2. 程式人生 > >Cisco PT模擬實驗(17) 路由器IP訪問控制列表配置

Cisco PT模擬實驗(17) 路由器IP訪問控制列表配置

阿新 發佈:2017-09-08
cisco ccna 路由

Cisco PT模擬實驗(17) 路由器IP訪問控制列表配置

實驗目的

理解兩種IP訪問控制列表的原理及功能

掌握常見IP訪問控制列表的配置方法

實驗背景

公司的經理部、財務部們和銷售部門分屬於不同的3個網段,三部門之間用路由器進行信息傳遞,為了安全起見,公司領導要求銷售部門不能對財務部進行訪問,但經理部可以對財務部進行訪問。

技術原理

  • 路由器能提供防火墻的功能,根據一些預設置的ACL過濾規則對任何經過接口的流量進行過濾,說明哪些具體的通信(來自設備、協議或端口等)是被允許或拒絕,該功能是通過路由器的訪問控制列表功能實現的。

  • 訪問/接入控制列表(Access Control List, ACL) ,或稱包過濾,一種基於路由器或交換機接口的指令列表,用來控制端口進出的數據包,即入站(Inbound)或出站(Outbound)過濾,其主要作用如下:

    • 限制網絡流量、提高網絡性能

    • 提供對通信流量的控制手段,提高帶寬利用率

    • 提供網絡安全訪問的基本手段

    • 在路由器端口處決定哪種類型的通信流量被轉發或被阻塞

  • ACL適用於所有的網絡層協議,如IP、IPX等協議,其中IP ACL應用極為普遍,主要有兩種類型:

    • IP標準ACL,表號範圍為1 ~ 99及1300~1999,只能檢查數據包的源地址,功能有較大局限性;

    • IP擴展ACL,表號範圍為100 ~ 199及2000~2699,不僅可檢查數據包的源地址和目的地址,還可根據指定的協議類型或端口號進行過濾,功能更強,應用非常廣泛。

  • ACL列表由一條條ACL語句組成,每一個ACL列表都有對應標號或名字,作為接口引用ACL的索引,當一個分組經過路由器時,路由器將自頂而下逐個對分組信息與ACL語句進行比較,ACL語句排列順序至關重要:

    • 前提:該接口啟用了ACL及出入站規則,則將對出/入站的數據包進行比較;

    • 若第一條語句匹配成功,則不再處理其他語句,路由器將允許(Permit)或拒絕(Deny)分組通過;

    • 若不匹配,則與下一條ACL語句比較,直到匹配成功並進行允許或拒絕處理;

    • 若整個ACL列表中沒有匹配的語句,則分組將默認被丟棄/拒絕;

  • 根據IP ACL列表索引的不同,其配置命令格式可分為 access-list 和 ip access-list 兩種,前者只能用表號作為ACL標識符,後者可使表號或名字作為ACL標識符。使用名字可不受取值範圍的限制。

    • IP標準ACL命令:access-list 表號 {permit/deny} 源地址 反掩碼

    • IP擴展ACL命令:access-list 表號 {permit/deny} 協議類型 源地址 反掩碼 [源端口限制] 目的地址 反掩碼 [目的端口限制]

  • 進入可命名的ACL配置模式下:ip access-list {standard/extended} {表號/表名}

Router(config-std-acl)#{permit/deny} 源地址 反掩碼

Router(config-ext-acl)#{permit/deny} 協議類型 源地址 反掩碼 [源端口限制] 目的地址 反掩碼 [目的端口限制]

  • 出入站規則配置命令:ip access-group {表號/表名} {in/out}


實驗設備:Router-PT 2臺;PC 2臺,Server 1臺;交叉線,串口線。

實驗拓撲

技術分享

實驗步驟:

新建Cisco PT 拓撲圖

為各PC及Server設置IP及網關地址,其中網關地址分別為路由接口的IP地址

對各Router進行相關配置(接口IP、時鐘頻率等)

