访问控制列表(ACL)

最新推荐文章于 2021-10-21 11:13:06 发布
最新推荐文章于 2021-10-21 11:13:06 发布
阅读量958 收藏
点赞数
分类专栏: cisco交换路由 文章标签: 任务 tcp access mobile list 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiawei836/article/details/4600719
版权

ACL

实验拓扑及网络规划:如上图。

实验任务和目标:

任务1.在ROUTER1上应用标准访问控制列表仅限制PC1对VS1的访问。

任务2.在ROUTER2上应用标准访问控制列表限制网络192.168.3.0/24访问VS2。

任务3.在ROUTER2上应用扩展访问控制列表拒绝VS1向VS2发起远程桌面,但是允许别的流量。

任务4.使用命名访问控制列表重复以上实验。

任务5.使用命名访问控制列表完成任务3后再修改列表,使ROUTER2拒绝VS1向VS2发起TELNET,仍

然允许别的流量。

实验操作过程及配置说明:

clip_image002

clip_image002[9]

第一步:配置IP地址

r1(config)#int f0/0

r1(config-if)#no sw

r1(config-if)#ip add 192.168.4.1 255.255.255.0

r1(config-if)#no shut

r1(config-if)#int f0/1

r1(config-if)#no sw

r1(config-if)#ip add 192.168.1.1 255.255.255.0

r1(config-if)#no shut

r1(config-if)#end

 

r2(config)#int f0/0

r2(config-if)#no sw

r2(config-if)#ip add 192.168.4.2 255.255.255.0

r2(config-if)#no shut

r2(config-if)#int f0/1

r2(config-if)#no sw

r2(config-if)#ip add 192.168.2.1 255.255.255.0

r2(config-if)#no shut

r2(config-if)#end

 

r3(config)#int f0/0

r3(config-if)#no sw

r3(config-if)#ip add 192.168.4.3 255.255.255.0

r3(config-if)#no shut

r3(config-if)#int f0/1

r3(config-if)#no sw

r3(config-if)#ip add 192.168.3.1 255.255.255.0

r3(config-if)#no shut

r3(config-if)#end

 

第二步:启动RIP协议,让每个网段互通。

r1(config)#router rip

r1(config-router)#ver 2

r1(config-router)#no au

r1(config-router)#network 192.168.4.0

r1(config-router)#network 192.168.1.0

r1(config-router)#end

 

r2(config)#router rip

r2(config-router)#ver 2

r2(config-router)#no au

r2(config-router)#network 192.168.4.0

r2(config-router)#network 192.168.2.0

r2(config-router)#end

 

r3(config)#router rip

r3(config-router)#ver 2

r3(config-router)#no au

r3(config-router)#network 192.168.4.0

r3(config-router)#network 192.168.3.0

r3(config-router)#end

 

r1#show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

C 192.168.4.0/24 is directly connected, FastEthernet0/0

C 192.168.1.0/24 is directly connected, FastEthernet0/1

R 192.168.2.0/24 [120/1] via 192.168.4.2, 00:00:21, FastEthernet0/0

R 192.168.3.0/24 [120/1] via 192.168.4.3, 00:00:12, FastEthernet0/0

 

r2#show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

C 192.168.4.0/24 is directly connected, FastEthernet0/0

R 192.168.1.0/24 [120/1] via 192.168.4.1, 00:00:24, FastEthernet0/0

C 192.168.2.0/24 is directly connected, FastEthernet0/1

R 192.168.3.0/24 [120/1] via 192.168.4.3, 00:00:01, FastEthernet0/0

 

r3#show ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

C 192.168.4.0/24 is directly connected, FastEthernet0/0

R 192.168.1.0/24 [120/1] via 192.168.4.1, 00:00:19, FastEthernet0/0

R 192.168.2.0/24 [120/1] via 192.168.4.2, 00:00:07, FastEthernet0/0

C 192.168.3.0/24 is directly connected, FastEthernet0/1

 

任务1.在ROUTER1上应用标准访问控制列表仅限制PC1对VS1的访问。

r1(config)#access-list 1 deny host 192.168.3.2

r1(config)#access-list 1 permit any

r1(config)#int f0/0

r1(config-if)#ip access-group 1 in

r1(config-if)#end

clip_image002[12]

r3#ping 192.168.1.2 source 192.168.3.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:

Packet sent with a source address of 192.168.3.1

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 16/50/96 ms

只有主机IP 地址为192.168.3.2 的主机不能访问,其它地址都有可以访问。

 

任务2.在ROUTER2上应用标准访问控制列表限制网络192.168.3.0/24访问VS2。

r2(config)#access-list 1 deny 192.168.3.0 0.0.0.255

r2(config)#access-list 1 permit any

r2(config)#int f0/0

r2(config-if)#ip access-group 1 in

r2(config-if)#end

 

r3#ping 192.168.2.2 source 192.168.3.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds:

Packet sent with a source address of 192.168.3.1

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 12/44/64 ms

r3#ping 192.168.2.2 source 192.168.3.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.2, timeout is 2 seconds:

Packet sent with a source address of 192.168.3.1

U.U.U

Success rate is 0 percent (0/5)

clip_image002[14]

 

任务3.在ROUTER2上应用扩展访问控制列表拒绝VS1向VS2发起远程桌面,但是允许别的流量。

r2(config)#no access-list 1

r2(config)#end

r2(config)#access-list 101 deny tcp host 192.168.1.2 host 192.168.2.2 eq 3389

r2(config)#access-list 101 permit ip any any

r2(config)#int f0/0

r2(config-if)#ip access-group 101 in

r2(config-if)#end

clip_image002[16]

 

任务4.使用命名访问控制列表重复以上实验

r2(config)#ip access-list extended 101

r2(config-ext-nacl)#15 deny icmp host 192.168.1.2 host 192.168.2.2

r2(config-ext-nacl)#end

r2#show access-lists

Extended IP access list 101

10 deny tcp host 192.168.1.2 host 192.168.2.2 eq 3389 (9 matches)

15 deny icmp host 192.168.1.2 host 192.168.2.2

20 permit ip any any (544 matches

clip_image002[18]

 

任务5.使用命名访问控制列表完成任务3后再修改列表,使ROUTER2拒绝VS1向VS2发起TELNET,仍

然允许别的流量。

r2(config)#ip access-list extended 101

r2(config-ext-nacl)#16 deny tcp host 192.168.1.2 host 192.168.2.2 eq 23

r2(config-ext-nacl)#end

r2#show access-lists 101

Extended IP access list 101

10 deny tcp host 192.168.1.2 host 192.168.2.2 eq 3389 (9 matches)

15 deny icmp host 192.168.1.2 host 192.168.2.2 (36 matches)

16 deny tcp host 192.168.1.2 host 192.168.2.2 eq telnet (9 matches)

20 permit ip any any (1580 matches)

clip_image002[20]

r2(config)#ip access-list extended 101

r2(config-ext-nacl)#no 15 deny icmp host 192.168.1.2 host 192.168.2.2

r2(config-ext-nacl)#end

r2#show access-lists

Extended IP access list 101

10 deny tcp host 192.168.1.2 host 192.168.2.2 eq 3389 (9 matches)

16 deny tcp host 192.168.1.2 host 192.168.2.2 eq telnet (23 matches)

20 permit ip any any (1768 matches)

clip_image002[22]

