精华内容
下载资源
问答
  • 扩展ACL

    2021-05-31 23:12:37
    扩展ACL的配置 创建扩展ACL Router(config)# access-list access-list-number {permit|deny} protocol {source source-wildcard destination destination-wildcard} [operator operan] access-list-number: ...

     

    扩展ACL的配置

     

    创建扩展ACL

    Router(config)# access-list access-list-number {permit|deny} protocol {source source-wildcard destination destination-wildcard} [operator operan]

     

    access-list-number: ACL表号,范围在100-199

    protocol: 用来指定协议类型,如IP,TCP,UDP,ICMP等

    source,destination:源地址和目的地址

    operator operan:lt,gt,eq,neq一个端口号

     

    允许网络192.168.1.0/24访问网络192.168.2.0/24的IP流量通过,而拒绝其他任何流量

    Router(config)# access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

    Router(config)# access-list 101 deny ip any any

     

    拒绝网络192.168.1.0/24访问FTP服务器192.168.2.2/24的IP流量通过,而允许其他任何流量

    access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.2.2 0.0.0.255 eq 21

    access-list 101 permit ip any any

     

    禁止网络192.168.1.0/24中的主机ping通服务器192.168.2.2/24,而允许其他任何流量

    access-list 101 deny icmp 192.168.1.0 0.0.0.255 host 192.168.2.2 0.0.0.255 echo

    access-list 101 permit ip any any

     

    将扩展ACL应用于接口

    Router(config-if)# ip access-group access-list-number {in |out}

    取消接ACL接口的应用

    Router(config-if)# no ip access-group access-list-number {in |out}

    插入一条新策略

    Router(config)# ip access-list extended 101

    Router(config-ext-nacl)# 25 permit ip any any

     

    删除策略

    Router(config)# ip access-list extended 101

    Router(config-ext-nacl)# no 25

     

    本章实验

    拓扑图

     

    实验要求

    • 允许Win访问Web服务器的WWW服务,禁止Win访问Web服务器的其他任何服务
    • 使用扩展ACL

    R1配置

     

    验证结果

     

    展开全文
  • 标准ACL和扩展ACL.doc

    2021-10-07 20:28:00
    标准ACL和扩展ACL.doc
  • 扩展ACL.pkt

    2021-08-12 19:37:06
    扩展ACL.pkt
  • 标准acl应用、 扩展acl应用、 命名acl 应用
  • GNS3扩展ACL.doc

    2019-05-30 21:39:43
    上一次上传了在PT中如何实现扩展ACL的详细步骤,这次上传如何在GNS3中实现扩展ACL的详细步骤。
  • 访问控制列表--扩展ACL、命名的ACL

    万次阅读 多人点赞 2018-07-05 12:28:44
    2.1 实验目的(1)理解扩展ACL和标准ACL的区别(2)掌握扩展ACL的配置和应用(3)熟悉扩展ACL的调试2.2 实验原理1.扩展ACL配置命令为了更加精确地控制流量过滤,我们可以使用编号在 100 到 199 之间以及 2000 到 ...

    2.1 实验目的

    1)理解扩展ACL和标准ACL的区别

    2掌握扩展ACL的配置和应用

    3)熟悉扩展ACL的调试

    2.2 实验原理

    1.扩展ACL配置命令

    为了更加精确地控制流量过滤,我们可以使用编号在 100 199 之间以及 2000 2699 之间的扩展 ACL(最多可使用 800 个扩展 ACL)。扩展 ACL 比标准 ACL 更常用,因为其控制范围更广,可以提升安全性。与标准 ACL 类似,扩展 ACL 可以检查数据包源地址,但除此之外,它们还可以检查目的地址、协议和端口号(或服务)。如此一来,我们便可基于更多的因素来构建 ACL。例如,扩展 ACL 可以允许从某网络到指定目的地的电子邮件流量,同时拒绝文件传输和网页浏览流量。

    由于扩展 ACL 具备根据协议和端口号进行过滤的功能,因此我们可以构建针对性极强的 ACL。利用适当的端口号,我们可以通过配置端口号或公认端口名称来指定应用程序。

    本实验案例要求配置OSPF动态路由协议使得网络联通,同时定义扩展ACL实现如下访问控制:

    该网段只允许IP地址为172.16.1.0/28范围的主机访问server192.168.1.254)的WEB服务;

    该网段只允许IP地址为172.16.1.0/28范围的主机访问server192.168.1.254)的FTP服务;

    拒绝PC2所在网段访问服务器器servertelnet服务;

    拒绝PC2所在网段ping server192.168.1.254);

    要配置扩展ACL,在全局配置模式中执行以下命令:

        Router(config)#access-list access-list-number {remark | permit | deny} protocol source [source-wildcard] [operator port]  destination  [destination-wildcard] [operator port] [established] [log]

    参数说明:

    参数

    参数含义

    access-list-number

    扩展ACL号码,范围从100-199,20002699

    remark

    添加备注,增强ACL的易读性

    permit

    条件匹配时允许访问

    deny

    条件匹配时拒绝访问

    protocol

    指定协议类型,egIP,TCP,UDP,ICMP

    source 和destination

    分别识别源地址和目的地址

    source-wildcard

    通配符掩码,和源地址对应

    destination-wildcard

    通配符掩码,和目的地址对应

    operator

    lt,gt,eg,neg (小于,大于,等于,不等于)

    port

    端口号

    established

    只用于TCP协议,只是已建立的连接

    log

    对符合条件的数据包生成日志消息,该消息将发送到控制台。

    2.扩展ACL的配置实例

                                    

    5 扩展ACL

    IP地址表:

    设备

    接口

    IP地址

    子网掩码

    R1

    S 0/0/0

    192.168.2.1

    255.255.255.252

    Fa 0/0

    172.16.1.1

    255.255.255.0

    Fa 0/1

    172.16.2.1

    255.255.255.0

    R2

    S 0/0/0

    192.168.2.2

    255.255.255.252

    Fa 0/0

    192.168.1.1

    255.255.255.0

    Server

    NIC

    192.168.1.254

    255.255.255.0

    PC1

    NIC

    172.16.1.10

    255.255.255.0

    PC2

    NIC

    172.16.2.20

    255.255.255.0

    3 IP地址表

    (1)步骤1:配置路由器R1
    R1(config)#inter fa 0/0
    R1(config-if)#ip add 172.16.1.1 255.255.255.0
    R1(config-if)#no shut
    R1(config)#inter fa 0/1
    R1(config-if)#ip add 172.16.2.1 255.255.255.0
    R1(config-if)#no shut
    R1(config-if)#exit
    R1(config)#router ospf 1
    R1(config-router)#net 192.168.2.0 0.0.0.3 area 0
    R1(config-router)#net 172.16.1.0 0.0.0.255 area 0
    R1(config-router)#net 172.16.2.0 0.0.0.255 area 0
    R1(config-router)#exit
    R1(config)#access-list 101 remark This is an example for extended ACL  //为ACL101添加标注
    R1(config)#access-list 101 permit tcp 172.16.1.0 0.0.0.15 host 192.168.1.254 eq 80 log
    //允许IP地址为172.16.1.10的主机访问server(192.168.1.254)的WEB服务
    R1(config)#access-list 101 permit tcp 172.16.1.0 0.0.0.15 host 192.168.1.254 eq 20 log
    R1(config)#access-list 101 permit tcp 172.16.1.0 0.0.0.15 host 192.168.1.254 eq 21 log
    //以上2条ACL拒绝IP地址为172.16.1.20的主机访问server(192.168.1.254)的FTP服务
    R1(config)#access-list 101 deny ip any any      
    //可不添加,因为ACL末尾默认隐含“deny any any”
    R1(config)#access-list 102 remark This is an example for extended ACL  //为ACL102添加标注
    R1(config)#access-list 102 deny tcp 172.16.2.0  0.0.0.255  host 192.168.1.254 eq 23 log
    //拒绝IP地址为172.16.1.0/24的主机访问server(192.168.1.254)的的telnet服务
    R1(config)#access-list 102 deny icmp 172.16.2.0  0.0.0.255  host 192.168.1.254 log 
    //拒绝IP地址为172.16.1.0/24的主机访问server(192.168.1.254)的的icmp服务
    R1(config)#access-list 102 permit ip any any  
    //将其余流量放行,否则ACL会将所有流量拒绝,因为ACL末尾隐含了“deny any any”
    R1(config)#interface fa 0/0
    R1(config-if)#ip access-group 101 in  //应用ACL101到接口fa0/0的出方向
    R1(config-if)#exit
    R1(config)#interface fa 0/1
    R1(config-if)#ip access-group 102 in  //应用ACL102到接口fa0/1的出方向
    R1(config-if)#exit
    R1(config)#
    (2)步骤2:配置路由器R2
    R2(config)#inter s 0/0/0
    R2(config-if)#ip add 192.168.2.2 255.255.255.252
    R2(config-if)#clock rate 64000
    R2(config-if)#no shut
    R2(config-if)#exit
    R2(config)#inter fa 0/0
    R2(config-if)#ip add 192.168.1.1 255.255.255.0
    R2(config-if)#no shut
    R2(config-if)#exit
    R2(config)#router ospf 1
    R2(config-router)#net 192.168.2.0 0.0.0.3 area 0
    R2(config-router)# net 192.168.1.0 0.0.0.255 area 0
    R2(config-router)#end
    【说明】
    ①参数”log”会生成相应的日志信息,用来记录经过ACL入口的数据包的情况。
    ②访问控制列表表项的检查按自上而下的顺序进行,并且从第一个表项开始,所以必须考虑在访问控制列表中定义语句的次序;访问控制列表最后一条是隐含的拒绝所有deny any;
    ③路由器不对自身产生的IP数据包进行过滤;
    ④尽量考虑将扩展的访问控制列表放在靠近过滤源的位置上,这样创建的过滤器就不会反过来影响其他接口上的数据流。
    ⑤对于编号扩展ACL,新添加的ACL条目只能加到最后,不能插到原来ACL条目中间,所以如果想在原来的编号扩展ACL中插入某条条目,只能删掉原来的ACL内容,重新编写。
    (3)步骤3:实验调试
    首先分别在PC1上访问服务器的FTP和WWW服务,然后改变PC1的地址为172.16.1.20,在PC1上访问服务器的FTP和WWW服务,再查看访问控制列表:
    R1#show ip access-list 
    Extended IP access list 101
      10  permit tcp 172.16.1.0 0.0.0.15 host 192.168.1.254 eq www (10 match(es)) 
      20  permit tcp 172.16.1.0 0.0.0.15 host 192.168.1.254 eq 20
      30  permit tcp 172.16.1.0 0.0.0.15 host 192.168.1.254 eq ftp (14 match(es))
      40  deny ip any any (80 match(es))
    Extended IP access list 102
      10  deny tcp 172.16.2.0 0.0.0.255 host 192.168.1.254 eq telnet
      20  deny icmp 172.16.2.0 0.0.0.255 host 192.168.1.254
      30  permit ip any any
    最后在PC2所在网段的主机ping 服务器,路由器R1会出现下面的日志信息
    *Mar 25 17:35:46.383;%SEC-6-IPACCESSLOGDP;list 102 denied icmp 172.16.2.10 ->192.168.1.254(0/0),4 packet
    以上输出说明访问控制列表101在有匹配数据包的时候,系统做了日志。

    3.1 实验目的

    1掌握命名ACL的配置和应用

    2)熟悉命名ACL的调试

    3.2 实验原理

    1.命名ACL的配置

    命名ACL:所谓命名的IP访问控制列表是以列表名代替列表编号来定义IP访问控制列表因为一般访问控制列表,我们只要删除其中一个条目,那么所有的条目都已经被删除了,所以增加了我们修改的难度,而名称列表可以达到任意添加修改和删除某一特定的ACL中个别的控制条目的效果。

    routerconfig)#ip access-list extended or standard} name

    参数说明:

    参数

    参数含义

    standard

    标准命名ACL就选standard

    Extended

    扩展命名ACL就选extended

    name

    ACL的名字

    routerconfig-ext-nacl#{permit  or deny } protocols soure sourewildcard {operator portdestination destinationwildcard operator port}{established

    参数说明:

    参数

    参数含义

    permit

    条件匹配时允许访问

    deny

    条件匹配时拒绝访问

    protocol

    指定协议类型,egIP,TCP,UDP,ICMP

    source 和destination

    分别识别源地址和目的地址

    source-wildcard

    通配符掩码,和源地址对应

    destination-wildcard

    通配符掩码,和目的地址对应

    operator

    lt,gt,eg,neg (小于,大于,等于,不等于)

    port

    端口号

    established

    只用于TCP协议,只是已建立的连接

    log

    对符合条件的数据包生成日志消息,该消息将发送到控制台

    2.命名ACL的配置实例

                                    

    7 命名ACL

    IP地址表:

    设备

    接口

    IP地址

    子网掩码

    R1

    S 0/0/0

    192.168.2.1

    255.255.255.252

    Fa 0/0

    172.16.1.1

    255.255.255.0

    Fa 0/1

    172.16.2.1

    255.255.255.0

    R2

    S 0/0/0

    192.168.2.2

    255.255.255.252

    Fa 0/0

    192.168.1.1

    255.255.255.0

    Server

    NIC

    192.168.1.254

    255.255.255.0

    PC1

    NIC

    172.16.1.10

    255.255.255.0

    PC2

    NIC

    172.16.2.20

    255.255.255.0

    5 IP地址表

    本实验案例要求配置OSPF动态路由协议使得网络联通,同时定义扩展ACL实现如下访问控制:

    该网段只允许IP地址为172.16.1.0/28范围的主机访问server192.168.1.254)的WEB服务;

    该网段只允许IP地址为172.16.1.0/28范围的主机访问server192.168.1.254)的FTP服务;

    只允许PC2 通过TELNET连接到路由器R1R2

    (1)步骤1:配置路由器R1
    R1(config)#inter s 0/0/0
    R1(config-if)#ip add 192.168.1.1 255.255.255.252
    R1(config-if)#clock rate 64000
    R1(config-if)#no shut
    R1(config-if)#exit
    R1(config)#inter fa 0/0
    R1(config-if)#ip add 172.16.1.1 255.255.255.0
    R1(config-if)#no shut
    R1(config)#inter fa 0/1
    R1(config-if)#ip add 172.16.2.1 255.255.255.0
    R1(config-if)#no shut
    R1(config-if)#exit
    R1(config)#router ospf 1
    R1(config-router)#net 192.168.2.0 0.0.0.3 area 0
    R1(config-router)#net 172.16.1.0 0.0.0.255 area 0
    R1(config-router)#net 172.16.2.0 0.0.0.255 area 0
    R1(config-router)#exit
    R1(config)#ip access-list extend NO_WWW_FTP
    R1(config-ext-nacl)# remark This is an example for extended_ ACL for NO_WWW_FTP  
    //为命名ACL  WWW_FTP添加标注
    R1(config-ext-nacl)# permit tcp 172.16.1.0 0.0.0.15 host 192.168.1.254 eq 80 log
    //允许IP地址为172.16.1.10的主机访问server(192.168.1.254)的WEB服务
    R1(config-ext-nacl)# permit tcp 172.16.1.0 0.0.0.15 host 192.168.1.254 eq 20 log
    R1(config-ext-nacl)# permit tcp 172.16.1.0 0.0.0.15 host 192.168.1.254 eq 21 log
    //以上2条ACL拒绝IP地址为172.16.1.20的主机访问server(192.168.1.254)的FTP服务
    R1(config-ext-nacl)# deny ip any any   //可不添加,因为ACL末尾默认隐含“deny ip any any”
    R1(config-ext-nacl)#exit
    R1(config)# ip access-list standard VTY_TELNET
    R1(config-ext-nacl)# remark This is an example for standard ACL for VTY_TELNET //添加标注
    R1(config-ext-nacl)#permit host 172.16.2.20 
    //允许IP地址为172.16.2.20的主机数据包通过
    R1(config-ext-nacl)#deny ip any any  //可不添加,因为ACL末尾默认隐含“deny ip any any”
    R1(config-ext-nacl)#exit
    R1(config)#interface fa 0/0
    R1(config-if)#ip access-group WWW_FTP in  //应用ACL:WWW_FTP到接口fa0/0的入方向
    R1(config-if)#exit
    R1(config)#line vty 0 4
    R1(config-line)#access-class VTY_TELNET in   
    //在接口下应用定义ACL:VTY_TELNET,允许IP地址为192.168.1.10的主机通过TELNET
    连接到路由器R1
    R1(config-line)#password cisco    //配置TELNET远程登录密码为cisco
    R1(config-line)#login
    R1(config-line)#exit
    (2)步骤2:配置路由器R2
    R2(config)#inter s 0/0/0
    R2(config-if)#ip add 192.168.2.2 255.255.255.252
    R2(config-if)#clock rate 64000
    R2(config-if)#no shut
    R2(config-if)#exit
    R2(config)#inter fa 0/0
    R2(config-if)#ip add 192.168.1.1 255.255.255.0
    R2(config-if)#no shut
    R2(config-if)#exit
    R2(config)#router ospf 1
    R2(config-router)#net 192.168.2.0 0.0.0.3 area 0
    R2(config-router)# net 192.168.1.0 0.0.0.255 area 0
    R2(config-router)#exit
    R2(config)# ip access-list standard VTY_TELNET
    R2(config-ext-nacl)# remark This is an example for standard ACL for VTY_TELNET //添加标注
    R2(config-ext-nacl)#permit host 172.16.2.20  //允许IP地址为172.16.2.20的主机数据包通过
    R2(config-ext-nacl)#deny ip any any  //可不添加,因为ACL末尾默认隐含“deny ip any any”
    R2(config-ext-nacl)#exit
    R2(config)#line vty 0 4
    R1(config-line)#access-class VTY_TELNET in   
    //在接口下应用定义ACL:VTY_TELNET,允许IP地址为192.168.1.10的主机通过TELNET
    连接到路由器R2
    R2(config-line)#password cisco    //配置TELNET远程登录密码为cisco
    R2(config-line)#login
    R2(config-line)#exit
    (3)步骤3:实验调试
    先分别在PC1上访问服务器server的FTP服务,可以看到服务访问正常,WWW服务亦同。
    PC>ftp 192.168.1.254
    Trying to connect...192.168.1.254
    Connected to 192.168.1.254
    220- Welcome to Ftp server
    Username:cisco
    331- Username ok, need password
    Password: cisco
    230- Logged in
    (passive mode On)
    ftp>
    然后将在PC1的地址改为172.16.1.20(地址不在172.16.1.0/28网段内),此时在PC1上访问服务器的FTP服务,已不能访问,WWW服务亦同。
    PC>ftp 192.168.1.254
    Trying to connect...192.168.1.254
    %Error opening ftp://192.168.1.254/ (Timed out)
    PC>(Disconnecting from ftp server)
    在PC1上telnet路由器R1,由于PC1的IP地址为172.16.1.10,被ACL禁止访问。
    PC>telnet 172.16.1.1
    Trying 172.16.1.1 ...
    % Connection timed out; remote host not responding      //说明ACL起作用了
    在PC2上telnet路由器R1,
    PC>telnet 172.16.2.1
    Trying 172.16.2.1 ...Open   //telnet路由器R1成功,因为PC2的地址是172.16.2.20,符合命名ACL VTY_TELNET的定义
    User Access Verification
    Password: 
    R1>en
    Password: 
    R1#
    再查看访问控制列表:
    R1# sh ip access-lists 
    Extended IP access list WWW_FTP
        permit tcp 172.16.1.0 0.0.0.15 host 192.168.1.254 eq www (3 match(es))
        permit tcp 172.16.1.0 0.0.0.15 host 192.168.1.254 eq ftp_data(3 match(es))
        permit tcp 172.16.1.0 0.0.0.15 host 192.168.1.254 eq ftp (3 match(es))
        deny ip any any (12 match(es))
    Standard IP access list VTY_TELNET
    permit host 172.16.2.20 (2 match(es))

    展开全文
  • 扩展ACL的应用实例及解析.docx
  • 配置扩展ACL

    2019-07-27 00:31:11
    掌握扩展ACL的配置,通过实验理解扩展ACL的工作原理。 【知识点】 扩展ACL的工作原理,应用层各协议的功能。 【实验场景】 处于不同网段的两台主机上接同一台服务器,现在根据需求,需要使得PC1可以访问www,不能访问...

