思科网络中如何配置扩展ACL协议

最新推荐文章于 2024-06-18 21:37:45 发布
最新推荐文章于 2024-06-18 21:37:45 发布
阅读量3.3k 收藏 43
点赞数 28
分类专栏: 思科(CCNA) 文章标签: ACL 网络协议 计算机网络 扩展ACL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75693008/article/details/136603796
版权

一、什么是扩展ACL协议?有什么作用及配置方法?

(1)扩展ACL(Extended Access Control List)协议是一种网络安全协议,用于在路由器或防火墙上实现对数据包的细粒度访问控制。与标准ACL相比,扩展ACL提供更多的匹配条件和更精细的控制选项,可以根据源IP地址、目标IP地址、协议类型、端口号等多个因素来过滤数据包。(2)扩展ACL的主要作用包括:
  1. 提高网络安全性:可以根据具体的网络需求设置更加细致的访问控制策略,有效防止未经授权的数据包访问网络资源。
  2. 网络流量控制:可以根据流量特征对数据包进行过滤和控制,优化网络性能,提高网络的可用性和稳定性。
(3)配置扩展ACL的方法通常包括以下步骤:
  1. 进入路由器或防火墙的配置模式。
  2. 创建扩展ACL条目,并指定要匹配的条件,如源IP地址、目标IP地址、协议类型、端口号等。
  3. 根据需要,为每个ACL条目指定允许或拒绝数据包的动作。
  4. 将ACL应用到特定的接口或流量路径上,以实现访问控制策略。
(4)以下是一个示例扩展ACL的配置命令(以Cisco路由器为例):
常见端口号对应的IP协议:

Router(config)# access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 80(扩展ACL的number范围是100-199;标准ACLnumber范围是1-99;eq后面接的是协议号)
Router(config)# access-list 101 deny ip any any
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip access-group 101 in
解析:

在这个示例中,创建了一个扩展ACL条目,允许源IP地址为192.168.1.0/24的主机访问任意目标IP地址的TCP端口80,同时拒绝了其他所有IP地址的数据包访问。最后,将ACL应用到接口GigabitEthernet0/0的入方向

二、扩展ACL协议与标准ACL协议的区别是什么?

扩展ACL(Extended Access Control List)和标准ACL(Standard Access Control List)是两种不同类型的访问控制列表,它们在功能和应用范围上的区别如下:

(1)标准ACL:
  1. 标准ACL仅基于源IP地址来匹配数据包,并且只能对数据包进行简单的允许或拒绝操作
  2. 标准ACL通常用于限制特定IP地址段的访问,适用于简单的访问控制需求。
(2)扩展ACL:
  1. 扩展ACL可以基于源IP地址、目标IP地址、协议类型、端口号等多种条件来匹配数据包,并且可以对数据包进行更加灵活的操作,如允许、拒绝、重定向等。
  2. 扩展ACL适用于更复杂的网络环境,可以实现更精细的访问控制策略
(3)以下是一个示例,展示了标准ACL和扩展ACL的配置命令(以Cisco路由器为例):
01. 标准ACL示例:
Router(config)# access-list 10 permit 192.168.1.0 0.0.0.255
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip access-group 10 in

在这个标准ACL示例中,创建了一个标准ACL条目,允许源IP地址为192.168.1.0/24的主机访问接口GigabitEthernet0/0。

02. 扩展ACL示例:
Router(config)# access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 80
Router(config)# access-list 101 deny ip any any
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip access-group 101 in

在这个扩展ACL示例中,创建了一个扩展ACL条目,允许源IP地址为192.168.1.0/24的主机访问任意目标IP地址的TCP端口80,同时拒绝了其他所有IP地址的数据包访问。最后,将ACL应用到接口GigabitEthernet0/0的入方向上。

三、下面我们通过一个简单的拓扑图来让大家更好的理解扩展ACL的配置

第一步:根据图中提供的网段地址,为每台PC机以及路由器填上对应的IP地址 

根据每台PC机所处的位置配置地址,这里可以统一给他们的地址为.1 / .2(每个IP网段共有254个地址是可以分配给PC机的,分别是第1~254,IP地址中的第一个地址.0是网络地址(保留地址),IP网段的最后一个地址.255是广播地址(保留地址)

由图可知,上述4台PC机以及2台服务器分别处在三个不同的网段中,因此题目中拓扑的PC机及服务器的IP规划我将这样规划:

PC0:192.168.1.1(IP地址),255.255.255.0(子网掩码)

