思科标准ACL以及扩展ACL的配置并验证

一、网络拓扑图

二、 实验步骤:
1、规划好每个节点的IP地址,搭建以下拓扑图:

2、按照拓扑图配置个节点的IP、路由器的静态路由、PC机的网关,验证实现全网互通。


3、配置基本ACL,PC3不能实现与PC1和PC2互通,PC0能实现与所有PC机互通,并有验证,命令如下:
zuo(config)#access-list 10 deny 192.168.1.0 0.0.0.255 //配置拒绝192.168.1.0网段的流量的规则
zuo(config)#interface gigabitEthernet 0/2 //进入gigabitEthernet 0/2
zuo(config-if)#ip access-group 10 in //在此端口调用规则access-list 10 ,在此端口为192.168.1.1数据的入口,所以选择in
验证结果:


由上结果可知,当规则在192.168.1.1的网关入向应用时,PC3的数据进不了路由器。取消在PC3网关上的规则,在gigabitEthernet 0/1上应用上述规则.命令如下:
zuo(config-if)#no ip access-group 10 in //取消规则在gigabitEthernet 0/2上调用
zuo(config-if)#interface gigabitEthernet 0/1 //进入gigabitEthernet 0/1
zuo(config-if)#ip access-group 10 out //在gigabitEthernet 0/1上应用规则,因为gigabitEthernet 0/2只能是192.168.1.1流量的出端口,所以后面选择out
验证:


综上所述,如果当规则应用到192.168.1.1的网关上时,所有PC机都不能与PC3互通,因为PC3的数据进不了网关路由
如果规则在PC3数据流出口配置时,不仅PC3访问不了路由器以外的设备,PC0也访问不了路由器以外的设备。因为PC2的IP与规则不匹配,默认被也被拒绝了。
再配置一条允许除PC3以外所有的流量都能通过的规则,在同一个ACL列表下追加规则,命令如下:
zuo(config)#access-list 10 permit any //配置允许所有流量通过
验证:


综上所述,如果在配置规则的时候,流量没有匹配住规则,则被拒绝,所以在设置针对某一流量的规则时,追加一条允许所有的规则。
4、配置扩展ACL,允许左边的路由器远程登录右边的路由器,但不允许登录中间的路由器。
思路:因为左边和中间路由上有两个IP所以配置规则的时候,需要写四条规则分别拒绝左边路由的三个IP访问中间路由器的两个IP,telnet的源端口随机,目标端口23,所以规则的源端口为所有,目标端口为23,命令如下:
zuo(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 192.168.5.2 eq 23
zuo(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 192.168.6.1 eq 23
zuo(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.5.2 eq 23
zuo(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.6.1 eq 23
zuo(config)#access-list 101 deny tcp 192.168.5.1 0.0.0.0 host 192.168.5.2 eq 23
zuo(config)#access-list 101 deny tcp 192.168.5.1 0.0.0.0 host 192.168.6.1 eq 23
以上四条规则是拒绝左边路由的三个IP分别访问中间路由的两个IP
zuo(config)#access-list 101 permit ip any any //允许所有TCP流量通过
zuo(config)#interface gigabitEthernet 0/1 //进入接口gigabitEthernet 0/1
zuo(config-if)#ip access-group 101 out //调用规则
验证:

由上图可知,规则没有生效,原因是ACL规则只对穿越路由器的流量起作用,对路由器本身的流量不起作用。
将上述规则应用到中间路由的gigabitEthernet 0/10端口,删除左边路由的ACL配置,在中间路由上的左边端口调用上述规则
命令如下:
zhong(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.5.2 eq 23
zhong(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.6.1 eq 23
zhong(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 192.168.6.1 eq 23
zhong(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 192.168.5.2 eq 23
zhong(config)#access-list 101 deny tcp 192.168.5.1 0.0.0.0 host 192.168.5.2 eq 23
zhong(config)#access-list 101 deny tcp 192.168.5.1 0.0.0.0 host 192.168.6.1 eq 23
zhong(config)#access-list 101 permit ip any any
zhong(config-if)#interface gigabitEthernet 0/0
zhong(config-if)#ip access-group 101 in
验证:

综上所述:思科设备ACL规则,只对穿越路由器的流量起作用,对路由器本身的数据,不产生作用,而且如果所有规则都没有匹配住该流量,则默认拒绝。

原文地址:http://blog.51cto.com/13725021/2134842

时间: 2024-10-29 19:08:30

思科标准ACL以及扩展ACL的配置并验证的相关文章

标准ACL、扩展ACL和命名ACL的理论和配置实例

理论部分 标准访问控制列表的配置: R1(config)#access-list access-list-number {permit丨deny} source {source wildcard} access-list-number:访问控制列表表号 permit丨deny:满足测试条件,则拒绝/允许通过流量 Source:数据包的源地址,可以是主机地址或网络地址 {source wildcard}:通配符掩码,也叫做反码.在用二进制数0和1表示时,如果为1表明这一位不需要匹配,如果为0表明这

