思科网络中如何配置扩展ACL协议

最新推荐文章于 2024-04-05 23:18:50 发布
最新推荐文章于 2024-04-05 23:18:50 发布
阅读量1.4k 收藏 17
点赞数 24
分类专栏: 思科(CCNA) 文章标签: ACL 网络协议 计算机网络 扩展ACL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75693008/article/details/136603796
版权

一、什么是扩展ACL协议?有什么作用及配置方法?

(1)扩展ACL(Extended Access Control List)协议是一种网络安全协议,用于在路由器或防火墙上实现对数据包的细粒度访问控制。与标准ACL相比,扩展ACL提供更多的匹配条件和更精细的控制选项,可以根据源IP地址、目标IP地址、协议类型、端口号等多个因素来过滤数据包。(2)扩展ACL的主要作用包括:
  1. 提高网络安全性:可以根据具体的网络需求设置更加细致的访问控制策略,有效防止未经授权的数据包访问网络资源。
  2. 网络流量控制:可以根据流量特征对数据包进行过滤和控制,优化网络性能,提高网络的可用性和稳定性。
(3)配置扩展ACL的方法通常包括以下步骤:
  1. 进入路由器或防火墙的配置模式。
  2. 创建扩展ACL条目,并指定要匹配的条件,如源IP地址、目标IP地址、协议类型、端口号等。
  3. 根据需要,为每个ACL条目指定允许或拒绝数据包的动作。
  4. 将ACL应用到特定的接口或流量路径上,以实现访问控制策略。
(4)以下是一个示例扩展ACL的配置命令(以Cisco路由器为例):
常见端口号对应的IP协议:

Router(config)# access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 80(扩展ACL的number范围是100-199;标准ACLnumber范围是1-99;eq后面接的是协议号)
Router(config)# access-list 101 deny ip any any
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip access-group 101 in
解析:

在这个示例中,创建了一个扩展ACL条目,允许源IP地址为192.168.1.0/24的主机访问任意目标IP地址的TCP端口80,同时拒绝了其他所有IP地址的数据包访问。最后,将ACL应用到接口GigabitEthernet0/0的入方向

二、扩展ACL协议与标准ACL协议的区别是什么?

扩展ACL(Extended Access Control List)和标准ACL(Standard Access Control List)是两种不同类型的访问控制列表,它们在功能和应用范围上的区别如下:

(1)标准ACL:
  1. 标准ACL仅基于源IP地址来匹配数据包,并且只能对数据包进行简单的允许或拒绝操作
  2. 标准ACL通常用于限制特定IP地址段的访问,适用于简单的访问控制需求。
(2)扩展ACL:
  1. 扩展ACL可以基于源IP地址、目标IP地址、协议类型、端口号等多种条件来匹配数据包,并且可以对数据包进行更加灵活的操作,如允许、拒绝、重定向等。
  2. 扩展ACL适用于更复杂的网络环境,可以实现更精细的访问控制策略
(3)以下是一个示例,展示了标准ACL和扩展ACL的配置命令(以Cisco路由器为例):
01. 标准ACL示例:
Router(config)# access-list 10 permit 192.168.1.0 0.0.0.255
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip access-group 10 in

在这个标准ACL示例中,创建了一个标准ACL条目,允许源IP地址为192.168.1.0/24的主机访问接口GigabitEthernet0/0。

02. 扩展ACL示例:
Router(config)# access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 80
Router(config)# access-list 101 deny ip any any
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip access-group 101 in

在这个扩展ACL示例中,创建了一个扩展ACL条目,允许源IP地址为192.168.1.0/24的主机访问任意目标IP地址的TCP端口80,同时拒绝了其他所有IP地址的数据包访问。最后,将ACL应用到接口GigabitEthernet0/0的入方向上。

三、下面我们通过一个简单的拓扑图来让大家更好的理解扩展ACL的配置

第一步:根据图中提供的网段地址,为每台PC机以及路由器填上对应的IP地址 

根据每台PC机所处的位置配置地址,这里可以统一给他们的地址为.1 / .2(每个IP网段共有254个地址是可以分配给PC机的,分别是第1~254,IP地址中的第一个地址.0是网络地址(保留地址),IP网段的最后一个地址.255是广播地址(保留地址)

由图可知,上述4台PC机以及2台服务器分别处在三个不同的网段中,因此题目中拓扑的PC机及服务器的IP规划我将这样规划:

PC0:192.168.1.1(IP地址),255.255.255.0(子网掩码)

PC1:192.168.1.2(IP地址),255.255.255.0(子网掩码)

PC2:192.168.2.1(IP地址),255.255.255.0(子网掩码)

PC3:192.168.2.2(IP地址),255.255.255.0(子网掩码)

Server1:192.168.3.1(IP地址),255.255.255.0(子网掩码)

Server2:192.168.3.2(IP地址),255.255.255.0(子网掩码)

第二步:规划路由器对应接口的IP地址
通常情况下,连接交换机及PC机处的fa0/0接口要配的是254(表示允许这个网段的的所有PC机通过);但是这里题目要求路由器Router0要配置单臂路由,所以其fa0/0接口下我将不做任何配置,只需要打开fa0/0接口即可,ip地址的配置将在下面提到;Router1则照常完成其物理端口的配置(Router0的se0/0接口也正常配置)。
(1)路由器Router0上的配置

Router(config)#interface FastEthernet0/0
Router(config-if)#no shutdown(开启接口)
Router(config)#interface Serial0/0
Router(config-if)#ip address 10.1.1.1 255.255.255.0
Router(config-if)#no shutdown

(2)路由器Router1上的配置

Router>enable
Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#interface FastEthernet0/0
Router(config-if)#ip address 192.168.3.254 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit

Router(config)#interface Serial0/0
Router(config-if)#ip address 10.1.1.2 255.255.255.0
Router(config-if)#no shutdown

四、LAN1的PC划分到两个VLAN:VLAN 10、VLAN 20,配置单臂路由使得VLAN之间互通

(1)在交换机Switch0上创建两个VLAN ,按图示将PC划分到VLAN10、VLAN20中:

Switch>en
Switch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#vlan 10(创建一个vlan编号为10的虚拟局域网)
Switch(config-vlan)#name vlan10(为VLAN10命名,可以用来标识VLAN的用途或名称;这一步也可以不配置)
Switch(config-vlan)#vlan 20
Switch(config-vlan)#name vlan20
Switch(config-vlan)#int fa0/1
Switch(config-if)#switchport mode access(设置接口fa0/1为访问模式,即用于连接终端设备)
Switch(config-if)#switchport access vlan 10(将接口fa0/1划分到VLAN10中,表示该接口连接的设备属于VLAN10)
Switch(config-if)#int fa0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#int fa0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
Switch(config-if)#int fa0/4
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20

(2)将交换机Switch0与路由器Router0互联链路配置成TRUNK链路,并允许相应VLAN通过

Switch(config)#int fa0/24
Switch(config-if)#switchport mode trunk(将该接口配置为trunk模式,表示该接口将用于传输多个VLAN的数据)
Switch(config-if)#switchport trunk allowed vlan all(允许该trunk链路通过所有VLAN的数据传输,不对VLAN进行限制)

五、路由器上配置相应路由,使得全网互通

1. 在路由器Router0上的配置

(1)在Router0上配置单臂路由,使得全网PC互通

Router(config-if)#int fa0/0.1(进入FastEthernet 0/0接口的子接口1配置模式,这里的子接口号可以使其他的,只要配置的时候能区分好VLAN区域就行)
Router(config-subif)#encapsulation dot1Q 10(配置子接口1的VLAN封装类型为802.1Q,并指定VLAN ID为10)
Router(config-subif)#ip add 192.168.1.254 255.255.255.0(为子接口1配置IP地址为192.168.1.254,子网掩码为255.255.255.0)

Router(config-subif)#int fa0/0.2
Router(config-subif)#encapsulation dot1Q 20
Router(config-subif)#ip add 192.168.2.254 255.255.255.0
Router(config-subif)#exit

(2)在Router0上完成环回接口、ospf协议及静态路由的配置

Router(config)#int loopback 0
Router(config-if)#ip add 1.1.1.1 255.255.255.0

Router(config-if)#router ospf 1
Router(config-router)#network 192.168.1.0 255.255.255.0 area 0
Router(config-router)#network 192.168.2.0 255.255.255.0 area 0
Router(config-router)#exit

Router(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2(静态路由,8个0 + 下一跳地址)

2. 在路由器Router1上的配置

(1)在Router1上完成环回接口、ospf协议及静态路由的配置

Router>enable
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#int loopback 0
Router(config-if)#ip add 2.2.2.2 255.255.255.0

Router(config-if)#router ospf 1
Router(config-router)#network 192.168.3.0 255.255.255.0 area 0

Router(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1(静态路由,8个0 + 下一跳地址)

3.全网互通,完成题目要求二

六、在Router0路由器上配置标准ACL,要求按下面要求配置即可:

(1)了解ACL的详细配置指南及原理

1. ACL配置流程:

2. 通配符掩码规则:

3. ACL出接口的配置选择:

(2)完成题目要求的扩展ACL配置

1. VLAN 10中的PC只能以web方式访问LAN2的服务器S0,只能以FTP的方式访问服务器S1,其他方式都不允许访问;

Router>en
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.1 eq 80
(允许源IP地址为192.168.1.0/24网段中的任意主机访问目标IP地址为192.168.3.1的主机的TCP端口80,也可以将80替换成web,其中eq是等于的意思)

Router(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.2 eq 21
(允许源IP地址为192.168.1.0/24网段中的任意主机访问目标IP地址为192.168.3.2的主机的TCP端口21,也可以将21替换成ftp)

Router(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 any
(拒绝源IP地址为192.168.1.0/24网段中的任意主机访问任意目标IP地址的所有协议的数据包)

2. VLAN20中第一台PC只能访问服务器S0,其他PC除了不能PING,其它方式都可以访问LAN2的服务器

Router(config)#access-list 101 permit ip 192.168.2.1 0.0.0.0 host 192.168.3.1
(允许源IP地址为192.168.2.1的主机访问目标IP地址为192.168.3.1的主机的所有协议的数据包)

Router(config)#access-list 101 deny icmp 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255 echo
(拒绝源IP地址为192.168.2.0/24网段中的任意主机向目标IP地址为192.168.4.0/24网段中的任意主机发送ICMP Echo请求(ping,因为ping属于icmp协议)

Router(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
(允许源IP地址为192.168.2.0/24网段中的任意主机访问目标IP地址为192.168.3.0/24网段中的任意主机的所有协议的数据包)

3. 启用ACL 101上的协议

Router(config)#int s0/0
Router(config-if)#ip access-group 101 out(这条命令将ACL 101应用于Serial 0/0接口的出方向;

out关键字表示ACL应用于出方向,即从该接口发送出去的数据流会受到ACL的影响。)

七、此时已完成题目所有要求,可以分别在LAN1与LAN2区域各添加一台PC机测试更直观的效果,记得为PC机做对应配置,此处不做展示(测试可以用捉包的方式测试,也可以在路由器内sh ip route查看配置情况,使用sh running-config可以查看配置的命令)

立志不做小白的小白
关注
  • 24
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
扩展ACL
Lance_Zhang的博客
06-01 1668
扩展ACL配置 创建扩展ACL Router(config)# access-list access-list-number {permit|deny} protocol {source source-wildcard destination destination-wildcard} [operator operan] access-list-number: ACL表号,范围在100-199 protocol: 用来指定协议类型,如IP,TCP,UDP,ICMP等 sourc...
思科模拟器三层交换机配置 NAT ACL
07-30
思科模拟器配置文件及其说明,包含三层交换机配置、nat的转换、静态路由的配置acl的相关知识与配置
思科网络配置实验视频.rar
08-26
ASA-vp上exe,内容丰富,网盘文件 ASA-vp下exe asa基本配置.exe ASA配置nat1exe asdm配置exe BGP地址汇总exe BGP控制选路exe BGP联邦exe gp届性控制路由 AS-pachi. exe CBWFQ保证数据最小带宽exe EGRP关闭自动汇总exe EIGRP手动汇总exe IAS发布dns+ wab. exe IBGP和EBGP的基本配置和原理exe pv6- eigrp基本配置exe pv6rip基本配置.exe ipv6静态路由exe 1S,OSPF重分发exe
网络安全---Packet Tracer - 配置扩展 ACL
最新发布
zdsxc_的博客
04-05 742
通过此次实验,我们利用已经建立好的拓扑模型,通过相关操作建立了一个简单的防火墙,达到了防火墙的初步功能。
华为与思科常见配置命令
05-11
整理了一些华为和思科配置命令,有OSPF、RIP、VLAN、STP等,可供大家查看。可以下载下来也方便自己后期补充内容。
思科网络技术学院(CCNA)-配置并检验标准 ACL
01-01
第 1 部分:设置拓扑并初始化设备 • 设置设备以匹配网络拓扑。 • 初始化并重新加载路由器和交换机。 第 2 部分:配置设备并检验连接 • 为 PC 分配静态 IP 地址。 • 在路由器上配置基本设置。 • 在交换机上配置基本设置。 • 在 R1、ISP、R3 上配置 EIGRP 路由。 • 检验设备之间的连接。 第 3 部分:配置并检验标准编号 ACL 和命名 ACL配置、应用并检验编号标准 ACL。 • 配置、应用并检验命名 ACL。 第 4 部分:修改标准 ACL • 修改并检验命名标准 ACL。 • 测试 ACL。 实验准备: • 3 台路由器(支持 Cisco IOS 15.2(4)M3 版通用映像的 Cisco 1941 或同类路由器) • 2 台交换机(支持 Cisco IOS 版本 15.0(2) lanbasek9 映像的 Cisco 2960 或同类交换机) • 2 台 PC(采用 Windows 7、Vista 或 XP 且支持终端模拟程序,比如 Tera Term) • 用于通过控制台电缆配置 Cisco IOS 设备的控制台端口 • 如拓扑所示的以太
思科网络技术学院(CCNA)-配置并检验扩展 ACL
01-01
二、实验内容 第 1 部分:设置拓扑并初始化设备 第 2 部分:配置设备并检验连接 • 在 PC、路由器和交换机上配置基本设置。 • 在 R1、ISP、R3 上配置 EIGRP 路由。 第 3 部分:配置并检验扩展编号 ACL 和命名 ACL配置、应用并检验编号扩展 ACL。 • 配置、应用并检验命名扩展 ACL。 第 4 部分:修改并检验扩展 ACL 二、 实验准备 • 3 台路由器(支持 Cisco IOS 15.2(4)M3 版通用映像的 Cisco 1941 或同类路由器) • 2 台交换机(支持 Cisco IOS 版本 15.0(2) lanbasek9 映像的 Cisco 2960 或同类交换机) • 2 台 PC(采用 Windows 7、Vista 或 XP 且支持终端模拟程序,比如 Tera Term) • 用于通过控制台电缆配置 Cisco IOS 设备的控制台端口 • 如拓扑所示的以太网电缆和串行电缆
基本ACL扩展ACL
weixin_69884785的博客
04-20 2795
如果有两条语句,一个拒绝来自某个主机的通信,另一个允许来自该主机的通信,则排在前面的语句将被执行,而排在后面的语句将被忽略。所以在安排ACL语句的顺序时要把最特殊的语句排在列表的最前面,而最一般的语句排在列表的最后面,这是ACL语句排列的基本原则。出于安全性考虑,ACL的默认动作是拒绝(Implicit Deny),即在ACL没有找到匹配的语句时分组将被拒绝通过,这相当于在列表最后有一个隐含语句拒绝了所有的通信(deny any)。①一旦发现匹配的语句,就不再处理列表的其他语句。
标准ACL扩展ACL
蛋壳的博客
11-27 2062
ACL概述,标准,扩展ACL实验(思科
扩展ACL(Extended ACL)
weixin_33843947的博客
11-15 1286
实验来源:工大瑞普Cisco网络技术论坛要求: 1.禁止r1 telnet r42.禁止r2 ping r43.其它访问均允许 1.按照拓扑配置好各个路由器的接口IP地址;2.在每台路由器上配置OSPF路由协议(有不会的清看上一次的标准ACL的有关OSPF的基本配置)3.3.设置ACL(注:标准ACL应该在距离目标近的地方设置,扩展ACL应该在距离源较...
