与ACL的初次见面--实验

实验1:

目的:拒绝1.0网段访问
PC1:192.168.1.1/24 网关:192.168.1.254
PC2:192.168.2.1/24 网关:192.168.2.254
步骤:
AR6
Huawei]sysname AR6
[AR6]inter gi0/0/0
[AR6-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[AR6-GigabitEthernet0/0/0]q
[AR6]inter gi0/0/1
[AR6-GigabitEthernet0/0/1]ip add 192.168.12.1 24
[AR6-GigabitEthernet0/0/1]q
[AR6]rip
[AR6-rip-1]version 2
[AR6-rip-1]network 192.168.1.0
[AR6-rip-1]network 192.168.12.0
AR7
<Huawei>sys
[Huawei]sysname AR7
[AR7]inter gi0/0/0
[AR7-GigabitEthernet0/0/0]ip add 192.168.12.2 24
[AR7-GigabitEthernet0/0/0]q
[AR7-GigabitEthernet0/0/1]ip add 192.168.23.1 24
[AR7-GigabitEthernet0/0/1]q
[AR7]rip
[AR7-rip-1]version 2
[AR7-rip-1]network 192.168.12.0
[AR7-rip-1]network 192.168.23.0
[AR7]display ip routing-table
AR11
<Huawei>sys
Huawei]sysname AR11
[AR11]inter gi0/0/0
[AR11-GigabitEthernet0/0/0]ip add 192.168.23.2 24
[AR11-GigabitEthernet0/0/0]q
[AR11]inter gi0/0/1
[AR11-GigabitEthernet0/0/1]ip add 192.168.34.1 24
[AR11-GigabitEthernet0/0/1]q
[AR11]rip
[AR11-rip-1]version 2
[AR11-rip-1]network 192.168.23.0
[AR11-rip-1]network 192.168.34.0
AR10
<Huawei>sys
[Huawei]sysname AR10
[AR10]inter gi0/0/0
[AR10-GigabitEthernet0/0/0]ip add 192.168.34.2 24
[AR10-GigabitEthernet0/0/0]q
[AR10]inter gi0/0/1
[AR10-GigabitEthernet0/0/1]ip add 192.168.2.254 24
[AR10-GigabitEthernet0/0/1]q
[AR10]rip
[AR10-rip-1]version 2
[AR10-rip-1]network 192.168.34.0
[AR10-rip-1]network 192.168.2.0
验证是否可以通

AR6
[AR6]acl 2000 设置基本acl
[AR6-acl-basic-2000]rule 10 deny source 192.168.1.0 0.0.0.255 规则10 拒绝源ip1.0网段所有 通配符
[AR6-acl-basic-2000]q
[AR6]interface gi0/0/0
[AR6-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 端口调用命令2000
验证:

实验二:

连接交换机(交换机可以连接多台电脑,路由器只能连接一台电脑) 加三台主机
要求:只允许PC1与PC2拼通
环境:
PC3:192.168.1.3/24 网关192.168.1.254
PC4:192.168.1.4/24
PC5:192.168.1.5/24
思路:1.仅仅允许PC1,拒绝所有
2.明确拒绝其他三台,允许所有
在实验一的基础上开始实验二,那应先撤销对AR6入端口的acl设置
[AR6]inter gi 0/0/0
[AR6-GigabitEthernet0/0/0]undo traffic-filter inbound 端口的调用命令要删掉,以免日后启用这个端口报错
[AR6]undo acl 2000 删掉acl

[AR6]acl 2000 配置基本acl
[AR6-acl-basic-2000]rule 10 permit source 192.168.1.1 0.0.0.0 规则为10 只允许1.1
[AR6-acl-basic-2000]rule 20 deny source 192.168.1.0 0.0.0.255 规则为20 拒绝1.0所有
[AR6-acl-basic-2000]q
[AR6]interface gi0/0/0
[AR6-GigabitEthernet0/0/0]traffic-filter inbound acl 2000 端口调用acl2000
[AR6-GigabitEthernet0/0/0]q
[AR6]display acl all 查看已配置的acl
Total quantity of nonempty ACL number is 1
Basic ACL 2000, 2 rules
Acl‘s step is 5
rule 10 permit source 192.168.1.1 0
rule 20 deny source 192.168.1.0 0.0.0.255
验证PC1与PC2可拼通
PC1与PC2不可拼通