标准ACL、扩展ACL和命名ACL的配置详解

访问控制列表(ACL)是应用在路由器接口的指令列表(即规则).这些指令列表用来告诉路由器,那些数据包可以接受,那些数据包需要拒绝. 访问控制列表(ACL)的工作原理 ACL使用包过滤技术,在路由器上读取OSI七层模型的第3层和第4层包头中的信息.如源地址,目标地址,源端口,目标端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的. ACl是一组规则的集合,它应用在路由器的某个接口上.对路由器接口而言,访问控制列表有两个方向. 出:已经过路由器的处理,正离开路由器的数据包. 入:已到

标准ACL ,标准命名ACL,扩展ACL,扩展命名ACL

实验01: 一.标准ACL 二.标准命名ACL 实验目标:熟悉掌握标准ACL与标准命名ACL的配置以及二者的区别 实验环境: 实验步骤: 一. 1.    按图所示组建网络环境 2.    配置路由器的接口网关 3.    配置PC的IP及网关 4.    实现PC0不可以与PC3通信,PC1.PC2可以与PC3通信 将ACL应用于接口 5.    验证主机之间的通信情况 PC0不可以与PC3通信 PC1.PC2可以与PC3通信 二. 1.将之前的标准ACL删除 全局:no access-lis

Cisco基础(四):配置标准ACL、配置扩展ACL、配置标准命名ACL、配置扩展命名ACL

一.配置标准ACL 目标: 络调通后,保证网络是通畅的.同时也很可能出现未经授权的非法访问.企业网络既要解决连连通的问题,还要解决网络安全的问题. 配置标准ACL实现拒绝PC1(IP地址为192.168.1.1)对外问网络192.168.2.1的访问 方案: 访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问.它是保证网络安全最重要的核心策略之一. 访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表.这些指令列表用来告诉

标准与扩展ACL实验

一标准访问控制列表实验: 实验拓扑: 实验目的:掌握标准与扩展ACL的配置 实验要求:拒绝R1到R3的所有流量 实验步骤: 步骤1 按如上拓扑做好底层配置,并检测相邻设备之间的连通性 步骤2起静态路由,使全网互通 R1(config)#ip route 10.1.1.64 255.255.255.252 10.1.1.2 R3(config)#ip route 10.1.1.0 255.255.255.252 10.1.1.65 步骤3在R3上做标准的ACL使R1不能访问R3 R3(config

标准与扩展ACL

标准与扩展ACL 案例1:配置标准ACL 案例2:配置扩展ACL 案例3:配置标准命名ACL 配置扩展命名ACL 1 案例1:配置标准ACL 1.1 问题 络调通后,保证网络是通畅的.同时也很可能出现未经授权的非法访问.企业网络既要解决连连通的问题,还要解决网络安全的问题. 配置标准ACL实现拒绝PC1(IP地址为192.168.1.1)对外问网络192.168.2.1的访问 1.2 方案 访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问.它是保证网络安全最重

扩展acl配置

首先原图和要求如下 首先对路由器进行网关的配置,然后对第二个要求进行验证 接下来就要求3进行扩展acl配置,然后验证 首先对第一个路由器进行IP配置和OSPF协议 接着对第二个路由器进行配置,然后验证要求2 接着对第一个路由器进行acl设置,然后验证 接下来再做第三道题 先对三层交换机设置vlan,配置IP地址,把端口加入vlan 接着验证要求2,记得三层交换机win7要在全局模式下ip routing 对三层交换机进行acl设置,然后验证 再做一道关于DNS的acl扩展配置 首先对三层交换机配

ASA nat转换详解与扩展ACL详解

AR1区 telnet AR2 经过ASA1 转换流量配置如下:ASA配置:ASA Version 8.4(2)!hostname ciscoasaenable password 8Ry2YjIyt7RRXU24 encryptedpasswd 2KFQnbNIdI.2KYOU encryptednames!interface GigabitEthernet0nameif insidesecurity-level 100ip address 192.168.10.254 255.255.255.

笔记 基本ACL 、 高级ACL

内容回顾: 网络IP规模越来越大浪费越来越严重IP地址空间有限-公有地址|私有地址 (NAT)-子网划分-IPv6 内网:私有地址 -通信 私有地址没有资格在 Internet 流通: 出去,但是回不来 让企业的数据包在出去的时候, 携带的并不是内部的私有地址, 而是自己花钱买的公网IP地址: 数据在传输过程中,IP地址是永远不会变化的(默认情况下). 数据在传输过程中,MAC地址是随时变化的,每经过一个网段,都会 变化一次. NAT: 将内网的数据包中的源IP地址,转换为购买的公网IP地址: