建立命名访问控制列表实战

建立命名ACL实战

本次实验拓扑结构如下:

实验目的

完成在sw-3路由上命名ACL的建立,实现实验要求:

允许vlan10中的PC2主机访问PC4;

拒绝vlan10中的其它主机访问PC4;

允许其它网络主机访问PC4。

实验步骤:

1、完成四台PC机IP地址的设置

PC1

PC1> ip 192.168.100.20 192.168.100.1
Checking for duplicate address...
PC1 : 192.168.100.20 255.255.255.0 gateway 192.168.100.1

PC2

PC2> ip 192.168.100.30 192.168.100.1
Checking for duplicate address...
PC1 : 192.168.100.30 255.255.255.0 gateway 192.168.100.1

PC3

PC3> ip 192.168.200.10 192.168.200.1
Checking for duplicate address...
PC1 : 192.168.200.10 255.255.255.0 gateway 192.168.200.1

PC4

PC4> ip 192.168.10.10 192.168.10.1
Checking for duplicate address...
PC1 : 192.168.10.10 255.255.255.0 gateway 192.168.10.1

2、完成二层交换机sw的设置

sw(config)#no ip routing                    //关闭路由功能(原镜像为三层交换机,所以这里需关闭路由功能)
sw(config)#vlan 10,20                       //划分vlan广播域
sw(config-vlan)#ex
sw(config)#int f 1/1
sw(config-if)#sw mo ac
sw(config-if)#sw ac vlan 10
sw(config-if)#ex
sw(config)#int f 1/2
sw(config-if)#sw mo ac
sw(config-if)#sw ac vlan 10
sw(config-if)#int f 1/3
sw(config-if)#sw mo ac
sw(config-if)#sw ac vlan 20
sw(config-if)#ex
sw(config)#do show vlan-sw b

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa1/0, Fa1/4, Fa1/5, Fa1/6
                                                Fa1/7, Fa1/8, Fa1/9, Fa1/10
                                                Fa1/11, Fa1/12, Fa1/13, Fa1/14
                                                Fa1/15
10   VLAN0010                         active    Fa1/1, Fa1/2
20   VLAN0020                         active    Fa1/3
1002 fddi-default                     act/unsup
1003 token-ring-default               act/unsup
1004 fddinet-default                  act/unsup
1005 trnet-default                    act/unsup
sw(config)#int f 1/0
sw(config-if)#sw tr en do
sw(config-if)#sw mo tr
sw(config-if)#e
*Mar  1 00:03:06.579: %DTP-5-TRUNKPORTON: Port Fa1/0 has become dot1q trunk
sw(config-if)#ex
sw(config)#do show int f 1/0

3、完成三层交换机sw-3的设置

sw-3(config)#vlan 10,20
sw-3(config-vlan)#ex
sw-3(config)#int vlan 10
sw-3(config-if)#ip add 192.168.100.1 255.255.255.0
sw-3(config-if)#no shut
sw-3(config-if)#int vlan 20
sw-3(config-if)#ip add 192.168.200.1 255.255.255.0
sw-3(config-if)#no shut
sw-3(config-if)#ex
sw-3(config)#int f 1/1
sw-3(config-if)#ip add 192.168.10.1 255.255.255.0             //该端口为二层端口无法设定IP地址

% IP addresses may not be configured on L2 links.

sw-3(config-if)#no switchport                                //关闭路由功能,使其成为三层端口
sw-3(config-if)#ip add 192.168.10.1 255.255.255.0
sw-3(config-if)#no shut
sw-3(config-if)#ex
sw-3(config)#int f 1/0
sw-3(config-if)#sw mo tr
*Mar  1 00:02:43.731: %DTP-5-TRUNKPORTON: Port Fa1/0 has become dot1q trunk
*Mar  1 00:02:44.235: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to up
*Mar  1 00:02:44.243: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to up
sw-3(config-if)#sw tr en dot
sw-3(config-if)#ex
sw-3(config)#

注意:此时,sw-3上未进行ACL的设置,如果实验步骤全部正确,应可以全网互通。

实例如下:

如果出现以上结果,则可以继续下面的操作。否则,请自行进行检查。

4、进行ACL的设置

sw-3

sw-3(config)#ip access-list standard zhy                  //建立命名访问控制列表
sw-3(config-std-nacl)#5 permit host 192.168.100.30        //开头的5为序列号,可不写。不写则进行默认排序
sw-3(config-std-nacl)#deny 192.168.100.0 0.0.0.255        //拒绝100网段的全部主机
sw-3(config-std-nacl)#permit any
sw-3(config-std-nacl)#ex
sw-3(config)#do show access-lists
Standard IP access list zhy
    5 permit 192.168.100.30
    15 deny   192.168.100.0, wildcard bits 0.0.0.255
    25 permit any
sw-3(config)#
sw-3(config)#int f 1/1
sw-3(config-if)#ip access-group zhy out                //应in口为虚口,设置ACL比较繁琐。因此本次实验将ACL设置在out口。
sw-3(config-if)#ex
sw-3(config)#

实验结果



实验成功!!!!!

