精华内容
下载资源
问答
  • ACL拓展扩展ACL(100--199)建立扩展ACL的操作步骤:1)建表2).用表 扩展ACL(100–199) 总结扩展ACL访问列表语法: Router(config)#access-list 100 permit (IP) 大协议 源地址 源反掩码 目标地址 目标反掩码 ...

    扩展ACL(100–199)

    1. 总结扩展ACL访问列表语法:
      Router(config)#access-list 100 permit (IP) 大协议 源地址 源反掩码 目标地址 目标反掩码
      access-list 100 permit IP 192.168.1.0 0.0.0.255 host 192.168.4.2

    2. 扩展列表他控制OSI七层模型的第三 四 七
      三层网络层 四层传输层 七层应用层
      IP ICMP(ping)------>TCP(0–65535)–80 23---->http(telnet)
      UDP(0–65535)–53---->dns协议

    • 注意:IP协议最大,ping 协议是(icmp)被IP地址协议包含

    建立扩展ACL的操作步骤:

    1)建表

    access-list 100 deny icmp 192.168.1.0 0.0.0.255 host 192.168.4.2
    拒绝 ping 网段
    access-list 100 deny icmp host 192.168.2.2 host 192.168.4.2
    access-list 100 permit ip 192.168.1.0 0.0.0.255 host 192.168.4.2
    access-list 100 permit ip host 192.168.2.2 host 192.168.4.2

    access-list 100 deny tcp host 172.16.1.2 host 192.168.1.2 eq www
    access-list 100 permit ip any any

    R2(config)#access-list 100 permit tcp host 1.1.1.1 host 2.2.2.2 eq ?
    <0-65535> Port number

    • ftp
      File Transfer Protocol (21)
    • pop3
      Post Office Protocol v3 (110)
    • smtp
      Simple Mail Transport Protocol (25)
    • telnet
      Telnet (23)
    • www
      World Wide Web (HTTP, 80)

    2).用表

    R2(config)#int e1/1
    R2(config-if)#ip access-group 100 out

    展开全文
  • Cisco 2811扩展ACL

    2012-02-01 13:35:18
    扩展ACL可用协议:  ahp Authentication Header Protocol  eigrp Cisco's EIGRP routing protocol  esp Encapsulation Security Payload  gre Cisco's GRE tunneling  icmp Internet Control Message

    扩展ACL可用协议:

      ahp    Authentication Header Protocol

      eigrp  Cisco's EIGRP routing protocol

      esp    Encapsulation Security Payload

      gre    Cisco's GRE tunneling

      icmp   Internet Control Message Protocol

      ip     Any Internet Protocol

      ospf   OSPF routing protocol

      tcp    Transmission Control Protocol

      udp    User Datagram Protocol

    协议icmp可用:

      <0-256>               type-num

      echo                  echo

      echo-reply            echo-reply

      host-unreachable      host-unreachable

      net-unreachable       net-unreachable

      port-unreachable      port-unreachable

      protocol-unreachable  protocol-unreachable

      ttl-exceeded          ttl-exceeded

      unreachable           unreachable

    协议ip可用:

      dscp        Match packets with given dscp value

      precedence  Match packets with given precedence value

    协议tcp可用:

      <0-65535>  Port number

      ftp        File Transfer Protocol (21)

      pop3       Post Office Protocol v3 (110)

      smtp       Simple Mail Transport Protocol (25)

      telnet     Telnet (23)

      www        World Wide Web (HTTP, 80)

    协议udp可用:

      <0-65535>      Port number

      bootpc         Bootstrap Protocol (BOOTP) client (68)

      bootps         Bootstrap Protocol (BOOTP) server (67)

      domain         Domain Name Service (DNS, 53)

      isakmp         Internet Security Association and Key Management Protocol (500)

      non500-isakmp  Internet Security Association and Key Management Protocol (4500)

      snmp           Simple Network Management Protocol (161)

      tftp           Trivial File Transfer Protocol (69)

    展开全文
  • 一、网络拓扑图二、 实验步骤:1、规划好每个...3、配置基本ACL,PC3不能实现与PC1和PC2互通,PC0能实现与所有PC机互通,并有验证,命令如下:zuo(config)#access-list 10 deny 192.168.1.0 0.0.0.255 //配置拒绝192...

