路由与交换--ACL基本命令及其实验配置

1 ACL 的配置

1.1 创建 ACL

标准 ACL

router(config)#access-list <ACL表号> {permit|deny}{<源IP|host><反掩码>|any}  //表号1~99

扩展 ACL

router(config)#access-list <ACL表号> {permit|deny}{<协议名称>|<端口号>}{<源IP><反掩码>}{<目的IP><反掩码>}{<关系><协议名称>}   //表号101~199

1.2 应用 ACL

router(config-if)#{协议栈} access-group <ACL表号> {in|out}   //协议栈可以为IP或IPX

2 ACL 上机实验

2.1 ACL 配置举例 1

router(config)#access-list 1 deny 10.0.0.1 0.0.0.0   //ACL表号为1,丢弃10.0.0.1发出的数据包,相当于 deny host 10.0.0.1
router(config)#access-list 1 permit any
router(config)#access-list 2 permit any   //ACL表号为2,可以转发任意数据包
router(config)#int s0/0
router(config-if)#ip access-group 1 in   //该接口输入方向应用ACL列表组1,拒绝来自10.0.0.1的数据包
router(config-if)#ip access-group 2 out   //该接口输出方向应用ACL列表组2,允许发出流经该路由器的所有数据包

2.2 ACL 配置举例 2

router(config)#access-list 101 deny tcp 172.16.0.0 0.0.255.255 host 192.168.1.1 eq telnet   //不允许172.16.0.0网络的数据包telnet主机192.168.1.1
router(config)#access-list 101 permit ip any any   //允许转发其他任何数据包
router(config)#int s0/0
router(config-if)#ip access-group 101 in

2.3 ACL 配置举例 3

限制只允许 192.168.2.2 访问 192.168.1.2 的 80 端口,192.168.3.2 访问 192.168.1.2 的 DNS。

router(config)#ip access-list extended cj
router(config ext-nacl)#permit udp host 192.168.3.2 host 192.168.1.2 eq 53
router(config ext-nacl)#permit tcp host 192.168.2.2 host 192.168.1.2 eq 80
router(config ext-nacl)#exit
router(config)#int f0/0
router(config-if)#ip access-group cj out

2.4 ACL 配置举例 4

要求:只允许 172.16.4.0/24 网络的主机通过端口 E0 进入网络 172.16.3.0/24,其他的被禁止。

为了实现上面的实验要求,我们将网络拓扑进行简化,PC1 的 IP 设置为 172.16.4.2,PC2 的 IP 设置为 172.16.0.2,PC3 的 IP 设置为 172.16.3.2,最终要达到的要求为 PC1 网段的主机可以访问 PC3 网段的主机,PC2 网段的主机不能访问 PC3 网段的主机。需要注意的是这里的路由器的选择,如果选择不恰当会导致端口不够用,可以参照下面的网络拓扑图中所选路由器。

先对路由器进行配置,让三台 PC 之间都可以通信。

Router>enable
Router#conf t
Router(config)#int gig0/0
Router(config-if)#ip add 172.16.4.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#int gig0/1
Router(config-if)#ip add 172.16.0.1 255.255.255.0
Router(config-if)#no shut
Router(config)#int gig0/2
Router(config-if)#ip add 172.16.3.1 255.255.255.0
Router(config-if)#no shut

路由器配置完成后给各台 PC 分配 IP,并设置其网关,先来验证 PC1 和 PC2 都能 ping 通 PC3 。

上述结果表明,在没有做 ACL 限制前,PC 之间是可以相互通信的,现在来设置 ACL 规则,让 PC1 可以 ping 通 PC3,而 PC2 不能 ping 通 PC3。

Router(config)#access-list 5 permit 172.16.4.0 0.0.0.255
Router(config)#int gig0/2
Router(config-if)#ip access-group 5 out

现在再来验证 PC 之间的通信。

PC1 可以 ping 通 PC3,但 PC2 不能 ping 通 PC3,达到实验要求。这里并没有 deny any 的语句,是因为路由隐含在每个 ACL 列表的最后有一句拒绝所有数据包访问的语句,所以不用再专门写出了。

2.5 ACL 配置举例 5

要求:

(1)禁止从 172.16.4.0/24 通过 FTP 访问 172.16.3.0/24;

