精华内容
下载资源
问答
  • ACL拓展扩展ACL(100--199)建立扩展ACL的操作步骤:1)建表2).用表 扩展ACL(100–199) 总结扩展ACL访问列表语法: Router(config)#access-list 100 permit (IP) 大协议 源地址 源反掩码 目标地址 目标反掩码 ...

    扩展ACL(100–199)

    1. 总结扩展ACL访问列表语法:
      Router(config)#access-list 100 permit (IP) 大协议 源地址 源反掩码 目标地址 目标反掩码
      access-list 100 permit IP 192.168.1.0 0.0.0.255 host 192.168.4.2

    2. 扩展列表他控制OSI七层模型的第三 四 七
      三层网络层 四层传输层 七层应用层
      IP ICMP(ping)------>TCP(0–65535)–80 23---->http(telnet)
      UDP(0–65535)–53---->dns协议

    • 注意:IP协议最大,ping 协议是(icmp)被IP地址协议包含

    建立扩展ACL的操作步骤:

    1)建表

    access-list 100 deny icmp 192.168.1.0 0.0.0.255 host 192.168.4.2
    拒绝 ping 网段
    access-list 100 deny icmp host 192.168.2.2 host 192.168.4.2
    access-list 100 permit ip 192.168.1.0 0.0.0.255 host 192.168.4.2
    access-list 100 permit ip host 192.168.2.2 host 192.168.4.2

    access-list 100 deny tcp host 172.16.1.2 host 192.168.1.2 eq www
    access-list 100 permit ip any any

    R2(config)#access-list 100 permit tcp host 1.1.1.1 host 2.2.2.2 eq ?
    <0-65535> Port number

    • ftp
      File Transfer Protocol (21)
    • pop3
      Post Office Protocol v3 (110)
    • smtp
      Simple Mail Transport Protocol (25)
    • telnet
      Telnet (23)
    • www
      World Wide Web (HTTP, 80)

    2).用表

    R2(config)#int e1/1
    R2(config-if)#ip access-group 100 out

    展开全文
  • 思科ACL详解

    万次阅读 2017-07-01 13:36:59
    思科ACL 基本原则:1、按顺序执行,只要有一条满足,则不会继续查找 2、隐含拒绝,如果都不匹配,那么一定匹配最后的隐含拒绝条目,思科默认的 3、任何条件下只给用户能满足他们需求的最小权限 4、不要忘记把ACL...


    思科ACL
    基本原则:1、按顺序执行,只要有一条满足,则不会继续查找
                 2、隐含拒绝,如果都不匹配,那么一定匹配最后的隐含拒绝条目,思科默认的
                 3、任何条件下只给用户能满足他们需求的最小权限
                 4、不要忘记把ACL应用到端口上

    一、标准ACL
        命令:access-list {1-99}{permit/deny} source-ip source-wildcard [log]
        例:access-list 1 penmit192.168.2.0 0.0.0.255    允许192.168.2.0网段的访问
              access-list1 deny 192.168.1.0 0.0.0.255      拒绝192.168.1.0网段的访问
       说明:wildcard为反掩码,host表示特定主机等同于192.168.2.30.0.0.0;any表示所有的源或目标等同于0.0.0.0 255.255.255.255;log表示有匹配时生成日志信息;标准ACL一般用在离目的最近的地方

    二、扩展ACL
        命令:access-list {100-199}{permit/deny}  protocol source-ipsource-wildcard  [operator port]destination-ipdestination-wildcard  [operatorport] [established][log]
        例:access-list 101 permit tcp192.168.2.0 0.0.0.255 gt 1023 host 192.168.1.2 eq80
             允许192.168.2.0网段的主机访问主机192.168.1.2的web服务
             access-list101 permit udp 192.168.2.0 0.0.0.255 gt 1023 any eq53
              允许192.168.2.0网段的主机访问外网以做dns查询
        说明:gt1023表示所有大于1023的端口,这是因为一般访问web、ftp等服务器时客户端的主机是使用一个1023以上的随机端口;established表示允许一个已经建立的连接的流量,也就是数据包的ACK位已设置的包。

