ACL访问控制列表配置实例(二)

命名访问控制列表

  • 需求

    • 允许vlan10中PC2主机可以访问PC1
    • 拒绝vlan10中其他主机访问PC1
    • 允许其他网段中的主机访问PC1

1、在GNS 3中构建拓扑实验,并在拓扑区域标出主机接口、IP地址、需求、网关等信息,如图所示:

2、开启全部设备,并先在交换设中配置vlan信息

sw#conf t                                             //进入接口模式
Enter configuration commands, one per line.  End with CNTL/Z.
sw(config)#vlan 10,20                                 //添加vlan
sw(config-vlan)#ex                                    //退出vlan接口
sw(config)#do show vlan-sw b                          //查看vlan

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa1/0, Fa1/1, Fa1/2, Fa1/3
                                                Fa1/4, Fa1/5, Fa1/6, Fa1/7
                                                Fa1/8, Fa1/9, Fa1/10, Fa1/11
                                                Fa1/12, Fa1/13, Fa1/14, Fa1/15
10   VLAN0010                         active
20   VLAN0020                         active
1002 fddi-default                     act/unsup
1003 token-ring-default               act/unsup
1004 fddinet-default                  act/unsup
1005 trnet-default                    act/unsup
sw(config)#int range fa1/1 -2                       //进入f1/1、f1/2接口模式
sw(config-if-range)#sw mo acc
sw(config-if-range)#sw access vlan 10               //将接口添加到vlan10中
sw(config-if-range)#ex
sw(config)#do show vlan-sw b                        //查看接口是否加入vlan

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa1/0, Fa1/3, Fa1/4, Fa1/5
                                                Fa1/6, Fa1/7, Fa1/8, Fa1/9
                                                Fa1/10, Fa1/11, Fa1/12, Fa1/13
                                                Fa1/14, Fa1/15
10   VLAN0010                         active    Fa1/1, Fa1/2          //成功添加
20   VLAN0020                         active
1002 fddi-default                     act/unsup
1003 token-ring-default               act/unsup
1004 fddinet-default                  act/unsup
1005 trnet-default                    act/unsup
sw(config)#int f1/3                                                 //进入f1/3接口
sw(config-if)#sw mo acc
sw(config-if)#sw acc vlan 20                                        //将接口加入vlan20
sw(config-if)#ex
sw(config)#do show vlan-sw b                                         //查看

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa1/0, Fa1/4, Fa1/5, Fa1/6
                                                Fa1/7, Fa1/8, Fa1/9, Fa1/10
                                                Fa1/11, Fa1/12, Fa1/13, Fa1/14
                                                Fa1/15
10   VLAN0010                         active    Fa1/1, Fa1/2
20   VLAN0020                         active    Fa1/3                    //成功添加
1002 fddi-default                     act/unsup
1003 token-ring-default               act/unsup
1004 fddinet-default                  act/unsup
1005 trnet-default                    act/unsup
sw(config)#int f1/0                                               //进入f1/0接口
sw(config-if)#sw mo t                                             //做trunk链路
sw(config-if)#
*Mar  1 00:06:52.483: %DTP-5-TRUNKPORTON: Port Fa1/0 has become dot1q trunk
sw(config-if)#sw t encapsulation dot1q                            //封装trunk协议
sw(config-if)#ex
sw(config)#no ip routing                                        //关闭路由功能

3、进入三层交换设备,添加接口IP地址,

sw-3#conf t                                            //进入全局模式
Enter configuration commands, one per line.  End with CNTL/Z.
sw-3(config)#int f1/1                                  //进入f1/1接口
sw-3(config-if)#no switchport                           //关闭交换功能
*Mar  1 00:11:19.435: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/1, changed state to up
sw-3(config-if)#ip add 192.168.100.1 255.255.255.0       //添加IP网关地址
sw-3(config-if)#no shut                                   //开启接口
sw-3(config-if)#do show ip int b                          //查看
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0/0            unassigned      YES unset  administratively down down
FastEthernet0/1            unassigned      YES unset  administratively down down
FastEthernet1/0            unassigned      YES unset  up                    up
FastEthernet1/1            192.168.100.1   YES manual up                    up      //成功添加IP网关地址
FastEthernet1/2            unassigned      YES unset  up                    down
FastEthernet1/3            unassigned      YES unset  up                    down
FastEthernet1/4            unassigned      YES unset  up                    down
FastEthernet1/5            unassigned      YES unset  up                    down
FastEthernet1/6            unassigned      YES unset  up                    down
FastEthernet1/7            unassigned      YES unset  up                    down
FastEthernet1/8            unassigned      YES unset  up                    down
sw-3(config-if)#ex
sw-3(config)#vlan 10,20                                               //添加vlan
sw-3(config-vlan)#int vlan 10                                  //进入vlan 10
sw-3(config-if)#ip add 192.168.10.1 255.255.255.0              //添加IP地址
sw-3(config-if)#no shut                                         //开启接口
sw-3(config-if)#ex
sw-3(config)#int vlan 20                                        //进入vlan 20
sw-3(config-if)#ip add 192.168.20.1 255.255.255.0                 //添加IP地址
sw-3(config-if)#no shut                                         //开启接口
sw-3(config-if)#ex
sw-3(config)#do show ip int b                              //查看
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0/0            unassigned      YES unset  administratively down down
FastEthernet0/1            unassigned      YES unset  administratively down down
FastEthernet1/0            unassigned      YES unset  up                    up
FastEthernet1/1            192.168.100.1   YES manual up                    up      //成功添加IP网关地址
FastEthernet1/2            unassigned      YES unset  up                    down
FastEthernet1/3            unassigned      YES unset  up                    down
FastEthernet1/4            unassigned      YES unset  up                    down
FastEthernet1/5            unassigned      YES unset  up                    down
FastEthernet1/6            unassigned      YES unset  up                    down
FastEthernet1/7            unassigned      YES unset  up                    down
FastEthernet1/8            unassigned      YES unset  up                    down
FastEthernet1/9            unassigned      YES unset  up                    down
FastEthernet1/10           unassigned      YES unset  up                    down
FastEthernet1/11           unassigned      YES unset  up                    down
FastEthernet1/12           unassigned      YES unset  up                    down
FastEthernet1/13           unassigned      YES unset  up                    down
FastEthernet1/14           unassigned      YES unset  up                    down
FastEthernet1/15           unassigned      YES unset  up                    down
Vlan1                      unassigned      YES unset  up                    up
Vlan10                     192.168.10.1    YES manual up                    down     //网关添加成功
Vlan20                     192.168.20.1    YES manual up                    down
sw-3(config)#int f1/0                            //进入f1/0接口
sw-3(config-if)#sw mo t                          //制作trunk链路
*Mar  1 00:16:07.979: %DTP-5-TRUNKPORTON: Port Fa1/0 has become dot1q trunk
*Mar  1 00:16:08.483: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to up
*Mar  1 00:16:08.483: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to up
sw-3(config-if)#sw t encapsulation dot1q       //封装trunk协议
sw-3(config-if)#do show ip rout                 //查看路由表
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

C    192.168.10.0/24 is directly connected, Vlan10
C    192.168.20.0/24 is directly connected, Vlan20              //成功添加路由表
C    192.168.100.0/24 is directly connected, FastEthernet1/1

