标准与扩展ACL实验

一标准访问控制列表实验:

实验拓扑:

实验目的:掌握标准与扩展ACL的配置

实验要求:拒绝R1到R3的所有流量

实验步骤:

步骤1 按如上拓扑做好底层配置,并检测相邻设备之间的连通性

步骤2起静态路由,使全网互通

R1(config)#ip route 10.1.1.64 255.255.255.252 10.1.1.2

R3(config)#ip route 10.1.1.0 255.255.255.252 10.1.1.65

步骤3R3上做标准的ACL使R1不能访问R3

R3(config)#access-list 1 deny 10.1.1.1 0.0.0.0

或者使用命令

R3(config)#access-list 1 deny host 10.1.1.1

因为访问控制列表默认有一个拒绝所有的隐含条目,所以需要在最后加入一条:

R3(config)#access-list 1 permit any

标准ACL要放置在离目标近的地方,所以配置在R3S1的入向上面:

R3(config)#int s1

R3(config-if)#ip access-group 1 in

二 扩展访问控制列表实验:

实验拓扑:

实验目的:掌握扩展访问控制列表的配置

掌握如何使用扩展的访问控制列表实现网络的安全性

实验要求:拒绝任何来自192.168.1.0网络的icmp流量

只有PC1可以访问FTP服务器

实验步骤:步骤1按如上拓扑在做好底层配置,在三台路由器上启RIPv2协议,使之互通

R1(config)#router rip

R1(config-router)#version 2

R1(config-router)#no auto-summary

R1(config-rotuer)#network 10.0.0.0

R1(config-rotuer)#network 172.16.0.0

R2(config)#router rip

R2(config-router)#version 2

R2(config-router)#no auto-summary

R2(config-rotuer)#network 10.0.0.0

R3(config)#router rip

R3(config-router)#version 2

R3(config-router)#no auto-summary

R3(config-rotuer)#network 10.0.0.0

R3(config-router)#network 192.168.1.0

步骤3R3上做扩展的ACL,拒绝来自192.168.1.0网络的icmp流量

R3(config)#access-list 102 deny icmp 192.168.1.0 0.0.0.255 any

R3(config)#access-list 102 permit ip any any

R3(config)#int e0

R3(config-if)ip access-group 102 in

步骤4R1上做扩展的ACL使得只有PC1可以访问FTP服务器

注意FTP使用两个端口号,2021

R1(config)#access-list 110 permit tcp 192.168.1.1 0.0.0.0 172.16.1.2 0.0.0.0 eq 21

R1(config)#access-list 110 permit tcp 192.168.1.1 0.0.0.0 172.16.1.2 0.0.0.0 eq 20

R1(config)#int s0

R1(config-if)#ip access-group 110 in

三 命名的访问控制列表试验:

实验需求与拓扑图通上,将访问控制列表转换成命名的ACL

R3(config)#ip access-list extended deny_icmp

R3(config-ext-nacl)#deny icmp 192.168.1.0 0.0.0.255 any

R3(config-ext-nacl)#permit ip any any

R3(config)#int e0

R3(config-if)#ip access-group deny_icmp in

R1(config)#ip access-list extended deny_ftp

R1(config-ext-nacl)#permit tcp 192.168.1.1 0.0.0.0 172.16.1.2 0.0.0.0 eq 20

R1(config-ext-nacl)#permit tcp 192.168.1.1 0.0.0.0 172.16.1.2 0.0.0.0 eq 21

R1(config)#int s0

R1(config-if)#ip access-group deny_ftp in

命名ACL的最大优点在于可以修改其中任意一条,而使用编号的ACL则不能。

四:使用ACL对vty线路进行限制:

实验拓扑:

实验需求:在Router的VTY线路上通过ACL限制访问

只有PC1能够远程登录Router

实验步骤:

Router(config)#access-list 1 permit host 172.16.1.3

//因为ACL有隐含拒绝特性,所以不需要显式拒绝PC2

Router(config)#line vty 0 15

Router(config-line)#password stsd

Router(config-line)#login

Router(config-line)#access-class 1 in

时间: 2024-08-30 01:15:46

标准与扩展ACL实验的相关文章

标准与扩展ACL

标准与扩展ACL 案例1:配置标准ACL 案例2:配置扩展ACL 案例3:配置标准命名ACL 配置扩展命名ACL 1 案例1:配置标准ACL 1.1 问题 络调通后,保证网络是通畅的.同时也很可能出现未经授权的非法访问.企业网络既要解决连连通的问题,还要解决网络安全的问题. 配置标准ACL实现拒绝PC1(IP地址为192.168.1.1)对外问网络192.168.2.1的访问 1.2 方案 访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问.它是保证网络安全最重

标准ACL ,标准命名ACL,扩展ACL,扩展命名ACL

实验01: 一.标准ACL 二.标准命名ACL 实验目标:熟悉掌握标准ACL与标准命名ACL的配置以及二者的区别 实验环境: 实验步骤: 一. 1.    按图所示组建网络环境 2.    配置路由器的接口网关 3.    配置PC的IP及网关 4.    实现PC0不可以与PC3通信,PC1.PC2可以与PC3通信 将ACL应用于接口 5.    验证主机之间的通信情况 PC0不可以与PC3通信 PC1.PC2可以与PC3通信 二. 1.将之前的标准ACL删除 全局:no access-lis

标准ACL、扩展ACL和命名ACL的理论和配置实例

理论部分 标准访问控制列表的配置: R1(config)#access-list access-list-number {permit丨deny} source {source wildcard} access-list-number:访问控制列表表号 permit丨deny:满足测试条件,则拒绝/允许通过流量 Source:数据包的源地址,可以是主机地址或网络地址 {source wildcard}:通配符掩码,也叫做反码.在用二进制数0和1表示时,如果为1表明这一位不需要匹配,如果为0表明这

标准ACL、扩展ACL和命名ACL的配置详解

访问控制列表(ACL)是应用在路由器接口的指令列表(即规则).这些指令列表用来告诉路由器,那些数据包可以接受,那些数据包需要拒绝. 访问控制列表(ACL)的工作原理 ACL使用包过滤技术,在路由器上读取OSI七层模型的第3层和第4层包头中的信息.如源地址,目标地址,源端口,目标端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的. ACl是一组规则的集合,它应用在路由器的某个接口上.对路由器接口而言,访问控制列表有两个方向. 出:已经过路由器的处理,正离开路由器的数据包. 入:已到

Cisco基础(四):配置标准ACL、配置扩展ACL、配置标准命名ACL、配置扩展命名ACL

一.配置标准ACL 目标: 络调通后,保证网络是通畅的.同时也很可能出现未经授权的非法访问.企业网络既要解决连连通的问题,还要解决网络安全的问题. 配置标准ACL实现拒绝PC1(IP地址为192.168.1.1)对外问网络192.168.2.1的访问 方案: 访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问.它是保证网络安全最重要的核心策略之一. 访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表.这些指令列表用来告诉

思科标准ACL以及扩展ACL的配置并验证

一.网络拓扑图二. 实验步骤:1.规划好每个节点的IP地址,搭建以下拓扑图:2.按照拓扑图配置个节点的IP.路由器的静态路由.PC机的网关,验证实现全网互通. 3.配置基本ACL,PC3不能实现与PC1和PC2互通,PC0能实现与所有PC机互通,并有验证,命令如下:zuo(config)#access-list 10 deny 192.168.1.0 0.0.0.255 //配置拒绝192.168.1.0网段的流量的规则zuo(config)#interface gigabitEthernet

扩展acl配置

首先原图和要求如下 首先对路由器进行网关的配置,然后对第二个要求进行验证 接下来就要求3进行扩展acl配置,然后验证 首先对第一个路由器进行IP配置和OSPF协议 接着对第二个路由器进行配置,然后验证要求2 接着对第一个路由器进行acl设置,然后验证 接下来再做第三道题 先对三层交换机设置vlan,配置IP地址,把端口加入vlan 接着验证要求2,记得三层交换机win7要在全局模式下ip routing 对三层交换机进行acl设置,然后验证 再做一道关于DNS的acl扩展配置 首先对三层交换机配

ASA nat转换详解与扩展ACL详解

AR1区 telnet AR2 经过ASA1 转换流量配置如下:ASA配置:ASA Version 8.4(2)!hostname ciscoasaenable password 8Ry2YjIyt7RRXU24 encryptedpasswd 2KFQnbNIdI.2KYOU encryptednames!interface GigabitEthernet0nameif insidesecurity-level 100ip address 192.168.10.254 255.255.255.

Ubuntu 14.04操作系统信任链(IMA)扩展分析实验

一.实验目的 1.    了解TPM安全芯片的组成和作用 2.    掌握计算平台信任链扩展的原理及作用 3.    掌握IMA的工作原理及作用 二.实验内容 信任链扩展的准则是"Measure before load",即在加载下一阶段组件并把控制权移交给它之前首先对其进行度量,记录组件度量值并使用TPM将此度量值保护起来. 下图是计算平台信任链扩展原型图: 1.扩展Linux操作系统为其增加IMA功能,使信任链由OS层扩展到用户应用层. 2.编写以下代码加载或运行,观察IMA是如何