原文地址:https://blog.51cto.com/14484404/2442760

时间: 2024-10-30 07:30:12

建立命名访问控制列表实战的相关文章

命名访问控制列表详解

命名访问控制列表 本章目标:通过实验学会命名访问控制列表,添加访问控制,删除访问控制 实验图: 4台主机,一个二层交换机,一个三层交换机sw1:划分VLAN,给VLAN配置接口,做trunk链路sw2:划分vlan,通过接口给vlan配置虚拟地址,做trunk链路,做命名访问控制,关闭交换端口变成三层端口.pc1:192.168.10.10/24pc2:192.168.10.20/24pc3:192.168.20.20/24pc4:192.168.100.100/24 一.给二层交换机配置VLA

ACL访问控制列表——命名访问控制列表(实操!!!)

命名访问控制列表可灵活的调整策略,前提是在标准访问列表以及扩展访问列表的基础上,可以使用no+ACL号删除策略.也可以使用ACL号+permit+ip追加ACL策略 实验环境 一台二层交换机 一台三层交换机 四台pc机 实验需求 允许vlan10中pc2可以访问pc1 拒绝vlan10中其他访问pc1 允许其他网段中的主机访问pc1 实验拓扑图 1,配置sw二层交换机 sw#conf t ##全局模式 sw(config)#vlan 10,20 ##创建vlan10,20 sw(config-v

ACL命名访问控制列表

命名访问控制列表配置 创建ACL Router(config)# ip access-list { standard | extended } access-list-name 配置标准命名ACL Routing(config-std-nacl)# [ Sequence-Number ] { permit | deny } source [ source-wildcard] 配置扩展命名ACLRouter(config-ext-nacl)# [ Sequence-Number ] { permi

命名访问控制列表配置实验

实验配置图及要求 1.四台主机配置地址 PC1: PC1> ip 192.168.100.100 192.168.100.1 Checking for duplicate address... PC1 : 192.168.100.100 255.255.255.0 gateway 192.168.100.1 PC2: PC2> ip 192.168.10.10 192.168.10.1 Checking for duplicate address... PC1 : 192.168.10.10

ACL访问控制列表规则建立、增加条目、删除条目.

①分类:标示流量进行特殊处理,通过过滤经过路由的数据包来管理IP流量②抓取路由分类:标准ACL:检查源地址,通常允许或者拒绝整个协议族扩展ACL:检查源地址和目的地址,通常允许或拒绝特定协议和应用程序标准ACL和扩展ACL的两种标示方法:编号ACL使用编号进行标示命名ACL使用描述性名称或者编号进行标示命名的ACL用字母数字字符串(名称)标识IP标准ACL和扩展ACL命名访问控制列表可以单独删除某条语句而不破坏整个列表的顺序:也可以在新添加的语句前面写入编号,把语句插入到指定的位置,当没有写入编

ACL访问控制列表之命名篇(实践)

实践环境部署 拓扑结构图及需求 注意点:SW设备与SW-3设备需要事先添加容量及业务单板 实践步骤 第一步:配置SW交换机 conf t //进入全局模式,设定vlan10 和20 vlan 10,20 ex do show vlan-sw b //查看vlan信息 VLAN Name Status 10 VLAN0010 active 20 VLAN0020 active int range fa1/1 -2 //进入端口fa1/1和1/2 接口,将端口划入vlan10 sw mo acc s

ACL访问控制列表(标准、拓展、命名控制列表)的配置实例

实例一:标准访问控制列表的配置 拓扑图如下: 通过配置标准访问列表,禁止PC1主机访问PC3主机. (1)进行sw的配置如下: SW#configure terminal //进入全局模式 Enter configuration commands, one per line. End with CNTL/Z. SW(config)#no ip routing //关闭路由功能 SW(config)#int f1/0 //进入接口模式 SW(config-if)#speed 100 //设置速率为

访问控制列表(二)

一  扩展访问控制列表的配置 1:创建ACL Router(config)# access-list  access-list-number { permit | deny } protocol { source source-wildcard destination  destination-wildcard } [ operator operan ]            命令参数详细说明: access-list-number:访问控制列表表号,对于扩展ACL来说,是100-199的一个数

访问控制列表ACL的配置与应用

访问控制列表(Access Control List,ACL)是应用在路由器接口的指令列表(即规则).这些指令列表用来告诉路由器,哪些数据包可以接收,哪些数据包需要拒绝.其基本原理如下:ACL使用包过滤技术,在路由器上读取OSI七层模型的第三层及第四层包头中的信息,如源地址.目的地址.源端口.目的端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的. ACL通过在路由器接口处控制数据包的转发还是丢弃,从而过滤通信流量.路由器根据ACL中指定的条件来检测通过路由器的数据包,从而决定是