精华内容
下载资源
问答
  • 本文介绍了最简单的就是标准访问控制列表,他是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL。标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式。应用比较广泛,...
  • 标准访问控制列表的配置
  • 标准访问控制列表 : 根据数据包的源IP地址来允许或拒绝数据包。 访问控制列表号是1-99以及1300~1999。 扩展访问控制列表: 根据数据包的源IP地址、目的IP地址、指定协议、端口和标志来允许或拒绝数据包。 访问控制...

    原文链接:https://zhidao.baidu.com/question/344680488.html
    标准访问控制列表 :
    根据数据包的源IP地址来允许或拒绝数据包。
    访问控制列表号是1-99以及1300~1999。

    扩展访问控制列表:
    根据数据包的源IP地址、目的IP地址、指定协议、端口和标志来允许或拒绝数据包。
    访问控制列表号是100-199以及2000~2699。

    展开全文
  • ACL——标准访问控制列表

    千次阅读 2019-10-15 18:39:31
    (1)、ACL全称访问控制列表(Access Control List) (2)、基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息(如源地址、目的地址、协议口、端口号等),根据预先定义好的规则对包进行过滤...

    1.ACL概述

    (1)、ACL全称访问控制列表(Access Control List)

    (2)、基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息(如源地址、目的地址、协议口、端口号等),根据预先定义好的规则对包进行过滤,从而达到控制的目的

    (3)ACL目的:限制网络流量、提高网络性能;提供对通信流量的控制手段;提供网络访问的基本安全手段

    (4)、功能:网络中的结点分为资源结点和用户结点两大类,其中资源结点提供服务或数据,而用户结点访问资源结点所提供的服务与数据。ACL的主要功能就是一方面保护资源结点,阻止非法用户对资源结点的访问;另一方面限制特定的用户结点对资源结点的访问权限

    (5)、ACL的访问顺序

    a、按照各语句在访问列表的顺序,顺序查找,一旦找到了某一匹配条件,就结束匹配,不再检查后面的语句。

    b、如果所有语句都没有匹配,在默认情况下,虽然看不到最后一行,但最后总是拒绝全部流量的

    2.ACL的分类

    (1) 标准ACL(基于源IP地址过滤数据包,列表号取值范围1-99)

    第一步:创建ACL

    命令格式:access-list access-list-number { permit | deny } source [source-wildcard]
    (Access-list-number 表示列表号,范围为1~99)
    ([ source-wildcard] 表示针对源IP进行控制)

    应用实例:access-list 1 permit 192.168.1.0 0.0.0.255

    第二步:将ACL应用于接口
    命令格式:ip access-group access-list-number {in | out}

    下面是其他ACL操作:
    1)删除ACL
    命令格式:no access-list access-list-number

    2)在接口上取消ACL的应用
    命令格式:no ip access-group access-list-number {in | out}

    下面做一个简单的标准访问控制列表:
    在这里插入图片描述
    R2的配置:
    在这里插入图片描述
    R1的配置:
    先配置接口IP地址
    在这里插入图片描述
    PC1的配置:
    在这里插入图片描述
    PC2的配置:
    在这里插入图片描述
    PC3的配置:
    在这里插入图片描述
    先进行ping,确定互通:
    在这里插入图片描述
    配置ACL:
    先创建ACL
    (拒绝主机PC1访问PC3):access-list 1 deny host 192.168.10.2
    (允许其他所有主机访问PC3):access-list 1 permit any

    在ACL应用于接口上
    (进入接口模式):int f0/0
    (应用接口):ip access-group 1 in
    在这里插入图片描述
    最后用PC1和PC2进行pingPC3
    PC1pingPC3不同
    在这里插入图片描述
    PC2pingPC3相通
    在这里插入图片描述
    简单实验成功!

    展开全文
  • 掌握路由器上编号的标准 IP 访问列表规则及配置。只允许网段 172.16.2.0 与 172.16.4.0 的主机进行通信,不允许 172.16.1.0 去访问172.16.4.0 网段的主机。
  • 路由器的原理及配置命令,标准访问控制列表的实验配置,扩展访问控制列表配置实验,动态Nat配置,
  • 标准访问控制列表 实验目标 在路由器上配置标准访问控制列表 保护路由的Telnet安全 试验要求 定义访问控制列表 20 将访问控制列表绑定到VTY端口 试验拓扑 实验过程 在Router0上定义标准访问控制列表 Router> Router>...
  • 配置标准访问控制列表 (ACL)

    千次阅读 2020-03-28 11:06:07
    标准 ACL 是一种路由器配置脚本,根据源地址来控制路由器应该允许还是应该拒绝数据包。本练习的主要内容是定义过滤标准、配置标准 ACL、将 ACL 应用于路由器接口并检验和测试 ACL 实施。路由器已经过配置,包括 IP ...

    配置标准 ACL

    地址表
    设备	接口	IP 地址	子网掩码

    学习目标
    检查当前的网络配置
    评估网络策略并规划 ACL 实施
    配置采用数字编号的标准 ACL
    配置命名标准 ACL

    简介
    标准 ACL 是一种路由器配置脚本,根据源地址来控制路由器应该允许还是应该拒绝数据包。本练习的主要内容是定义过滤标准、配置标准 ACL、将 ACL 应用于路由器接口并检验和测试 ACL 实施。路由器已经过配置,包括 IP 地址和 EIGRP 路由。用户执行口令是 cisco,特权执行口令是 class。
    在这里插入图片描述

    任务 1:检查当前的网络配置

    步骤 1. 查看路由器的运行配置。

    逐一在三台路由器的特权执行模式下使用 show running-config 命令查看运行配置。请注意,接口和路由已配置完整。将 IP 地址配置与上面的地址表相比较。此时,路由器上应该尚未配置任何 ACL。
    本练习不需要配置 ISP 路由器。假设 ISP 路由器不属于您的管理范畴,而是由 ISP 管理员配置和维护。

    步骤 2. 确认所有设备均可访问所有其它位置。

    将任何 ACL 应用于网络中之前,都必须确认网络完全连通。如果应用 ACL 之前不测试网络连通性,排查故障可能会很困难。
    有助于连通性测试的一个步骤是查看每台设备上的路由表,确保列出了每个网络。在 R1、R2 和 R3 上发出 show ip route 命令。输出应该显示,每台设备都有路由通往其连接的网络,并且有到所有其它远程网络的动态路由。所有设备均可访问所有其它位置。
    虽然路由表有助于评估网络状态,但仍应使用 ping 命令测试连通性。完成以下测试:
    · 从 PC1 ping PC2。
    · 从 PC2 ping Outside Host。
    · 从 PC4 ping Web/TFTP Server。
    这些连通性测试都应该成功。

    任务 2:评估网络策略并规划 ACL 实施

    步骤 1. 评估 R1 LAN 的策略。

    允许 192.168.10.0/24 网络访问除 192.168.11.0/24 网络外的所有位置。
    允许 192.168.11.0/24 网络访问所有目的地址,连接到 ISP 的所有网络除外。

    步骤 2. 为 R1 LAN 规划 ACL 实施。

    用两个 ACL 可完全实施 R1 LAN 的安全策略。
    在 R1 上配置第一个 ACL,拒绝从 192.168.10.0/24 网络发往 192.168.11.0/24 网络的流量,但允许所有其它流量。
    此 ACL 应用于 R1 Fa0/1 接口的出站流量,监控发往 192.168.11.0 网络的所有流量。
    在 R2 上配置第二个 ACL,拒绝 192.168.11.0/24 网络访问 ISP,但允许所有其它流量。
    控制 R2 S0/1/0 接口的出站流量。
    ACL 语句的顺序应该从最具体到最概括。拒绝网络流量访问其它网络的语句应在允许所有其它流量的语句之前。

    步骤 3. 评估 R3 LAN 的策略

    允许 192.168.30.0/10 网络访问所有目的地址。
    拒绝主机 192.168.30.128 访问 LAN 以外的地址。

    步骤 4. 为 R3 LAN 规划 ACL 实施。

    一个 ACL 即可完全实施 R3 LAN 的安全策略。
    在 R3 上配置该 ACL,拒绝 192.168.30.128 主机访问 LAN 以外的地址,但允许 LAN 中的所有其它主机发出的流量。
    此 ACL 将应用于 Fa0/0 接口的入站流量,监控尝试离开 192.168.30.0/10 网络的所有流量。
    ACL 语句的顺序应该从最具体到最概括。拒绝 192.168.30.128 主机访问的语句应在允许所有其它流量的语句之前。

    任务 3:配置采用数字编号的标准 ACL

    步骤 1. 确定通配符掩码。

    ACL 语句中的通配符掩码用于确定要检查的 IP 源地址或 IP 目的地址的数量。若某个位为 0,则表示匹配地址中该位的值,若为 1 则忽略地址中该位的值。请记住,标准 ACL 仅检查源地址。
    由于 R1 上的 ACL 拒绝所有 192.168.10.0/24 网络的流量,因此以 192.168.10 开头的任何源 IP 地址都应拒绝。鉴于 IP 地址的最后一组二进制八位数可以忽略,所以正确的通配符掩码应为 0.0.0.255。此掩码中的每组二进制八位数可以理解为“检查、检查、检查、忽略”。
    R2 上的 ACL 还要拒绝 192.168.11.0/24 网络流量。可以使用同样的通配符掩码 0.0.0.255。

    步骤 2. 确定语句

    应在全局配置模式下配置 ACL。
    标准 ACL 使用介于 1 和 99 之间的编号。R1 上的此列表使用编号 10 ,有助于记住此 ACL 监控的是 192.168.10.0 网络。
    在 R2 上,访问列表 11 将拒绝从 192.168.11.0 网络发往任何 ISP 网络的流量,因此使用网络 192.168.11.0 和通配符掩码0.0.0.255 设置 deny 选项。
    由于 ACL 末尾有隐式 “deny any” 语句,因此必须用 permit 选项允许所有其它流量。any 选项用于指定任何源主机。
    在 R1 上执行下列配置:
    R1(config)#access-list 10 deny 192.168.10.0 0.0.0.255
    R1(config)#access-list 10 permit any

    注:ACL 配置只有按正确顺序输入所有语句后,才会获得 Packet Tracer 的评分。
    现在,请在 R2 上创建拒绝 192.168.11.0 网络并允许所有其它网络的 ACL。此 ACL 使用编号 11。在 R2 上执行下列配置:
    R2(config)#access-list 11 deny 192.168.11.0 0.0.0.255
    R2(config)#access-list 11 permit any

    步骤 3. 将语句应用到接口。

    在 R1 上,进入 Fa0/1 接口的配置模式。
    发出 ip access-group 10 out 命令,将标准 ACL 应用于该接口的出站流量。
    R1(config)#interface fa0/1
    R1(config-if)#ip access-group 10 out

    在 R2 上,进入 S0/1/0 接口的配置模式。
    发出 ip access-group 11 out 命令,将标准 ACL 应用于该接口的出站流量。
    R2(config)#interface s0/1/0
    R2(config-if)#ip access-group 11 out

    步骤 4. 检验和测试 ACL。

    配置并应用 ACL 后,PC1 (192.168.10.10) 应该无法 ping 通 PC2 (192.168.11.10),因为 ACL 10 在 R1 上应用于 Fa0/1 的出站流量。
    PC2 (192.168.11.10) 应该无法 ping 通 Web Server (209.165.201.30) 或Outside Host (209.165.202.158),但应能 ping 通其它所有位置,因为 ACL 11 在 R2 上应用于 S0/1/0 的出站流量。但 PC2 无法 ping 通 PC1,因为 R1 上的 ACL 10 会阻止 PC1 向 PC2 发送的应答。

    步骤 5. 检查结果。

    完成比例应为 67%。如果并非如此,请单击 Check Results(检查结果)查看尚未完成哪些必要部分。

    任务 4:配置命名标准 ACL

    步骤 1. 确定通配符掩码。

    R3 的访问策略规定,应该拒绝 192.168.30.128 主机访问本地 LAN 以外的任何地址。允许 192.168.30.0 网络中的所有其它主机访问所有其它位置。
    要检查一台主机,就需要检查完整的 IP 地址,可使用关键字 host 来实现。
    不匹配 host 语句的所有数据包都应允许。

    步骤 2. 确定语句。

    在 R3 上进入全局配置模式。
    发出 ip access-list standard NO_ACCESS 命令,创建名为 NO_ACCESS 的命名 ACL。您将进入 ACL 配置模式。所有 permit 和 deny 语句都在此配置模式下配置。
    使用 host 选项拒绝来自 192.168.30.128 主机的流量。
    使用 permit any 允许所有其它流量。
    在 R3 上配置以下命名 ACL:
    R3(config)#ip access-list standard NO_ACCESS
    R3(config-std-nacl)#deny host 192.168.30.128
    R3(config-std-nacl)#permit any