    【实验目的】
    掌握扩展ACL的配置,通过实验理解扩展ACL的工作原理。

    【知识点】
    扩展ACL的工作原理,应用层各协议的功能。

    【实验场景】
    处于不同网段的两台主机上接同一台服务器,现在根据需求,需要使得PC1可以访问www,不能访问FTP,PC2没有限制。

    【实验原理】
    扩展访问列表(extended access lists):使用源IP地址和目标IP地址,第三层的协议字段,第四层的端口号来做过滤决定。扩展访问控制列表更具有灵活性和可扩充性,即可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其他协议的流量通过。

    【实验设备】
    Cisco Packet Tracer软件中:两台主机,一台2911的路由器,一台服务器。

    【实验拓扑】
    在这里插入图片描述
    【实验思路】

    1. 配置主机IP地址,服务器IP地址,路由器接口IP地址

    2. 验证两台主机能否通过FTP、www的方式访问服务器

    3. 配置扩展ACL

    4. 验证扩展ACL策略是否运行

    【实验步骤】
    1.根据拓扑图,配置好路由器、PC及服务器的地址

    服务器FTP:配置
    在这里插入图片描述
    2.验证PC到服务器间的通信

    3.写扩展ACL,PC1可以访问服务器的www,不能访问FTP,PC2不做限制

    R1(config)#ip access-list extended 110
    
    R1(config-ext-nacl)#10 permit tcp 172.16.1.0 0.0.0.255 host 192.168.3.2 eq www
    
    R1(config-ext-nacl)#20 deny tcp 172.16.1.0 0.0.0.255 host 192.168.3.2 eq ftp
    
    R1(config-ext-nacl)#30 permit ip any any
    
    R1(config)#int gi 0/0
    
    R1(config-if)# ip access-group 110 out
    

    4.验证
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    查看命中目标数,(数值会随着访问次数增大)

    PC1,PC2 可以访问WWW,

    PC1不能访问FTP

    PC2可以访问FTP

    [切记实验配置完成要保存配置]

    【实验思考】
    1.根据实验分析扩展ACL和标准ACL的相同和不同之处。

    展开全文
  • 建立扩展ACL实战

    2019-10-14 15:19:57
    建立扩展ACL实战 本次实验拓扑图如下: 实验目的: 完成在R1路由上扩展ACL的建立,实现实验要求: 允许PC1访问Linux的web服务; 允许PC2访问Linux的ftp服务; 禁止PC1、PC2访问Linux的其它服务; 允许PC1联通PC2 ...

    建立扩展ACL实战

    本次实验拓扑图如下:

    在这里插入图片描述

    实验目的:

    完成在R1路由上扩展ACL的建立,实现实验要求:

    允许PC1访问Linux的web服务;

    允许PC2访问Linux的ftp服务;

    禁止PC1、PC2访问Linux的其它服务;

    允许PC1联通PC2

    实验步骤:

    1、完成两台PC机静态的设置与网卡的绑定

    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    2、完成Linux服务器相关服务的安装与启动

    [root@localhost ~]# yum install vsftpd -y      //安装ftp服务
    [root@localhost ~]# yum install httpd -y       //安装http服务
    [root@localhost ~]# systemctl stop firewalld.service    //关闭防火墙
    [root@localhost ~]# setenforce 0               //关闭增强性安全功能
    [root@localhost ~]# systemctl start httpd      //启动服务
    [root@localhost ~]# systemctl start vsftpd
    [root@localhost ~]# netstat -ntap | egrep '(21|80)'     //检查服务启动状况(80端口为http,21端口为ftp)
    tcp6       0      0 :::80                   :::*                    LISTEN      6399/httpd          
    tcp6       0      0 :::21                   :::*                    LISTEN      6435/vsftpd         
    