為各Router配置靜態路由和默認路由

測試並確保各終端(PC、Server)之間的互通性

在Router0上配置基於編號的IP標準ACL

在Router1上配置基於命名的IP擴展ACL

查看路由器上訪問控制列表的配置信息

驗證不同局域網PC、Server之間的相互通信


PC0 設置
192.168.1.2
//子網掩碼和網關
255.255.255.0
192.168.1.1
PC1 設置
192.168.2.2
//子網掩碼和網關
255.255.255.0
192.168.2.1
Server0 設置
192.168.3.2
//子網掩碼和網關
255.255.255.0
192.168.3.1
/*=Part1  Router0 基本配置  */ 
Router>enable
Router#conf t
Router(config)#inter f0/0                 //進入第0模塊第0端口(快速以太網接口)
Router(config-if)#ip address 192.168.1.1 255.255.255.0    //配置f0/0接口IP
Router(config-if)#no shutdown             //開啟端口
Router(config-if)#exit
Router(config)#inter f1/0                 //進入第1模塊第0端口(快速以太網接口)
Router(config-if)#ip address 192.168.2.1 255.255.255.0    //配置f1/0接口IP
Router(config-if)#no shutdown             //開啟端口
Router(config-if)#exit
Router(config)#interface serial 2/0       //進入第2模塊第0端口(串行接口)
Router(config-if)#ip address 10.10.254.1 255.255.255.0    //配置s2/0接口IP
Router(config-if)#clock rate 64000        //必須配置時鐘才可通信
Router(config-if)#no shutdown             //開啟端口
Router(config-if)#exit
/*=Part2  靜態路由配置  */ 
Router(config)#ip route 192.168.3.0 255.255.255.0 10.254.10.2
/*=Part3  IP標準ACL配置  */
Router(config)#access-list 20 permit 192.168.1.0 0.0.0.255    
//允許192.168.1.0網段內的數據包通過
Router(config)#access-list 20 deny 192.168.2.2 0.0.0.0    
//拒絕特定192.168.2.2的數據包通過
Router(config)#access-list 20 permit any
//一般在ACL列表末尾需配置permit any語句,否則任何沒有匹配到的數據包都會被丟棄    
Router(config)#inter s2/0        
Router(config-if)#ip access-group 20 out    
//在s2/0接口的出站規則上啟用此ACL列表
Router(config-if)#^Z
Router#show r
Router#show access-lists
/*=Part1  Router1 基本配置  */ 
Router>enable
Router#conf t
Router(config)#inter f0/0                 //進入第0模塊第0端口(快速以太網接口)
Router(config-if)#ip address 192.168.3.1 255.255.255.0    //配置f0/0接口IP
Router(config-if)#no shutdown             //開啟端口
Router(config-if)#exit
Router(config)#interface serial 2/0       //進入第2模塊第0端口(串行接口)
Router(config-if)#ip address 10.10.254.2 255.255.255.0    //配置s2/0接口IP
Router(config-if)#no shutdown             //開啟端口
Router(config-if)#exit
/*=Part2  靜態路由配置  */
Router(config)#ip route 0.0.0.0 0.0.0.0 10.254.10.1
/*=Part3  IP擴展ACL配置  */
Router(config)#ip access-list extended ACL001
Router(config-ext-nacl)#deny icmp 192.168.1.0 0.0.0.255 any echo-reply
Router(config-ext-nacl)#deny tcp 192.168.1.2 0.0.0.0 any eq telnet
Router(config-ext-nacl)#deny tcp host 192.168.1.2  any eq ftp
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#permit tcp any any
Router(config)#inter s2/0        
Router(config-if)#ip access-group ACL001 out    
//在s2/0接口的出站規則上啟用此ACL列表
Router(config-if)#^Z
Router#show r
Router#show access-lists
# PC0 ACL測試
ping 192.168.1.1                  //鏈路通
ping 10.254.10.2                  //鏈路通
ping 192.168.3.2                  //鏈路不通
訪問 http://192.168.3.2               //訪問成功
# PC1 ACL測試
ping 192.168.2.1                  //鏈路通
ping 10.254.10.1                  //鏈路不通
ping 192.168.3.2                  //鏈路不通
訪問 http://192.168.3.2               //訪問失敗