    步骤 3. 将语句应用到正确的接口。

    发出 ip access-group NO_ACCESS in 命令,将命名 ACL 应用于该接口的入站流量。
    应用之后,即会根据该 ACL 检查从 192.168.30.0/24 LAN 进入 Fa0/0 接口的所有流量。
    R3(config)#interface fa0/0
    R3(config-if)#ip access-group NO_ACCESS in

    步骤 4. 检验和测试 ACL。

    单击 Check Results(检查结果),然后单击 Connectivity Tests(连通性测试)。以下测试会失败:
    PC1 到 PC2
    PC2 到Outside Host
    PC2 到 Web Server
    除 PC3 和 PC4之间的 ping 以外,从 PC4 或向 PC4 发出的所有 ping

    步骤 5. 检查结果。

    完成比例应为 100%。如果并非如此,请单击 Check Results(检查结果)查看尚未完成哪些必要部分。

    展开全文
  • 访问控制列表--标准ACL

    万次阅读 多人点赞 2018-07-05 12:23:04
    访问控制列表(Access Control List,简称ACL)是根据报文字段对报文进行过滤的一种安全技术。访问控制列表通过过滤报文达到流量控制、攻击防范以及用户接入控制等功能,在现实中应用广泛。ACL根据功能的不同分为标准...

    访问控制列表(Access Control List,简称ACL)是根据报文字段对报文进行过滤的一种安全技术。访问控制列表通过过滤报文达到流量控制、攻击防范以及用户接入控制等功能,在现实中应用广泛。ACL根据功能的不同分为标准ACL和扩展ACL。标准ACL只能过滤报文的源IP地址;扩展ACL可以过滤源IP、目的IP、协议类型、端口号等。ACL的配置主要分为两个步骤:(1)根据需求编写ACL(2)ACL应用到路由器接口的某个方向。本章主要介绍各种常用ACL的编写与应用。

    1.1 实验目的

    1)了解访问控制列表的工作过程

    2)掌握标准访问控制列表的配置和应用

    3)熟悉标准ACL的调试

    1.2 实验原理

    1. 什么是访问控制列表(Access Control List?

    访问控制列表(Access Control List)是一种路由器配置脚本,它根据从数据包报头中发现的条件来控制路由器应该允许还是拒绝数据包通过。通过接入控制列表可以在路由器、三层交换机上进行网络安全属性配置,可以实现对进入路由器、三层交换机的输入数据流进行过滤,但ACL 对路由器自身产生的数据包不起作用。

    当每个数据包经过关联有 ACL 的接口时,都会与 ACL 中的语句从上到下一行一行进行比对,以便发现符合该传入数据包的模式。ACL 使用允许或拒绝规则来决定数据包的命运,通过此方式来贯彻一条或多条公司安全策略。还可以配置 ACL 来控制对网络或子网的访问。另外,也可以在VTY线路接口上使用访问控制列表,来保证telnet的连接的安全性。

    默认情况下,路由器上没有配置任何 ACL,不会过滤流量。进入路由器的流量根据路由表进行路由。如果路由器上没有使用 ACL,所有可以被路由器路由的数据包都会经过路由器到达下一个网段。ACL 主要执行以下任务:

    限制网络流量以提高网络性能。例如,如果公司政策不允许在网络中传输视频流量,那么就应该配置和应用 ACL 以阻止视频流量。这可以显著降低网络负载并提高网络性能。

    提供流量控制。ACL 可以限制路由更新的传输。如果网络状况不需要更新,便可从中节约带宽。

    提供基本的网络访问安全性。ACL 可以允许一台主机访问部分网络,同时阻止其它主机访问同一区域。例如,“人力资源”网络仅限选定用户进行访问。

    决定在路由器接口上转发或阻止哪些类型的流量。例如,ACL 可以允许电子邮件流量,但阻止所有 Telnet 流量。

    l 控制客户端可以访问网络中的哪些区域。

    屏蔽主机以允许或拒绝对网络服务的访问。ACL 可以允许或拒绝用户访问特定文件类型,例如 FTP 或 HTTP。

    2.访问控制列表的分类

    ACL的类型主要分为IP标准访问控制列表(Standard IP ACL)和IP扩展访问控制列表(Extended IP ACL)两大类:

    l IP标准访问控制列表(Standard IP ACL)。标准 ACL 根据源 IP 地址允许或拒绝流量。数据包中包含的目的地址和端口无关紧要。   

    l IP扩展访问控制列表(Extended IP ACL )。扩展 ACL 根据多种属性(例如,协议类型、源和 IP 地址、目的 IP 地址、源 TCP 或 UDP 端口、目的 TCP 或 UDP 端口)过滤 IP 数据包,并可依据协议类型信息(可选)进行更为精确的控制。

