思科標準ACL以及擴展ACL的配置並驗證
阿新 • • 發佈:2018-07-02
實驗 ges shadow 刪除 默認 接口 針對 any 技術 一、網絡拓撲圖
二、 實驗步驟:
1、規劃好每個節點的IP地址,搭建以下拓撲圖:
2、按照拓撲圖配置個節點的IP、路由器的靜態路由、PC機的網關,驗證實現全網互通。
由上結果可知,當規則在192.168.1.1的網關入向應用時,PC3的數據進不了路由器。取消在PC3網關上的規則,在gigabitEthernet 0/1上應用上述規則.命令如下:
zuo(config-if)#no ip access-group 10 in //取消規則在gigabitEthernet 0/2上調用
zuo(config-if)#interface gigabitEthernet 0/1 //進入gigabitEthernet 0/1
zuo(config-if)#ip access-group 10 out //在gigabitEthernet 0/1上應用規則,因為gigabitEthernet 0/2只能是192.168.1.1流量的出端口,所以後面選擇out
綜上所述,如果當規則應用到192.168.1.1的網關上時,所有PC機都不能與PC3互通,因為PC3的數據進不了網關路由
如果規則在PC3數據流出口配置時,不僅PC3訪問不了路由器以外的設備,PC0也訪問不了路由器以外的設備。因為PC2的IP與規則不匹配,默認被也被拒絕了。
再配置一條允許除PC3以外所有的流量都能通過的規則,在同一個ACL列表下追加規則,命令如下:
zuo(config)#access-list 10 permit any //配置允許所有流量通過
驗證:
綜上所述,如果在配置規則的時候,流量沒有匹配住規則,則被拒絕,所以在設置針對某一流量的規則時,追加一條允許所有的規則。
4、配置擴展ACL,允許左邊的路由器遠程登錄右邊的路由器,但不允許登錄中間的路由器。
zuo(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 192.168.5.2 eq 23
zuo(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 192.168.6.1 eq 23
zuo(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.5.2 eq 23
zuo(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.6.1 eq 23
zuo(config)#access-list 101 deny tcp 192.168.5.1 0.0.0.0 host 192.168.5.2 eq 23
zuo(config)#access-list 101 deny tcp 192.168.5.1 0.0.0.0 host 192.168.6.1 eq 23
以上四條規則是拒絕左邊路由的三個IP分別訪問中間路由的兩個IP
zuo(config)#access-list 101 permit ip any any //允許所有TCP流量通過
zuo(config)#interface gigabitEthernet 0/1 //進入接口gigabitEthernet 0/1
zuo(config-if)#ip access-group 101 out //調用規則
驗證:
由上圖可知,規則沒有生效,原因是ACL規則只對穿越路由器的流量起作用,對路由器本身的流量不起作用。
將上述規則應用到中間路由的gigabitEthernet 0/10端口,刪除左邊路由的ACL配置,在中間路由上的左邊端口調用上述規則
命令如下:
zhong(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.5.2 eq 23
zhong(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.6.1 eq 23
zhong(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 192.168.6.1 eq 23
zhong(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 192.168.5.2 eq 23
zhong(config)#access-list 101 deny tcp 192.168.5.1 0.0.0.0 host 192.168.5.2 eq 23
zhong(config)#access-list 101 deny tcp 192.168.5.1 0.0.0.0 host 192.168.6.1 eq 23
zhong(config)#access-list 101 permit ip any any
zhong(config-if)#interface gigabitEthernet 0/0
zhong(config-if)#ip access-group 101 in
驗證:
綜上所述:思科設備ACL規則,只對穿越路由器的流量起作用,對路由器本身的數據,不產生作用,而且如果所有規則都沒有匹配住該流量,則默認拒絕。
二、 實驗步驟:
1、規劃好每個節點的IP地址,搭建以下拓撲圖:
2、按照拓撲圖配置個節點的IP、路由器的靜態路由、PC機的網關,驗證實現全網互通。
3、配置基本ACL,PC3不能實現與PC1和PC2互通,PC0能實現與所有PC機互通,並有驗證,命令如下:
zuo(config)#access-list 10 deny 192.168.1.0 0.0.0.255 //配置拒絕192.168.1.0網段的流量的規則
zuo(config)#interface gigabitEthernet 0/2 //進入gigabitEthernet 0/2
zuo(config-if)#ip access-group 10 in //在此端口調用規則access-list 10 ,在此端口為192.168.1.1數據的入口,所以選擇in
由上結果可知,當規則在192.168.1.1的網關入向應用時,PC3的數據進不了路由器。取消在PC3網關上的規則,在gigabitEthernet 0/1上應用上述規則.命令如下:
zuo(config-if)#no ip access-group 10 in //取消規則在gigabitEthernet 0/2上調用
zuo(config-if)#interface gigabitEthernet 0/1 //進入gigabitEthernet 0/1
zuo(config-if)#ip access-group 10 out //在gigabitEthernet 0/1上應用規則,因為gigabitEthernet 0/2只能是192.168.1.1流量的出端口,所以後面選擇out
綜上所述,如果當規則應用到192.168.1.1的網關上時,所有PC機都不能與PC3互通,因為PC3的數據進不了網關路由
如果規則在PC3數據流出口配置時,不僅PC3訪問不了路由器以外的設備,PC0也訪問不了路由器以外的設備。因為PC2的IP與規則不匹配,默認被也被拒絕了。
再配置一條允許除PC3以外所有的流量都能通過的規則,在同一個ACL列表下追加規則,命令如下:
zuo(config)#access-list 10 permit any //配置允許所有流量通過
驗證:
綜上所述,如果在配置規則的時候,流量沒有匹配住規則,則被拒絕,所以在設置針對某一流量的規則時,追加一條允許所有的規則。
4、配置擴展ACL,允許左邊的路由器遠程登錄右邊的路由器,但不允許登錄中間的路由器。
zuo(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 192.168.5.2 eq 23
zuo(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 192.168.6.1 eq 23
zuo(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.5.2 eq 23
zuo(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.6.1 eq 23
zuo(config)#access-list 101 deny tcp 192.168.5.1 0.0.0.0 host 192.168.5.2 eq 23
zuo(config)#access-list 101 deny tcp 192.168.5.1 0.0.0.0 host 192.168.6.1 eq 23
以上四條規則是拒絕左邊路由的三個IP分別訪問中間路由的兩個IP
zuo(config)#access-list 101 permit ip any any //允許所有TCP流量通過
zuo(config)#interface gigabitEthernet 0/1 //進入接口gigabitEthernet 0/1
zuo(config-if)#ip access-group 101 out //調用規則
驗證:
由上圖可知,規則沒有生效,原因是ACL規則只對穿越路由器的流量起作用,對路由器本身的流量不起作用。
將上述規則應用到中間路由的gigabitEthernet 0/10端口,刪除左邊路由的ACL配置,在中間路由上的左邊端口調用上述規則
命令如下:
zhong(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.5.2 eq 23
zhong(config)#access-list 101 deny tcp 192.168.1.0 0.0.0.255 host 192.168.6.1 eq 23
zhong(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 192.168.6.1 eq 23
zhong(config)#access-list 101 deny tcp 192.168.2.0 0.0.0.255 host 192.168.5.2 eq 23
zhong(config)#access-list 101 deny tcp 192.168.5.1 0.0.0.0 host 192.168.5.2 eq 23
zhong(config)#access-list 101 deny tcp 192.168.5.1 0.0.0.0 host 192.168.6.1 eq 23
zhong(config)#access-list 101 permit ip any any
zhong(config-if)#interface gigabitEthernet 0/0
zhong(config-if)#ip access-group 101 in
驗證:
綜上所述:思科設備ACL規則,只對穿越路由器的流量起作用,對路由器本身的數據,不產生作用,而且如果所有規則都沒有匹配住該流量,則默認拒絕。
思科標準ACL以及擴展ACL的配置並驗證