实验16:ACL

实验13-1:标准ACL

Ø    实验目的
通过本实验可以掌握:
(1)ACL 设计原则和工作过程
(2)定义标准ACL
(3)应用ACL
(4)标准ACL 调试

Ø    拓扑结构

本实验拒绝PC1 所在网段访问路由器R1,同时只允许主机PC2 访问路由器R1的TELNET服务。整个网络配置EIGRP 保证IP 的连通性

Ø    实验步骤
n    步骤1:配置路由器R1
R1(config)#router eigrp 90
R1(config-router)#network 192.168.12.0 0.0.0.255
R1(config-router)#network 192.168.13.0 0.0.0.255
R1(config-router)#no auto-summary
R1(config)#access-list 1 deny 192.168.24.0 0.0.0.255 //定义ACL
R1(config)#access-list 1 permit any
R1(config)#interface Serial1/0
R1(config-if)#ip access-group 1 in //在接口下应用ACL
R1(config)#access-list 2 permit 192.168.35.5
R1(config-if)#line vty 0 4
R1(config-line)#access-class 2 in //在vty 下应用ACL
R1(config-line)#password cisco
R1(config-line)#login

n     步骤2:配置路由器R2
R2(config)#router eigrp 90
R2(config-router)#no auto
R2(config-router)#network 192.168.12.0 0.0.0.255
R2(config-router)#network 192.168.24.0

n     步骤3:配置路由器R3
R3(config)#router eigrp 90
R3(config-router)#network 192.168.13.0 0.0.0.255
R3(config-router)#network 192.168.35.0 0.0.0.255
R3(config-router)#no auto-summary

n     步骤4:配置路由器R4(PC1)
 Router(config)#host PC1
 PC1(config)#no ip routing
PC1(config)#int s1/1
PC1(config-if)#ip add 192.168.24.4 255.255.255.0
PC1(config-if)#no sh
PC1(config)#ip default-network 192.168.24.2

n     步骤5:配置路由器R5(PC2)
Router(config)#host PC2
PC2(config)#no ip routing
PC2(config)#int s1/0
PC2(config-if)#ip add 192.168.35.3 255.255.255.0
PC2(config-if)#no sh
PC2(config)#ip default-network 192.168.35.3

Ø    实验调试
 在PC1 网络所在的主机上ping 192.168.12.1,应该不通,在PC2 网络所在的主机上ping192.168.13.1,应该通,在主机PC2 上TELNET 192.168.13.1,应该成功。
n    PC1#ping 192.168.12.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)

n    PC2#telnet 192.168.13.1
Trying 192.168.13.1 ... Open
User Access Verification

Password:
R1>en
n    show ip access-lists
该命令用来查看所定义的IP 访问控制列表
R1#show ip access-lists
Standard IP access list 1
    10 deny   192.168.24.0, wildcard bits 0.0.0.255 (11 matches)
    20 permit any (672 matches)
Standard IP access list 2
10 permit 192.168.35.5 (2 matches)

n    show ip interface
R1#show ip int s1/0
Serial1/0 is up, line protocol is up
  Internet address is 192.168.12.1/24
  Broadcast address is 255.255.255.255
  Address determined by setup command
  MTU is 1500 bytes
  Helper address is not set
  Directed broadcast forwarding is disabled
  Multicast reserved groups joined: 224.0.0.10
  Outgoing access list is not set
  Inbound  access list is 1

实验13-2:扩展ACL

Ø    实验目的
通过本实验可以掌握:
(1)定义扩展ACL
(2)应用扩展ACL
(3)扩展ACL 调试

Ø    拓扑结构

本实验要求只允许PC2 所在网段的主机访问路由器R1 的WWW 和TELNET 服务,并拒绝PC1 所在网段PING 路由器R1。删除实验1 中定义的ACL,保留EIGRP 的配置。

Ø    实验过程
n     步骤1:配置路由器R1
 R1(config)#no access-list 1 //删除ACL
R1(config)#no access-list 2

n     步骤2:配置路由器R2
R2(config)#acc 100 deny icmp 192.168.24.0 0.0.0.255 host 192.168.12.1
R2(config)#int s1/1
R2(config-if)#ip access-group 100 in
R2应用ACL之前,PC1能ping通R1(192.168.12.1);应用后,不能ping通了

