基于扩展ACL的基础实验

最新推荐文章于 2024-04-05 23:18:50 发布
最新推荐文章于 2024-04-05 23:18:50 发布
阅读量68 收藏
点赞数
分类专栏: HCIA 文章标签: 网络 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65203446/article/details/131901367
版权
文章介绍了如何使用扩展访问控制列表(ACL)来限制网络流量。内容包括定义源和目标IP地址,以及端口号的规则,以拒绝特定的数据包传输。例如,拒绝特定IP的TCP端口23(telnet)和ICMP访问。在路由器上配置这些规则后,需在接口上指定方向(入站或出站)以使规则生效。此外,还展示了如何设置远程登录和验证过程。实验结果显示,ACL成功实现了预期的访问控制策略。
摘要由CSDN通过智能技术生成

一、扩展ACL的基本命令

1.关注数据包中的源、目标ip地址

[R1]acl 3000

[R1-acl-adv-3000]rule  deny ip source 192.168.1.2 0.0.0.0 destination 192.168.3.2 0.0.0.0

                                                                    源ip地址                                       目标地址

源、目ip地址均使用使用通配符标定范围,或any代表所有;切记表格调用到接口方可生效;

2.关注数据包中的源、目标ip地址,以及目标端口号

[r1]acl 3000

[r1-acl-adv-3000]rule deny tcp source 192.168.1.2 0.0.0.0 destination 192.168.2.2 0.0.0.0 destination-port eq 23

以上规则拒绝了192.168.1.2 对192.168.2.2 的tcp下目标端口23访问-- 拒绝telnet

[r1-acl-adv-3001]rule  deny icmp source 192.168.1.2 0.0.0.0 destination 192.168.2.2 0.0.0.0

拒绝192.168.1.2 对192.168.2.2的ICMP访问--拒绝ping

3.规则编写完成后,必须在接口调用后方可生效

[R2]interface g0/0/1

[R2-GigabitEthernet0/0/1]traffic-filter ?    调用时一定注意方向

  inbound   Apply ACL to the inbound direction of the interface

  outbound  Apply ACL to the outbound direction of the interface

[R2-GigabitEthernet0/0/1]traffic-filter outbound acl 2001

二、实验

1.实验步骤

首先将路由器和PC端的IP地址配好,然后配AR2的路由,满足全网可达。

根据题目要求可知,应在AR1和AR2上实现远程登录。然后在AR1 的GE0/0/1口实现题目要求。

2.部分代码

部分IP配法:

[r1-GigabitEthernet0/0/1]ip address 192.168.1.1 24

[r2]ip route-static 192.168.1.0 24 192.168.2.1

远程登录:

[r1]aaa  

[r1-aaa]local-user chenlanyan privilege level 15 password cipher 123456

Info: Add a new user.

[r1-aaa]local-user chenlanyan service-type  telnet

[r1]user-interface vty 0 4

[r1-ui-vty0-4]authentication-mode aaa

扩展ACL:

acl number 3000

rule 5 deny icmp source 192.168.1.2 0 destination 192.168.1.1 0

rule 10 deny icmp source 192.168.1.2 0 destination 192.168.2.1 0

rule 15 deny tcp source 192.168.1.2 0 destination 192.168.2.2 0 destination-port eq telnet

rule 20 deny tcp source 192.168.1.3 0 destination 192.168.1.1 0 destination-port eq telnet

rule 25 deny tcp source 192.168.1.3 0 destination 192.168.2.1 0 destination-port eq telnet

rule 30 deny icmp source 192.168.1.3 0 destination 192.168.2.2 0

[r1]int g0/0/0

[r1-GigabitEthernet0/0/0]traffic-filter inbound  acl 3000

3.验证

PC1可以登录R1,不能PING通R1

PC1可以PING通R2,不能登录R2:

PC2的验证结果就不予展示,通PC1结果相反,实验完成。

夙堇
关注
专栏目录
配置扩展IP ACL实验
Long_UP的博客
04-22 2701
实验名称 配置扩展IP ACL实验目的 使用扩展IP ACL实现高级的访问控制 需求分析 扩展IP ACL可以根据配置的规则对网络中的数据进行过滤 预备知识 路由器基本配置、扩展IP ACL原理及配置 实验原理 扩展IP ACL可以对数据包的源IP地址、目的IP地址、协议、源端口、目的端口进行检查。由于扩展IP ACL能够提供更多对数据包的检查项,所以扩展IP ACL常用于高级的、复杂访问控制...
ACL综合实验-cisco packet tracer
bboo517的博客
04-17 1238
通过这些实验,你将能够深入了解Cisco ACL的原理和应用,掌握如何配置和管理ACL规则,以及如何使用ACL来实现网络安全和通信控制。学习Cisco ACL可以帮助你了解如何管理和控制网络流量,以确保网络中的通信符合组织的策略和需求。3. 标准ACL扩展ACL:学习标准ACL扩展ACL的区别和用途。5. ACL优化和调试:学习如何优化和调试ACL规则,以提高网络的性能和可靠性。1. ACL基本概念:介绍ACL基础知识,包括ACL的作用、类型、构成等。了解ACL的基本概念对于后续的实验非常重要。
标准ACL扩展ACL
蛋壳的博客
11-27 2259
ACL概述,标准,扩展ACL实验(思科)
第六章 扩展ACL实验
沐一清
09-04 3914
实验一:做扩展ACL允许192.168.10.1访问WEB服务器,拒绝ping服务器,并在扩展ACL表中插入序号为15的策略(对IP为192.168.10.2的主机拒绝ping服务器)。 实验思路 1.配置PC1的地址为192.168.10.1,掩码为24位,网关为192.168.10.254。 2. 配置PC2的地址为192.168.10.2,掩码为24位,网关为192.168.10.25...
交换机与路由技术-31-扩展ACL
w辣条小王子
09-25 1647
所有的ACL类型只能在一个接口一个方向上配置一个组ACL(表号相同算一组)配置扩展ACL使用表号是100~199access-list 表号(100~199)deny/permit 协议 源地址/主机 目的地址/主机 (eq/gt/lt/neq/range) (端口号)eq 等于gt 大于lt 小于neq 不等于range 范围。
计网实验四 访问控制列表配置及应用
weixin_68008943的博客
11-23 793
你是学校的网络管理员,在3750-24交换机上连着学校的提供WWW和FTP的服务器,另外还连接着学生宿舍楼和教工宿舍楼,学校规定学生只能对服务器进行FTP访问,不能进行WWW访问,教工则没有此限制。 不允许VLAN30(连接R3)的主机去访问VLAN10(连接R1)的网络中的web服务,其它的不受限制。
《华为基础实验》- 实验二十九 基于时间的 ACL 配置及策略.docx
11-29
实验的主要目的是为了实现基于时间的 ACL 配置及策略,限制销售部门在上班时间(8:00 至 18:00)访问工资查询服务器(IP 地址为 192.168.10.10),财务部门不受限制,可以随时访问。 ACL(Access Control List,...
思科网络技术学院(CCNA)-配置并检验扩展 ACL
01-01
扩展ACL(Access Control List)与标准ACL相比,提供了更复杂的过滤规则,允许基于协议类型、源或目的端口号、源或目的IP地址等多种条件来控制网络流量。 **实验内容**主要分为四个部分: 1. **设置拓扑并初始化...
基础ACL综合实验
qieziboy的博客
01-29 731
一、实验拓扑 二、实验要求 1、全网可达 2、公司内网所有pc都可以访问外网, 3、pc0不能ping通R3,但是R3能够ping通pc0 4、pc1可以ping通R2,但是不能够远程登录到R2 5、PC8远程登录R0实际上登录到R3 6、pc1可以ping通pc5但是不能够ping通pc4 7、pc7不能够访问服务器 三、地址规划 1、网段设置如拓扑图中所示 2、内网中的PC自动获取IP地址,IP地址所处网段如拓扑图所示 四、测试 本实验可以实现以上所有要求,以下测试第3、4、5项要求 测试3:pc0不
南京邮电大学计算机网络实验三(ACL实验
最新发布
06-20
4. **配置扩展ACL**:学习如何使用扩展ACL对数据包中的更多字段进行过滤,如源IP地址、目的IP地址、端口号等。 5. **验证ACL的效果**:通过ping和telnet命令测试不同主机间的通信情况,确保ACL配置符合预期。 #### ...
网络工程基础实验报告-扩展ACL配置
07-05
网络工程基础实验报告-扩展ACL配置的基本配置
ACL基本实验
08-12
一点基本的访问控制列表的配置,稍微涉及了一点网络安全基础方面的知识。
ensp 扩展ACL实验
weixin_53308294的博客
09-15 2512
题目: 1.pc1可以用telnet ar1 ,不可以ping ar1; 2.pc1可以ping ar2 ,不可以telnet ar 2; 3.pc2要求与pc1相反; 一.分析题目 1.因为是具体到阻止某个操作,所以我们可以确定用扩展ACL,因为扩展ACL是要靠近源,也就是要在ar1的g/0/0/0接口上进行调用,因为题目中的四个条件都是在g0/0/0接口实施策略,所以只用写一张表,因为在一个方向的一个接口上只能调用一张表 2.写ACL表最好是先写拒绝的要求,最后再写允许所有,因为华为默认是允许所有的所
网络工程实验标准ACL配置
shelbytt的博客
06-14 3244
一、实验目的 掌握利用ACL控制数据流的方法 二、实验原理 1、ACL(Access Control List,访问控制列表),简单说就是包过滤,根据数据包的报头中的ip地址、协议端口号等信息进行过滤。利用ACL可以实现安全控制。编号:1-99 or 1300-1999(standard IP),100-199 or 2000-2699(Extended IP)。ACL并不复杂,但在实际应用中的,要想恰当地应用ACL,必需要制定合理的策略。 2. ACL配置的基本原则 (1)最小权限原则。 只满
华为ACL(访问控制列表)实验
爱意随风起,人生不可弃。
04-13 4677
...
网络安全---Packet Tracer - 配置扩展 ACL
zdsxc_的博客
04-05 1159
通过此次实验,我们利用已经建立好的拓扑模型,通过相关操作建立了一个简单的防火墙,达到了防火墙的初步功能。
ACL技术原理和实验(华为设备)
tushanpeipei的博客
01-20 5158
概述: 常用的路由选择工具:过滤器,只匹配,不调用就不会生效。 ACL访问控制类表 • ACL是由permit或deny语句组成的一系列有顺序规则的集合,它通过匹配报文的信息实现对报文的分类。路由器根据ACL定义的规则判断哪些报文可以接收,哪些报文需要拒绝,从而实现对报文的过滤。 • ACL通过配置的一系列匹配规则对特定的数据包进行过滤,从而识别需要过滤的对象。然后,根据预先设定的策略允许或禁止相应的数据包通过。同时,ACL可以作为基础配置被其他功能模块引用。 ip-prefix前缀类表 • ip-pr
CCNA实验:配置与测试扩展ACL
1. **扩展ACL**:与标准ACL相比,扩展ACL提供了更精细的过滤规则,允许基于协议类型、源和目的IP地址、端口号等多条件来控制流量。这使得网络管理员能够实现更复杂的访问策略。 2. **编号扩展ACL**:在Cisco IOS中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值