Cisco 自反ACL 基础实验(ICMP为例

最新推荐文章于 2024-05-21 17:18:00 发布
最新推荐文章于 2024-05-21 17:18:00 发布
阅读量1.4k 收藏 7
点赞数 2
分类专栏: 网络 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37227125/article/details/103802817
版权

Cisco 自反ACL 基础实验

自反acl和扩展acl的established参数很类似,但是应用场景不限于tcp,相对于established应用场景更加广泛。

自反acl的作用是,在数据经过的时候添加ref标记。然后在另外的策略里可以允许带有这个ref标记数据通过。

实验拓扑

在这里插入图片描述

接口配置

PC 	e0/0	172.16.1.100/24

R14	e0/0	172.16.1.1/24
	e0/1	172.16.12.14/24
	
R15	e0/1	172.16.12.15/24
	e0/0	172.16.23.15/24

R16	e0/0	172.16.23.16/24
	lo 0	172.16.3.3/24

路由配置

R14(config)#ip route 0.0.0.0 0.0.0.0 172.16.12.15

R15(config)#ip route 172.16.1.0 255.255.255.0 172.16.12.14
R15(config)#ip route 172.16.3.0 255.255.255.0 172.16.23.16

R16(config)#ip route 0.0.0.0 0.0.0.0 172.16.23.15

自反ACL配置

!以下为R14配置
ip access-list extended iin
 evaluate REF 
ip access-list extended oout
 permit icmp any any reflect REF timeout 300
!REF为自反acl的名字,timeout为临时访问条目的生存周期
!在进入路由器的时候添加REF标记,在放行的时候可以根据标记来放行
!自反acl一定是permit的

!应用在接口
interface Ethernet0/1
 ip address 172.16.12.14 255.255.255.0
 ip access-group iin in
 ip access-group oout out

测试

测试pc ping R16-lo0

VPCS> ping 172.16.3.3

84 bytes from 172.16.3.3 icmp_seq=1 ttl=253 time=2.138 ms
84 bytes from 172.16.3.3 icmp_seq=2 ttl=253 time=4.504 ms
84 bytes from 172.16.3.3 icmp_seq=3 ttl=253 time=4.761 ms
84 bytes from 172.16.3.3 icmp_seq=4 ttl=253 time=3.539 ms
84 bytes from 172.16.3.3 icmp_seq=5 ttl=253 time=4.128 ms

查看acl配置记录

R14#show ip access-lists 
Reflexive IP access list REF
     permit icmp host 172.16.3.3 host 172.16.1.100  (10 matches) (time left 276)
Extended IP access list iin
    10 evaluate REF
Extended IP access list oout
    10 permit icmp any any reflect REF (6 matches)

测试R16-lo0 ping pc

R16#ping 172.16.1.100 source 172.16.3.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.100, timeout is 2 seconds:
Packet sent with a source address of 172.16.3.3 
U.U.U
Success rate is 0 percent (0/5)