    三、命名ACL
        命令: ipaccess-list {standard/extended} name
                  { permit/deny} source-ip source-wildcard                     标准
                  { permit/deny} protocol source-ip source-wildcard [operator port]destination-ipdestination-wildcard  [operatorport] [established][log]                    扩展
        例:ip access-list extendedoutbound          定义一个名为outbound的命名ACL
               permit tcp192.168.2.0 0.0.0.255 gt 1023 host 192.168.1.2 eq80  
             允许192.168.2.0网段的主机访问主机192.168.1.2的web服务

    四、动态ACL
         动态ACL是一种利用路由器telnet的验证机制,动态建立临时的ACL以让用户可以暂时访问内网的一种技术
        命令:access-list{100-199} dynamic username [timeout minutes] permit any dest-ipdest-wildcard
        说明:username必须是路由器上的某一个用户;timeout为绝对超时时间;最好定义dest-ip为外网要访问的服务器的IP.
        例: 1:username lyl passwordlyl           建立用户,用于用户验证
             2:access-list 101 permit tcp any host10.10.1.1  eq23     允许外网用户访问路由器外端口的telnet服务,用于验证
                  access-list101 permit tcp any host10.10.1.1  eq3001  允许外网用户访问路由器外端口的3001端口,用于telnet管理
                  access-list101 dynamic lyl timeout 8 permit ip any host 192.168.2.3引用路由器上的lyl用户以建立动态的ACL
              3、line vty 03             
                 loginlocal              定义本地验证
                 autocommandaccess-enable host timeout 3       用于动态ACL验证用户,此处host绝不可少,如果没有则生成的动态ACL源地址将为any,则动态ACL毫无意义
                 line vty4
                 loginlocal
                 rotary  1                 用开telnet管理,端口为3001
               4、ints1/0
                 ip add10.10.1.1 255.255.255.252
                 noshut
                  ipaccess-group 101 in


    五、自反ACL
       基本思想:内网可以访问外网,但外网没有允许不能访问内网,内网访问外网的回应数据可以通过
        例:一、ip access-list extendedoutbound       创建出去数据的ACL
                   permit tcpany any reflect cisco       tcp的流量可以进来,但要在有内部tcp流量出去时动态创建
             二、 ipaccess-list extended inbound       创建进来数据的ACL
                     permit icmpany any                   允许基于ICMP的数据如echo-request
                     evaluate cisco                          允许出去的ACL中的有cisco对应语句的TCP流量进来
             三、 ints1/0                                   s1/0为路由器的接外网的端口
                  ipaccess-group outbound out
                  ipaccess-group inbound in 
       说明:reflect和evalute后面的对应名应该相同,此例中为cisco

    展开全文
  • 思科网络基础---ACL配置

    千次阅读 2019-12-27 14:51:37
    在配置acl访问控制列表之前,pc5是能够访问server2页面的,其实在配置完RIP动态路由后,所有的网段都是互通的,在工作环境中,这样做存在一定的安全隐患。 5、 配置ACL访问控制列表,拒绝pc5所在网段访问Server-2...

    记得这是多年前的一道作业题,如今再接触网络,感触颇深。

    先提下配置要求吧,说实话,这拓扑图是真的简单,配置要不复杂,当然,这只是基本的训练题。

    用RIP路由协议配置,实现网络连通。

    1、终端PC-5的WEB浏览器上输入http://40.4.4.200,是否可以打开页面?

    2、若要拒绝该网段访问Server-2的网站,该如何实现?

    3、PC-6能否ping通R-1所连接主机?如果想拒绝所有针对R-1的ping操作,如何实现?

     拓扑图如下,该图我已经配置完成了。

     1、首先把server1、server2、pc3、pc4、pc5、pc6的ip、掩码、网关都配置好,这些都可以直接图形化配置,在这里就不截图了

    配置完成之后,如下图这两个区域是能够互相访问的

     

     2、接下来对三个路由器进行最基本的配置,设置端口ip、开启端口

    Router1:

    R-1#show running-config 
    Building configuration...
    
    Current configuration : 800 bytes
    !
    version 12.2
    no service timestamps log datetime msec
    no service timestamps debug datetime msec
    no service password-encryption
    !
    hostname R-1
    !
    !
    !
    !
    !
    !
    !
    !
    no ip cef
    no ipv6 cef
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    no ip domain-lookup
    !
    !
    !
    !
    !
    !
    !
    !
    interface FastEthernet0/0
     ip address 10.1.1.1 255.255.255.0
     duplex auto
     speed auto
    !
    interface FastEthernet0/1
     no ip address
     duplex auto
     speed auto
     shutdown
    !
    interface FastEthernet1/0
     ip address 30.3.3.1 255.255.255.0
     duplex auto
     speed auto
    !
    interface FastEthernet1/1
     ip address 40.4.4.1 255.255.255.0
     duplex auto
     speed auto
    !
    router rip
     version 2
     network 10.0.0.0
     network 30.0.0.0
     network 40.0.0.0
     no auto-summary
    !
    ip classless
    !
    ip flow-export version 9
    !
    !
    !
    no cdp run
    !
    !
    !
    !
    !
    !
    line con 0
    !
    line aux 0
    !
    line vty 0 4
     login
    !
    !
    !
    end
    
    
    R-1#  

    Router2:

    R-2#show running-config 
    Building configuration...
    
    Current configuration : 759 bytes
    !
    version 12.2
    no service timestamps log datetime msec
    no service timestamps debug datetime msec
    no service password-encryption
    !
    hostname R-2
    !
    !
    !
    !
    !
    !
    !
    !
    no ip cef
    no ipv6 cef
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    no ip domain-lookup
    !
    !
    !
    !
    !
    !
    !
    !
    interface FastEthernet0/0
     ip address 10.1.1.2 255.255.255.0
     duplex auto
     speed auto
    !
    interface FastEthernet0/1
     ip address 20.2.2.1 255.255.255.0
     duplex auto
     speed auto
    !
    interface FastEthernet1/0
     no ip address
     duplex auto
     speed auto
     shutdown
    !
    interface FastEthernet1/1
     no ip address
     duplex auto
     speed auto
     shutdown
    !
    router rip
     version 2
     network 10.0.0.0
     network 20.0.0.0
     no auto-summary
    !
    ip classless
    !
    ip flow-export version 9
    !
    !
    !
    !
    !
    !
    !
    !
    line con 0
    !
    line aux 0
    !
    line vty 0 4
     login
    !
    !
    !
    end
    
    
    R-2#

    Router3:

    R-3#show running-config 
    Building configuration...
    
    Current configuration : 800 bytes
    !
    version 12.2
    no service timestamps log datetime msec
    no service timestamps debug datetime msec
    no service password-encryption
    !
    hostname R-3
    !
    !
    !
    !
    !
    !
    !
    !
    no ip cef
    no ipv6 cef
    !
    !
    !
    !
    !
    !
    !
    !
    !
    !
    no ip domain-lookup
    !
    !
    !
    !
    !
    !
    !
    !
    interface FastEthernet0/0
     no ip address
     duplex auto
     speed auto
     shutdown
    !
    interface FastEthernet0/1
     ip address 20.2.2.2 255.255.255.0
     duplex auto
     speed auto
    !
    interface FastEthernet1/0
     ip address 50.5.5.1 255.255.255.0
     duplex auto
     speed auto
    !
    interface FastEthernet1/1
     ip address 60.6.6.1 255.255.255.0
     duplex auto
     speed auto
    !
    router rip
     version 2
     network 20.0.0.0
     network 50.0.0.0
     network 60.0.0.0
     no auto-summary
    !
    ip classless
    !
    ip flow-export version 9
    !
    !
    !
    no cdp run
    !
    !
    !
    !
    !
    !
    line con 0
    !
    line aux 0
    !
    line vty 0 4
     login
    !
    !
    !
    end
    