實驗環境: Windows 7,Cisco PT 7.0

參考資料:CCNA學習指南(第7版)


Cisco PT模擬實驗(17) 路由器IP訪問控制列表配置

相關推薦

Cisco PT模擬實驗(17) 路由器IP訪問控制列表配置

cisco ccna 路由 Cisco PT模擬實驗(17) 路由器IP訪問控制列表配置實驗目的: 理解兩種IP訪問控制列表的原理及功能 掌握常見IP訪問控制列表的配置方法實驗背景: 公司的經理部、財務部們和銷售部門分屬於不同的3個網段,三部門之間

Cisco PT模擬實驗(13) 路由器RIP動態路由的配置

ccna cisco 交換實驗 Cisco PT模擬實驗(13) 路由器RIP動態路由的配置實驗目的: 掌握RIP動態路由選擇協議的配置方法 掌握路由選擇表中的RIP路由描述 熟悉路由選擇和分組轉發的原理及過程實驗背景: 公司通過一

Cisco PT模擬實驗(14) 路由器OSPF動態路由的配置

ccna 交換實驗 cisco Cisco PT模擬實驗(14) 路由器OSPF動態路由的配置實驗目的: 掌握OSPF動態路由選擇協議的配置方法 掌握路由選擇表中的OSPF路由描述 熟悉路由選擇和分組轉發的原理及過程實驗背景: 公司

Cisco PT模擬實驗(12) 路由器靜態路由的配置

cisco 路由實驗 ccna Cisco PT模擬實驗(12) 路由器靜態路由的配置實驗目的: 掌握靜態路由的配置方法和應用 掌握路由選擇表中的路由描述 熟悉路由選擇和分組轉發的原理及過程實驗背景: 某公司除總部外,另有一處

Cisco PT模擬實驗(18) 路由器DHCP服務器及中繼配置

cisco 路由 dhcp Cisco PT模擬實驗(18) 路由器DHCP服務器及中繼配置實驗目的: 掌握路由器DHCP服務器的配置方法 掌握DHCP中繼代理的配置方法 掌握DHCP協議及其中繼的原理及實現過程實驗背景: 隨著公司

Cisco PT模擬實驗(19) 路由器的NAT功能配置

cisco 路由 nat Cisco PT模擬實驗(19) 路由器的NAT功能配置實驗目的: 掌握NAT網絡地址轉換的原理及功能 掌握靜態NAT的配置,實現局域網訪問互聯網 掌握廣域網(WAN)接入技術的原理實驗背景: 為適應公司不斷

Cisco PT模擬實驗(4) 交換機的VLAN劃分與配置

ccna cisco 交換實驗 Cisco PT模擬實驗(4) 交換機的VLAN劃分與配置實驗目的: 掌握虛擬LAN(VLAN)的基本配置; 掌握交換機Port Vlan和Tag Vlan的配置方法; 掌握VLAN中繼(Vlan Trunk)及其協議(

Cisco PT模擬實驗(7) 交換機的端口安全配置

ccna cisco 交換實驗 Cisco PT模擬實驗(7) 交換機的端口安全配置實驗目的: 掌握交換機的端口安全功能,控制用戶的安全接入實驗背景: 公司網絡采用個人固定IP上網方案,為了防止公司內部用戶IP地址借用、冒用,私自接入交換機等違規行為,同時防止

路由器IP訪問控制列表的功能及其配置命令

》路由器IP訪問控制列表(Access Control List,ACL)        通過路由器提供的訪問控制列表可以根據一些準則過濾不安全的資料包,如攻擊包、病毒包等,以保證網路的可靠性和安全性。ACL適合於所有網路層協議,如IP/IPX/AppleTalk等協議。A

第十三章 標準IP訪問控制列表配置

IP訪問控制 CCNA實驗 路由交換 一、實驗名稱標準IP訪問控制列表配置二、實驗內容1.新建 Packet Tracer 拓撲圖2.路由器之間通過 V.35 電纜通過串口連接, DCE 端連接在 R1 上,配置其時鐘頻率64000;主機與路由器通過交叉線連接。3.配置路由器接口 IP 地址。4.

第十四章 擴展IP訪問控制列表配置

ACL 實驗 CCNA IP訪問控制列表 一、實驗名稱 擴展IP訪問控制列表配置 二、實驗內容 1.新建 Packet Tracer 拓撲圖。2.路由器R1與路由器R2通過 V.35 電纜串口連接,DCE 端連接在 R2 上, 配置其時鐘頻率 64000;主機與路由器通過交叉線連接。3.配置P

Cisco PT模擬實驗(9) 三層交換機的VLAN間路由

ccna cisco 交換實驗 Cisco PT模擬實驗(9) 三層交換機的VLAN間路由實驗目的: 掌握交換機 Tag VLAN 的配置 掌握三層交換機 VLAN 路由 的配置方法 通過三層交換機實現 VLAN 間相互通信實驗背景:

Cisco PT模擬實驗(20) 通過TFTP協議備份、恢復配置或系統升級

tftp協議 cisco 配置備份恢復 Cisco PT模擬實驗(20) 通過TFTP協議備份、恢復配置或系統升級實驗目的: 掌握TFTP方式備份、恢復配置文件的基本命令 掌握TFTP上傳IOS文件並升級系統的方法 熟悉TFTP協議文件傳輸的原理實驗背景

Cisco PT模擬實驗(21) 兩層架構網絡搭建的綜合配置

acl col 用戶 na學習 相關 routing 數據 orm 所在 Cisco PT模擬實驗(21) 兩層架構網絡搭建的綜合配置實驗目的: 熟悉網絡的二層結構模型及原理 掌握路由交換的基本配置方法 掌握搭建兩層架構網絡的常用

第十三章 IP訪問控制列表(ACL)

ACL第十三章 IP訪問控制列表(ACL)為什麽要使用訪問列表管理網絡中逐步增長的 IP 數據當數據通過路由器時進行過濾訪問列表的應用允許、拒絕數據包通過路由器允許、拒絕Telnet會話的建立沒有設置訪問列表時,所有的數據包都會在網絡上傳輸什麽是訪問列表--(標準,擴展)標準檢查源地址通常允許、拒絕的是完整的

擴充套件IP訪問控制列表

擴充套件IP訪問控制列表配置技術原理:訪問控制列表定義的典型規則主要有以下:源地址、目標地址、上層協議、時間區域;擴充套件IP訪問列表(編號100-199、2000-2699)使用以上四種組合來進行轉發或者阻斷分組;可以根據資料包的源IP、目的IP、原埠、目的埠、協議來定義規

DNS解析與Bind的使用(7)——子域授權、轉發及訪問控制列表配置

訪問控制 子域授權 轉發 十四、Bind軟件的子域授權全球網絡的DNS服務器都是由多級所構成的,每一臺主機通過域名服務找到所要訪問的主機IP地址都是通過一層層DNS服務器找到的。而這樣的結構就決定了,上級域名服務器必須具備找到子域的能力,例如tianxia.com.這個域名,在頂級域com.下就必

神州數碼標準訪問控制列表配置(ACL)

mit p地址 ces 要求 layer ip route 技術 font 配置 實驗要求:熟練掌握標準訪問控制列表配置方法 拓撲如下 R1 enable  進入特權模式 config  進入全局模式 hostname R1  修改名稱 interface s0/1 

H3C交換機典型(ACL)訪問控制列表配置例項

需求1配置(基本ACL配置) 1.進入2000號的基本訪問控制列表檢視 [H3C-GigabitEthernet1/0/1] acl number 2000 2.定義訪問規則過濾10.1.1.2主機發出的報文 [H3C-acl-basic-2000] rule 1 deny source 10.1.1.

訪問控制列表 配置:命名訪問控制列表配置

 大家在談到路由器ACL的時候,首先想到的是標準ACL和擴充套件ACL,其實還有鮮為人知的命名訪問ACL。本文主要目的是想介紹命名訪問控制列表配置。     訪問列表型別:       標準的訪問控制列表-(基於IP的編號範圍1-99,基於IPX的編號範圍800-899)檢查