由于入站规则里只允许带有REF标记的通过,默认拒绝其他所有。所以R16发起的ping echo被拒绝了。

咸鱼干嘛呢
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一个简单的自ACL的配置
理小学生的博客
06-13 937
拓扑图: 配置R1: R1#conf t R1(config)#int f0/0 R1(config-if)#ip address 10.10.1.2 255.255.255.0 R1(config-if)#no shut R1(config-if)#exit R1(config)#ip route 0.0.0.0 0.0.0.0 10.10.1.1 //默认路由 配置R2: R2#conf t R2(config)#int f0/0 R2(config-if)#ip...
CiscoACL真机配置实
qq_24328629的博客
05-20 1217
CiscoACL真机配置实 某个机会下接触到Cisco的自ACL ,自ACL主要实现单项访问类似于防火墙基于会话的方式控制访问,自ACL在有匹配到对应数据流时,设备自动生成一条自ACL实现返回的数据不至于没有放行ACL而丢弃。 具体实验通过平去测试,实现A侧可以ping通B侧而另B侧不能ping通A侧。 实验拓扑: 配置: 配置命令: Router(config)#interface G0/0/0 Router(config-if)#ip add Router(c
ACL组网实验(思科)
最新发布
qq_65150735的博客
05-21 920
几个小的ACL组网测试实验
Cisco 防火墙基础配置
分享的都是纯自学心得
04-11 581
#设置放行icmp规则。#定义访问控制链表允许任何icmp流量访问任何icmp流量。#应用在这两个区域 Vpc下可以 show ip 查看ip地址。 #透明模式。 #设置在同一个组。
Cisco ACL established
weixin_33843409的博客
09-12 750
1,首先回顾一下TCP协议: TCP数据包中有六个标志位(Code Bits):6 位标志域。表示为:紧急标志、有意义的应答标志、推、重置连接标志、同步序列号标志、完成发送数据标志。按照顺序排列是:URG、ACK、PSH、 RST、SYN、FIN。在整个TCP数据传输过程中ACK位除了在第一次握手的时候置位为0外,其他任何时候都置位为1。 三次握手过程: 在TC...
思科CISCO ACL配置详解
热门推荐
weixin_64312503的博客
07-25 2万+
思科ACL控制访问列表详细信息
在思科模拟器Cisco Packet Tracer实现自ACL
m0_56942354的博客
05-20 2175
目录 一、前言 实验1:使用ACL控制链路连通性 实验2:在思科模拟器Cisco Packet Tracer实现自ACL 步骤一:给路由器2911开启securityk9模式 步骤二:配置ACL 步骤三:验证连通性 一、前言 最近在通过Cisco Packet Tracer模拟器学习ACL时,遇到的一点小问题,ACL分为标准的ACL访问控制列表和扩展的访问控制列表,但是当给某一路由器配置了一条访问控制列表,虽然是实现禁止该条控制列表,但是无法从对端PING回来。具体...
CiscoICMP-互联网控制报文协议
无糖可乐没有灵魂
01-09 1874
ICMP(Internet Control Message Protocol)-Internet控制报文协议 ICMP协议是一种面向无连接的协议,他是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递消息。控制消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些控制消息虽然并不传输用户数据,但是对于用户数据的传递和网络安全具有极其重要的意义。 一、ICMP的两级封装 ...
ACL配置实验[汇编].pdf
10-11
通过这个实验,参与者将能熟练掌握如何在Cisco路由器上配置和管理ACL,理解其对网络流量的控制作用,以及如何解决常见的网络安全问题。这对于软件开发者来说,是确保系统安全和优化网络性能的重要技能之一。
ACL配置实验.doc
05-10
在这个实验中,我们使用了Cisco IOS设备R1进行配置,主要涉及到标准ACL和扩展ACL的使用。 首先,我们看到了一个标准ACL的配置,其编号为1。R1的配置包括两条拒绝规则,分别禁止10.10.1.0/24和10.10.2.0/24两个子网...
计算机网络基础与应用实验指导书.pdf
10-06
计算机网络基础与应用实验指导书涵盖了多个核心网络技术的实践操作,旨在帮助学习者...以上实验覆盖了从网络基础到高级应用的广泛知识,对于理解计算机网络的运作至关重要,同时也为解决实际网络问题提供了实践经验。
思科组网实验
03-22
在本“思科组网实验”中,我们将深入探讨计算机网络中的一个重要环节——网络组建与配置。这个实验基于《计算机组网技术》一书的第109页所描述的网络拓扑,提供了完整的配置信息,使学习者能够全面理解和实践网络...
CCNA实验手册 思科认证
05-09
CCNA实验手册是针对思科认证网络助理工程师(Cisco Certified Network Associate)学习过程中的实践操作指南,旨在帮助考生深入理解和掌握网络基础、路由与交换技术。手册共包含23个实验,覆盖了从设备操作到各种路由...
思科防火墙 CISCO ASA5510 icmp不起作用
qq_30735435的博客
02-15 220
ICMP配置ACL不起作用
ACL详解 Cisco
aiwo1376301646的博客
05-25 2289
访问控制列表简称为ACL: 访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了 访问控制列表的原理: 对路由器接口来说有两个方向: 出:已经经路由器的处理,正离开路由器接口的数据包 入:已经到达路由器接口的数据包,将被路由器处理 ...
思科ACL详解
Jian Sun_的博客
07-01 1万+
思科ACL 基本原则:1、按顺序执行,只要有一条满足,则不会继续查找 2、隐含拒绝,如果都不匹配,那么一定匹配最后的隐含拒绝条目,思科默认的 3、任何条件下只给用户能满足他们需求的最小权限 4、不要忘记把ACL应用到端口上 一、标准ACL 命令:access-list {1-99}{permit/deny} s...
TCP-IP:实验ICMP协议分析
wxg520cxl的博客
11-10 2218
分析捕捉到的报文,一共捕捉了几种ICMP类型的报文?TTL值有什么变化规律?问题3:以上ICMP响应报文中的类型和代码值为多少?问题4:分析以上ICMP响应报文中数据部分,和请求报文做对比。问题2:以上ICMP响应报文属于具体哪种报文?问题5:写出以上ICMP响应报文首部的具体格式。通过以下的命令,用wireshark捕捉报文。通过以下的命令,用wireshark捕捉报文。1:以上报文属于差错报文还是询问报文?问题1:请求报文中的TTL是多少?问题3:校验和字段的作用是什么?问题2:类型字段的含义是什么?
计算机网络学习:网络层IP数据报、ICMP协议 看一篇就够了!(含具体实验演示)
陆海潘江的博客
04-21 9033
网络层IP数据报和ICMP协议的内容,直观的演示和实践可以更好地掌握这方面的知识。值得一提,我觉得学习IP数据报和ICMP协议的基本内容看完这篇就够了!我的初衷是对以前学习过的内容进行一个系统的整理,梳理思路,将零散的知识碎片集成一个相对完善的知识体系,这样能够更好地去理解知识。最近我领悟了一个道理:不要急着往前走,偶尔回顾自己所学所经历,善于总结,才能走得更轻松更远!哈哈哈,尝试着文学式表达感悟,似乎与理工科格格不入,不过有时候会理工科的文学更有趣。
ICMP和ARP协议协议以及互通实验
Sp_Tizzy的博客
04-13 397
sys 切换至系统模式。int g0/0/1 进入交换机端口1。int g0/0/0 进入交换机端口0。ip add 192.168.2.254 24 设置ip地址。ip add 192.168.1.254 24 设置ip地址。首先打开ensp 配置:交换机AR1、PC1和PC2。
思科模拟器acl实验
08-13
ACL(Access Control List)是用于控制网络流量的一种安全策略。标准ACL和扩展ACL是两种常见的ACL类型。在你的实验中,你配置了一个标准ACL,但在对端PING返回方面遇到了问题。 根据你提供的引用和,你配置了两个不同的ACL实验。第一个实验中,你配置了一个标准ACL,并禁止了192.168.10.0网段的路由通过。然后,在接口G0/1上应用了这个ACL。第二个实验中,你配置了一个扩展ACL,并允许了某些特定的流量通过。 对于第一个实验中遇到的问题,可能的原因是你没有添加一个允许任何流量通过的规则(permit any)。标准ACL在匹配到一条规则之后,不会继续匹配后面的规则,所以如果你只配置了一条deny规则,会导致所有流量都被禁止。通过添加一个permit any规则,可以解除默认的禁止规则,允许其他流量通过。 对于第二个实验,你的配置看起来是正确的,允许了特定的流量通过。但请注意,ACL是有顺序的,先匹配到的规则会生效,后面的规则将不再匹配。所以请确保你的ACL规则是按照正确的顺序配置的。 综上所述,你可以尝试在第一个实验中添加一个允许任何流量通过的规则(permit any),并确保你的ACL规则按照正确的顺序配置。这样应该能够解决你的问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [在思科模拟器Cisco Packet Tracer实现自ACL](https://blog.csdn.net/m0_56942354/article/details/124883730)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [思科模拟器配置-ACL配置 实训](https://blog.csdn.net/qq_38626043/article/details/110245716)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值