PC1#ping 192.168.12.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)

n     步骤3:配置路由器R3
     R3(config)#acc100 permit tcp 192.168.35.0 0.0.0.255 host 192.168.13.1 eq 23
     R3(config)#acc 100 permit tcp 192.168.35.0 0.0.0.255 host 192.168.13.1  eq 80
     R3(config)#int s1/0
R3(config-if)#ip access-group 100 in
//R3应用ACL之前,PC2可以telnet到R1(192.168.13.1);应用后,不能telnet

PC2#telnet 192.168.13.1
Trying 192.168.13.1 ...
% Destination unreachable; gateway or host down

【技术要点】
尽量考虑将扩展的访问控制列表放在靠近过滤源的位置上,这样创建的过滤器就不会反过来影响其它接口上的数据流。另外,尽量使标准的访问控制列表靠近目的,由于标准访问控制列表只使用源地址,如果将其靠近源会阻止数据包流向其他端口。

实验13-3:命名ACL

命名ACL 允许在标准ACL 和扩展ACL 中,使用字符串代替前面所使用的数字来表示ACL;命名ACL 还可以被用来从某一特定的ACL 中删除个别的控制条目,这样可以让网络管理员方便地修改ACL。

Ø    实验目的
通过本实验可以掌握:
(1)定义命名ACL
(2)应用命名ACL

2.拓扑结构

实验步骤
本实验给出如何用命名ACL 来实现实验13-1 中和实验13-2 中的要求
n    在路由器R1上配置命名的标准ACL 实现实验13-1 的要求
R1(config)#ip access-list standard stand
R1(config-std-nacl)#deny 192.168.24.0 0.0.0.255
R1(config-std-nacl)#permit any
R1(config)#interface Serial1/0
R1(config-if)#ip access-group stand in
R1(config)#ip access-list standard class
R1(config-std-nacl)#permit 192.168.35.5
R1(config-if)#line vty 0 4
R1(config-line)#access-class class in
n    在路由器R1 上查看命名访问控制列表
R1#show ip access-lists
Standard IP access list class
    10 permit 192.168.35.5
Standard IP access list stand
    10 deny   192.168.24.0, wildcard bits 0.0.0.255
ermit any (48 matches)
n    在路由器R2 和R3 上配置命名的扩展ACL 实现实验11-2 的要求
R2(config)#ip access-list extended ext1
R2(config-ext-nacl)#deny icmp 192.168.24.0 0.0.0.255 host 192.168.12.1
R2(config-std-nacl)#permit ip any any
R2(config)#interface Serial1/1
R2(config-if)#ip access-group ext in

R3(config)#ip access-list extended ext2
R3(config-ext-nacl)#permit tcp 192.168.35.0 0.0.0.255 host 192.168.13.1 eq 23
R3(config-ext-nacl)#permit tcp 192.168.35.0 0.0.0.255 host 1.1.1.1 eq 80
R3(config-std-nacl)#permit ip any any
R3(config)#interface Serial1/0
R3(config-if)#ip access-group ext2 in

附加:基于时间ACL应用例子
R3(config)#time-range time //定义时间范围
R3(config-time-range)#periodic weekdays 8:00 to 18:00
R3(config)#access-list 111 permit tcp host 172.16.3.1 host 2.2.2.2 eq telnet
time-range time //在访问控制列表中调用time-range

时间: 2024-08-30 18:29:32

实验16:ACL的相关文章

Cisco PT模拟实验(16) 路由器重分发配置

Cisco PT模拟实验(16) 路由器重分发配置 实验目的: 掌握路由器重分发的配置方法 掌握査看通过路由重分发学习产生的路由 实验背景: 随着公司网络规模不断扩大,公司内安装了多个路由器并运行多种路由协议,其中,公司出口路由器R2与公司外的一台路由器R3连接,三层交换机与R2间运行RIPv2路由协议,R1与R2间运行静态路由协议,R2与R3间运行OSPF路由协议.现要做适当配置,实现公司内部主机与公司外部主机之间的相互通信. 技术原理: 路由重分发(Route Redistribution)

实验九 ACL的应用

ACL的应用 1. 实验目的通过本实验可以:1) 掌握 ACL 作用2) 理解标准和扩展 ACL 的区别3) 熟悉标准和扩展 ACL 的配置4) 掌握 ALC 的验证和查看命令5) 理解命名的 ACL 的作用与配置 2. 拓扑结构ACL 的运用拓扑 3. 实验需求1) 参照逻辑拓扑,使用合适的线缆完成物理拓扑的搭建2) 完成各路由器的基本配置,实现各直连设备之间可以互 ping 对方,主机和路由器接口的地址自己规划3) 在 R2 上添加两个 loopback 接口,loopback1 和 loo