实验三
要求:基于实验1的基础 PC1不可拼通AR11 但可远程
[AR11]acl 3000 配置高级acl
[AR11-acl-adv-3000]rule 5 deny icmp source 192.168.1.1 0.0.0.0 规则5(随便配置编号)拒绝1.1网络的PIN命令
[AR11]interface gi0/0/0
[AR11-GigabitEthernet0/0/0]traffic-filter inbound acl 3000 调用acl3000
[AR11-GigabitEthernet0/0/0]q
[AR11]user-interface vty 0 4 因为要验证远程因此给被远程的机器配置密码以供验证
[AR11-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):123
LSW1:
[Huawei]interface vlanif 1 给交换机2配置ip地址(模拟器中的pc机没有远程的功能,因此我们用交换机来代替)
[Huawei-Vlanif1]ip add 192.168.1.5 24
[Huawei-Vlanif1]q
[Huawei]ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 给交换机(有路由功能,安排一条出去的路径)
验证

实验四:
要求:允许1.0网段远程AR11,其他网段都不可以
第一步:基于实验3,删掉AR11的acl3000,进入端口删掉traffic
[AR11]acl 2001 设置基本acl
[AR11-acl-basic-2001]rule 5 permit source 192.168.1.0 0.0.0.255 允许1.0网段访问
[AR11-acl-basic-2001]q
[AR11]user-interface vty 0 4
[AR11-ui-vty0-4]authentication-mode password
Please configure the login password (maximum length 16):1234
[AR11-ui-vty0-4]acl 2001 inbound 在虚拟接口上用这条调用命令后,其他默认是拒绝
验证:分别LW1远程11 AR7远程11

实验五:
要求:1.1,1.3,1.5,1.7拒绝访问pc2 其他可以
基于实验四,[AR11]undo acl 2001
思路:1.找公共部分,相同位直接写,不同位变成0
1 0000 0001
3 0000 0011
5 0000 0101
7 0000 0111
可变量只有最后一部分的两个字节
公共部分192.168.1.00000001=192.168.1.1
2.确认通配符:通配符与公共ip地址是一一对应的;在通配符中,与公共ip地址中不变的位对应的位置写0,
反之写1
0.0.0.00000110==>0.0.0.6
配置:
[AR6]acl 3001
[AR6-acl-adv-3001]rule 10 deny icmp source 192.168.1.1 0.0.0.6 destination 192.168.2.1 0.0.0.0 拒绝从公共部分为192.168.1.1(推演过程如上)的客户端拼到192.168.2.1的服务器
验证

原文地址:http://blog.51cto.com/13721786/2116320

时间: 2024-11-02 11:55:55

与ACL的初次见面--实验的相关文章

路由与交换--ACL基本命令及其实验配置

1 ACL 的配置 1.1 创建 ACL 标准 ACL router(config)#access-list <ACL表号> {permit|deny}{<源IP|host><反掩码>|any} //表号1~99 扩展 ACL router(config)#access-list <ACL表号> {permit|deny}{<协议名称>|<端口号>}{<源IP><反掩码>}{<目的IP><反掩

VTP,STP,HSRP,ACL,DHCP,综合实验

实验 拓扑图: 步骤: 一,为PC机配置IP地址 服务器: C2: C1: 二,SW1和SW2做VTP服务模式,SW3和SW4做VTP的客户模式 SW1: SW2: SW3: SW4: 三,根据实验要求VLAN10的流量走SW1,VLAN20的流量走SW2,所以把SW1配置为VLAN10的根网桥,把SW2配置为VLAN20的根网桥,根据命令"tracert"跟踪路由查看 SW1: SW2: 跟踪VLAN10的流量: 跟踪VLAN20的流量: 以上显示VLAN10的流量走的是SW1的vl

