精华内容
下载资源
问答
  • 1. 允许财务部计算机能够访问Intelnet 2. 允许市场部计算机只能访问Intelnet的web服务器,不能ping通 3. 服务器组的计算机能ping通内网任何计算机,不能做其他访问 4. 只允许192.168.2.2可以Telnet连接R1 ...

    1.  允许财务部计算机能够访问Intelnet

    2.  允许市场部计算机只能访问Intelnet的web服务器,不能ping通

    3.  服务器组的计算机能ping通内网任何计算机,不能做其他访问

    4.  只允许192.168.2.2可以Telnet连接R1

    
    R1:
    Router>enable
    Router#conf t
    Enter configuration commands, one per line.  End with CNTL/Z.
    Router(config)#hostname R1
    R1(config)#int ethernet 1/0
    R1(config-if)#no shutdown
    R1(config-if)#ip address 192.168.1.1 255.255.255.0
    R1(config-if)#int eth1/1
    R1(config-if)#no shutdown
    R1(config-if)#ip address 192.168.0.1 255.255.255.0
    R1(config-if)#int eth1/2
    R1(config-if)#no shutdown
    R1(config-if)#ip address 192.168.2.1 255.255.255.0
    R1(config-if)#exit
    R1(config)#int serial 0/3/0
    R1(config-if)#no shutdown
    R1(config-if)#ip address 192.168.3.1 255.255.255.0
    R1(config-if)#exit
    R1(config)#router rip
    R1(config-router)#network 192.168.1.0
    R1(config-router)#network 192.168.2.0
    R1(config-router)#network 192.168.3.0
    R1(config-router)#network 192.168.0.0
    R1(config-router)#exit
    R1(config)#^Z
    R1#show ip route 
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route
    
    Gateway of last resort is not set
    
    C    192.168.0.0/24 is directly connected, Ethernet1/1
    C    192.168.1.0/24 is directly connected, Ethernet1/0
    C    192.168.2.0/24 is directly connected, Ethernet1/2
    
    R1#conf t
    R1(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 any 
    R1(config)#access-list 100 permit tcp 192.168.2.0 0.0.0.255 10.0.0.0 0.255.255.255 eq www 
    R1(config)#access-list 100 permit icmp 192.168.2.0 0.0.0.255 10.0.0.0 0.255.255.255 
    R1(config)#int serial 0/3/0 
    R1(config-if)#ip access-group 100 out 
    R1(config-if)#^Z
    R1#
    R1#show access-lists 100
    Extended IP access list 100
        permit ip 192.168.1.0 0.0.0.255 any
        permit tcp 192.168.2.0 0.0.0.255 10.0.0.0 0.255.255.255 eq www
    permit icmp 192.168.2.0 0.0.0.255 10.0.0.0 0.255.255.255
    R1#conf t
    R1(config)#access-list 10 per
    R1(config)#access-list 10 permit 192.168.2.2 0.0.0.0
    R1(config)#line vty 0 2
    R1(config-line)#access-class 10 in
    R2:
    Router>enable
    Router#conf t
    Router(config)#hostname R2
    R2(config)#int serial 0/3/0
    R2(config-if)#no shutdown
    R2(config-if)#ip address 192.168.3.2 255.255.25.0
    Bad mask 0xFFFF1900 for address 192.168.3.2
    R2(config-if)#ip address 192.168.3.2 255.255.255.0
    R2(config-if)#int fa0/1
    R2(config-if)#no shutdown 
    R2(config-if)#ip address 10.0.0.1 255.0.0.0
    R2(config-if)#
    R2(config-if)#exit
    R2(config)#router rip 
    R2(config-router)#network 192.168.3.0 
    R2(config-router)#network 10.0.0.0
    R2(config-router)#end
    R2#show ip route
    Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
           i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
           * - candidate default, U - per-user static route, o - ODR
           P - periodic downloaded static route
    Gateway of last resort is not set
    C    10.0.0.0/8 is directly connected, FastEthernet0/1
    R    192.168.0.0/24 [120/1] via 192.168.3.1, 00:00:06, Serial0/3/0
    R    192.168.1.0/24 [120/1] via 192.168.3.1, 00:00:06, Serial0/3/0
    R    192.168.2.0/24 [120/1] via 192.168.3.1, 00:00:06, Serial0/3/0
    C    192.168.3.0/24 is directly connected, Serial0/3/0
    
    
    


    展开全文
  • ACLs 的全称为接入控制列表(Access Control Lists),也称访问控制列表(Access Lists),俗称防火墙,在有的文档中还称包过滤。ACLs 通过定义一些规则对网络设备接口上的数据 包文进行控制;允许通过或丢弃,从而...