(2)除此以外的其他访问和数据流都允许。

为了验证上述实验,这里将网络拓扑图进行简化,由于 172.16.3.0 网段涉及 FTP 登录,这里用一台服务器来代替该网段,并设置 FTP 的登录账号和密码。

以下是简化的网络拓扑图和对 server 的 FTP 的配置 。

对路由器进行配置,配置好后为 PC 和 server 分配 IP,并设置其网关,然后验证 PC1 在没有做 ACL 限制前可以访问 FTP。

Router>enable
Router#conf t
Router(config)#int gig0/0
Router(config-if)#ip add 172.16.4.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#int gig0/1
Router(config-if)#ip add 172.16.0.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#int gig0/2
Router(config-if)#ip add 172.16.3.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#exit 

现在对路由器做 ACL 限制,让 PC1 无法再登录 server 的 FTP。

Router(config)#access-list 105 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20
Router(config)#access-list 105 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
Router(config)#access-list 105 permit ip any any
Router(config)#int gig0/0
Router(config-if)#ip access-group 105 in

验证 PC1 是否还能继续登录 server 的 FTP,由结果可以看出已经达到实验要求 。

列表最后要有一句 permit ip any any,这个必须加上,因为一个列表中至少要有一句 permit 语句。

2.6 ACL 配置举例 6

要求:

(1)拒绝 172.16.2.0/24 这个网段的主机访问 SERVER1;

(2)拒绝 PC1 访问 SERVER1;

(3)只允许 PC1 对 R2 进行远程连接管理。

R2(config)#access-list 1 deny 172.16.2.0 0.0.0.255
R2(config)#access-list 1 deny host 172.16.1.10
R2(config)#access-list 1 permit any
R2(config)#access-list 2 permit host 172.16.1.10
R2(config)#int f0/0
R2(config-if)#ip access-group 1 out   //对端口
R2(config)#line vyt 0 4
R2(config-line)#password fsh
R2(config-line)#access-class 2 in   //对线模式

2.7 ACL 配置举例 7

要求:

(1)211.12.3.0/24 这个网段不能访问 SEREVER2 的网页和 FTP,其他服务可以访问;

(2)所有设备都能 ping 通 PC4,但反之不行(单向 ping)。

控制访问类别

R2(config)#access-list 101 deny tcp 211.12.3.0 0.0.0.255 host 172.16.1.100 eq 80
R2(config)#access-list 101 deny tcp 211.12.3.0 0.0.0.255 host 172.16.1.100 eq 20
R2(config)#access-list 101 deny tcp 211.12.3.0 0.0.0.255 host 172.16.1.100 eq 21

控制单向 ping

R2(config)#access-list 101 permit icmp 211.12.3.0 0.0.0.255 any echo-reply   //echo-reply表示ICMP响应
R2(config)#access-list 101 deny icmp 211.12.3.0 0.0.0.255 any   //拒绝211.12.3.0/24到其他任何网络的icmp包
R2(config)#access-list 101 permit ip any any
R2(config)#int f0/1
R2(config-if)#ip access-group 101 in

2.8 ACL 配置举例 8

要求:

(1)VLAN 10 不能访问 VLAN 30;

(2)其余 VLAN 之间可以自由访问。

1、划分 VLAN,并将各接口分配至 VLAN中。

Switch>enable
Switch#conf t
Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#vlan 20
Switch(config-vlan)#exit
Switch(config)#vlan 30
Switch(config-vlan)#exit
Switch(config)#int fa0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit
Switch(config)#int fa0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
Switch(config-if)#exit
Switch(config)#int fa0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 30
Switch(config-if)#exit

2、开启交换机路由功能,并给各虚拟 VLAN 接口配置 IP 地址,此接口和地址将成为 vlan 中主机的网关。

Switch(config)#ip routing
Switch(config)#int vlan 10
Switch(config-if)#ip add 10.0.0.1 255.255.255.0
Switch(config-if)#exit
Switch(config)#int vlan 20
Switch(config-if)#ip add 20.0.0.1 255.255.255.0
Switch(config-if)#exit
Switch(config)#int vlan 30
Switch(config-if)#ip add 30.0.0.1 255.255.255.0
Switch(config-if)#exit

3、配置访问控制列表,并应用。

Switch(config)#access-list 1 deny 10.0.0.0 0.0.0.255
Switch(config)#access-list 1 permit any
Switch(config)#int vlan 30
Switch(config-if)#ip access-group 1 out

4、配置各主机的 IP 地址及网关,通过 ping 检验各 vlan 之间的通信情况。

PC1 去 ping 另外两台 PC 。

另外两台 PC 的通信 。

2.9 ACL 单向 ping

实验要求:

(1)配好设备 IP 后,先相互 ping,能 ping 通;

(1)设置 ACL,使得:

1. 所有设备能 ping 通 PC3,即 PC3 能对所有 ping 请求作响应;