jiawei836
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
访问控制列表
静-静的雪
08-23 755
访问控制列表  IP标准访问列表的配置 1.定义标准ACL 编号的标准访问列表 Router(config)#access-list {permit|deny} 源地址 [反掩码] 命名的标准访问列表 ip access-list standard { name} deny {source source-wildcard|host source|any} or
文件系统访问控制列表
cmdyyl的博客
04-13 362
案例引入: 系统中有两个用户Tom,Jerry,Tom在公共目录中希望让Jerry访问(读写),你作为管理员应该如何实现? 讲解引入: Tom用户创建的文件的属主和属组(基本组)都是Tom,这就意味着Jerry不属于Tom的基本组,就不能应用于组权限, 此时Jerry访问时会应用其他other权限,如果要让Jerry能够实现读写,那必须给other权限,这样就很不安全了! 我们还可以把...
ACL访问控制列表
03-18 136
原文:https://www.cnblogs.com/ZhangShuo/articles/1836971.html 一、 为什么要用ACLAccess Control List) 先看这么一个文件: [leonard@localhost ~]$ ls -l-rw-rw---- 1 leonard admin 0 Jul 3 20:12 test.txt 如果想让john这个...
访问控制列表(ACL)
Yusheng9527的博客
10-21 1305
@TOC 作用 读取第三层和第四层包头信息 根据预先定义好的规则对包进行过滤 用来对数据包做访问控制 结合其他协议,用来匹配范围 通信4元素:源地址、目的地址、源端口、目的端口 + 协议=五元素 访问控制列表在接口应用的方向 出:已经经过路由器的处理,正在离开路由器的数据包 入:已经达到路由器接口的数据包,将被路由器处理 列表应用到接口的方向与数据关系有关 访问控制列表的处理过程 匹配第一条 发送到目的端口 匹配第二条 匹配第三条 丢弃 拒绝 如果两条都不匹配
访问控制列表ACL及配置教程
10-01
访问控制列表Access Control List,简称ACL)是网络设备,特别是路由器和交换机上的一种功能,用于实现基于特定条件的网络流量控制。ACL通过检查数据包的特定属性,如源IP地址、目标IP地址、端口号等,决定数据包...
mysql访问控制列表acl_访问控制列表ACL使用说明
weixin_33602725的博客
02-08 1214
一、什么是ACLACL(Access Control List)可灵活地,更细粒度地定义访问文件或目录的权限。二、为什么使用ACLLinux上文件系统的文件系统权限管理的对象分为三类:owner,group,other。这种分类非常简单,如果我希望有一个用户拥有不同于这三类对象的权限,或者再定义一个用户组的权限,传统的权限管理就不能实现,而ACL可以很好的解决这个问题。三、ACL条目一系列ACL条...
三层交换机访问控制列表ACL的配置.ppt
02-22
三层交换机访问控制列表ACL的配置 三层交换机访问控制列表ACL是交换机实现的一种数据包过滤机制,通过允许或拒绝特定的数据包进出网络,可以对网络访问进行控制,有效保证网络的安全运行。ACL是一个有序的语句集,...
计算机网络实验报告(7)访问控制列表ACL配置实验.doc
07-07
"计算机网络实验报告(7)访问控制列表ACL配置实验" 计算机网络实验报告(7)访问控制列表ACL配置实验是计算机网络实验报告中的一个重要实验项目,旨在让学生了解访问控制列表ACL的配置和应用。下面是实验报告的详细...
访问控制列表ACL》PPT课件.ppt
12-07
在《访问控制列表ACL》PPT课件中,主要介绍了ACL的基本概念、类型、工作原理以及配置方法。 ACL的核心在于定义和应用规则来筛选数据包,这些规则基于源地址、目的地址、上层协议等属性。ACL有两种基本类型:标准...
十九、访问控制列表
陈达杰的博客
03-18 356
想了想,还是将两者一起写,便于进行对比。 访问控制列表ACL) 企业网络中的设备进行通信时,需要保障数据传输的安全可靠和网络的性能稳定。 访问控制列表ACLAccess Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击等等。 简单而言,就是控制哪些...
ACL访问控制列表实验之限制用户远程登录和ping命令
Mi Qi
07-17 7846
ACL访问控制列表实验之限制用户远程登录和ping命令 一、实验要求 PC1可以telnet R1,不能ping 通R1 PC1可以ping R2,不能 talnet R2 PC2要求与PC1相反 二、实验说明 拓扑图中PC1与PC2用了路由器代替 三、实验思路 1.配置底层IP 2.配置路由全网可达 3.根据要求,策略思路,有两种方式 前提注意:在配置ACL时,每个接口的某一方向只能有ACL访问控制列表 否则,该接口出/入方向将只调用配置的最后一张表。 (1)第一种方式,ACL列表根据要求,先将允许条件
访问控制列表详解
打不死的心态活到老
06-21 4056
 1. 什么是访问控制列表指根据事先设定好的一系列的规则,对进出路由器或者三层交换机的数据包进行检测,实现对网络访问控制管理、流量管理等。访问控制列表的种类2. 目前主要有三种访问控制列表ACL):标准ACL扩展ACL命名ACL主要动作为允许(Permit)和拒绝(deny)。主要应用方法:入栈(In)和出栈(Out)应用。2.1 标准ACL标准访问
acl访问控制列表
钻石
08-06 1651
用户相关目录和文件 #如果要彻底删除用户必须对这些文件和目录修改 /etc/passwd /etc/shadow /home/zhang3 /var/spool/mail groupadd teachers #创建teachers组 groupadd class1 #创建class1组 useradd -g teachers teacher1 ...
有关windowns远程桌面漏洞修复方法,从注册表修改端口,命令做ACL限制防火墙端口和远程IP地址
Hatch_j的博客
05-21 4752
1、打微软补丁 MS14-066 http://technet.microsoft.com/security/bulletin/MS14-066 2、修改远程默认端口3389, 一般远程桌面默认端口3389,一些平台扫描漏洞,此端口被认为了高危端口,下面为修改远程桌面端口方法 第一步,关闭Windows防火墙 控制面板关闭,不赘述 PS:为了防止修改过程中出错,...
ACL访问控制权限详解
近乎疯狂的H
01-31 3413
在普通权限中,用户对文件只有三种身份,就是属主、属组和其他人;每种用户身份拥有读(read)、写(write)和执行(execute)三种权限。但是在实际工作中,这三种身份实在是不够用,我们举个例子来看看。 图 1 ACL权限简介 图 1 的根目录中有一个 /project 目录,这是班级的项目目录。班级中的每个学员都可以访问和修改这个目录,老师也需要对这个目录拥有访问和修改权限,其他班级的学员...
OSPF路由基本配置方法
热门推荐
贾伟的专栏
08-31 1万+
实验拓扑及网络规划:(如上图)     实验任务和目标:任务1.按照实验要求连接网络拓扑任务2.完成网络基本IP配置,环回接口IP,测试直连网络连通性任务3.配置OSPF路由【需要指定ROUTER-ID】任务4.用SNIFFER抓包,分析OSPF邻居关系建立过程    实验操作过程及配置说明: 任务一、 
网络管理利器:访问控制列表ACL详解
"本章详细介绍了访问控制列表ACL)在网络流量管理中的应用,包括标准ACL、扩展ACL、命名ACL的使用,以及如何在路由接口上应用和验证这些列表来控制和管理通信流量。访问控制列表网络管理员的重要工具,用于过滤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值