学姐们的软件设计评比以及专业交流的活动,看到了形形色色学长学姐设计出的软件我觉得非常有趣,并对学长学姐们设计的软件的种类与功能感到由衷的钦 ...

  7. 唬人的Java泛型并不难

    泛型 public interface Foo<E> {}public interface Bar<T> {}public interface Zar<?> {} ...

  8. Thinkpad S440 I/O接口配置

    HDMI 视频接口 SS USB3.0接口 电源接口 音频接口 网络接口 没有com口可以用USB口,然后安装一个USB转com口的驱动.

  9. P3802 小魔女帕琪 概率与期望

    P3802 小魔女帕琪 题目背景 从前有一个聪明的小魔女帕琪,兴趣是狩猎吸血鬼. 帕琪能熟练使用七种属性(金.木.水.火.土.日.月)的魔法,除了能使用这么多种属性魔法外,她还能将两种以上属性组合,从 ...

  10. python 枚举类型

    在python中枚举是一种类(Enum,IntEnum),存放在enum模块中.枚举类型可以给一组标签赋予一组特定的值. 枚举的特点: 枚举类中不能存在相同的标签名 枚举是可迭代的 不同的枚举标签可以 ...