    一、网络拓扑图
    思科标准ACL以及扩展ACL的配置并验证
    二、 实验步骤:
    1、规划好每个节点的IP地址,搭建以下拓扑图:
    思科标准ACL以及扩展ACL的配置并验证
    2、按照拓扑图配置个节点的IP、路由器的静态路由、PC机的网关,验证实现全网互通。

    思科标准ACL以及扩展ACL的配置并验证
    3、配置基本ACL,PC3不能实现与PC1和PC2互通,PC0能实现与所有PC机互通,并有验证,命令如下:
    zuo(config)#access-list 10 deny 192.168.1.0 0.0.0.255 //配置拒绝192.168.1.0网段的流量的规则
    zuo(config)#interface gigabitEthernet 0/2 //进入gigabitEthernet 0/2
    zuo(config-if)#ip access-group 10 in //在此端口调用规则access-list 10 ,在此端口为192.168.1.1数据的入口,所以选择in
    验证结果:
    思科标准ACL以及扩展ACL的配置并验证
    思科标准ACL以及扩展ACL的配置并验证
    由上结果可知,当规则在192.168.1.1的网关入向应用时,PC3的数据进不了路由器。取消在PC3网关上的规则,在gigabitEthernet 0/1上应用上述规则.命令如下:
    zuo(config-if)#no ip access-group 10 in //取消规则在gigabitEthernet 0/2上调用
    zuo(config-if)#interface gigabitEthernet 0/1 //进入gigabitEthernet 0/1
    zuo(config-if)#ip access-group 10 out //在gigabitEthernet 0/1上应用规则,因为gigabitEthernet 0/2只能是192.168.1.1流量的出端口,所以后面选择out
    验证:
    思科标准ACL以及扩展ACL的配置并验证
    思科标准ACL以及扩展ACL的配置并验证
    综上所述,如果当规则应用到192.168.1.1的网关上时,所有PC机都不能与PC3互通,因为PC3的数据进不了网关路由
    如果规则在PC3数据流出口配置时,不仅PC3访问不了路由器以外的设备,PC0也访问不了路由器以外的设备。因为PC2的IP与规则不匹配,默认被也被拒绝了。
    再配置一条允许除PC3以外所有的流量都能通过的规则,在同一个ACL列表下追加规则,命令如下:
    zuo(config)#access-list 10 permit any //配置允许所有流量通过
    验证:
    思科标准ACL以及扩展ACL的配置并验证
    思科标准ACL以及扩展ACL的配置并验证
    综上所述,如果在配置规则的时候,流量没有匹配住规则,则被拒绝,所以在设置针对某一流量的规则时,追加一条允许所有的规则。
    4、配置扩展ACL,允许左边的路由器远程登录右边的路由器,但不允许登录中间的路由器。
    思路:因为左边和中间路由上有两个IP所以配置规则的时候,需要写四条规则分别拒绝左边路由的三个IP访问中间路由器的两个IP,telnet的源端口随机,目标端口23,所以规则的源端口为所有,目标端口为23,命令如下:
    zuo(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 192.168.5.2 eq 23
    zuo(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 192.168.6.1 eq 23
    zuo(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.5.2 eq 23
    zuo(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.6.1 eq 23
    zuo(config)#access-list 101 deny tcp 192.168.5.1 0.0.0.0 host 192.168.5.2 eq 23
    zuo(config)#access-list 101 deny tcp 192.168.5.1 0.0.0.0 host 192.168.6.1 eq 23
    以上四条规则是拒绝左边路由的三个IP分别访问中间路由的两个IP
    zuo(config)#access-list 101 permit ip any any //允许所有TCP流量通过
    zuo(config)#interface gigabitEthernet 0/1 //进入接口gigabitEthernet 0/1
    zuo(config-if)#ip access-group 101 out //调用规则
    验证:
    思科标准ACL以及扩展ACL的配置并验证
    由上图可知,规则没有生效,原因是ACL规则只对穿越路由器的流量起作用,对路由器本身的流量不起作用。
    将上述规则应用到中间路由的gigabitEthernet 0/10端口,删除左边路由的ACL配置,在中间路由上的左边端口调用上述规则
    命令如下:
    zhong(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.5.2 eq 23
    zhong(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.6.1 eq 23
    zhong(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 192.168.6.1 eq 23
    zhong(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 192.168.5.2 eq 23
    zhong(config)#access-list 101 deny tcp 192.168.5.1 0.0.0.0 host 192.168.5.2 eq 23
    zhong(config)#access-list 101 deny tcp 192.168.5.1 0.0.0.0 host 192.168.6.1 eq 23
    zhong(config)#access-list 101 permit ip any any
    zhong(config-if)#interface gigabitEthernet 0/0
    zhong(config-if)#ip access-group 101 in
    验证:
    思科标准ACL以及扩展ACL的配置并验证
    综上所述:思科设备ACL规则,只对穿越路由器的流量起作用,对路由器本身的数据,不产生作用,而且如果所有规则都没有匹配住该流量,则默认拒绝。

