在思科模拟器Cisco Packet Tracer实现自反ACL

已于 2022-05-20 17:07:48 修改
阅读量2.1k 收藏 31
点赞数 8
分类专栏: 网络 文章标签: 网络协议 网络 网络安全
于 2022-05-20 17:06:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_56942354/article/details/124883730
版权

目录

一、前言

二、实验

实验1:使用ACL控制链路连通性

 实验2:在思科模拟器Cisco Packet Tracer实现自反ACL

步骤一:给路由器2911开启securityk9模式

步骤二:配置ACL

步骤三:验证连通性

 三、总结

一、前言

        最近在通过Cisco Packet Tracer模拟器学习ACL时,遇到的一点小问题,ACL分为标准的ACL访问控制列表和扩展的访问控制列表,但是当给某一路由器配置了一条访问控制列表,虽然是实现禁止该条例控制列表,但是无法从对端PING回来。具体现象如下:

二、实验

实验1:使用ACL控制链路连通性

实验拓扑图

如图所示:2911路由器连接两台终端设备,分别处于不同网段,此时链路是Ping通的

测试连通性

当然,PC0是可以的Ping通PC1的,反过来当然也可以啦!

配置ACL

给路由器0 2911配置ACL(这里只是简单的使用了标准的ACL)

tsy(config)#access-list 11 deny 192.168.10.0 0.0.0.255  //禁止192.168.10.0网段的路由通过
tsy(config)#access-list 11 permit any          //注意:这一行是最重要的,在cisco里面只要是创建了访问控制列表(上一条),其余的网段也默认禁止,只有写入这一行才能接触默认的禁止
tsy(config)#int g0/1
tsy(config-if)#ip access-group 11 out          //引用到接口G0/1
tsy(config-if)#exit
tsy(config)#exit

查看访问控制列表

tsy#show ip ac
tsy#show ip access-lists 
Standard IP access list 11
    10 deny 192.168.10.0 0.0.0.255
    20 permit any

tsy#

再次测试连通性

PC0去PingPC1,目的端口不可达

PC1去PingPC0也无法Ping通,提示超时

为什么PC1去PingPC0不通,不只是限制了PC0去往PC1的路由吗?!!!

因为Ping的执行过程,是两个终端之间相互询问与确认的过程:

这是本人的理解

 实验2:在思科模拟器Cisco Packet Tracer实现自反ACL

        那我们该如何实现单向的Ping通,对端无法Ping通自己呢?通过在度娘的知识宝库找了一番,参考了百度经验:https://jingyan.baidu.com/article/948f5924a79294d80ef5f95c.html

步骤一:给路由器2911开启securityk9模式

tsy#conf terminal                       //进入配置模式
tsy(config)#license boot module c2900 technology-package securityk9  //开启securityk9模式
                              
 //此处省略                                                                      
                                                                       
ACCEPT? [yes/no]: Y //确认
tsy#write 
Building configuration...
[OK]
tsy#reload          //重新启动
//此处省略
tsy>en
tsy#show lic
tsy#show license fe
tsy#show license feature       //重启后查看许可文件情况,securityk9已开启
Feature name      Enforcement  Evaluation  Subscription   Enabled  RightToUse
ipbasek9          no           no          no             yes      no
securityk9        yes          yes         no             yes      yes
datak9            yes          no          no             no       yes
uck9              yes          yes         no             no       yes

tsy#conf terminal 
Enter configuration commands, one per line.  End with CNTL/Z.
tsy(config)#

步骤二:配置ACL

tsy#conf terminal              //进入配置模式
tsy(config)#ip access-list extended TSY  //添加扩展访问控制列表TSY
tsy(config-ext-nacl)#deny ip any any     //禁止所有网段通过
tsy(config-ext-nacl)#exit
tsy(config)#int G0/1                     //在接口G0/1中应用
tsy(config-if)#ip access-group TSY in    //访问控制列表TSY被应用于接口G0/1的进入通道
tsy(config-if)#exit
tsy(config)#ip inspect name Tong http audit-trail on  //这一句我理解的是允许http往返报文的执行,标志为Tong的
tsy(config)#ip inspect name Tong icmp audit-trail on  //允许icmp往返报文的执行,标志为Tong的
tsy(config)#int G0/1                     //在接口G0/1中应用
tsy(config-if)#ip inspect Tong out       //访问控制列表TONG被应用于接口G0/1的输出通道
tsy(config-if)#exit
tsy(config)#exit

这里不知道理解的对不对,望大佬指正!

查看访问控制列表

tsy#show ip access-lists 
Extended IP access list TSY
    10 deny ip any any (4 match(es))

步骤三:验证连通性

PC0去PingPC1可以连通

但是PC1去PingPC0无法连通,提示目的端口不可达

 三、总结

这里的自反ACL,只是在思科模拟器中的是这么使用的,但是正确的自反ACL并不是这样的!!!

不惑梦蝶
关注
  • 8
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
CiscoACL真机配置实例
qq_24328629的博客
05-20 1195
CiscoACL真机配置实例 某个机会下接触到Cisco的自ACL ,自ACL主要实现单项访问类似于防火墙基于会话的方式控制访问,自ACL在有匹配到对应数据流时,设备自动生成一条自ACL实现返回的数据不至于没有放行ACL而丢弃。 具体实验通过平去测试,实现A侧可以ping通B侧而另B侧不能ping通A侧。 实验拓扑: 配置: 配置命令: Router(config)#interface G0/0/0 Router(config-if)#ip add Router(c
【路由与交换】基于思科模拟器的路由与交换实训报告(单臂路由、三层交换机实现vlan通信、ospf、rip、dhcp、acl、nat技术总结)
weixin_51338719的博客
05-05 8188
本博客是路由与交换实训报告,基于思科模拟器分别做了单臂路由、三层交换机实现vlan间通信、ospf、rip、dhcp、nat的实验,最后的nat综合实验是本次实训的大拓扑,综合了上述的几个技术。大家可以当作一些思科小实验的总结,供网络工程、计算机网络等专业同学学习参考栏
cisco 路由器监控路由连通性_Cisco-路由器配置DHCP小实验
weixin_35490309的博客
12-24 563
​本文介绍在思科路由器上配置DHCP服务端的小实验,旨在让大家掌握其配置命令和配置思路。实际上,DHCP作为一种非常常用的网络服务,对于小型网络、家用网络都是部署在网关设备上。1拓扑:配置DHCP服务端思路如下:服务端必须有固定的IP地址必须设置地址池(与服务端的ip在同一网段)设置DHCP的可选项默认网关、DNS服务器等等实验步骤:【路由器初始化并配置固定IP】【配置DHCP地址池】【说明】配置...
思科模拟器acl 网络访问控制列表 基础设置(1-99)
鲍海超
03-14 765
思科模拟器acl 网络访问控制列表 基础设置(1-99)
使用Cisco Packet Tracer之交换机端口安全之MAC地址洪泛***
weixin_34265814的博客
10-06 673
我们都知道,组建我们的网络,交换机是必不可少的一个设备,我们都会用它来做一些相应的配置,如划分VLAN、VTP、以及生成树这些,,但是当我们配置了这些以后呢?我们如何来保证我们局域网内的端口安全呢?这是一个必要的操作。那么下面我们就使用Cisco Packet Tracer 5.2来做做这方面的实验,但是还是有一些不足,哎……,这也没有办法,毕竟是模拟器不是真实的交换机。 ...
Cisco(PacketTracer) - Smurf攻击实验
10-29 2707
▷ 网络拓扑 ▷ 攻击测试(Smurf 蓝精灵)
Cisco Packet Tracer 典型校园网设计
04-06
这是一个基于中小型校园网的网络搭建设计,使用Packet Tracer模拟器实现网络配置,并应用多种关键技术。其中,使用了VLAN技术实现了学校部门间的网段隔离;使用链路聚合提高了核心层的网络带宽与稳定性;使用RSTP...
5.5.1 Packet Tracer - IPv4 ACL Implementation Challenge
05-27
Cisco Packet Tracer 思科模拟器 5.5.1 Packet Tracer - IPv4 ACL Implementation Challenge 正确答案文件 可直接上交正确答案文件 本答案版权归mewhaku所有,严禁再次转载!!! Copyright @mewhaku 2022 All ...
cisco_Packet_Tracer_使用教程手册
03-24
Packet Tracer 中,我们可以配置和管理 Cisco 交换机,了解交换机的基本概念和配置方法。包括配置 VLAN、设置交换机的 IP 地址、配置交换机的默认网关等。 2. 配置 VLAN VLAN 是一种虚拟局域网技术,用于将一个...
ccna实验之acl,用的是繁荣的模拟器
01-08
Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ho r12 r12(config)#ho r1 r1(config)#no ip do r1(config)#no ip domain-lo r1(config)#no ip domain-lookup r1(config)#line con 0 r1(config-line)#logg sy r1(config-line)#exec-t 00 r1(config-line)#exi r1(config)# r1(config)# r1(config)# r1(config)# r1(config)# r1(config)# r1(config)# r1(config)# r1(config)# r1(config)# r1(config)# r1(config)# r1(config)# r1(config)# r1(config)# r1(config)#int s1/2 r1(config-if)#ip add 12.1.1.1 255.255.255.0 r1(config-if)#no sh r1(config)#router ei 10 r1(config-router)#no au r1(config-router)#no auto-summary r1(config-router)#net 12.1.1.0 0.0.0.255 r1(config-router)# r1(config-router)# r1(config-router)# r1(config-router)# *Mar 1 00:06:38.539: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 10: Neighbor 12.1.1.2 (Serial1/2) is up: new adjacency r1(config-router)# r1(config-router)# r1(config-router)# r1(config-router)# r1(config-router)# r1(config-router)# r1(config-router)# r1(config-router)#end r1#telnet 23.1.1.2 *Mar 1 00:07:27.839: %SYS-5-CONFIG_I: Configured from console by console r1#telnet 23.1.1.2 Trying 23.1.1.2 ... Open User Access Verification Username: xiaoan Password: r3>en % No password set r3> r3> r3> r3>en Password: r3# r3# r3# r3# r3#exi [Connection to 23.1.1.2 closed by foreign host] r1# r1# r1# r1# r1# r1# r1# r1# r1# r1# r1# r1#telnet 23.1.1.2 Trying 23.1.1.2 ... Open User Access Verification Username: xiaoan Password: r3>exi [Connection to 23.1.1.2 closed by foreign host] r1# r1# r1# r1# r1# r1# r1# r1#telnet 23.1.1.2 Trying 23.1.1.2 ... % Destination unreachable; gateway or host down r1#telnet 23.1.1.2 Trying 23.1.1.2 ... % Destination unreachable; gateway or host down r1#ping 23.1.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 23.1.1.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 32/106/184 ms
思科模拟器网络配置(vlan trunk rip ospf ACL
06-15
vlan trunk rip ospf 静态路由和ACL及扩展ACL的pkt文件和配置的详解命令
Cisco-Packet-Tracer-使用教程手册.docx
03-24
Cisco Packet Tracer 5.0 是一款非常不错的 Cisco 网络设备模拟器,对于想考思科初级认证(如 CCNA)的朋友们来说,Packet Tracer 5.0 是非常不错的选择。利用 Packet Tracer 5.0 练习思科 IOS 操作命令很不错的。 ...
网络设备模拟器Packet~Tracer教程.doc
10-07
Packet Tracer是一款由Cisco Systems开发的强大网络设备模拟器,它为学习和理解网络技术提供了直观、实践的平台。本教程将带你逐步探索Packet Tracer的各项功能,从基础操作到高级配置,涵盖网络通信的多个重要方面...
Packet Tracer - 配置区域策略防火墙
傻傻的心动的博客
05-29 1910
Packet Tracer - 配置区域策略防火墙
Cisco Packet Tracer企业网络安全策略的综合设计与实现
weixin_43834422的博客
09-08 4421
Cisco Packet Tracer企业网络安全策略的综合设计与实现 本节内容包含典型的企业网络结构,主要的网络安全技术手段等。课程设计的目标是 要掌握和使用内网隐藏,边界包过滤,区域策略防火墙,虚拟专用网的搭建,内网不同部 门之间的安全隔离等主要网络安全技术,并学习这些安全技术的综合运用。 ...
Packet Tracer - 配置 IP ACL 来缓解攻击
傻傻的心动的博客
05-06 4218
Packet Tracer - 配置 IP ACL 来缓解攻击
使用Cisco Packet Tracer 搭建网络
热门推荐
Cisco Packet Tracer 思科模拟器知识分享
09-06 1万+
本实训重点学习网络设备的添加与连线,如果在Cisco Packet Tracer中进行一组网络实验,首先要搭建好用于实验的网络拓扑结构,这就要求用户掌握如何在Cisco Packet Tracer 中添加网络设备,以及相邻的网络设备进行互联。
思科路由器:标准ALC实验
迷逝
10-28 1433
标准ALC实验 实验要求 要求10网段禁止访问整个50网段,访问其他不受影响; 要求40.1.1.1 PC禁止访问50网段,其他不受影响; 要求10.1.1.1禁止访问40网段,其他不受影响 实验步骤 根据上图在Cisco Packet Tracer画拓扑图;(省略) 按照上图中的提示配置全网互通;(省略) 分析实验要求 配置ALC 分析实验要求 拓扑图分析 执行命令 按照上图中的分析,我们发现要求1和2在同一个设备和接口 1、要求10网段禁止访问整个50网段,访问其他不受影响; access-
cisco packet tracer nat pppoe
最新发布
08-04
Cisco Packet Tracer是一款网络模拟器,能够帮助网络工程师模拟和测试网络设备及连接。NAT(网络地址转换)和PPPoE(点对点协议 over Ethernet)是Cisco Packet Tracer中常用的功能。 NAT是一种在IP网络中实现地址转换的技术。它允许将私有IP地址转换成公有IP地址,以便私有网络中的设备可以与公共互联网进行通信。在Cisco Packet Tracer中,可以通过配置NAT实现这种地址转换。首先需要配置路由器接口的地址,然后通过访问控制列表(ACL)定义内部和外部接口。接下来,使用“ip nat inside”和“ip nat outside”命令将内部和外部接口与NAT绑定。这样,内部网络的设备就可以使用外部IP地址进行通信。 PPPoE是一种将点对点协议封装在以太网中传输的技术。它通常用于ADSL或宽带接入服务提供商(ISP)的宽带连接中。在Cisco Packet Tracer中,可以通过配置PPP over Ethernet来模拟这种连接。首先,需要配置路由器的接口,并且将其设置为以太网接口类型。然后,设置用户名、密码和虚拟模板,并将其应用到以太网接口上。这样,设备就可以通过PPPoE连接到广域网。 总之,在Cisco Packet Tracer中,可以通过配置NAT和PPPoE来模拟和测试网络设备和连接。这些功能对于网络工程师进行网络规划和故障排除非常有用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不惑梦蝶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值