    此外还包括一些复杂的ACL,例如命名ACL,基于时间的ACL,动态ACL,自反ACL等。

    3.ACL工作原理

    ACL 要么配置用于入站流量,要么用于出站流量。入站 ACL 传入数据包经过处理之后才会被路由到出站接口。入站 ACL 非常高效,如果数据包被丢弃,则节省了执行路由查找的开销。当测试表明应允许该数据包后,路由器才会处理路由工作。图1就是入站ACL的工作原理图。

                    

    1 入站ACL工作原理

    图中显示了入站 ACL 的逻辑。如果数据包报头与某条 ACL 语句匹配,则会跳过列表中的其它语句,由匹配的语句决定是允许还是拒绝该数据包。如果数据包报头与 ACL 语句不匹配,那么将使用列表中的下一条语句测试数据包。此匹配过程会一直继续,直到抵达列表末尾。最后一条隐含的语句适用于不满足之前任何条件的所有数据包。这条最后的测试条件与这些数据包匹配,并会发出“拒绝”指令。此时路由器不会让这些数据进入或送出接口,而是直接丢弃它们。最后这条语句通常称为“隐式 deny any 语句”或“拒绝所有流量”语句。由于该语句的存在,所以 ACL 中应该至少包含一条 permit 语句,否则 ACL 将阻止所有流量。出站 ACL 传入数据包路由到出站接口后,由出站 ACL 进行处理。

                 

    2 出站ACL工作原理

    2中显示了出站 ACL 的逻辑。在数据包转发到出站接口之前,路由器检查路由表以查看是否可以路由该数据包。如果该数据包不可路由,则丢弃它。接下来,路由器检查出站接口是否配置有 ACL。如果出站接口没有配置 ACL,那么数据包可以发送到输出缓冲区。

    4. 3P原则

    在路由器上应用 ACL 的一般规则我们简称为3P原则。即我们可以为每种协议 (per protocol)、每个方向 (per direction)、每个接口 (per interface) 配置一个 ACL:

    每种协议一个 ACL: 要控制接口上的流量,必须为接口上启用的每种协议定义相应的 ACL。

    每个方向一个 ACL:一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量,必须分别定义两个 ACL。

    每个接口一个 ACL:一个 ACL 只能控制一个接口(例如快速以太网 0/0)上的流量。

    5. ACL的放置位置

    每一个路由器接口的每一个方向,每一种协议只能创建一个ACL在适当的位置放置 ACL 可以过滤掉不必要的流量,使网络更加高效。ACL 可以充当防火墙来过滤数据包并去除不必要的流量。ACL 的放置位置决定了是否能有效减少不必要的流量。例如,会被远程目的地拒绝的流量不应该消耗通往该目的地的路径上的网络资源。每个 ACL 都应该放置在最能发挥作用的位置。基本的规则是:

    将扩展 ACL 尽可能靠近要拒绝流量的源。这样,才能在不需要的流量流经网络之前将其过滤掉。

    因为标准 ACL 不会指定目的地址,所以其位置应该尽可能靠近目的地。

    6. 标准ACL的配置命令

    标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号199来创建相应的ACL。标准ACL占用路由器资源很少,是一种最基本最简单的访问控制列表格式。应用比较广泛,经常在要求控制级别较低的情况下使用。

    要配置标准ACL,首先在全局配置模式中执行以下命令:

        Router(config)#access-list access-list-number {remark | permit | deny} protocol source source-wildcard [log]

    参数说明:

    参数

    参数含义

    access-list-number

    标准ACL号码,范围从0-99,13001999

    remark

    添加备注,增强ACL的易读性

    permit

    条件匹配时允许访问

    deny

    条件匹配时拒绝访问

    protocol

    指定协议类型,egIP,TCP,UDP,ICMP

    source 

    发送数据包的网络地址或者主机地址

    source-wildcard

    通配符掩码,和源地址对应

    log

    对符合条件的数据包生成日志消息,该消息将发送到控制台

    其次,配置标准 ACL 之后,可以在接口模式下使用 ip access-group 命令将其关联到具体接口:

    Router(config-if)#ip access-group access-list-number  {in | out}

    参数

    参数含义

    ip access-group

    标准ACL号码,范围从0-99,13001999

    access-list-number

    标准ACL号码,范围从0-99,13001999

    in

    参数in限制特定设备与访问列表中地址之间的传入连接

    out

    参数out限制特定设备与访问列表中地址之间的传出连接

     

    7.标准ACL的配置实例

                     

    地址表:

    设备

    接口

    IP地址

    子网掩码

    R1

    Fa 0/0

    192.168.1.1

    255.255.255.0

    S 0/0/0

    172.16.1.2

    255.255.255.252

    R2

    S 0/0/0

    172.16.1.1

    255.255.255.252

    S 0/0/1

    172.16.1.5

    255.255.255.252

    Fa 0/0

    192.168.1

    255.255.255.0

    R3

    S 0/0/1

    172.16.1.6

    255.255.255.252

    Fa 0/0

    192.168.20.1

    255.255.255.0

    PC1

    NIC

    192.168.1.10

    255.255.255.0

    PC2

    NIC

    192.168.10

    255.255.255.0

    PC3

    NIC

    192.168.20.10

    255.255.255.0

    1 IP地址表

    本实验案例要求只允许PC1通过telnet方式登录路由器R1,R2R3。只允许PC1所在网段访问PC3所在网段。整个网络可以配置RIP或者OSPF路由协议保证整个网络的畅通。

    (1) 步骤1:配置路由器R1


    R1(config-if)#inter fa 0/0


    R1(config-if)#ip add 192.168.1.1 255.255.255.0


    R1(config-if)#no shut


    R1(config-if)#inter s 0/0/0


    R1(config-if)#ip add 172.16.1.2 255.255.255.252


    R1(config-if)#clock rate 64000


    R1(config-if)#no shut


    R1(config-if)#exit


    R1(config)#enable secret cisco  //配置enable密码


    R1(config)#router ospf 1


    R1(config-router)#network 172.16.1.0 0.0.0.3 area 0


    R1(config-router)#network 192.168.1.0 0.0.0.255 area 0  //以上3条为配置ospf路由协议,保证网络正常联通


    R1(config)#access-list 2 permit 192.168.1.10  //定义ACL2,允许源IP地址为192.168.1.10的数据包通过


    R1(config-if)#line vty 0 4


    R1(config-line)#access-class 2 in  //在接口下应用定义的ACL2,允许IP地址为192.168.1.10的主机通过TELNET连接到路由器R1