PC1:192.168.1.2(IP地址),255.255.255.0(子网掩码)

PC2:192.168.2.1(IP地址),255.255.255.0(子网掩码)

PC3:192.168.2.2(IP地址),255.255.255.0(子网掩码)

Server1:192.168.3.1(IP地址),255.255.255.0(子网掩码)

Server2:192.168.3.2(IP地址),255.255.255.0(子网掩码)

第二步:规划路由器对应接口的IP地址
通常情况下,连接交换机及PC机处的fa0/0接口要配的是254(表示允许这个网段的的所有PC机通过);但是这里题目要求路由器Router0要配置单臂路由,所以其fa0/0接口下我将不做任何配置,只需要打开fa0/0接口即可,ip地址的配置将在下面提到;Router1则照常完成其物理端口的配置(Router0的se0/0接口也正常配置)。
(1)路由器Router0上的配置

Router(config)#interface FastEthernet0/0
Router(config-if)#no shutdown(开启接口)
Router(config)#interface Serial0/0
Router(config-if)#ip address 10.1.1.1 255.255.255.0
Router(config-if)#no shutdown

(2)路由器Router1上的配置

Router>enable
Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#interface FastEthernet0/0
Router(config-if)#ip address 192.168.3.254 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit

Router(config)#interface Serial0/0
Router(config-if)#ip address 10.1.1.2 255.255.255.0
Router(config-if)#no shutdown

四、LAN1的PC划分到两个VLAN:VLAN 10、VLAN 20,配置单臂路由使得VLAN之间互通

(1)在交换机Switch0上创建两个VLAN ,按图示将PC划分到VLAN10、VLAN20中:

Switch>en
Switch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#vlan 10(创建一个vlan编号为10的虚拟局域网)
Switch(config-vlan)#name vlan10(为VLAN10命名,可以用来标识VLAN的用途或名称;这一步也可以不配置)
Switch(config-vlan)#vlan 20
Switch(config-vlan)#name vlan20
Switch(config-vlan)#int fa0/1
Switch(config-if)#switchport mode access(设置接口fa0/1为访问模式,即用于连接终端设备)
Switch(config-if)#switchport access vlan 10(将接口fa0/1划分到VLAN10中,表示该接口连接的设备属于VLAN10)
Switch(config-if)#int fa0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#int fa0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
Switch(config-if)#int fa0/4
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20

(2)将交换机Switch0与路由器Router0互联链路配置成TRUNK链路,并允许相应VLAN通过

Switch(config)#int fa0/24
Switch(config-if)#switchport mode trunk(将该接口配置为trunk模式,表示该接口将用于传输多个VLAN的数据)
Switch(config-if)#switchport trunk allowed vlan all(允许该trunk链路通过所有VLAN的数据传输,不对VLAN进行限制)

五、路由器上配置相应路由,使得全网互通

1. 在路由器Router0上的配置

(1)在Router0上配置单臂路由,使得全网PC互通

Router(config-if)#int fa0/0.1(进入FastEthernet 0/0接口的子接口1配置模式,这里的子接口号可以使其他的,只要配置的时候能区分好VLAN区域就行)
Router(config-subif)#encapsulation dot1Q 10(配置子接口1的VLAN封装类型为802.1Q,并指定VLAN ID为10)
Router(config-subif)#ip add 192.168.1.254 255.255.255.0(为子接口1配置IP地址为192.168.1.254,子网掩码为255.255.255.0)

Router(config-subif)#int fa0/0.2
Router(config-subif)#encapsulation dot1Q 20
Router(config-subif)#ip add 192.168.2.254 255.255.255.0
Router(config-subif)#exit

(2)在Router0上完成环回接口、ospf协议及静态路由的配置

Router(config)#int loopback 0
Router(config-if)#ip add 1.1.1.1 255.255.255.0

Router(config-if)#router ospf 1
Router(config-router)#network 192.168.1.0 255.255.255.0 area 0
Router(config-router)#network 192.168.2.0 255.255.255.0 area 0
Router(config-router)#exit

Router(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2(静态路由,8个0 + 下一跳地址)

2. 在路由器Router1上的配置

(1)在Router1上完成环回接口、ospf协议及静态路由的配置

Router>enable
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#int loopback 0
Router(config-if)#ip add 2.2.2.2 255.255.255.0

Router(config-if)#router ospf 1
Router(config-router)#network 192.168.3.0 255.255.255.0 area 0

Router(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1(静态路由,8个0 + 下一跳地址)