4、在PC机上分别配置IP地址,并测试四台PC机的互通性

PC1> ip 192.168.100.100 192.168.100.1
Checking for duplicate address...
PC1 : 192.168.100.100 255.255.255.0 gateway 192.168.100.1
PC2> ip 192.168.10.10 192.168.10.1
Checking for duplicate address...
PC1 : 192.168.10.10 255.255.255.0 gateway 192.168.10.1
PC3> ip 192.168.10.20 192.168.10.1
Checking for duplicate address...
PC1 : 192.168.10.20 255.255.255.0 gateway 192.168.10.1
PC4> ip 192.168.20.20 192.168.20.1
Checking for duplicate address...
PC1 : 192.168.20.20 255.255.255.0 gateway 192.168.20.1
PC2> ping 192.168.100.100
192.168.100.100 icmp_seq=1 timeout
192.168.100.100 icmp_seq=2 timeout
84 bytes from 192.168.100.100 icmp_seq=3 ttl=63 time=21.556 ms
84 bytes from 192.168.100.100 icmp_seq=4 ttl=63 time=15.601 ms
84 bytes from 192.168.100.100 icmp_seq=5 ttl=63 time=22.945 ms
PC2> ping 192.168.10.20
84 bytes from 192.168.10.20 icmp_seq=1 ttl=64 time=0.000 ms
84 bytes from 192.168.10.20 icmp_seq=2 ttl=64 time=0.000 ms
84 bytes from 192.168.10.20 icmp_seq=3 ttl=64 time=0.000 ms
84 bytes from 192.168.10.20 icmp_seq=4 ttl=64 time=0.000 ms
84 bytes from 192.168.10.20 icmp_seq=5 ttl=64 time=0.000 ms
PC2> ping 192.168.20.20
84 bytes from 192.168.20.20 icmp_seq=1 ttl=63 time=16.954 ms
84 bytes from 192.168.20.20 icmp_seq=2 ttl=63 time=20.944 ms
84 bytes from 192.168.20.20 icmp_seq=3 ttl=63 time=23.487 ms
84 bytes from 192.168.20.20 icmp_seq=4 ttl=63 time=13.997 ms
84 bytes from 192.168.20.20 icmp_seq=5 ttl=63 time=18.998 ms

5、在三层交换设备中配置命令访问控制列表

sw-3(config-if)#ex
sw-3(config)#ip access-list standard kgc       //配置命名访问控制列表
sw-3(config-std-nacl)#permit host 192.168.10.10    //允许PC2主机访问
sw-3(config-std-nacl)#deny 192.168.10.0 0.0.0.255  //拒接10.0网段访问
sw-3(config-std-nacl)#permit any                   //允许所有网段访问
sw-3(config)#do show access-lists             //查看列表
Standard IP access list kgc
    10 permit 192.168.10.10
    20 deny   192.168.10.0, wildcard bits 0.0.0.255          //成功添加
    30 permit any
sw-3(config)#int f1/1                                  //进入f1/1接口
sw-3(config-if)#ip access-group kgc out                    //在出口位置应用列表

6、测试配置的命名访问控制列表是否生效

PC2> ping 192.168.100.100                  //使用PC2测试与PC1通信,正常通信
192.168.100.100 icmp_seq=1 timeout
192.168.100.100 icmp_seq=2 timeout
84 bytes from 192.168.100.100 icmp_seq=3 ttl=63 time=15.957 ms
84 bytes from 192.168.100.100 icmp_seq=4 ttl=63 time=17.958 ms
84 bytes from 192.168.100.100 icmp_seq=5 ttl=63 time=18.953 ms
PC4> ping 192.168.100.100                  //使用使用PC4测试与PC1通信,正常通信
84 bytes from 192.168.100.100 icmp_seq=1 ttl=63 time=19.021 ms
84 bytes from 192.168.100.100 icmp_seq=2 ttl=63 time=24.934 ms
84 bytes from 192.168.100.100 icmp_seq=3 ttl=63 time=15.957 ms
84 bytes from 192.168.100.100 icmp_seq=4 ttl=63 time=14.960 ms
84 bytes from 192.168.100.100 icmp_seq=5 ttl=63 time=18.023 ms