    3、Linux设置静态IP并绑定网卡
    在这里插入图片描述
    在这里插入图片描述
    4、R1路由的设置

    R1#conf t 
    Enter configuration commands, one per line.  End with CNTL/Z.
    R1(config)#int f 0/0
    R1(config-if)#ip add 192.168.90.1 255.255.255.0
    R1(config-if)#no shut 
    R1(config-if)#int f 0/1
    R1(config-if)#ip add 192.168.80.1 255.255.255.0
    R1(config-if)#no shut 
    R1(config-if)#int f 1/0
    R1(config-if)#ip add 192.168.100.1 255.255.255.0 
    R1(config-if)#no shut 
    R1(config-if)#ex
    R1(config)#do show ip route                 
    Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2
           i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
           ia - IS-IS inter area, * - candidate default, U - per-user static route
           o - ODR, P - periodic downloaded static route
    
    Gateway of last resort is not set
    
    C    192.168.90.0/24 is directly connected, FastEthernet0/0
    C    192.168.80.0/24 is directly connected, FastEthernet0/1
    C    192.168.100.0/24 is directly connected, FastEthernet1/0
    R1(config)#
    

    注意:此时,R1路由上并没有进行ACL的设置,为满足实验要求,接下来进行扩展ACL的设置。

    R1(config)#$t tcp 192.168.80.20 0.0.0.255 192.168.100.100 0.0.0.255 eq 80           
    R1(config)#$ 100 permit tcp host 192.168.90.10 host 192.168.100.100 eq 21      
    R1(config)#$ 100 permit ip host 192.168.80.20 192.168.90.0 0.0.0.255         
    R1(config)#do show access-list
    Extended IP access list 100
        10 permit tcp 192.168.80.0 0.0.0.255 192.168.100.0 0.0.0.255 eq www
        20 permit tcp host 192.168.90.10 host 192.168.100.100 eq ftp
        30 permit ip host 192.168.80.20 192.168.90.0 0.0.0.255
    R1(config)#int f 0/1        
    R1(config-if)#ip access-group 100 in
    R1(config-if)#int f0/0
    R1(config-if)#ip access-group 100 in
    R1(config-if)#ex 
    R1(config)#       
    

    实验结果

    以上设置均已完成的情况下,进行实验验证,应该为以下情况:

    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    以上,就是完整的扩展ACL的实战教学。

    展开全文
  • ensp 扩展ACL实验

    2021-09-14 22:26:10
    1.因为是具体到阻止某个操作,所以我们可以确定用扩展ACL,因为扩展ACL是要靠近源,也就是要在ar1的g/0/0/0接口上进行调用,因为题目中的四个条件都是在g0/0/0接口实施策略,所以只用写一张表,因为在一个方向的一个...
  • 使用扩展ACL可以实现更加精确的流量控制 访问控制列表号从100到199 2>扩展访问控制列表的配置: show access-list ---- 检查端口是否有ACL access-list ---- 创建扩展访问控制列表 Router(config)#access-list ...
  • 【标准与扩展ACL 、 命名ACL】 Access Control Lists,访问控制列表ACL协议分类:标准ACL基于源IP地址过滤数据包,列表号:1~99扩展ACL基于源IP地址、目标IP地址、指定协议、端口来过滤数据包,列表号:100~199...
  • 扩展ACL配置

    2018-03-11 13:22:50
    扩展ACL表号在100~199扩展ACL可以标识原地址和目的地址1.允许pc1访问Web服务器的www服务,并禁止pc1访问Web服务器的其他服务2.允许pc1访问网络192.168.30.0/243.将ACL应用于接口配置R1(config)#access-list 101 ...
  • 实验十五 扩展 ACL 实验 一 实验目的 1 了解什么是标准的 ACL 2 了解标准和扩展 ACL 的区别 3 了解扩展 ACL 不同的实现方法 二 应用环境 标准 ACL 只能限制源 IP 地址而扩展 ACL 的限制权限就很广泛包括源 IP目的 IP...
  • ACL拓展扩展ACL(100--199)建立扩展ACL的操作步骤:1)建表2).用表 扩展ACL(100–199) 总结扩展ACL访问列表语法: Router(config)#access-list 100 permit (IP) 大协议 源地址 源反掩码 目标地址 目标反掩码 ...
  • 标准ACL+扩展ACL+命名ACL 拓扑图 配置全网互通 Router0 Router#conf Router(config)#intf0/0 Router(config-if)#ipaddress192.168.1.1255.255.255.0 Router(config-if)#no...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 34,767
精华内容 13,906
关键字:

扩展acl