    R1(config-line)#password cisco   //配置TELNET远程登录密码为cisco


    R1(config-line)#login


    (2)步骤2:配置路由器R2


    R2(config)#inter s0/0/0


    R2(config-if)#ip add 172.16.1.1 255.255.255.252


    R2(config-if)#clock rate 64000


    R2(config-if)#no shut


    R2(config-if)#exit


    R2(config)#inter s0/0/1


    R2(config-if)#ip add 172.16.1.5 255.255.255.252


    R2(config-if)#clock rate 64000


    R2(config-if)#no shut


    R2(config-if)#exit


    R2(config)#inter fa 0/0


    R2(config-if)#ip add 192.168.1 255.255.255.0


    R2(config-if)#no shut


    R2(config-if)#exit


    R2(config)#enable secret cisco   //配置enable密码


    R2(config)# router ospf 1


    R2(config-router)#network 172.16.1.0 0.0.0.3 area 0


    R2(config-router)#network 172.16.1.4 0.0.0.3 area 0

    R2(config-router)#network 192.168.20.0 0.0.0.255 area 0  //以上4条为配置ospf路由协议,保证网络正常联通
    R2(config)#access-list 2 permit 192.168.1.10  //定义ACL2,允许源IP地址为192.168.1.10的数据包通过
    R2(config-if)#line vty 0 4
    R2(config-line)#access-class 2 in   //在接口下应用定义的ACL2,允许IP地址为192.168.1.10的主机通过TELNET连接到路由器R2
    R2(config-line)#password cisco    //配置TELNET远程登录密码为cisco
    R2(config-line)#login
    (3)步骤3:配置路由器R3
    R3(config)#inter s 0/0/1
    R3(config-if)#ip add 172.16.1.6 255.255.255.252
    R3(config-if)#clock rate 64000
    R3(config-if)#no shut
    R3(config-if)#exit
    R3(config)#inter fa 0/0
    R3(config-if)#ip add 192.168.20.1 255.255.255.0
    R3(config-if)#no shut
    R3(config-if)#exit
    R3(config)#enable secret cisco    //配置enable密码
    R3(config)# router ospf 1
    R3(config-router)#network 172.16.1.4 0.0.0.3 area 0
    R3(config-router)#network 192.168.20.0 0.0.0.255 area 0     //以上3条为配置ospf路由协议,保证网络正常联通
    R3(config)#access-list 1 permit 192.168.1.0  0.0.0.255  //定义ACL1,允许源IP地址为192.168.1.0/24的数据包通过
    R3(config)#access-list 1 deny any
    R3(config)#interface fa 0/0
    R3(config-if)#ip access-group 1 out   //在接口下应用ACL1, 允许IP地址为192.168.1.0/24的IP包从fa 0/0接口离开路由器R3
    R3(config)#access-list 2 permit 192.168.1.10     //定义ACL2,允许源IP地址为192.168.1.10的数据包通过
    R3(config-if)#line vty 0 4
    R3(config-line)#access-class 2 in   //在接口下应用定义的ACL2,允许IP地址为192.168.1.10的主机通过TELNET连接到路由器R3
    R3(config-line)#password cisco    //配置TELNET远程登录密码为cisco
    R3(config-line)#login
    【说明】
    ①ACL定义好后可以在很多地方应用,接口上应用只是其中之一,其他的常用应用包括在vty下用”access-class”命令调用,用来控制Telnet的访问,“access-class”命令只对标准ACL有效。
    ②访问控制列表表项的检查按自上而下的顺序进行,并且从第一个表项开始,所以必须考虑在访问控制列表中定义语句的次序;访问控制列表最后一条是隐含的拒绝所有deny any;
    ③路由器不对自身产生的IP数据包进行过滤;
    ④我们另外,尽量使标准的访问控制列表靠近目的,由于标准访问控制列表只使用源地址,如果将其靠近源会阻止数据包流向其他端口
    ⑤对于编号标准ACL,新添加的ACL条目只能加到最后,不能插到原来ACL条目中间,所以如果想在原来的编号标准ACL中插入某条条目,只能删掉原来的ACL内容,重新编写。
    (4)实验调试
    R3#show ip access-lists  //该命令用来查看所定义的IP访问控制列表
     Standard IP access list 1
       10 permit   192.160.1.0,wildcard bits 0.0.0.3(11 matches)
       20 deny any (405 matches)
    Standard IP access list 2
       10 permit 192.168.1.10(2 matches)
    以上输出表明路由器R2上定义的标准访问控制列表为”1”和”2”,括号中的数字表示匹配条件的数据包的个数,可以用”clear access-list counters”命令将访问控制列表计数器清零。
    R3#show ip interface fa 0/0
    FastEthernet0/0 is up, line protocol is up (connected)
      Internet address is 192.168.20.1/24
      Broadcast address is 255.255.255.255
      Address determined by setup command
      MTU is 1500
      Helper address is not set
      Directed broadcast forwarding is disabled
      Outgoing access list is 1
    Inbound  access list is not set  ......
    ***省略后面输出***
    以上输出表明在接口fa 0/0的出方向应用了访问控制列表1 

    展开全文
  • 拓扑图如下: ...Enter configuration commands, one per line....%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up ...测试结果表明标准访问控制列表配置完全正确。
  • 标准IP访问控制列表

    千次阅读 2018-02-12 17:33:41
    3.设置标准IP访问控制列表 R0: conf t ip accesst-list standard long(名随意取) permit 172.16.1.0 0.0.0.255(下面命令不跟配置信息则有默认其它都不能通过的命令) define 172.16.2.0 0.0.0.255 int ...
  • Cisco路由实验[神码]__实验36 标准访问控制列表的配置
  • 一、访问控制列表: (1)访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。 (2)访问控制是网络安全防范和保护的...
  • ACL的全称为接入控制列表(Access Control Lists),也称为访问列表(Access Lists),俗称为防火墙,在有的文档中还称之为包过滤。ACL通过定义一些规则对网络设备接口上的数据报文进行控制:允许通过或丢弃,从而...
  • 理解标准IP访问控制列表的原理及功能; 掌握编号的标准IP访问控制列表的配置方法; 二、实验背景 公司的经理部、财务部和销售部分别属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导...
  • 访问控制列表概述