PC3> ping 192.168.100.100                  //使用使用PC3测试与PC1通信时显示拒绝访问,配置成功
*192.168.10.1 icmp_seq=1 ttl=255 time=8.033 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=2 ttl=255 time=12.965 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=3 ttl=255 time=11.004 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=4 ttl=255 time=10.998 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=5 ttl=255 time=12.966 ms (ICMP type:3, code:13, Communication administratively prohibited)

7、通过序列号添加列表条目,使PC3也可以与PC1通信

sw-3(config-if)#ex
sw-3(config)#ip access-list standard kgc         //配置命名访问控制列表
sw-3(config-std-nacl)#12 permit host 192.168.10.20   //添加条目号为12的条目,允许PC3访问
sw-3(config-std-nacl)#ex
sw-3(config)#do show access-lists           //查看列表信息
Standard IP access list kgc
    10 permit 192.168.10.10 (5 matches)
    12 permit 192.168.10.20                      //成添加
    20 deny   192.168.10.0, wildcard bits 0.0.0.255 (10 matches)
    30 permit any (5 matches)

8、测试是否配置成功

PC3> ping 192.168.100.100                         //使用使用PC3测试与PC1通信,正常通信
192.168.100.100 icmp_seq=1 timeout
192.168.100.100 icmp_seq=2 timeout
84 bytes from 192.168.100.100 icmp_seq=3 ttl=63 time=22.997 ms
84 bytes from 192.168.100.100 icmp_seq=4 ttl=63 time=21.008 ms
84 bytes from 192.168.100.100 icmp_seq=5 ttl=63 time=15.957 ms

9、删除添加的条目

sw-3(config)#ip access-list standard kgc  //配置命名访问控制列表
sw-3(config-std-nacl)#no 12           //删除列表中12的条目
sw-3(config-std-nacl)#ex
sw-3(config)#do show access-lists         //查看列表
Standard IP access list kgc
    10 permit 192.168.10.10 (5 matches)
    20 deny   192.168.10.0, wildcard bits 0.0.0.255 (10 matches)
    30 permit any (5 matches)              //成功删除

10、测试结果

PC3> ping 192.168.100.100
*192.168.10.1 icmp_seq=1 ttl=255 time=8.973 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=2 ttl=255 time=4.981 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=3 ttl=255 time=10.971 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=4 ttl=255 time=8.552 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=5 ttl=255 time=2.993 ms (ICMP type:3, code:13, Communication administratively prohibited)

原文地址:https://blog.51cto.com/14473285/2444894

时间: 2024-11-09 23:31:15

ACL访问控制列表配置实例(二)的相关文章

ACL访问控制列表配置实例 (一)

标准访问控制列表 在GNS 3中拓扑实验,配置一台路由设备,一台交换设备,分别连接三台PC机,三台PC机分别配置IP地址,并在路由设备中配置网关,如下图所示,配置完成后配置标准访问控制列表,禁止PC1与PC3通信,PC2与PC3正常通信. 1.首先进入交换设备进行配置 sw#conf t //进入全局模式 Enter configuration commands, one per line. End with CNTL/Z. sw(config)#no ip routing //进入交换设备,关

ACL访问控制列表(标准、拓展、命名控制列表)的配置实例

实例一:标准访问控制列表的配置 拓扑图如下: 通过配置标准访问列表,禁止PC1主机访问PC3主机. (1)进行sw的配置如下: SW#configure terminal //进入全局模式 Enter configuration commands, one per line. End with CNTL/Z. SW(config)#no ip routing //关闭路由功能 SW(config)#int f1/0 //进入接口模式 SW(config-if)#speed 100 //设置速率为

ACL 访问控制列表(二)

命名访问控制列表的配置实验 创建ACL语法格式: Router(config)# ip access-list { standard | extended }access-list-name 配置标准命名ACL语法格式: Router(config-std-nac)# [ Sequence-Number ] { permit | deny }source[ source-wildcard ] 配置扩展命名ACL语法格式: router(config-ext-nacl)# [ Sequence-N