    转载于:https://blog.51cto.com/13725021/2134842

    展开全文
  • 访问控制列表(ACL): 读取第三层、第四层包头信息 根据预先定义好的规则对包进行过滤 2.访问控制列表的工作原理 ACL使用网络流量控制(过滤)技术,在路由器上读取网络层和传输层的报头信息。(源IP 目标IP ...

    1.访问控制列表概述

    访问控制列表(ACL):

            读取第三层、第四层包头信息

            根据预先定义好的规则对包进行过滤

    2.访问控制列表的工作原理

    ACL使用网络流量控制(过滤)技术,在路由器上读取网络层和传输层的报头信息。(源IP  目标IP 源端口  目标端口),通过执行ACL定义的访问规则,进行数据流量控制和过滤, 达到网络访问控制的目的。

    访问控制列表在接口应用的方向:

           出:以经过路由器的处理,正离开路由器接口的数据包

           入:已到达路由器接口的数据包,将被路由器处理

    3.访问控制列表的类型

    • 标准访问控制列表

    基于源P地址过滤数据包

    标准访问控制列表的访问控制列表号是1~99

    • 扩展访问控制列表

    基于源P地址、目的P地址、指定协议、端口和标志来过滤数据包

    扩展访问控制列表的访问控制列表号是100~199

    • 命名访问控制列表

    命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号

    4.标准访问控制列表的配置

    • 全局模式下配置ACL。

    创建标准ACL的基本格式: access-list access-list-number { deny | permit } { 源地址 [ 源地址通配符掩码 ] | any } [ log ]

    其中,access-list-number是1~99的ACL编号;deny拒绝,permit允许;log是日志选项,匹配的条目信息显示在控制台上,也可以输出到日志服务器。

    例如:在某路由器R3上创建一组ACL配置如下:

      R3 (config) #access-list 1 deny 12.1.1.1    拒绝R1的IP地址12.1.1.1,通配符掩码 0.0.0.0 可以省略。

      R3 (config) #access-list 1 permit any      允许其余所有IP

    注意:访问控制列表最后隐含一条deny any 规则;ACL从上往下匹配,规则顺序不能改变。

    • 应用ACL:

    创建好列表后,要将ACL绑定到每个它想应用的接口才能实现访问控制功能。

    例如:将上述列表应用到R3的S1/0接口,配置为:

      R3 (config) #interface s1/0    

      R3 (config-if) #ip access-group 1 in  在接口下调用ACL 1,针对的是从s1/0接口进入路由器R3的流量

    • 编辑修改标准ACL

    1)删除ACL:

                                删除编号即可删除ACL。

                                命令格式:R3 (config) #no access-list 1

      2)取消ACL在接口的应用

                                命令格式:R3 (config) #int s1/0

                   R3 (config-if) #no ip access-group 1 in

      3)编辑ACL

    标准ACL不支持插入或删除一行操作,可以将现有ACL拷贝到记事本里修改,然后粘贴到路由器的命令行中。

      4)查看ACL:

                                 命令格式:R3#show access-lists

                    R3#show access-lists 1

    注:标准ACL只能对ACL源进行限制 standard。

    无论是配置标准命名ACL语句还是配置扩展命名ACL语句,都有一个可选参数Sequence-Number。Sequence-Number参数表明了配置的ACL语句在命令ACL中所处的位置,默认情况下,第一条为10,第二条为20

    5.配置标准ACL实现需求

    拓扑图如下所示:

                        

    • Router0配置

    配置默认路由

    • Router1配置

    • Router2配置

    • 配置IP地址

    • 连通性验证

    • ACL策略 :禁止PC1访问PC2,允许其他流量

    • 使用PC1 ping网关,网关阻止

    6.扩展ACL

    • Step 1 创建扩展ACL

    R2 (config) # access-list 100 deny tcp host 12.1.1.1 host 23.1.1.3 eq Telent

    R2 (config) # access-list 100 permit ip any any

    解释:Telent流量使用的是TCP协议,目标端口23

    因此此处拒绝TCP协议,源地址是R1,源端口任意;目标地址R3,目标端口23(配置语句中Telent表示23)。

    echo 表示 echo包:echo request/rely

    • Step 2 应用ACL

    将列表应用于R2的S1/0接口,当数据包进入R2的时候判断,配置为:

    R2 (config) # int s1/0

    R2 (config) # ip access-group 100 in

    • 远程登录,开启telnet功能

    Router(config)#line vty 0 4

    Router(config-line)#password 123

    Router(config-line)#login  用户登录时开启验证功能

    Router(config-line)#exit

    • 本地验证

    Router(config)#line vty 0 4

    Router(config-line)#login local

    展开全文
  • Cisco - 标准与扩展ACL 、 命名ACL

    千次阅读 2018-11-10 11:43:01
    扩展ACL 基于源IP地址、目标IP地址、指定协议、端口来过滤数据包,列表号:100~199 命名ACL 允许在标准和扩展访问列表中使用名称代替表号 ——标准ACL配置—— 1.创建ACL Router(config)# access-list (1~99) { pe...
  • 标准acl应用、 扩展acl应用、 命名acl 应用
  • 思科交换机图文设置扩展ACL的配置与应用技巧.docx
  • 访问控制列表--扩展ACL、命名的ACL

    万次阅读 多人点赞 2018-07-05 12:28:44
    2.1 实验目的(1)理解扩展ACL和标准ACL的区别(2)掌握扩展ACL的配置和应用(3)熟悉扩展ACL的调试2.2 实验原理1.扩展ACL配置命令为了更加精确地控制流量过滤,我们可以使用编号在 100 到 199 之间以及 2000 到 ...
  • 配置扩展ACL

    2019-07-27 00:31:11
    掌握扩展ACL的配置,通过实验理解扩展ACL的工作原理。 【知识点】 扩展ACL的工作原理,应用层各协议的功能。 【实验场景】 处于不同网段的两台主机上接同一台服务器,现在根据需求,需要使得PC1可以访问www,不能访问...
  • 一.ACL概述 1.简介 ACL(访问控制列表)ACL (Access Control List,访问控制列表)是一系列运用到路由器接口的策略列表。这些策略告诉路由器接收哪些数据包、拒绝哪些数据包,接收或者拒绝根据一定的规则进行,如源...
  • 使用扩展ACL可以实现更加精确的流量控制 访问控制列表号从100到199 2>扩展访问控制列表的配置: show access-list ---- 检查端口是否有ACL access-list ---- 创建扩展访问控制列表 Router(config)#access-list ...
  • Cisco(20)——扩展ACL

