ACL标准访问控制列表

ACL访问控制列表结构图

本章目标

学习TCP和UDP协议
访问控制列表概述,访问控制列表的工作原理
访问控制列表的类型。
标准访问控制类表的配置
创建ACL
将ACLy应用与接口
标准ACL的配置实例

一.访问控制列表(ACL)

二.需要背的TCP端口号

端口 协议 说明
20 FTP FTP服务器数据连接
21 FTP FTP服务开放的控制端口
22 ssh 远程登录
23 TELNET 用于远程登录,可以远程登录控制管理目标计算机
25 SMTP smtp服务器开放的端口,用于发送邮件
53 DNS DNS端口
67 DHCP DHCP服务端
68 DHCP DHCP客户端
80 HTTP 超文本传输
110 POP3 用于邮件的接收
443 HTTPS 简单文本传输

三.访问控制列表的工作原理

四.访问控制列表的处理过程

匹配第一条,知道最后一条结束会有隐含的拒绝,默认是除了你允许主机访问的,其他主机访问都要拒绝

五.访问控制列表的类型

六.本章实验

PC1:192.168.10.2/24
PC2:192.168.10.3/24
PC3:192.168.20.2/24

1.配置交换机R1

关闭路由功能,进入端口配置速率,配置全双工模式

R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#no ip routing
R1(config)#int f1/0
R1(config-if)#speed 100
R1(config-if)#dup full
R1(config-if)#

2.配置路由器R2

进接口配地址

R2#conf t
R2(config)#int f0/0
R2(config-if)#ip add 192.168.10.1 255.255.255.0
R2(config-if)#no shut
R2(config-if)#int f0/
R2(config-if)#int f0/1
R2(config-if)#ip add 192.168.20.1 255.255.255.0
R2(config-if)#no shut
R2(config-if)#do show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

C    192.168.10.0/24 is directly connected, FastEthernet0/0
C    192.168.20.0/24 is directly connected, FastEthernet0/1

3.给PC机配置IP地址

1.给PC机1的IP地址及网关

ip 192.168.10.2 192.168.10.1

2.给PC机2的IP地址及网关

ip 192.168.10.3 192.168.10.1 

3.给PC机3的IP地址及网关


PC3> ip 192.168.20.2 192.168.20.1
Checking for duplicate address...
PC1 : 192.168.20.2 255.255.255.0 gateway 192.168.20.1

4.测试PC机间的通讯

PC3> ping 192.168.10.2
192.168.10.2 icmp_seq=1 timeout
84 bytes from 192.168.10.2 icmp_seq=2 ttl=63 time=19.967 ms
84 bytes from 192.168.10.2 icmp_seq=3 ttl=63 time=21.941 ms
84 bytes from 192.168.10.2 icmp_seq=4 ttl=63 time=15.958 ms
84 bytes from 192.168.10.2 icmp_seq=5 ttl=63 time=15.959 ms

PC3> ping 192.168.10.3
192.168.10.3 icmp_seq=1 timeout
84 bytes from 192.168.10.3 icmp_seq=2 ttl=63 time=11.968 ms
84 bytes from 192.168.10.3 icmp_seq=3 ttl=63 time=11.970 ms
84 bytes from 192.168.10.3 icmp_seq=4 ttl=63 time=19.946 ms
84 bytes from 192.168.10.3 icmp_seq=5 ttl=63 time=15.921 ms

5.路由器上面创建ACL标准访问控制列表

R1(config)#access-list 1 deny host 192.168.10.2  //拒绝192.168.10.2主机访问,host代表固定地址,也可以在地址后面写反码。
R1(config)#access-list 1 permit any            //允许其他所有主机能够访问,any代表所有地址,也可以在地址后面写反码
R1(config)#int f0/0
R1(config-if)#ip access-group 1 in   //给接口配置入的方向
R1(config-if)#do show access-list  //查看ACL控制列表
Standard IP access list 1
    10 deny   192.168.10.2
    20 permit any

6.验证PC1能不能访问PC3

PC1> ping 192.168.20.2
*192.168.10.1 icmp_seq=1 ttl=255 time=31.223 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=2 ttl=255 time=15.618 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=3 ttl=255 time=15.621 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=4 ttl=255 time=15.622 ms (ICMP type:3, code:13, Communication administratively prohibited)
*192.168.10.1 icmp_seq=5 ttl=255 time=15.620 ms (ICMP type:3, code:13, Communication administratively prohibited)

7.PC1能访问PC2

PC1> ping 192.168.10.3
84 bytes from 192.168.10.3 icmp_seq=1 ttl=64 time=0.000 ms
84 bytes from 192.168.10.3 icmp_seq=2 ttl=64 time=0.000 ms
84 bytes from 192.168.10.3 icmp_seq=3 ttl=64 time=0.000 ms
84 bytes from 192.168.10.3 icmp_seq=4 ttl=64 time=0.000 ms
84 bytes from 192.168.10.3 icmp_seq=5 ttl=64 time=0.000 ms

谢谢收看

原文地址:https://blog.51cto.com/14449524/2442697

时间: 2024-11-10 09:44:46

ACL标准访问控制列表的相关文章

神州数码标准访问控制列表配置(ACL)

实验要求:熟练掌握标准访问控制列表配置方法 拓扑如下 R1 enable 进入特权模式 config 进入全局模式 hostname R1 修改名称 interface s0/1 进入端口 ip address 192.168.1.1 255.255.255.0 设置IP地址 physical-layer speed 64000 设置同步时钟 interface g0/6 进入端口 ip address 192.168.2.254 255.255.255.0 设置IP地址 exit 返回上一级

ACL(访问控制列表)的类型及配置

ACL是应用在路由器接口的指令列表,通过这些指令,来告诉路由器哪些数据包可以接收,哪些数据包需要拒绝,基本原理就是:ACL使用包过滤技术,在路由器上读取OSI七层模型的第三层及第四层包头中的信息,如源地址.目的地址.源端口.目的端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的.ACL有三种类型: 标准ACL:根据数据包的源IP地址来允许或拒绝数据包,标准ACL的访问列表控制号是1~99. 扩展ACL:根据数据包的源IP地址.目的IP地址.指定协议.端口和标志来允许或拒绝数据包,

浅谈ACL(访问控制列表)

ACL(访问控制列表)是应用在路由器接口的指令列表.这些指令列表用来告诉路由器,那些数据包可以接收,那些数据包需要拒绝.基本原理为:ACL使用包过滤技术,在路由器上读取OSI七层模型的第三层及第四层包头中的信息,如源地址.目的地址.源端口.目的端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的.ACL通过在路由器接口处控制数据包是转发还是丢弃来过滤通信流量.路由器根据ACL中指定的条件来检测通过路由器的数据包,从而决定是转发还是丢弃数据包.ACL有三种类型:1.标准ACL:根据数

创建标准访问控制列表;扩展访问控制列表

实验一.创建标准访问控制列表 实验目标 实现拒绝PC 1(IP地址:192.168.1.1)对PC 3(ip:192.168.2.1)的访问 实验环境 实验步骤 在路由器上配置ip地址 结果验证 实验二.配置标准命名访问控制列表 实验目标 实现拒绝PC 1(IP地址:192.168.1.1)对PC 3(ip:192.168.2.1)的访问 实验环境 实验步骤 保存实验一的配置,对路由器进行标准命名的配置 结果验证 实验三.创建扩展访问控制列表 实验目标 实现拒绝PC 1(IP地址:192.168

标准访问控制列表实例

这个实例我们将使用标准访问控制列表 让 172.1.1.3 和 172.1.2.3 这两台主机不能够与对面的主机进行通讯 配置好ip,然后使用RIP2 协议将全网贯通 然后再使用标准访问控制列表配置路由器 并应用到路由器的接口上 具体的配置这里不写了 实例点我下载

标准访问控制列表配置(51cto: 实验 34)

1. 实验线路连接图使用 Cisco Packet Tracer5.3 构建拓扑结构图. 先配置rip协议使主机1.主机0.http服务器能够互通 RA Router>enable Router#configure terminal Router(config)#interface FastEthernet0/0 Router(config-if)#ip address 210.31.10.1 255.255.255.0 Router(config-if)#no shutdown Router(

标准访问控制列表(ACL)

一.实验环境 GNS3模拟软件.VMware workstation软件 二.实验拓扑及IP地址规划如图 三.实验需求 PC1能ping通192.168.5.1,但不能ping通192.168.4.2 四.实验步骤 1.路由器上的基本配置 R1上的IP地址以及路由表的配置 R2上的IP地址以及路由表的配置 R3上的IP地址以及路由表的配置 2.使用ping命令验证网络是否互通 3.配置访问控制列表(ACL)实现网络需求 在R1上配置的ACL 在R3上配置的ACL 4.使用ping命令验证ACL是

ACL命名访问控制列表

命名访问控制列表配置 创建ACL Router(config)# ip access-list { standard | extended } access-list-name 配置标准命名ACL Routing(config-std-nacl)# [ Sequence-Number ] { permit | deny } source [ source-wildcard] 配置扩展命名ACLRouter(config-ext-nacl)# [ Sequence-Number ] { permi

Linux高级管理之ACL(访问控制列表)实战应用

实战目标: 组 用户 zu1 jackrobin zu2 zhangsanlisi 1.所有目录,文件统一保存在一个大目录中 2.每个部门拥有一个独立的文件夹 3.不同部门之间不可访问各自的目录 4.每个员工在所在部门目录下拥有一个所属的目录 5.同部门不同员工之间可以查看各自目录内容,单不可修改,用户仅能够修改自己的内容 6.boss组内的用户对所有组的文件均有访问权限,但无修改权限 一.创建用户和组 groupadd zu1 groupadd zu2 useradd -G zu1 jack