    版权声明:如果对大家有帮助,大家可以自行转载的。https://blog.csdn.net/qq_37992321/article/details/84861310
    1.技术原理
    ACLs 的全称为接入控制列表(Access Control Lists),也称访问控制列表(Access Lists),俗称防火墙,在有的文档中还称包过滤。ACLs 通过定义一些规则对网络设备接口上的数据
    包文进行控制;允许通过或丢弃,从而提高网络可管理型和安全性;

    IP ACL 分为两种:标准 IP 访问列表和扩展 IP 访问列表,编号范围为 1~99、1300~1999、100~199、2000~2699;标准 IP 访问控制列表可以根据数据包的源 IP 地址定义规则,进行数据包的过滤;

    扩展 IP 访问列表可以根根据数据包的原 IP、目的 IP、源端口、目的端口、协议来定义规则,进行数据包的过滤;IP ACL 基于接口进行规则的应用,分为:入栈应用和出栈应用;

    2.拓扑图
    在这里插入图片描述
    3.配置PC
    PC0
    IP: 172.16.1.2
    Submask: 255.255.255.0
    Gageway: 172.16.1.1
    PC1
    IP: 172.16.2.2
    Submask: 255.255.255.0
    Gageway: 172.16.2.1
    PC2
    IP: 172.16.4.2
    Submask: 255.255.255.0
    Gageway: 172.16.4.1
    在这里插入图片描述
    4.配置路由器,使得PC间可以互通
    Router0

    Router>en
    Router#config t
    Enter configuration commands, one per line.  End with CNTL/Z.
    Router(config)#int f0/0
    Router(config-if)#ip add 172.16.1.1 255.255.255.0
    Router(config-if)#no shu
    
    Router(config-if)#
    %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
    
    %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
    
    Router(config-if)#int f1/0
    Router(config-if)#ip add 172.16.2.1 255.255.255.0
    Router(config-if)#no shu
    
    Router(config-if)#
    %LINK-5-CHANGED: Interface FastEthernet1/0, changed state to up
    
    %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to up
    
    Router(config-if)#int s2/0
    Router(config-if)#ip add 172.16.3.1 255.255.255.0
    Router(config-if)#no shu
    
    %LINK-5-CHANGED: Interface Serial2/0, changed state to down
    
    Router(config-if)#exit
    Router(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2
    

    Router1

    Router>en
    Router#config t
    Enter configuration commands, one per line.  End with CNTL/Z.
    Router(config)#int s2/0
    Router(config-if)#ip add 172.16.3.2 255.255.255.0
    Router(config-if)#no shu
    
    Router(config-if)#
    %LINK-5-CHANGED: Interface Serial2/0, changed state to up
    
    Router(config-if)#int f0/0
    Router(config-if)#ip add 172.16.4.1 255.255.255.0
    Router(config-if)#no shu
    
    Router(config-if)#
    %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
    
    %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
    
    Router(config-if)#exit
    Router(config)#ip route 172.16.2.0 255.255.255.0 172.16.3.1
    Router(config)#ip route 172.16.1.0 255.255.255.0 172.16.3.1
    

    在这里插入图片描述
    5.允许 172.16.1.0 网络通过
    拒绝 172.16.2.0 网络通过
    Router0

    Router(config)#access-list 1 permit 172.16.1.0 0.0.0.255 //建立标准访问控制列表编号为1,允许 172.16.1.0 网络通过
    Router(config)#access-list 1 deny 172.16.2.0 0.0.0.255  //拒绝 172.16.2.0 网络通过
    Router(config)#int s2/0
    Router(config-if)#ip access-group 1 out  //在该端口下调用访问控制列表 1,针对的是从 S2/0 流出路由器 0 的流量
    Router(config-if)#exit
    

    6.网络测试
    PC0 ping PC2 success
    在这里插入图片描述
    PC 1 ping PC 2 Reply from 172.16.2.1: Destination host unreachable.fail
    我们可以看到路由器可以让172.16.1.0的包网段通过,但是不可以让172.16.2.0网段的包通过

    展开全文
  • 资源名称:Cisco访问控制列表配置指南全套资源目录: 教程目录【】Cisco访问控制列表配置004动态访问表【】013附录C 标准的访问表【】Cisco访问控制列表配置003Cisco访问表基础【】Cisco访问控制列表配置ACL总结...
  • Cisco路由实验[神码]__实验36 标准访问控制列表的配置
  • 实验目的:学习使用标准访问控制列表和扩展访问控制列表做基本的安全控制 实验拓扑:如下图 实验要求: l 标准访问控制列表 n 不允许10.10.2.0访问172.16.1.0 n 不允许10.10.1.0访问172.16.5.0 n 允许其他所有...