3.全网互通,完成题目要求二

六、在Router0路由器上配置标准ACL,要求按下面要求配置即可:

(1)了解ACL的详细配置指南及原理

1. ACL配置流程:

2. 通配符掩码规则:

3. ACL出接口的配置选择:

(2)完成题目要求的扩展ACL配置

1. VLAN 10中的PC只能以web方式访问LAN2的服务器S0,只能以FTP的方式访问服务器S1,其他方式都不允许访问;

Router>en
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.1 eq 80
(允许源IP地址为192.168.1.0/24网段中的任意主机访问目标IP地址为192.168.3.1的主机的TCP端口80,也可以将80替换成web,其中eq是等于的意思)

Router(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.2 eq 21
(允许源IP地址为192.168.1.0/24网段中的任意主机访问目标IP地址为192.168.3.2的主机的TCP端口21,也可以将21替换成ftp)

Router(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 any
(拒绝源IP地址为192.168.1.0/24网段中的任意主机访问任意目标IP地址的所有协议的数据包)

2. VLAN20中第一台PC只能访问服务器S0,其他PC除了不能PING,其它方式都可以访问LAN2的服务器

Router(config)#access-list 101 permit ip 192.168.2.1 0.0.0.0 host 192.168.3.1
(允许源IP地址为192.168.2.1的主机访问目标IP地址为192.168.3.1的主机的所有协议的数据包)

Router(config)#access-list 101 deny icmp 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255 echo
(拒绝源IP地址为192.168.2.0/24网段中的任意主机向目标IP地址为192.168.4.0/24网段中的任意主机发送ICMP Echo请求(ping,因为ping属于icmp协议)

Router(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
(允许源IP地址为192.168.2.0/24网段中的任意主机访问目标IP地址为192.168.3.0/24网段中的任意主机的所有协议的数据包)

3. 启用ACL 101上的协议

Router(config)#int s0/0
Router(config-if)#ip access-group 101 out(这条命令将ACL 101应用于Serial 0/0接口的出方向;

out关键字表示ACL应用于出方向,即从该接口发送出去的数据流会受到ACL的影响。)

七、此时已完成题目所有要求,可以分别在LAN1与LAN2区域各添加一台PC机测试更直观的效果,记得为PC机做对应配置,此处不做展示(测试可以用捉包的方式测试,也可以在路由器内sh ip route查看配置情况,使用sh running-config可以查看配置的命令)