2. PC3 不能 ping 其他设备。

对交换机进行设置,将交换机与路由器相连的接口设置为 trunk 模式。

Switch>enable
Switch#conf t
Switch(config)#int fa0/3
Switch(config-if)#switchport mode trunk

对路由器进行设置。

Router>enable
Router#conf t
Router(config)#int fa0/0
Router(config-if)#ip add 10.0.0.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#int fa1/0
Router(config-if)#ip add 20.0.0.1 255.255.255.0
Router(config-if)#no shut

上述配置完成后给各台 PC 分配 IP,并设置它们的网关,然后验证它们之间的通信。这里的通信比较简单,自行去验证。

ping 的动作总共分为两部分,一是源主机将数据包发送给目标主机,二是目标主机收到数据包后给源主机响应。由于 PC3 不能 ping 通其他 PC,而其他 PC 能够 ping 通 PC3,说明 PC3 能给其他所以 PC 响应,为了简化 ACL 配置,这里以 PC3 为源主机,允许它的所有 icmp 的响应,其他的 icmp 被限制,由于 PC3 为源主机,则数据包是经过路由器的 fa1/0 进入网络的,下面是 ACL 规则的配置。

Router(config)#access-list 101 permit icmp 20.0.0.0 0.0.0.255 any echo-reply
Router(config)#access-list 101 deny icmp 20.0.0.0 0.0.0.255 any
Router(config)#access-list 101 permit ip any any
Router(config)#int fa1/0
Router(config-if)#ip access-group 101 in

对结果进行验证,用 PC3 去 ping 其他两台 PC 。

其他两台 PC 去 ping 主机 PC3 。

2.10 ACL 控制 VLAN 之间的访问

实验要求:

(1)开启三层交换机路由功能,PC1,PC2,PC3,PC4 和 server 分别在 vlan10,vlan20,vlan30,vlan40 和 vlan50;

(2)查看路由表,确实各 VLAN 之间可以互通;

(3)设置访问控制列表,使 VLAN 10 和 VLAN 20 之间不可以相互访问,VLAN 30 和 VLAN 40 与服务器所在的 VLAN 50 不可以相互访问;

(4)其余所有的访问都是允许的。

1、划分 VLAN,并将各接口分配至 VLAN 中。

Switch>enable
Switch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#vlan 10
Switch(config-vlan)#exit
Switch(config)#vlan 20
Switch(config-vlan)#exit
Switch(config)#vlan 30
Switch(config-vlan)#exit
Switch(config)#vlan 40
Switch(config-vlan)#exit
Switch(config)#vlan 50
Switch(config-vlan)#exit
Switch(config)#int fa0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#exit
Switch(config)#int fa0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
Switch(config-if)#exit
Switch(config)#int fa0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 30
Switch(config-if)#exit
Switch(config)#int fa0/4
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 40
Switch(config-if)#exit
Switch(config)#int fa0/5
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 50
Switch(config-if)#exit

2、开启交换机路由功能,并给各虚拟 VLAN 接口配置 IP 地址,此接口和地址将成为 vlan 中主机的网关。

Switch(config)#int vlan 10
Switch(config-if)#ip add 10.0.0.1 255.255.255.0
Switch(config-if)#exit
Switch(config)#int vlan 20
Switch(config-if)#ip add 20.0.0.1 255.255.255.0
Switch(config-if)#exit
Switch(config)#int vlan 30
Switch(config-if)#ip add 30.0.0.1 255.255.255.0
Switch(config-if)#exit
Switch(config)#int vlan 40
Switch(config-if)#ip add 40.0.0.1 255.255.255.0
Switch(config-if)#exit
Switch(config)#int vlan 50
Switch(config-if)#ip add 50.0.0.1 255.255.255.0
Switch(config-if)#exit

3、配置 vlan 10 与 vlan 20 不能相互访问的控制列表,并应用。

Switch(config)#access-list 1 deny 20.0.0.0 0.0.0.255
Switch(config)#access-list 1 permit any
Switch(config)#int vlan 10
Switch(config-if)#ip access-group 1 out
Switch(config-if)#exit
Switch(config)#access-list 2 deny 10.0.0.0 0.0.0.255
Switch(config)#access-list 2 permit any
Switch(config)#int vlan 20
Switch(config-if)#ip access-group 2 out
Switch(config-if)#exit

4、验证设置 ACL 后 vlan 10 与 vlan 20 之间的通信,结果表明设置的 ACL 已经生效,vlan 10 与 vlan 20之间不能相互访问 。

5、配置 vlan 30 和 vlan 40 与 vlan 50 不能相互访问的控制列表,并应用。

Switch(config)#access-list 3 deny 50.0.0.0 0.0.0.255
Switch(config)#access-list 3 permit any
Switch(config)#int vlan 30
Switch(config-if)#ip access-group 3 out
Switch(config-if)#exit
Switch(config)#int vlan 40
Switch(config-if)#ip access-group 3 out
Switch(config-if)#exit
Switch(config)#access-list 4 deny 30.0.0.0 0.0.0.255
Switch(config)#access-list 4 deny 40.0.0.0 0.0.0.255
Switch(config)#access-list 4 permit any
Switch(config)#int vlan 50
Switch(config-if)#ip access-group 4 out

6、验证设置 AC L后 vlan 30 和 vlan 40 与 vlan 50 之间的通信,结果表明设置的 ACL 已经生效,vlan 30 和 vlan 40 与 vlan 50 之间不能相互访问。这里以 vlan 50 去访问 vlan 30 与 vlan 40为例,其他的通信情况自行测试 。

2.11 ACL 综合练习

实验要求:

(1)PC1 和 PC2 在 10.0.0.0 网段,server 在 20.0.0.0 网段,PC3 在 30.0.0.0 网段。在服务器 server 开启 HTTP 和 FTP 功能,设置 FTP 登录用户名、密码和访问权限;

(2)10.0.0.0 网段可以访问 server 的 FTP,其他访问均被拒绝;

(3)PC3 可以访问 server 的 HTTP,但不可以访问 server 的 FTP;

(4)服务器 server 可以 ping 通所有设备,但所有设备不可以 ping 服务器 sever。

对交换机进行配置。

Switch>enable
Switch#conf t
Switch(config)#int fa0/3
Switch(config-if)#switchport mode trunk

对路由器进行配置,设置各台 PC 的网关及其掩码。

Router>enable
Router#conf t
Router(config)#int gig0/0
Router(config-if)#ip add 10.0.0.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#int gig0/1
Router(config-if)#ip add 30.0.0.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#exit
Router(config)#int gig0/2
Router(config-if)#ip add 20.0.0.1 255.255.255.0
Router(config-if)#no shut
Router(config-if)#exit

配置访问控制列表,并应用。

Router(config)#access-list 101 permit tcp 10.0.0.0 0.0.0.255 20.0.0.0 0.0.0.255 eq 20
Router(config)#access-list 101 permit tcp 10.0.0.0 0.0.0.255 20.0.0.0 0.0.0.255 eq 21
Router(config)#access-list 101 permit tcp 30.0.0.0 0.0.0.255 20.0.0.0 0.0.0.255 eq 80
Router(config)#access-list 101 permit icmp any 20.0.0.0 0.0.0.255 echo-reply
Router(config)#access-list 101 deny icmp any 20.0.0.0 0.0.0.255
Router(config)#int gig0/2
Router(config-if)#ip access-group 101 out

给所有 PC 和 server 分配 IP,并设置其网关,对 server 进行设置,开启 FTP 并添加用户,FTP 的设置可以参考前面的配置。验证 10.0.0.0 网段可以访问 server 的 FTP,其他访问被拒绝是否生效。由结果可以看出配置已经成功 。

验证 PC 可以访问 server 的 HTTP,但不能访问 server 的 FTP 是否生效,结果表明 ACL 配置已经成功 。

验证 server 可以 ping 通所有设备,所有设备不能 ping 通 server:

server 去 ping 其他网段的 PC ;

10.0.0.0 网段的 PC ping server ;

30.0.0.0 网段的 PC ping server 。

上述结果表明,已经达到实验要求。

对 ACL 设置的小结:在应用 ACL 的时候,大部分同学可能会在判断是进入接口还在出接口的地方感到疑惑,解决这个问题最好的办法就是去看自己写的 ACL 规则,ACL 规则里面都有源主机地址,不论是标准还是扩展,都会写上源地址,那么从源地址出发到目标主机,看它经过的设备,这样能够一目了然看出应该应用在接口的出还是进。

原文地址:https://www.cnblogs.com/chenjin2018/p/10163712.html

时间: 2024-10-31 12:54:03

路由与交换--ACL基本命令及其实验配置的相关文章

Cisco路由交换CCNP中级课程-实验20:多种路由协议重分发配置

实验环境介绍: 52LAB自主设计制作的实验操作环境以及实验要求,方便CCNP学习者系统性的学习和实验操作,提高学习效率,降低学习成本. 实验要求: 1.按照拓扑图上显示信息给每台路由器配置主机名.IP地址和路由协议: 2.全网各路由协议配置重分发,确保全网互通: 3.确保52LAB-2路由表中显示的外部路由为OE1: 4.确保52LAB-3路由表显示的路由条目的跳数为6: 5.测试:测试实验配置效果. 环境下载:点击下载学习页面 实验环境部署或者有任何问题可加群咨询:563732595 原文地

ACL的三种访问控制列表的概述及实验配置

ACL的概述 在路由器上读取OSI七层模型的第三层及第四层包头的信息根据定义好的规则,对包进行过滤 ACL的工作原理 有两个方向出:已经过路由器的处理,正离开路由器接口的数据包入:已经到达路由器接口的数据包,将被路由器处理 列表应用到接口方向与数据方向有关 访问控制列表的类型 1 标准访问控制列表基于源IP地址过滤数据包白哦准访问控制列表的访问控制列表号是1~99 2 扩展访问控制列表基于源IP地址.目的ip地址.指定协议.端口和标志来过滤数据包扩展访问控制列表的访问控制列表号是100~199

Cisco 2960保存配置到本地,其他思科路由和交换系列同样适用

还是一台Cisco 2960坏了,但是没有管理人员,也没有之前配置,虽然2960很简单,但是连VLAN什么的信息都没有怎么搞啊,于是挨个询问大致了解VLAN的划分后,配了上去,客户也没反应什么问题,应该是没配错了,但是为了下次麻烦给客户做了个备份. 虽然是2960,但是在3560.3700.4500.6500.1800.2800.3800等系列我都试过,同等适用. (1)你本机要接到交换机,记得交换机配置管理IP地址:192.168.117.11: (2)要是直连交换机的话,本机和交换机必须在同

路由与交换

1/74路由和交换OSI开放系统互联的网络七层(从高层到低层):应用层:泛指各类应用软件.表示层:数据的表示方法(格式),数据的编码和解码.常见的格式有文本.语音.视频.图片.图像等.会话层:session会话的建立.关闭.包括网络服务进程的建立,客户端访问服务器之后的数据处理方法.传输层:采用port端口号来标识数据的来源和目标地址.网络层:IP寻址和路由选择.通过IP地址来标识数据的来源和目标地址.数据链路层:通过MAC地址来标识数据的来源和目标地址.物理层:通常是指物理硬件的电子电气标准.

第11天 NET 路由与交换技术

实验01:DHCP的应用 实验目标:为了减轻工作人员配置主机ip地址的负担,使主机自动获取ip地址和dns 实验环境: 打开cisco packet tracer软件,实验拓扑图如下: 实验步骤: 一. 打开cisco packet tracer软件,添加一台路由器和一台交换机.三台主机,并用直通线进行连接 二. 配置路由器 1. 配置端口ip地址: 全局:interface fastethernet 0/0 Ip address 192.168.1.254 255.255.255.0 No s

路由和交换

第11天:路由与交换实验 实验 01:DHCP服务 实验目标 实现DHCP动态分配协议 实验环境 安装Cisco模拟器计算机一台 实验步骤 1.  打开路由器对路由器进行配置,把0/0端口划分为路由器并配置ip地址 2.  在路由器上配置DHCP 3.  设置预留已静态分配的IP地址 结果验证 1.      动态主机分配的结果 2.      预留已静态分配的IP地址的结果 问题和经验总结     1.可预留已静态分配的IP地址,通过ip  dhcp  excluded-address  19

与ACL的初次见面--实验

实验1:目的:拒绝1.0网段访问 PC1:192.168.1.1/24 网关:192.168.1.254PC2:192.168.2.1/24 网关:192.168.2.254步骤:AR6Huawei]sysname AR6[AR6]inter gi0/0/0[AR6-GigabitEthernet0/0/0]ip add 192.168.1.254 24[AR6-GigabitEthernet0/0/0]q[AR6]inter gi0/0/1[AR6-GigabitEthernet0/0/1]i

分发列表实现路由控制过滤(RIP)实验

一.基本实验配置R1 参考配置配置接口地址interface Loopback0ip address 172.16.1.1 255.255.255.0interface Loopback1ip address 172.16.2.1 255.255.255.0 interface Loopback2ip address 10.1.1.1 255.255.255.0 interface FastEthernet0/0ip address 200.1.1.1 255.255.255.0no shutd

IP,路由,交换基础培训记录

IP,路由,交换基础培训记录: IP 掩码  子网划分 vlan划分(有助于减少广播压力) vlan之间互通通过交换机打通. 路由,静态路由,动态路由(学习到的),路由表,下一跳,网络位长的优先级高. 交换机,hub集线器. hub是整体冲突模式,交换机是某个口是冲突模式. bps pps含义 常用网络命令: ping arp -a netstat -rn tracert -d IP地址 route add,添加路由,同时记得要添加回程路由