     

    实验:访问控制列表

    实验目的:学习使用标准访问控制列表和扩展访问控制列表做基本的安全控制

    实验拓扑:如下图

    实验要求:

    l 标准访问控制列表

    n 不允许10.10.2.0访问172.16.1.0

    n 不允许10.10.1.0访问172.16.5.0

    n 允许其他所有流量

    (方法不唯一,我的只供参考)

    l 扩展访问控制列表

    n 不允许10.10.2.0  telnet  172.16.1.0

    n 不允许10.10.1.0  telnet  172.16.5.0

    n 允许其他所有流量

    (方法不唯一,我的只供参考)

    155113_AkIT_238697.png




    R1的配置

    R1>  en

    R1#  config  t

    R1(config)#  no   ip  routing

    R1(config)#  ip  default-gateway  10.10.1.1

    R1(config)#  int  e0/0

    R1(config-if)#  ip  add  10.10.1.10  255.255.255.0

    R1(config-if)#  no  shut

    R1(config-if)#  end

    R1#




    R2的配置

    R2>  en

    R2#  config  t

    R2(config)#  no   ip  routing

    R2(config)#  ip  default-gateway  10.10.2.1

    R2(config)#  int  e0/3

    R2(config-if)#  ip  add  10.10.2.10  255.255.255.0

    R2(config-if)#  no  shut

    R2(config-if)#  end

    R2#



    R3的配置

    R3>  en

    R3#  config  t

    R3(config)#   int  e0/0 

    R3(config-if)#  ip  add  10.10.1.1  255.255.255.0

    R3(config-if)#  no  shut

    R3(config-if)#  int  e0/3

    R3(config-if)#  ip  add  10.10.2.1  255.255.255.0

    R3(config-if)#  no  shut

    R3(config-if)#  int  e0/2

    R3(config-if)#  ip  add  192.168.1.10  255.255.255.0

    R3(config-if)#  duplex  full

    R3(config-if)#  no  shut

    R3(config-if)#  exit

    R3(config)#  router   ospf   10 

    R3(config-router)#  net  0.0.0.0  255.255.255.255  area  0

    R3(config-router)#  end

    R3#



    S1的配置

    S1>  en

    S1#  config  t

    S1(config)#  int   range   f0/0  -  15

    S1(config-if-range)#  speed  10

    S1(config-if-range)#  duplex   full

    S1(config-if-range)#   no  shut

    S1(config-if-range)#  end

    S1#




    R4的配置

    R4>  en

    R4#  config  t

    R4(config)#  int  e0/2

    R4(config-if)#  ip  add  192.168.1.1  255.255.255.0

    R4(config-if)#  duplex  full

    R4(config-if)#  no  shut

    R4(config-if)#   int  e0/0

    R4(config-if)#  ip  add  172.16.1.1  255.255.255.0

    R4(config-if)#  no  shut

    R4(config-if)#  exit

    R4(config)#  router  ospf  1

    R4(config-router)#  net   0.0.0.0  255.255.255.255  area  0

    R4(config-router)#  end

    R4#



    R5的配置

    R5>  en

    R5#  config  t

    R5(config)#  int  e0/2

    R5(config-if)#  ip  add  192.168.1.5  255.255.255.0

    R5(config-if)#  duplex  full

    R5(config-if)#  no  shut

    R5(config-if)#  int  e0/3

    R5(config-if)#  ip  add  172.16.5.1  255.255.255.0

    R5(config-if)#  no  shut

    R5(config-if)#  exit

    R5(config)#  router  ospf  1

    R5(config-router)#  net  0.0.0.0  255.255.255.255  area  0

    R5(config-router)#  end

    R5#



    R6的配置

    R6>  en

    R6#  config  t

    R6(config)#  no  ip   routing

    R6(config)#  ip  default-gateway  172.16.1.1

    R6(config)#  int  e0/0

    R6(config-if)#  ip  add  172.16.1.10  255.255.255.0

    R6(config-if)#  no  shut

    R6(config-if)#  end

    R6#

    R7的配置

    R7>  en

    R7#  config  t

    R7(config)#  no  ip   routing

    R7(config)#  ip  default-gateway  172.16.5.1

    R7(config)#  int  e0/3

    R7(config-if)#  ip  add  172.16.5.10  255.255.255.0

    R7(config-if)#  no  shut

    R7(config-if)#  end

    R7#


    验证:在R1上ping任意一台路由器的IP,匀能ping通,就成功了!!!