立志不做小白的小白
关注
专栏目录
思科-Six,思科拓展acl扩展acl配置命令
qing1912的博客
10-05 4996
ACL拓展扩展ACL(100--199)建立扩展ACL的操作步骤:1)建表2).用表 扩展ACL(100–199) 总结扩展ACL访问列表语法: Router(config)#access-list 100 permit (IP) 大协议 源地址 源反掩码 目标地址 目标反掩码 access-list 100 permit IP 192.168.1.0 0.0.0.255 host 192.168.4.2 扩展列表他控制OSI七层模型的第三
配置扩展ACL
秦庚辰的博客
05-01 4698
配置扩展ACL 问题 在网络很有可能要允许或拒绝的并不是某一个源IP地址,而是根据目标地址或是协议来匹配。但是标准访问控制列表只能根据源IP地址来决定是否允许一个数据包通过。 1)配置扩展ACL实现拒绝PC2(IP地址为192.168.0.20)访问Web Server的web服务,但可访问其他服务。 方案 为了实现更灵活、列精确的网络控制就需要用到扩展访问控制列表了。 扩展IP访问控制列表比标...
思科ACL访问控制列表配置命令教程
2301_76845656的博客
05-25 4496
访问控制列表ACL概念访问控制列表简称为ACL,访问控制列表使用包过滤技术,在上读取第三层及第四层包头的信息如源地址,目的地址,源端口,目的端口等,根据预先定 义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的 支持了。入:已经到达路由器接口的数据包,但是还没有被路由器处理。出:已经 经过路由器的处理,正要离开路由器接口的数据包标准访问控制列表:一般应用在out出站接口。建议配置在离目标端最近的路由上。
ACL组网实验(思科
qq_65150735的博客
05-21 1521
几个小的ACL组网测试实验
思科扩展ACL具体怎么配置
XMWS-IT
02-21 5629
1.理解扩展ACL的应用 2.掌握扩展ACL配置 1.根据实验拓扑图,完成设备的基本配置; 2.配置EIGRP,使得全网路由可达; 3.在R3上部署ACL,只允许192.168.1.0/24网段的用户PingPC3; 4.在R3上部署ACL,只允许192.168.2.0/24网段的用户TelnetPC3。 步骤1:设备的基本配置 配置PC1: Router>enable Router#configure terminal Router...
CISCO ACL配置详解
weixin_34087503的博客
05-21 168
访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。&nb sp; 访问控制列表的原理 对路由器接口...
思科高级配置(配置扩展命名ACL)
李立衡
05-16 3588
问题 使用基本编号的ACL没有实际意义,只有通过阅读具体的条目才能得知该ACL的作用。而且ACL的编号有限制,如传统的标准ACL用199表示,扩展ACL用100199表示。 1)配置扩展命名ACL实现拒绝PC2(IP地址为192.168.0.20)访问Web Server Web服务,但可访问其他服务。 方案 命名访问控制列表可以为ACL起一个有意义的名字,通过名称就可以得知该ACL要实现什么...
思科CISCO ACL配置详解
最新发布
2301_81615088的博客
06-18 999
简称为ACL,访问控制列表使用包过滤技术,在上读取第三层及第四层包头的信息如源地址,目的地址,源端口,目的端口等,根据预先定 义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的 支持了。入:已经到达路由器接口的数据包,但是还没有被路由器处理。出:已经 经过路由器的处理,正要离开路由器接口的数据包(1)、最小特权原则只给受控对象完成任务所必须的最小的权限。
思科网络技术学院(CCNA)-配置并检验扩展 ACL
01-01
**配置并检验扩展ACL**是网络管理的一个重要环节,它涉及到网络访问控制的细化管理,以确保网络安全和数据传输的可控性。扩展ACL(Access Control List)与标准ACL相比,提供了更复杂的过滤规则,允许基于协议类型...
网络安全---Packet Tracer - 配置扩展 ACL
zdsxc_的博客
04-05 1217
通过此次实验,我们利用已经建立好的拓扑模型,通过相关操作建立了一个简单的防火墙,达到了防火墙的初步功能。
cisco最完美的ACL配置详解及配置全过程
10-26
cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程cisco最完美的ACL配置详解及配置全过程
Cisco 路由器ACL配置详解
12-02
给大家分享下: Cisco 路由器ACL配置详解,很详细,对大家应该有帮助
思科标准与扩展ACL配置实验
立白君的博客
05-05 1万+
一.ACL概述 1.简介 ACL(访问控制列表)ACL (Access Control List,访问控制列表)是一系列运用到路由器接口的策略列表。这些策略告诉路由器接收哪些数据包、拒绝哪些数据包,接收或者拒绝根据一定的规则进行,如源地址、目标地址、端口号等。ACL使得用户能够管理数据流,检测特定的数据包。对数据包进行丢弃跟允许等操作。 2.ACL执行的基本原则 1.按顺序执行,由上至下,只要有一条满足,则不会继续查找。 2.隐含拒绝,如果都不匹配,那么一定匹配最后的隐含拒绝条目 3.ACL的类型 1.标准
深入探索思科ACL技术
2301_81920872的博客
04-17 1536
ACL(Access Control List)是一种基于包过滤的网络安全技术,用于控制网络流量的访问权限。它可以根据一定的规则,对经过网络设备的数据包进行过滤,从而实现访问控制的目的。ACL的重要性在于它可以有效地保护网络资源,防止非法访问和攻击,提高网络的安全性和稳定性。
扩展ACL配置
傻傻的心动的博客
05-01 1733
扩展ACL配置 【实验目的】 掌握扩展ACL配置。 认识扩展ACL的作用。 验证配置
cisco实现ACL配置
热门推荐
yunfeng
06-17 1万+
1. 什么是ACL 大家先看下面这张图: 当给路由器R1和路由器R2均配好路由选择协议之后 PC1可以ping通PC3 PC2也可以ping通PC3 那如果我现在不想让PC2去ping通PC3咋办,那就是去实现ACL(可以在路由器R2上去实现,也可以在路由器R1上,我下边在R2上实现) 2. 给各个路由器配置端口IP和路由协议 配置路由器R1: int f0/0 ip add 192.168.1.1 255.255.255.0 no shut int e1/0 ip add 192
Cisco标准和扩展acl的详细配置
刀刀宅
11-28 1412
传送门
cisco路由器配置ACL详解
xwchen的专栏
08-19 3780
 什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。访问控制列表使用原则由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

立志不做小白的小白

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值