标准ACL配置小实验走起

实验要求 在R1路由上建立标准ACL,实现仅允许PC1能访问PC3,禁止PC2对PC3进行访问的功能. 具体配置 1.配置三台pc机地址.网关 PC1> ip 192.168.10.2 192.168.10.1 Checking for duplicate address... PC1 : 192.168.10.2 255.255.255.0 gateway 192.168.10.1 PC2> ip 192.168.10.3 192.168.10.1 Checking for duplicat

OSPF与ACL综合应用实验

一.项目案例要求 1.企业内网运行OSPF路由协议,区域规划如图所示: 2.财务和研发所在的区域不受其他区域链路不稳定性影响: 3.R1.R2.R3只允许被IT登录管理: 4.YF和CW之间不能互通,但都可以与IT互通: 5.IT和YF可以访问Client1,但CW不能访问Client1: 6.YF和CW只能访问Server1的WWW服务: 二.项目规划 CW 1.YF和CW之间不能互通,但都可以与IT互通: 2.CW不能访问Client1: 3.CW只能访问Server1的WWW服务: YF

标准与扩展ACL实验

一标准访问控制列表实验: 实验拓扑: 实验目的:掌握标准与扩展ACL的配置 实验要求:拒绝R1到R3的所有流量 实验步骤: 步骤1 按如上拓扑做好底层配置,并检测相邻设备之间的连通性 步骤2起静态路由,使全网互通 R1(config)#ip route 10.1.1.64 255.255.255.252 10.1.1.2 R3(config)#ip route 10.1.1.0 255.255.255.252 10.1.1.65 步骤3在R3上做标准的ACL使R1不能访问R3 R3(config

实验16:ACL

实验13-1:标准ACL Ø    实验目的通过本实验可以掌握:(1)ACL 设计原则和工作过程(2)定义标准ACL(3)应用ACL(4)标准ACL 调试 Ø    拓扑结构 本实验拒绝PC1 所在网段访问路由器R1,同时只允许主机PC2 访问路由器R1的TELNET服务.整个网络配置EIGRP 保证IP 的连通性 Ø    实验步骤n    步骤1:配置路由器R1R1(config)#router eigrp 90R1(config-router)#network 192.168.12.0 0

【实验】综合实验(VLAN间通信,ACL技术,DNS/WEB服务器架设,RIP路由)

实验名称:综合实验 实验目的: 1实现全网互通2Client1可以访问www.ntd1711.com并保存网页文件3PC1与PC2之间的任何类型的流量都无法互通涉及技术:VLAN间通信/RIP/DNS/WEB/3层交换机/ACL 拓扑图: 相关设备: 二层交换机:SW1/SW2/SW3三层交换机:MSW1/MSW2(MSW1为VLAN10/20的网关)(MSW2为VLAN30/40的网关)服务器:DNS服务器/WEB服务器终端设备:主机1-5/客户端1配置思路:一-全网互通(VLAN间畅通)#2

ACL控制访问列表原理+实验

ACL控制访问列表原理+实验1.原理:ACL使用包过滤技术,在路由器上读取ISO七层模型的第三层及第四层包头中的信息,如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则,对包头进行过滤.2.从上到下逐条匹配,一旦匹配则停止匹配,一条不匹配,执行隐含(拒绝)命令.3.原则上ACL控制访问列表设置在进端口效率更高4.ACL的类型有三类:A.标准ACL,根据数据包的源IP地址来允许或拒绝转发数据包,列表号(1-99)B.扩展ACL,根据数据包的源IP地址,目的IP地址,指定协议,端口和标志来

&nbsp; &nbsp; 华为 ACL 网络安全

华为ACL网络安全 一. 1.物理层安全 墙上的不同的网线接口 连接交换机的端口关系: 2.数据链路层安全 ADSL拨号账号和密码 mac地址绑定 交换机端口连接计算机数量创建vlan: 3.网络层安全  基于源IP地址 目标IP地址控制: 4.传输层安全   会话攻击 LAND攻击 syn洪水攻击: 5.应用层安全  登陆密码: 6.网络层安全 标准的ACL, 基于源地址进行控制: 7.访问控制列表 扩展源地址: 基于原地址 目标地址: 端口号进行控制. 二. 使用标准的ACL配置网络安全 实