    ===============================================================

    标准访问控制列表的配置


    配置路由器R4

    R4> en

    R4#  config  t

    R4(config)#  access-list  1  permit  10.10.1.0  0.0.0.255

    R4(config)#  access-list  1  permit  192.168.1.0  0.0.0.255

    R4(config)#  access-list  1  permit  172.16.5.0  0.0.0.255

    R4(config)#  int  e0/2

    R4(config-if)#  ip   access-group  1  in

    R4(config-if)#  end

    R4#


    配置路由器R5

    R5> en

    R5#  config  t

    R5(config)#  access-list  1  permit  10.10.1.0  0.0.0.255

    R5(config)#  access-list  1  permit  192.168.1.0  0.0.0.255

    R5(config)#  access-list  1  permit  172.16.1.0  0.0.0.255

    R5(config)#  int  e0/2

    R5(config-if)#  ip   access-group  1  in

    R5(config-if)#  end

    R5#



    验证:在R1上ping 172.16.1.10 和ping  172.16.5.10   能ping通

          在R2上ping 172.16.1.10 和ping  172.16.5.10   不能ping通


    ===================================================================

    扩展访问控制列表的配置


    配置路由器R4

    R4> en

    R4#  config  t

    R4(config)#  no  access-list  1

    R4(config)#  int  e0/2

    R4(config-if)#  no  ip  access-g roup  1  in

    R4(config-if)#  exit

    R4(config)#  

    R4(config)#

    R4(config)#  access-list  101  deny  tcp  10.10.2.0  0.0.0.255  172.16.1.0  0.0.0.255  eq  23

    R4(config)#  access-list  101  permit  ip  any   any

    R4(config)#  int  e0/2

    R4(config-if)#  ip   access-group   101  in

    R4(config-if)#  end

    R4#


    配置路由器R5

    R5> en

    R5#  config  t

    R5(config)#  no  access-list  1

    R5(config)#  int  e0/2

    R5(config-if)#  no  ip  access-g roup  1  in

    R5(config-if)#  exit

    R5(config)#  

    R5(config)#

    R5(config)#  access-list  101  deny  tcp  10.10.1.0  0.0.0.255  172.16.5.0  0.0.0.255  eq  23

    R5(config)#  access-list  101  permit  ip  any   any

    R5(config)#  int  e0/2

    R5(config-if)#  ip   access-group   101  in

    R5(config-if)#  end

    R5#


    配置路由器R6

    R6>  en

    R6#  config  t

    R6(config)#  enable  password  123

    R6(config)#  line  vty  0  4

    R6(config-line)#  password  123

    R6(config-line)#  login

    R6(config-line)#  end

    R6#


    配置路由器R7

    R7>  en

    R7#  config  t

    R7(config)#  enable  password  123

    R7(config)#  line  vty  0  4

    R7(config-line)#  password  123

    R7(config-line)#  login

    R7(config-line)#  end

    R7#


    验证:

    (1) 在R1上能ping通172.16.1.10和172.16.5.10

    (2) 在R1上能telnet到172.16.1.10,不能telnet到172.16.5.10

    (3) 在R2上能ping通172.16.1.10和172.16.5.10

    (4) 在R2不能telnet到172.16.1.10,能telnet到172.16.5.10



    转载于:https://my.oschina.net/it1693/blog/284480

    展开全文
  • 思科ACL访问控制列表常规配置

    万次阅读 多人点赞 2018-11-26 14:29:02
    ACL (Access Control List,访问控制列表)是一系列运用到路由器接口的指令列表。这些指令告诉路由器接收哪些数据包、拒绝哪些数据包,接收或者拒绝根据一定的规则进行,如源地址、目标地址、端口号等。ACL使得用户...