    
    R-3#

     3、然后配置RIP,好吧,其实上面贴的内容里面已经包含有RIP了,这里就略过了

    4、先测试一下 ”终端PC-5的WEB浏览器上输入http://40.4.4.200,是否可以打开页面?“

    因为待会要配置pc5无法访问server2页面,所以这里先做个测试

    在配置acl访问控制列表之前,pc5是能够访问server2页面的,其实在配置完RIP动态路由后,所有的网段都是互通的,在工作环境中,这样做存在一定的安全隐患。

    5、 配置ACL访问控制列表,拒绝pc5所在网段访问Server-2的网站

    R-3>enable 
    R-3#configure terminal 
    R-3(config)#access-list 110 deny tcp 50.5.5.0 0.0.0.255 40.4.4.0 0.0.0.255 eq www
    R-3(config)#access-list 110 permit ip any any
    R-3(config)#interface f1/0
    R-3(config-if)#ip access-group 110 in
    R-3(config-if)#end
    R-3#

    6、再次验证pc5能否访问server2页面

    7、配置ACL访问控制列表,拒绝所有针对R-1的ping操作

    首先,测试一下PC-6能否ping通R-1所连接主机

    下面开始配置ACL

    R-1>enable 
    R-1#configure terminal 
    R-1(config)#access-list 119 deny icmp any any
    R-1(config)#interface f0/0
    R-1(config-if)#ip access-group 119 in
    R-1(config-if)#end
    R-1#

    最后再次验证能否ping通

     

    ps:

    因为之前并没有想要整理一份博文,因此前面配置没有及时copy出来,还好show run出来的也详细。

     

    展开全文
  • 思科标准ACL配置

    2021-05-24 16:59:38
    目录 思科标准ACL配置 思科标准ACL配置 ...创建ACL列表,但不设置表号为1的访问控制列表允许任何数据包通过,仅限制了192.168.30.0的整个一个C网络 此时的连通性 在创建的AC...

     

    思科标准ACL配置

     

    应用标准ACL实现PC3禁止访问PC1PC2可以访问PC1

     

     

     

     

     

     

     

    配置IP地址

     

     

     

    配置静态路由

     

     

     

     

    配置完IP地址和静态路由后查看连通性

     

     

    创建ACL列表,但不设置表号为1的访问控制列表允许任何数据包通过,仅限制了192.168.30.0的整个一个C网络

     

    此时的连通性

     

     

     

    在创建的ACL列表里,增加设置表号为1的访问控制列表允许任何数据包通过,仍然限制192.168.30.0这一网段

     

     

    此时连通性结果

     

     

     

    四、实验总结及存在的问题

    access-list 1 deny host 192.168.10.1 只限制一台主机192.168.10.1,掩码相当于0.0.0.0;
    access-list 1 deny 192.168.10.1 0.0.0.255 限制了192.168.10.0的整个一个C网络

     

    ACL访问控制列表一般在内部与外部网络之间使用
    access-list 4 permit any的意思是表号为4的访问控制列表允许任何数据包通过
    ip access-group 4 out的意思是把表号为4的访问控制列表在外部网络的端口应用
    合起来的意思通俗点讲就是内部网络的数据包可以完全通过向外部网络的端口 就是说内部网络的主机都可以访问外网

     

    创建ACL列表

    Router(config)#access-list 1 deny 192.168.30.0  0.0.0.255(通配符掩码)

    Router(config)#access-list 1 permit any

    应用于接口

    Router(config)#in f 0/0

    Router(config-if)#ip access-group 1 out(出栈)

     

    1)删除ACL

    删除编号即可删除ACL。
    命令格式:

    1

    R (config) #no access-list 1

      2)取消ACL在接口的应用

    命令格式:

    1

    2

    R(config) #int s1/0

    R(config-if) #no ip access-group 1 in

       4)查看ACL

    命令格式:

    1

    2

    R3#show access-lists

    R3#show access-lists 1

     3.3 配置标准命名ACL的方法

    标准命名ACL指使用字符串代替数字来标识ACL。其优点包括:

    1. 可以在不删除整个ACL情况下修改。
    2. 字符串直观标识ACL用途。
    3. 可以配置超过99个标准ACL。
      注意:命名不能相同。
    4. 创建标准命名ACL格式:Router (config)# ip access-list standard access-list name
       例如:
       

    1

    2

    3

    4

    5

    6

    R3 (config)# ip access-list standard deny-R1

    R3 (config-std-nac1)#deny

    R3 (config-std-nac1)#permit any

    R3 (config-std-nac1)#exit

    R3 (config)#int s1/0

    R3 (config-if)#ip access-group deny-R1 in

     

    可局部修改:

    1)删除某一句:
     

    1

    2

    R3 (config)# ip access-list standard deny-R1

    R3 (config-std-nac1)#no deny 12.1.1.1

    3)删除整个ACL:
     

    1

    R3 (config)#no ip access-list standard deny-R1

     

    展开全文
  • CISCO路由器的ACL的各项设置

    千次阅读 2019-05-27 11:05:44
    ACL:access control list,访问控制列表 访问控制:动作:允许(permit)、拒绝(deny) 匹配流量:Qos、VPN感兴趣流量匹配, 用作NAT的转换(私有网络→公网,多对一转换) ACL种类: GW(config)#access-list ? &...
  • ACL详解 Cisco

    2020-05-25 00:30:22
    访问控制列表简称为ACL: 访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术...
  • Cisco VLAN ACL配置

    千次阅读 2018-05-16 18:10:00
    ACL全称访问控制列表(Access Control List),主要通过配置一组规则进行过滤路由器或交换机接口进出的数据包, 是控制访问的一种网络技术手段, ACL适用于所有的被路由支持的协议,如IP、tcp、udp、ftp、www等。 ...
  • 访问控制列表(ACL): 读取第三层、第四层包头信息 根据预先定义好的规则对包进行过滤 2.访问控制列表的工作原理 ACL使用网络流量控制(过滤)技术,在路由器上读取网络层和传输层的报头信息。(源IP 目标IP ...
  • 思科ACL访问控制列表常规配置

    万次阅读 多人点赞 2018-11-26 14:29:02
    一、ACL概述 ACL (Access Control List,访问控制列表)是一系列运用到路由器接口的指令列表。这些指令告诉路由器接收哪些数据包、拒绝哪些数据包,接收或者拒绝根据一定的规则进行,如源地址、目标地址、端口号等。...
  • Cisco - 标准与扩展ACL 、 命名ACL

    千次阅读 2018-11-10 11:43:01
    Access Control Lists,访问控制列表 ACL协议分类: 标准ACL 基于源IP地址过滤数据包,列表号:1~99 扩展ACL 基于源IP地址、目标IP地址、指定协议、端口来...1.创建ACL Router(config)# access-list (1~99) { pe...
  • 思科CISCO ACL配置详解

    万次阅读 多人点赞 2013-04-03 01:28:21
    访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定 义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期...
  • 思科 交换机ACL

    千次阅读 2018-08-07 13:42:17
    交换机ACL只能绑定在VLAN上。 一定要最后一句加permit access-list 1 deny 10.0.1.0 0.0.0.255 //1-99基本 access-list 1 permit any access-list 100 deny ip 10.0.3.0 0.0.0.255 10.0.1.0 0.0.0.255 //100以上...
  • 前言: 最近整理一些以前的学习笔记(有部分缺失,会有些乱,日后再补)。...ACL访问控制列表: 1.访问控制列表(ACL) Access Control List 读取第三层、第四层包头信息 根据预先定义好的规则对包进行过滤 2、访问控制...
  • 我还提供了一个用于创建脚本的示例 ACL 列表。 在文件 ACL_FORMAT_LIST 中,我开始编译所有可能格式的列表,包括脚本当前未解析的格式。 GNU 通用公共许可证 版权所有 (c) 2015 Delta911Turbo 该程序是免费软件; ...
  • cisco路由器配置ACL详解

    千次阅读 2016-12-25 11:09:48
    cisco路由器配置ACL详解如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以...
  • 一.ACL概述 1.简介 ACL(访问控制列表)ACL (Access Control List,访问控制列表)是一系列运用到路由器接口的策略列表。这些策略告诉路由器接收哪些数据包、拒绝哪些数据包,接收或者拒绝根据一定的规则进行,如源...
  • 思科设备ACL与NAT技术

    2019-07-17 10:52:00
    ACL 访问控制列表(Access Control Lists),是应用在路由器(或三层交换机)接口上的指令列表,用来告诉路由器哪些数据可以接收,哪些数据是需要被拒绝的,ACL的定义是基于协议的,它适用于所有的路由协议,并根据预先定义好...
  • 思科高级配置(配置标准命名ACL)

    千次阅读 2019-05-16 09:07:18
    而且ACL的编号有限制,如传统的标准ACL用199表示,扩展ACL用100199表示。 1)配置标准命名ACL实现拒绝PC2(IP地址为192.168.0.20)对Web Server的访问 方案 命名访问控制列表可以为ACL起一个有意义的名字,通过名称...
  • 什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的...
  •  Local-And-Key是动态ACL的一种,可以在外网用户访问内网设备时提供一种简单的安全机制,在配置了LOCAL-AND-KEY的路由器上,所有的外网到内网的访问都是需要经过telnet的用户验证,如果通过了telnet验证,那么外网用户...
  • CISCO 访问控制列表ACL

    千次阅读 2018-06-09 15:53:20
    什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。...
  • 思科高级配置(配置扩展命名ACL)

    千次阅读 2019-05-16 09:10:25
    而且ACL的编号有限制,如传统的标准ACL用199表示,扩展ACL用100199表示。 1)配置扩展命名ACL实现拒绝PC2(IP地址为192.168.0.20)访问Web Server Web服务,但可访问其他服务。 方案 命名访问控制列表可以为ACL起一...
  • CISCO ACL配置详解

    万次阅读 多人点赞 2012-04-29 15:56:12
    什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的...
  • ACL访问控制列表 Cisco

    2020-05-25 00:42:02
    ACL 访问控制列表的启用 access-list 1 deny 192.168.4.0 0.0.0.255 access-list 1 permit any int g0/1 ip access-group 1 out exit int g0/1 no ip access-group 1 out Exit 实验结果: 路由表: S1: R1: 1:在S1...
  • cisco 路由器删除单条ACL

    千次阅读 2014-06-10 10:46:13
    【讨论】路由器上创建了多条访问控制列表,检查时发现有一条不妥,想将它删掉,在全局模式下,使用no access-list seq.....,结果晕倒是,全部的访问列表不见了。求教各位大虾,怎么样去除某一条访问列表而不会影响...
  • Cisco(20)——扩展ACL

    千次阅读 2019-05-06 18:12:58
    实验拓扑: 实验要求: 利用扩展ACL访问控制列表,使得PC0不能访问PC2的FTP服务,但是可以访问PC2的其他的服务,例如DHCO服务,PC1可以与PC...3.路由器配置接口的IP地址,设置静态路由,创建ACL扩展访问控制列...
  • 3、配置默认拒绝所有的ACL,并且ASA丢掉数据包后会有Log提示;4、R2开启http secure-server服务(https服务),R1远程登录R2的443端口,查看ASA是否有提示? 三、命令部署:1、R1、R2、R3分别配置默认路由,下一跳为...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 4,102
精华内容 1,640
关键字:

思科创建acl