配置ACL访问控制列表

ACL访问控制列表理论部分:在学习过程中我们知道了网络的联通和通信,但是在实际环境中网络管理员经常会面临为难的局面,如必须拒绝那些不希望访问的连接,同时又要允许正常的访问.那么这时就诞生了ACL(访问控制列表)下面我们先看看ACL 的原理.1.ACL是使用包过滤技术,在路由器上读取第三层和四层包头的信息,根据预定好的规则进行过滤,达到访问控制的目的2.ACL的三种模式:?标准ACL (根据数据包的源IP地址来允许或者拒绝数据包,表号是1~99)?扩展ACL (根据数据包的源IP地址,目的IP地址

神州数码标准访问控制列表配置(ACL)

实验要求:熟练掌握标准访问控制列表配置方法 拓扑如下 R1 enable 进入特权模式 config 进入全局模式 hostname R1 修改名称 interface s0/1 进入端口 ip address 192.168.1.1 255.255.255.0 设置IP地址 physical-layer speed 64000 设置同步时钟 interface g0/6 进入端口 ip address 192.168.2.254 255.255.255.0 设置IP地址 exit 返回上一级

ACL访问控制列表(标准性、扩展性、命名性)

ACL访问控制列表 访问控制列表的工作原理: 出:已经过路由器处理正离开路由器接口的数据包. 入:已达到路由器接口的数据包,将被路由器处理. ACL对数据流的处理流程: 路由器将对数据包进行匹配,路由器将决定该数据包的通过或拒绝,拒绝后将下一跳匹配共匹配三次直到最后拒绝丢弃. ACL类型 标准访问:根据数据包的源iP地址来允许或拒绝.列表号1~99. 扩展访问:根据数据包的源IP地址.目的IP地址.指定协议.端口和标志来允许或拒绝.列表号100~199. 命名访问:允许使用标准访问或扩展访问,用

Packet Tracer 5.2实验(十三) 扩展IP访问控制列表配置

Packet Tracer 5.2实验(十三) 扩展IP访问控制列表配置 一.实验目标 理解扩展IP访问控制列表的原理及功能: 掌握编号的扩展IP访问控制列表的配置方法: 二.实验背景 分公司和总公司分别属于不同的网段,部门之间用路由器进行信息传递,为了安全起见,分公司领导要求部门主机只能访问总公司服务器的WWW服务,不能对其使用ICMP服务. 三.技术原理 访问列表中定义的典型规则主要有以下:源地址.目标地址.上层协议.时间区域: 扩展IP访问列表(编号为100~199,2000~2699)使

ACL 访问控制列表(一)

ACL 访问控制列表 access control list (路由器,三层交换) 包过滤防火墙 ACL访问控制列表的类型 标准访问控制列表基于源IP地址过滤数据包标准访问控制列表的访问控制列表号时1~99扩展访问控制列表基于源IP地址.目的IP地址.指定协议.端口和标志来过滤数据包扩展访问控制列表的访问控制列表号是100~199命名访问控制列表命名访问控制列表允许在标准和扩展访问控制列表使用中名称代替表号访问控制列表基于三层(IP)和四层(端口.协议)进行过滤 ACL匹配规则:自上而下 逐条匹

Cisco PT模拟实验(17) 路由器IP访问控制列表配置

Cisco PT模拟实验(17) 路由器IP访问控制列表配置 实验目的: 理解两种IP访问控制列表的原理及功能 掌握常见IP访问控制列表的配置方法 实验背景: 公司的经理部.财务部们和销售部门分属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部进行访问,但经理部可以对财务部进行访问. 技术原理: 路由器能提供防火墙的功能,根据一些预设置的ACL过滤规则对任何经过接口的流量进行过滤,说明哪些具体的通信(来自设备.协议或端口等)是被允许或拒绝,该功能是