    一、ACL概述

    ACL (Access Control List,访问控制列表)是一系列运用到路由器接口的指令列表。这些指令告诉路由器接收哪些数据包、拒绝哪些数据包,接收或者拒绝根据一定的规则进行,如源地址、目标地址、端口号等。ACL使得用户能够管理数据流,检测特定的数据包。
      路由器将根据ACL中指定的条件,对经过路由器端口的数据包进行检査。ACL可以基于所有的Routed Protocols (被路由协议,如IP、IPX等)对经过路由器的数据包进行过滤。ACL在路由器的端口过滤数据流,决定是否转发或者阻止数据包。ACL应该根据路由器的端口所允许的每个协议来制定,如果需要控制流经某个端口的所有数据流,就需要为该端口允许的每一个协议分别创建ACL。例如,如果端口被配置为允许IP、AppleTalk和IPX协议的数据流,那么就需要创建至少3个ACL, 本文中仅讨论IP的访问控制列表。针对IP协议,在路由器的每一个端口,可以创建两个ACL:—个用于过滤进入(inbound)端口的数据流,另一个用于过滤流出(outboimd)端口的数据流。
      顺序执行:—个ACL列表中可以包含多个ACL指令,ACL指令的放置顺序很重要。当路由器在决定是否转发或者阻止数据包的时候,Cisco的IOS软件,按照ACL中指令的顺序依次检査数据包是否满足某一个指令条件。当检测到某个指令条件满足的时候,就执行该指令规定的动作,并且不会再检测后面的指令条件。
      ACL作用:
       * 限制网络流量,提高网络性能。
       * 提供数据流控制。
       * 为网络访问提供基本的安全层。

    二、ACL 类型

    1. 标准ACL: access-list-number编号1~99之间的整数,只针对源地址进行过滤。
    2. 扩展ACL: access-list-number编号100~199之间的整数,可以同时使用源地址和目标地址作为过滤条件,还可以针对不同的协议、协议的特征、端口号、时间范围等过滤。可以更加细微的控制通信量。
    3. 动态ACL
    4. 自反ACL
    5. 基于时间的ACL

    三、标准ACL

     3.1 通配符掩码

    使用通配符掩码与源或目标地址一起分辨匹配的地址范围。
    掩码位匹配含义:设置为“1”表示忽略IP地址中对应位(IP取0或1都可以匹配);设置为“0”表示IP地址中对应位必须精确匹配
    例如:(1)192.168.1.0 0.0.0.255 匹配的是192.168.1.0~192.168.1.255
       (2)192.168.1.0 0.0.0.254 匹配192.168.1.0网段中所有偶数IP
       (3)192.168.1.1 0.0.0.254 匹配192.168.1.0网段中所有奇数IP
    any关键字: 代替地址掩码对0.0.0.0 255.255.255.255,匹配任何IP
    host关键字: 代替通配符掩码0.0.0.0,精确匹配某个IP。例如:要实现匹配IP地址192.168.1.2,则可以写成192.168.1.2 0.0.0.0或者写成host 192.168.1.2。(注:标准ACL中没有通配符掩码默认该掩码为 0.0.0.0,host也可以省略;扩展ACL中通配符 0.0.0.0或 host关键字不可以省略

     3.2 配置标准ACL的方法

      3.2.1 配置步骤

    配置标准ACL需要两步,一是创建访问控制列表,二是将列表绑定到特定端口。

      Step 1 创建ACL

    全局模式下配置ACL。
    创建标准ACL的基本格式: access-list access-list-number { deny | permit } { 源地址 [ 源地址通配符掩码 ] | any } [ log ]
    其中,access-list-number是1~99的ACL编号;deny拒绝,permit允许;log是日志选项,匹配的条目信息显示在控制台上,也可以输出到日志服务器。
    例如:在某路由器R3上创建一组ACL配置如下:
      R3 (config) #access-list 1 deny 12.1.1.1    拒绝R1的IP地址12.1.1.1,通配符掩码 0.0.0.0 可以省略。
      R3 (config) #access-list 1 permit any     允许其余所有IP

    注意:访问控制列表最后隐含一条deny any 规则;ACL从上往下匹配,规则顺序不能改变。

      Step 2 应用ACL

    创建好列表后,要将ACL绑定到每个它想应用的接口才能实现访问控制功能。
    例如:将上述列表应用到R3的S1/0接口,配置为:
      R3 (config) #interface s1/0    
      R3 (config-if) #ip access-group 1 in  在接口下调用ACL 1,针对的是从s1/0接口进入路由器R3的流量

     3.2.2 编辑修改标准ACL

      1)删除ACL

    删除编号即可删除ACL。
    命令格式:R3 (config) #no access-list 1

      2)取消ACL在接口的应用

    命令格式:R3 (config) #int s1/0
         R3 (config-if) #no ip access-group 1 in

      3)编辑ACL

    标准ACL不支持插入或删除一行操作,可以将现有ACL拷贝到记事本里修改,然后粘贴到路由器的命令行中。

      4)查看ACL

    命令格式:R3#show access-lists
         R3#show access-lists 1

     3.3 配置标准命名ACL的方法

    标准命名ACL指使用字符串代替数字来标识ACL。其优点包括:

    • 可以在不删除整个ACL情况下修改。
    • 字符串直观标识ACL用途。
    • 可以配置超过99个标准ACL。
      注意:命名不能相同。
      创建标准命名ACL格式:Router (config)# ip access-list standard access-list name
       例如:
         R3 (config)# ip access-list standard deny-R1
         R3 (config-std-nac1)#deny 12.1.1.1
         R3 (config-std-nac1)#permit any
         R3 (config-std-nac1)#exit
         R3 (config)#int s1/0
         R3 (config-if)#ip access-group deny-R1 in
    可局部修改:

    1)删除某一句:
    R3 (config)# ip access-list standard deny-R1
    R3 (config-std-nac1)#no deny 12.1.1.1
    2)使用行号删除某一句:
    R3 (config)# ip access-list standard deny-R1
    R3 (config-std-nac1)#no 20           删除第20行内容
    3)删除整个ACL:
    R3 (config)#no ip access-list standard deny-R1

     3.4 标准ACL放置的位置

    • ACL仅对穿越路由器的数据包进行过滤,对本路由器起源的数据包不做过滤(详细案例见《CCNA学习与实验指南》崔北亮著,访问控制列表一章)
    • 尽量应用在靠近目标端。

    四、扩展ACL

     4.1 配置扩展ACL

      Step 1 创建扩展ACL

    基本格式:access-list access-list-number {deny | permit | remark} 协议类型 source [source-wildcard] [operator operand] [port port-number or name] destination destination-wildcard [operator operand] [port port-number or name] [established]
    实例:配置实现拒绝R1去往R3的Telent通信,允许其他服务。
    在这里插入图片描述
    R2 (config) # access-list 100 deny tcp host 12.1.1.1 host 23.1.1.3 eq Telent
    R2 (config) # access-list 100 permit ip any any
    解释:Telent流量使用的是TCP协议,目标端口23
    因此此处拒绝TCP协议,源地址是R1,源端口任意;目标地址R3,目标端口23(配置语句中Telent表示23)。

      Step 2 应用ACL

    将列表应用于R2的S1/0接口,当数据包进入R2的时候判断,配置为:
    R2 (config) # int s1/0
    R2 (config) # ip access-group 100 in

     4.2 配置扩展命名ACL

    类似于标准命名ACL:
    ip access-list extended tcp-firewall

     4.3 扩展ACL放置的位置

    尽量应用在靠近源端,这样可以使一些非法流量尽早丢弃,节省中间设备带宽和CPU资源。

    五、反射ACL

     5.1 概念

    提供真正意义上的单向访问控制。

     5.2 应用

    六、动态ACL

    可以根据用户验证过程创建特定的临时的ACL。

    七、基于时间的ACL

    展开全文
  • 由于暑假的工作一直是与网站相关,也没时间...今天和大家分享一下标准访问控制列表,这个实验也是比较简单的。当然,有标准就得有扩展,扩展访问列表我将在后面做到。 这个实验并非用的DynamipsGUI,而是用的思科...
  • 学习目标:①理解标准IP访问控制列表的原理及功能 ②掌握编号的标准IP访问控制列表的配置方法 1.访问控制列表的概念 ①ACLs的全称为接入控制列表(Access Control Lists),也称访问控制列表(Access Lists),...
  • Cisco ACL 访问控制列表