    千次阅读 2019-05-06 18:12:58
    利用扩展ACL访问控制列表,使得PC0不能访问PC2的FTP服务,但是可以访问PC2的其他的服务,例如DHCO服务,PC1可以与PC2互通。 实验思路: 1.划分VLAN 10和20,并加入到相应的接口中; 2.三层交换机配置接口的IP地址...
  • 【标准与扩展ACL 、 命名ACL】 Access Control Lists,访问控制列表ACL协议分类:标准ACL基于源IP地址过滤数据包,列表号:1~99扩展ACL基于源IP地址、目标IP地址、指定协议、端口来过滤数据包,列表号:100~199...
  • 任务 : 使pc0可以telnet Router4,pc1不可以telnet Router...2.在Router4上配置ACL如下 Router(config)#access-list 100 deny tcp host 192.168.3.2 host 192.168.24.4 eq telnet Router(config)#access-list 100...
  • 标准ACL+扩展ACL+命名ACL 拓扑图 配置全网互通 Router0 Router#conf Router(config)#intf0/0 Router(config-if)#ipaddress192.168.1.1255.255.255.0 Router(config-if)#no...
  • 思科高级配置(配置扩展ACL)

    千次阅读 2019-05-16 09:04:02
    1)配置扩展ACL实现拒绝PC2(IP地址为192.168.0.20)访问Web Server的web服务,但可访问其他服务。 方案 为了实现更灵活、列精确的网络控制就需要用到扩展访问控制列表了。 扩展IP访问控制列表比标准IP访问控...
  • 扩展ACL配置

    2009-12-10 09:37:56
    扩展ACL配置 1、 实验目的: 通过本次实验,我们可以掌握如下技能 1) 定义扩展ACL 2) 应用扩展ACL 3) 扩展ACL的调试 2、 实验拓扑图: 本实验的要求: 本实验只允许PC2所在的网段的主机访问路由器R2的www和telnet...
  • 扩展ACL(Extended ACL)

    2017-11-15 14:44:00
    实验来源:工大瑞普Cisco网络技术论坛要求: 1.禁止r1 telnet r42.禁止r2 ping r43.其它访问均允许 1.按照拓扑配置好各个路由器的...设置ACL(注:标准ACL应该在距离目标近的地方设置,扩展ACL应该在距离源较...
  • 一、配置标准ACL 目标: 络调通后,保证网络是通畅的。同时也很可能出现未经授权的非法访问。企业网络既要解决连连通的问题,还要解决网络安全的问题。 配置标准ACL实现拒绝PC1(IP地址为192.168.1.1)对外问...
  • 扩展ACL: ACL原理 命名ACL: 二、案例 2.1 标准ACL​ 2.2 拓展ACL(没写了。。。) 一、ACL (Access Control List )访问控制列表 ACL是一种包过滤技术。 ACL基于IP包头的IP地址、四层TCP/UDP头部的端口号、...
  • 扩展访问列表配置命令是; 命名访问控制列表配置命令是; Switch(config)#spanning-tree mode rapid-pvst 一、 访问控制列表概述 1、访问控制列表(ACL): 读取第三层、第四层包头信息 根据预先定义好的规则对包...
  • 思科CISCO ACL配置详解

    万次阅读 多人点赞 2013-04-03 01:28:21
    该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的 支持了。 访问控制列表的原理: 1、对路由器接口来说有两个方向: 入:已经到达路由器接口的
  • Packet Tracer - 配置扩展 ACL - 场景 3 地址分配表 设备 接口 IP 地址 子网掩码 默认网关 RT1 G0/0 172.31.1.126 255.255.255.224 不适用 S0/0/0 209.165.1.2 255.255.255.252 不适用 PC1 NIC 172.31.1.101 ...
  • 基本和扩展ACL 配置

    2017-11-13 22:10:00
    基本和扩展ACL实验 R1:配置RIPV2,禁用自动汇总。 FO/O.5:172.17.115.254 VLAN 5 技术 拥用管理权限 FO/O.6:172.17.116.254 VLAN 6 财务 FO/O.7:172.17.117.254 VLAN 7 市场 FO/O.8:172.17.118.254 VLAN 8 管理 ...
  • 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的...本文通过2个实例,介绍标准ACL和扩展ACL的使用方法。 在介绍案例之前,我们先来了解一下什么...
  • 使用扩展ACL封杀PING命令 实验要求:1、路由器名称为R1、R2,并配置相关的IP地址,保持其连通性。2、做扩展的访问控制列表,禁止R1PING到R2。实验过程:1、配置路由器的基本参数2、验证连通性3、创建ACL注明:扩展...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 3,748
精华内容 1,499
关键字:

思科扩展acl