[nRF51822] 11、基础实验代码解析大全 · 实验16 - 内部FLASH读写

 一.实验内容: 通过串口发送单个字符到NRF51822,NRF51822 接收到字符后将其写入到FLASH 的最后一页,之后将其读出并通过串口打印出数据. 二.nRF51822芯片内部flash知识: EN-nRF51D 开发板使用NRF51822 芯片为nRF51822-QFAA,如下图所示,共有256KBFLASH,256 页,页大小为1024 字节. NRF51822 内部FLASH 写流程如下: 三.代码解析: main: 1 int main(void) 2 { 3 ... 4 5

实验16 PPP PAP认证

[实验名称]PPP PAP 认证[实验目的]掌握 PPP PAP 认证的过程及配置[背景描述]你是公司的网络管理员,公司为了满足不断增长的业务需求,申请了专线接入,你的客户端路由器与 ISP 进行链路协商时要验证身份,配置路由器保证链路建立,并考虑其安全性.[需求分析]在链路协商时保证安全验证.链路协商时用户名.密码以明文的方式传输. [预备知识]路由器基本配置知识.PPP PAP 知识[实验设备]路由器(带串口) 2 台V.35 线缆(DTE/DCE) 1 对[实验原理]PPP 协议位于 OS

16 使用Squid部署代理缓存服务

16 使用Squid部署代理缓存服务 正向代理模式不仅可以让用户使用Squid代理服务器上网,还可以基于指定的IP地址.域名关键词.网站地址或下载文件后缀等信息,实现类似于访问控制列表的功能.反向代理模式可以大幅提升网站的访问速度,还可以帮助网站服务器减轻负载压力. 标准正向代理--分为标准代理模式和透明代理模式 透明正向代理 访问控制列表 反向代理 [[email protected] ~]# ping www.linuxprobe.com [[email protected] ~]# yum

Spring(一)--作用、IOC容器细节、搭配环境、Spring实验 (转)

1.Spring作用:      1.生态体系庞大,全能型选手![springmvc是其一个子模块,jdbcTemplate能直接操作数据库!]      2.将其他组件粘合在一起      比如将SpringMVC和Mybaits连在一起      3.包括:IOC容器和AOP[面向切面编程]           Spring的IOC机制(控制反转和依赖注入)正是用在此处.           Spring的IOC(控制反转和依赖注入)                控制反转[IOC]:就是由

数学实验

0.1 什么是数学实验 0.2 怎样做好数学实验 0.3 MATLAB简介 0.4 Mathematica简介 0.5 本书的使用实验1 矩阵的基本运算(一)实验2 矩阵的基本运算(二)实验3 MATLAB中的极限和微分运算实验4 MAILAB中的各种积分运算实验5 MATLAB的图形功能实验6 MATLAB的程序结构实验7 分形初探实验8 数字图像处理初探实验9 数字图像的边界提取实验10 图像压缩的MATIAB实现实验11 B6zier曲线的绘制实验12 实验数据的插值实验13 实验数据的拟

haproxy基于ACL的动静分离

acl 语法: acl  <acl_name>  <criterion> [flags] [operator] <value> acl_name:自定义的acl名称,区分大小写,只能包含.字母.数字."-". "_"  .":"  . "." criterion:检查条件 flag:标志位,例如: -i:不区分大小写 operation:操作符,做数值比较,例如:eq(=).ge(>=

CCNP路由专题实验之EIGRP篇,51微博首发!敬请关注连载!

目  录 实验1:EIGRP基本配置和常用show命令复习.. 1 实验2:EIGRP邻居关系建立的条件分析.. 6 实验3:EIGRP多AS号问题研究.. 11 实验4:EIGRP路由条目类型与管理距离修改.. 15 实验5:EIGRP自动汇总和手工汇总.. 19 实验6:EIGRP路由泄露.. 22 实验7:EIGRP浮动汇总路由.. 23 实验8:EIGRP等价负载均衡.. 26 实验9:EIGRP非等价负载均衡.. 29 实验10:EIGRP默认路由.. 32 实验11:EIGRP st