实验九 ACL的应用

ACL的应用

1、 实验目的
通过本实验可以:
1) 掌握 ACL 作用
2) 理解标准和扩展 ACL 的区别
3) 熟悉标准和扩展 ACL 的配置
4) 掌握 ALC 的验证和查看命令
5) 理解命名的 ACL 的作用与配置

2、 拓扑结构

ACL 的运用拓扑

3、 实验需求
1) 参照逻辑拓扑,使用合适的线缆完成物理拓扑的搭建
2) 完成各路由器的基本配置,实现各直连设备之间可以互 ping 对方,主机
和路由器接口的地址自己规划
3) 在 R2 上添加两个 loopback 接口,loopback1 和 loopback2,其中
loopback1 地址为 2.2.2.2/24,loopback2 地址为 22.22.22.22/24
4) 完成必要的配置实现全网可达

5) 使用标准 ACL 实现 PC1 不能访问 PC2,并使用 ping 命令验证结果
6) 使用标准 ACL 实现只允许 PC2 远程登录到路由器 R2,并使用 telnet 命
令验证结果
7) 使用标准 ACL 实现禁止 loopback1 所在网段的所有主机访问 PC1,对
loopback2 所在网段主机的访问不做限制
8) 使用命名 ACL 完成上述标准 ACL 的需求

9) 使用扩展 ACL 实现禁止 PC1 远程登录到 R2,对其他访问不做限制
10) 使用扩展 ACL 实现 PC2 可以 telnet 到路由器 R1,但不能 ping 路由器 R1,
分别使用 ping 和 telnet 验证结果
11) 使用扩展 ACL 实现 PC1 可以 ping PC2,但禁止 PC2 ping PC1,其他的
访问不受限制,使用 ping 验证结果
12) 使用命名 ACL 完成上述扩展 ACL 的需求

4、 实验步骤

步骤一:
前面两步的话就不多说,直接从第三步开始

我们可以看到,已经可以ping通了。

步骤二:
a. 使用标准 ACL 实现 PC1 不能访问 PC2,并使用 ping 命令验证结果

IOU3(config)#access-list 1 deny host 192.168.1.1 ——拒绝源IP地址为192.168.1.1的访问
IOU3(config)#access-list 1 permit any ——允许所有
IOU3(config)#interface e0/0
IOU3(config-if)#ip access-group 1 out ——调用访问控制列表 1 out选在发出端口

此时PC1无法ping通PC2。


b.使用标准 ACL 实现只允许 PC2 远程登录到路由器 R2,并使用 telnet 命
令验证结果
先在R2上设置远程登陆的配置

IOU2(config)#line vty 0 4——进入vty路线
IOU2(config-line)#password 123——设置telnet密码
IOU2(config-line)#login ——启用密码
IOU2(config-line)#transport input all——允许所有协议 
IOU2(config)#access-list 1 permit host 192.168.2.1——允许源IP地址为192.168.2.1的访问
IOU2(config)#line vty 0 4——进入vty线路
IOU2(config-line)#access-class 1 in ——调用ACL配置

因为访问控制列表中最后一条始终为deny any(拒绝所有),并且查看不到,所以我们只允许PC2可以访问,其它的默认都被拒绝了。


c.使用标准 ACL 实现禁止 loopback1 所在网段的所有主机访问 PC1,对
loopback2 所在网段主机的访问不做限制

IOU1(config)#access-list 1 deny 2.2.2.0 0.0.0.255
IOU1(config)#access-list 1 permit any
IOU1(config)#interface e0/0
IOU1(config-if)#ip access-group 1 out



d. 使用命名 ACL 完成上述标准 ACL 的需求
①使用命名的标准 ACL 实现 PC1 不能访问 PC2,并使用 ping 命令验证结果

IOU3(config)#ip access-list standard a——命名的标准ACL为a
IOU3(config-std-nacl)#deny host 192.168.1.1——拒绝源地址为192.168.1.1的访问
IOU3(config-std-nacl)#permit any
IOU3(config-std-nacl)#exit
IOU3(config)#interface e0/0
IOU3(config-if)#ip access-group a out——启用ACL

②使用标准 ACL 实现只允许 PC2 远程登录到路由器 R2,并使用 telnet 命
令验证结果

IOU2(config)#ip access-list standard a
IOU2(config-std-nacl)#permit host 192.168.2.1
IOU2(config-std-nacl)#exit
IOU2(config)#line vty 0 4
IOU2(config-line)#access-class a in


③使用标准 ACL 实现禁止 loopback1 所在网段的所有主机访问 PC1,对
loopback2 所在网段主机的访问不做限制

IOU1(config)#ip access-list standard a
IOU1(config-std-nacl)#deny 2.2.2.0 0.0.0.255
IOU1(config-std-nacl)#permit any
IOU1(config-std-nacl)#exit
IOU1(config)#interface e0/0
IOU1(config-if)#ip access-group a out


步骤四:
a.使用扩展 ACL 实现禁止 PC1 远程登录到 R2,对其他访问不做限制

IOU2(config)#access-list 101 deny tcp host 192.168.1.1 any eq 23——
列表101 拒绝主机172.16.1.1到达本台设备上的所有地址的TELNET功能。(tcp 23端口就是代表telnet,这表写eq 23 或者 eq telnet都行)
IOU2(config)#access-list 101 permit ip any any
IOU2(config-line)#access-class 101 in


b. 使用扩展 ACL 实现 PC2 可以 telnet 到路由器 R1,但不能 ping 路由器 R1,
分别使用 ping 和 telnet 验证结果

IOU3(config)#access-list 101 deny icmp host 192.168.2.1 any
IOU3(config)#access-list 101 permit ip any  any
IOU3(config)#interface e0/0
IOU3(config-if)#ip access-group 101 in


c.使用扩展 ACL 实现 PC1 可以 ping PC2,但禁止 PC2 ping PC1,其他的
访问不受限制,使用 ping 验证结果

IOU3(config)#access-list 101 deny icmp host 192.168.2.1 any echo
IOU3(config)#access-list 101 permit ip any any
IOU3(config)#interface e0/0
IOU3(config-if)#ip access-group 101 in


d.使用命名 ACL 完成上述扩展 ACL 的需求
①使用命名的扩展 ACL 实现禁止 PC1 远程登录到 R2,对其他访问不做限制

IOU1(config)#ip access-list extended a
IOU1(config-ext-nacl)#deny tcp host 192.168.1.1 any eq 23
IOU1(config-ext-nacl)#permit ip any any
IOU1(config-ext-nacl)#exit
IOU1(config)#interface e0/0
IOU1(config-if)#ip access-group a in


②使用命名的扩展 ACL 实现 PC2 可以 telnet 到路由器 R1,但不能 ping 路由器 R1,
分别使用 ping 和 telnet 验证结果

IOU3(config)#ip access-list extended a
IOU3(config-ext-nacl)#deny icmp host 192.168.2.1 any echo
IOU3(config-ext-nacl)#permit ip any any
IOU3(config-ext-nacl)#exit
IOU3(config)#interface e0/0
IOU3(config-if)#ip access-group a in


③使用扩展 ACL 实现 PC1 可以 ping PC2,但禁止 PC2 ping PC1,其他的
访问不受限制,使用 ping 验证结果

IOU3(config)#ip access-list extended a
IOU3(config-ext-nacl)#deny icmp host 192.168.2.1 host 192.168.1.1 echo
IOU3(config-ext-nacl)#permit ip any any
IOU3(config-ext-nacl)#exit
IOU3(config)#interface e0/0
IOU3(config-if)#ip access-group a in

原文地址:https://blog.51cto.com/14367225/2420518

时间: 2024-08-30 18:35:07

实验九 ACL的应用的相关文章

王爽汇编实验九

1 ;实验九 2 assume cs:code,ds:data 3 data segment 4 db 'welcome to masm!' 5 data ends 6 7 code segment 8 start : 9 mov ax,data 10 mov ds,ax;定义数据段 11 12 mov ax,0B800h 13 mov es,ax;定义显示段 14 15 mov cx,16 16 mov si,0 17 mov di,10*160+80 ;将输出显示放在第10行中间 18 19