    2013-02-07 16:41:02
    标准访问控制列表 序号 1-99 扩展访问控制列表 序号 100-199 命名访问控制列表 使用名称代替表号 Router(config)# access-list 1 permit 192.168.1.0 0.0.0.255 允许网段通过 Router(config)# access-list 1 ...
  • 访问控制:当流量在路由器上的各个接口,进入或离开时,ACL对流量进行匹配,之后产生动 态—–允许、拒绝 【1】.分类: 标准列表 —- 仅关注数据包中的源ip地址 扩展列表 —- 关注数据包中的源、目标ip地址,...
  • Hello各位同学大家好,这次我们来讲述大学网络工程之思科路由器标准访问控制列表配置,供各大专院校学生与老师参考,如需转载,需注原创。 接下来,我们来进行思科路由器标准访问控制列表配置。 首先我们先看看标准...
  •  标准IP访问 表  标准IP访问表的基本格式为: access-list [list number][permit|deny][host/any][sourceaddress][wildcard-mask][log] 下面对标准IP访问表基本格式中的各项参数...
  • 作用和优点分类ACL访问控制列表——标准(1-99)小结:ACL的允许或拒绝的数据源有三大类:总结ACL的特点(掌握) 什么是ACl? ACl(access- list )访问控制列表 List----列表 作用和优点 主要作用:对经过路由器的...
  • 标准访问控制列表 拓扑 实验目的 192.168.2.0网段不能访问192.168.1.0网段,192.168.3.2主机不能访问192.168.1.0网段。其余正常通讯。整个网络配置静态路由及默认路由协议。 (1)配置路由器R1 r1(config)#...
  • Router(config)#access-list 10 deny 192.168.20.0 0.0.0.255 配置标准访问控制列表 编号为10 deny192.168.20.0 0.0.0.255不允许192.168.20.0网段的数据通过 Router(config)#access-list 10 permit any 允许其他...
  • 访问控制列表有两种:一种是标准访问控制列表,另一种是扩展的访问控制列表访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是...
  • CISCO路由器中的access-list(访问列表)最基本的有两种,分别是标准访问列表和扩展访问列表,二者的区别主要是前者是基于目标地址的数据包过滤,而后者是基于目标地址、源地址和网络协议及其端口的数据包过滤
  • 访问控制列表--标准ACL

    万次阅读 多人点赞 2018-07-05 12:23:04
    访问控制列表(Access Control List,简称ACL)是根据报文字段对报文进行过滤的一种安全技术。访问控制列表通过过滤报文达到流量控制、攻击防范以及用户接入控制等功能,在现实中应用广泛。ACL根据功能的不同分为标准...
  • CISCO 访问控制列表ACL

    千次阅读 2018-06-09 15:53:20
    访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期...
  • 实例一:标准访问控制列表的配置 拓扑图如下: 通过配置标准访问列表,禁止PC1主机访问PC3主机。 (1)进行sw的配置如下: SW#configure terminal //进入全局模式 Enter configuration commands, one per line. End...
  • 按照标准ACL配置访问控制列表,使192.168.0.1不能通过交换机进行广播 access-list 10 deny host 192.168.0.1 access-list 10 permit any inter vlan 1 ip access-group 10 in no shut 配置后没有禁止192.168.0.1访问...
  • 其中最简单的就是标准访问控制列表,他是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL。  一,标准访问控制列表的格式:  标准访问控制列表是最简单的ACL。他的具体格式如下: ...
  •  理解标准IP访问控制列表的原理及功能;  掌握编号的标准IP访问控制列表的配置方法; 实验背景  你是公司的网络管理员,公司的经理部、财务部们和销售部门分属于不同的3个网段,三部门之间用路由器进行信息...
  • Cisco ACL访问控制列表 Part 1

    万次阅读 2017-05-30 21:50:01
    访问控制列表 如果有不太熟悉的朋友,想象一下防火墙。ACL有几个种类,我们通过配置一个一个看,最后我会总结一个Cisco的ACL和Juniper的Policy的区别,并且尝试的说一下,使用的场景。 拓扑如下,R1作为网关,环回口...
  • 一、访问控制列表: (1)访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。 (2)访问控制是网络安全防范和保护的...
  • 在局域网设计时,要考虑到局域网的安全问题,最首先考虑到的是acl(访问控制列表)的设置,   因为这能很有效的控制不同网段的访问,并且能在一定程度上阻止非法网段的访问,   acl必须要做能处理第三层的设备...
  • 标准IP访问控制列表配置 一、实验目标: 理解标准IP访问控制列表的原理及功能; 掌握编号的标准IP访问控制列表的配置方法; 二、实验背景: 你是公司的网络管理员,公司的经理部、财务部门和销售部分别...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 7,024
精华内容 2,809
关键字:

思科标准访问控制列表