博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
标准与扩展ACL实验
阅读量:6224 次
发布时间:2019-06-21

本文共 2427 字,大约阅读时间需要 8 分钟。

一标准访问控制列表实验:

实验拓扑:

 

实验目的:掌握标准与扩展ACL的配置

实验要求:拒绝R1到R3的所有流量

实验步骤:

步骤1 按如上拓扑做好底层配置,并检测相邻设备之间的连通性

步骤2起静态路由,使全网互通

R1(config)#ip route 10.1.1.64 255.255.255.252 10.1.1.2

R3(config)#ip route 10.1.1.0 255.255.255.252 10.1.1.65

步骤3R3上做标准的ACL使R1不能访问R3

R3(config)#access-list 1 deny 10.1.1.1 0.0.0.0

或者使用命令

R3(config)#access-list 1 deny host 10.1.1.1

因为访问控制列表默认有一个拒绝所有的隐含条目,所以需要在最后加入一条:

R3(config)#access-list 1 permit any

标准ACL要放置在离目标近的地方,所以配置在R3S1的入向上面:

R3(config)#int s1

R3(config-if)#ip access-group 1 in

二 扩展访问控制列表实验:

实验拓扑:

 

实验目的:掌握扩展访问控制列表的配置

掌握如何使用扩展的访问控制列表实现网络的安全性

实验要求:拒绝任何来自192.168.1.0网络的icmp流量

只有PC1可以访问FTP服务器

实验步骤:步骤1按如上拓扑在做好底层配置,在三台路由器上启RIPv2协议,使之互通

R1(config)#router rip

R1(config-router)#version 2

R1(config-router)#no auto-summary

R1(config-rotuer)#network 10.0.0.0

R1(config-rotuer)#network 172.16.0.0

R2(config)#router rip

R2(config-router)#version 2

R2(config-router)#no auto-summary

R2(config-rotuer)#network 10.0.0.0

R3(config)#router rip

R3(config-router)#version 2

R3(config-router)#no auto-summary

R3(config-rotuer)#network 10.0.0.0

R3(config-router)#network 192.168.1.0

步骤3R3上做扩展的ACL,拒绝来自192.168.1.0网络的icmp流量

R3(config)#access-list 102 deny icmp 192.168.1.0 0.0.0.255 any

R3(config)#access-list 102 permit ip any any

R3(config)#int e0

R3(config-if)ip access-group 102 in

步骤4R1上做扩展的ACL使得只有PC1可以访问FTP服务器

注意FTP使用两个端口号,2021

R1(config)#access-list 110 permit tcp 192.168.1.1 0.0.0.0 172.16.1.2 0.0.0.0 eq 21

R1(config)#access-list 110 permit tcp 192.168.1.1 0.0.0.0 172.16.1.2 0.0.0.0 eq 20

R1(config)#int s0

R1(config-if)#ip access-group 110 in

三 命名的访问控制列表试验:

实验需求与拓扑图通上,将访问控制列表转换成命名的ACL

R3(config)#ip access-list extended deny_icmp

R3(config-ext-nacl)#deny icmp 192.168.1.0 0.0.0.255 any

R3(config-ext-nacl)#permit ip any any

R3(config)#int e0

R3(config-if)#ip access-group deny_icmp in

R1(config)#ip access-list extended deny_ftp

R1(config-ext-nacl)#permit tcp 192.168.1.1 0.0.0.0 172.16.1.2 0.0.0.0 eq 20

R1(config-ext-nacl)#permit tcp 192.168.1.1 0.0.0.0 172.16.1.2 0.0.0.0 eq 21

R1(config)#int s0

R1(config-if)#ip access-group deny_ftp in

命名ACL的最大优点在于可以修改其中任意一条,而使用编号的ACL则不能。

四:使用ACL对vty线路进行限制:

实验拓扑:

 

实验需求:在Router的VTY线路上通过ACL限制访问

只有PC1能够远程登录Router

实验步骤:

Router(config)#access-list 1 permit host 172.16.1.3

//因为ACL有隐含拒绝特性,所以不需要显式拒绝PC2

Router(config)#line vty 0 15

Router(config-line)#password stsd

Router(config-line)#login

Router(config-line)#access-class 1 in

转载于:https://www.cnblogs.com/fatt/p/4353759.html

你可能感兴趣的文章
数据挖掘学习02 - 使用weka的kmeans聚类分析
查看>>
深入浅出asterisk(二):chan_sip代码分析(上)
查看>>
正则表达式周二挑战赛 - 第八周
查看>>
股票素养
查看>>
【译】SQL Server误区30日谈-Day11-镜像在检测到故障后瞬间就能故障转移
查看>>
CDO数据结构基础(1) 转载
查看>>
【SQL语法】系列05:AND与OR
查看>>
关于document.cookie的使用
查看>>
解决phpredis 'RedisException' with message 'read error on connection'
查看>>
UTF-8的CSV文件用Excel打开会出现乱码的解决方案
查看>>
[转]求二叉树中和为给定值的所有路径
查看>>
as3 操作xml
查看>>
MongoDB Replica Set 配置
查看>>
如何学习linux操作系统
查看>>
C语言关键字:auto、static、register、const、volatile 、extern 总结 <转>
查看>>
简明Linux命令行笔记:tail
查看>>
简明Linux命令行笔记:umask
查看>>
验证用户必选CheckBox控件
查看>>
紧跟时代步伐,让我们拥抱MVC 3
查看>>
RubyMine 5 RC 发布,新特性一览
查看>>