Packet Tracer 5.0实验(九) 路由器RIP动态路由配置

Packet Tracer 5.0实验(九) 路由器RIP动态路由配置 一.实验目标 掌握RIP协议的配置方法: 掌握查看通过动态路由协议RIP学习产生的路由: 熟悉广域网线缆的连接方式: 二.实验背景 假设校园网通过一台三层交换机连到校园网出口路由器上,路由器再和校园外的另一台路由器连接.现要做适当配置,实现校园网内部主机与校园网外部主机之间的相互通信.为了简化网管的管理维护工作,学校决定采用RIP V2协议实现互通. 三.技术原理 RIP(Routing Information Protoc

【黑金原创教程】【FPGA那些事儿-驱动篇I 】实验九:PS/2模块③ — 键盘与多组合键

实验九:PS/2模块③ — 键盘与多组合键 笔者曾经说过,通码除了单字节以外,也有双字节通码,而且双字节通码都是 8’hE0开头,别名又是 E0按键.常见的的E0按键有,<↑>,<↓>,<←>,<→>,<HOME>,<PRTSC> 等编辑键.除此之外,一些组合键也是E0按键,例如 <RCtrl> 或者 <RAlt> .所以说,当我们设计组合键的时候,除了考虑“左边”的组合键以外,我们也要考虑“右边”的组合键.&

Linux基础入门(新版)(实验九-实验十二)

实验九 简单文本入门 一.常用的文本处理命令 二.文本处理命令 1.tr 命令 tr 命令可以用来删除一段文本信息中的某些文字.或者将其进行转换. 使用方式: tr [option]...SET1 [SET2]   常用的选项有: 选项 说明 -d 删除和set1匹配的字符,注意不是全词匹配也不是按字符顺序匹配 -s 去除set1指定的在输入文本中连续并重复的字符 操作举例: # 删除 "hello shiyanlou" 中所有的'o','l','h' $ echo 'hello sh

CCNP实验九:OSPF 帧中继实验系列2:BMA模式

一,帧中继配置 r1(config)#inter lo 0 r1(config-if)#ip add 1.1.1.1 255.255.255.0 r1(config-if)#ip ospf network point-to-p r1(config-if)#inter s1/2 r1(config-if)#en frame-relay r1(config-if)#ip add 178.1.1.1 255.255.255.0 r1(config-if)#no frame-relay inverse-

20155201 网络攻防技术 实验九 Web安全基础

20155201 网络攻防技术 实验九 Web安全基础 一.实践内容 本实践的目标理解常用网络攻击技术的基本原理.Webgoat实践下相关实验. 二.报告内容: 1. 基础问题回答 1)SQL注入攻击原理,如何防御 SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息. SQL注入攻击的典型手段:判断应用程序是否存在注入漏洞,收集信息

20155222卢梓杰 实验九 Web安全基础

实验九 Web安全基础 今天不多bb,打开webgoat就是干好吧 1.简单字符串sql注入 可以看到这个实验说明是 "下表允许用户查看其信用卡号码.尝试插入一个SQL字符串,以显示所有信用卡号码." 下面已经显示了后台使用的sql语句是 SELECT * FROM user_data WHERE last_name = 'Your Name' 既然我们的目的是要显示所有信用卡的记录,所以我们会想到让SELECT * FROM user_data WHERE后面的表达式为永真,所以我们

2017-2018-2 20155225《网络对抗技术》实验九 Web安全基础

2017-2018-2 20155225<网络对抗技术>实验九 Web安全基础 WebGoat 1.String SQL Injection 题目是想办法得到数据库所有人的信用卡号,用Smith登录后,得到Smith的两个信用卡号,如图 但如何才能得到所有人的信用卡号呢? 只需要输入' or 1 = ' 1,这样构造可以将引号闭合,再or上一个永真式,就能屏蔽掉前面的条件. 2.Log Spoofing 在User Name中以这种格式注入:Use CR (%0d) and LF (%0a)

20155313 杨瀚 《网络对抗技术》实验九 Web安全基础

20155313 杨瀚 <网络对抗技术>实验九 Web安全基础 一.实验目的 本实践的目标理解常用网络攻击技术的基本原理.Webgoat实践下相关实验. 二.基础问题回答 1.SQL注入攻击原理,如何防御 2.XSS攻击的原理,如何防御 3.CSRF攻击原理,如何防御 三.实验内容 第一阶段 原文地址:https://www.cnblogs.com/bonsai/p/9097562.html