    2020-03-04 11:25:34
    标准IP访问控制列表,一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分,可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表标准IP访问控制列表。扩展IP访问控制列表,扩展IP访问...
  • CISCO 访问控制列表ACL

    千次阅读 2018-06-09 15:53:20
    访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期...
  • 学习目标:①理解标准IP访问控制列表的原理及功能 ②掌握编号的标准IP访问控制列表的配置方法 1.访问控制列表的概念 ①ACLs的全称为接入控制列表(Access Control Lists),也称访问控制列表(Access Lists),...
  • 标准IP访问控制列表配置

    千次阅读 2018-03-27 13:36:39
    一、实验名称标准IP访问控制列表配置二、实验内容1.新建 Packet Tracer 拓扑图2.路由器之间通过 V.35 电缆通过串口连接, DCE 端连接在 R1 上,配置其时钟频率64000;主机与路由器通过交叉线连接。3.配置路由器接口 ...
  • ACL访问控制列表——华为ensp

    千次阅读 2020-07-29 11:27:13
    文章目录一、访问控制列表概述二、访问控制列表的功能三、访问控制列表的工作原理四、访问控制列表的类型五、ACL访问控制列表实验5.1 实验拓扑及要求5.2 实验配置流程 一、访问控制列表概述 访问控制列表(ACL)是一种...
  • ACLs 的全称为接入控制列表(Access Control Lists),也称访问控制列表(Access Lists),俗称防火墙,在有的文档中还称包过滤。ACLs 通过定义一些规则对网络设备接口上的数据 包文进行控制;允许通过或丢弃,从而...
  • ACL访问控制列表实验

    千次阅读 2018-03-14 20:26:53
    ACL访问控制列表实验...标准访问控制列表: 拓扑图: 实验步骤: 1.给PC0和服务器配IP、掩码、网关 2.配置路由器——接口配IP、掩码、设置ACL、将ACL应用在端口上 enable configure terminal interface...
  • 访问控制列表,作用及列表号

    千次阅读 2018-07-23 12:25:11
    访问控制列表 控制主机访问个数 读取第三层、第四层包头信息 根据预先定义好的规则对包进行过滤 如果匹配第一条规则,则不再往下检查,路由器将决定该数据包允许...标准访问控制列表 基于源IP地址过滤数据包 ...
  • 标准访问控制列表的配置

    千次阅读 2014-10-15 15:57:56
    access–list 11 deny/permit 192.168.1.12 0.0.0.255 192.168.1.12为源地址0.0.0.255为192.168.1.12 的反掩码 11为标准访问控制列表的编号 ip access–group 11 in/out 前提(先进入接口配置模式下) in为进...
  • 华为ENSP——ACL访问控制列表

    千次阅读 2020-08-01 11:24:33
    2、设置标准访问控制列表,使VLAN10与VLAN20不能通信 3、配置扩展访问控制列表,使AR1不能访问ftp服务器,但其他流量不受影响 实验分析: 1、实现全网互通: 要实现全网互通就应该对SW1、AR1、AR3进行正确配置,第...
  • 访问控制列表

    万次阅读 2019-06-03 21:35:17
    ACL应用场景 ACL可以通过定义规则来允许或拒绝流量的通过。 ACL是由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类,并对不同类型的报文进行不同的处理。 ACL可以根据需求来定义过滤的条件以及匹配...
  • ACL:访问控制列表 它的作用有两个: 1、访问控制-----在路由器上流量进或出的接口上规则流量; 2、定义感兴趣流量 —为其他的策略匹配流量 (在NAT中有具体的应用) ----------访问控制:将ACL列表定义好了之后,将...
  • 资源名称:Cisco访问控制列表配置指南全套资源目录: 教程目录【】Cisco访问控制列表配置004动态访问表【】013附录C 标准的访问表【】Cisco访问控制列表配置003Cisco访问表基础【】Cisco访问控制列表配置ACL总结...
  •  理解标准IP访问控制列表的原理及功能;  掌握编号的标准IP访问控制列表的配置方法; 实验背景  你是公司的网络管理员,公司的经理部、财务部们和销售部门分属于不同的3个网段,三部门之间用路由器进行信息...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 269,223
精华内容 107,689
关键字:

标准访问控制列表