思科扩展ACL具体怎么配置
XMWS-IT
02-21 5348
1.理解扩展ACL的应用 2.掌握扩展ACL配置 1.根据实验拓扑图,完成设备的基本配置; 2.配置EIGRP,使得全网路由可达; 3.在R3上部署ACL,只允许192.168.1.0/24网段的用户PingPC3; 4.在R3上部署ACL,只允许192.168.2.0/24网段的用户TelnetPC3。 步骤1:设备的基本配置 配置PC1: Router>enable Router#configure terminal Router...
标准ACL扩展ACL(使用思科模拟器Cisco Packet Tracer Student)
热门推荐
7Riven's blog
11-08 2万+
1.访问控制列表概述 访问控制列表(ACL): 读取第三层、第四层包头信息 根据预先定义好的规则对包进行过滤 2.访问控制列表的工作原理 ACL使用网络流量控制(过滤)技术,在路由器上读取网络层和传输层的报头信息。(源IP 目标IP 源端口 目标端口),通过执行ACL定义的访问规则,进行数据流量控制和过滤, 达到网络访问控制的目的。 访问控制列表...
思科CISCO ACL配置详解
weixin_64312503的博客
07-25 1万+
思科ACL控制访问列表详细信息
Cisco Packet Tracer思科模拟器扩展访问控制列表的配置扩展ACL
Cisco Packet Tracer 思科模拟器知识分享
09-13 7059
上篇文章讲解了思科模拟器标准访问控制列表的配置(标准ACL),本篇文章将详细讲解思科模拟器扩展访问控制列表的配置扩展ACL)。每个步骤都有详细的说明与解析,干货满满,值得一看。
思科高级配置(配置扩展命名ACL)
李立衡
05-16 3460
问题 使用基本编号的ACL没有实际意义,只有通过阅读具体的条目才能得知该ACL的作用。而且ACL的编号有限制,如传统的标准ACL用199表示,扩展ACL用100199表示。 1)配置扩展命名ACL实现拒绝PC2(IP地址为192.168.0.20)访问Web Server Web服务,但可访问其他服务。 方案 命名访问控制列表可以为ACL起一个有意义的名字,通过名称就可以得知该ACL要实现什么...
Packet Tracer - 配置扩展 ACL - 场景 1
傻傻的心动的博客
05-06 3321
Packet Tracer - 配置扩展 ACL - 场景 1
交换机与路由技术-31-扩展ACL
w辣条小王子
09-25 1410
所有的ACL类型只能在一个接口一个方向上配置一个组ACL(表号相同算一组)配置扩展ACL使用表号是100~199access-list 表号(100~199)deny/permit 协议 源地址/主机 目的地址/主机 (eq/gt/lt/neq/range) (端口号)eq 等于gt 大于lt 小于neq 不等于range 范围。
配置扩展ACL
秦庚辰的博客
05-01 4584
配置扩展ACL 问题 在网络很有可能要允许或拒绝的并不是某一个源IP地址,而是根据目标地址或是协议来匹配。但是标准访问控制列表只能根据源IP地址来决定是否允许一个数据包通过。 1)配置扩展ACL实现拒绝PC2(IP地址为192.168.0.20)访问Web Server的web服务,但可访问其他服务。 方案 为了实现更灵活、列精确的网络控制就需要用到扩展访问控制列表了。 扩展IP访问控制列表比标...
思科模拟器 | 访问控制列表ACL实现网段精准隔绝
做技术人 · 产优质博客 · 找好工作
05-08 6731
访问控制列表ACL实现网段精准隔绝,灵活控制IP的访问接入
react细粒度权限控制
08-30
在React实现细粒度权限控制可以使用细粒度权限控制方案,该方案封装了许多常用的数据组件并支持按钮级的权限控制。 在前端,细粒度的权限控制可以用于限制用户对各种资源的访问和操作,例如页面的显示、按钮的点击、表单的提交等。通过权限控制,可以根据用户的身份和角色,对不同的用户展示不同的界面和功能,并限制他们对敏感数据的访问和修改权限。这样可以增强系统的安全性和数据的保密性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [bird-front:bird前端项目,基于react、antd、antd-admin,封装常用数据组件,细粒度权限解决方案](https://download.csdn.net/download/weixin_42129300/19220795)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [权限管理系统:使用SpringBootWebFlux + Shiro + JPA + JavaScala,实现基于数据库细粒度动态权限管理系统](https://download.csdn.net/download/weixin_42131316/14959589)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [electron框架+打包vue+react 成exe 安装下一步客户端桌面程序](https://download.csdn.net/download/xiaogg3678/88262320)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

立志不做小白的小白

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值