网络设备配置--10、利用ACL配置访问控制

最新推荐文章于 2023-11-23 11:30:23 发布
最新推荐文章于 2023-11-23 11:30:23 发布
阅读量2.3k 收藏 11
点赞数 3
文章标签: 路由器 交换机 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41374107/article/details/106552552
版权

一、前言

    同系列前几篇:
        网络设备配置–1、配置交换机enable、console、telnet密码
        网络设备配置–2、通过交换机划分vlan
        网络设备配置–3、生成树协议和端口聚合
        网络设备配置–4、配置交换机端口安全
        网络设备配置–5、配置静态路由
        网络设备配置–6、通过RIP协议配置动态路由
        网络设备配置–7、配置单臂路由实现跨vlan通信
        网络设备配置–8、利用ospf配置动态路由
        网络设备配置–9、利用ppp协议实现点对点认证

二、相关工具

    模拟器:Cisco Packet Tracer Instructor

三、实验要求

1.png

    1.实现全网PC和服务器互通,路由器开启Telnet访问,服务器开启Web服务、FTP服务、DNS服务
    2.使用标准ACL拒绝PC1所在网段访问访问PC
    3.拒绝PC1所在网段访问Server 192.168.63.100 的Web服务
    4.拒绝PC1所在网段访问路由器R3 的Telnet服务(PC1可以Telnet访问R2)
    5.拒绝PC2所在网段访问路由器R2 的Telnet服务(PC2可以Telnet访问R3)
    6.拒绝PC2所在网段访问Server 192.168.63.100的FTP服务
    7.拒绝PC1和PC2所在网段Ping Server服务器
    8.对DNS服务访问不做限制

四、实验步骤

    1、首先配置好IP、动态路由和telnet,具体怎么配置,前面的文章写的很清楚了,这里就不再多说了。
    2、针对路由器3,配置ACL完成实验要求3、6、7、8,配置如下所示:

3_4.png

3_5.png

    3、针对路由器1,配置实验ACL完成实验要求1、2、4、5,配置过程如下所示:

1_5.png

1_6.png

windy_ll
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于eNSP按照方案要求搭建的企业网络拓扑配置课程设计
10-08
如需资源请留言或私聊 基于eNSP搭建的企业网络拓扑配置课程设计 方案八: 设备:自由选择,尽量节省支出 1.精准识别每条流量,不允许陌生流量访问内部网络。(acl) 2.两个小组内部文件的存取需放在FTP服务器中。 3.小组1无线采用2.4GHZ的射频信号。(WLAN) 4.所有地址动态分配。打印机固定为.253需要预留。并且需要中继模式。(DHCP) 5.使用动态路由协议打通全网。 6.WLAN需要使用VLAN pool的形式为终端分配地址,并且利用隧道模式。(vap模板设置,tunel) 7.小组2无线采用5GHZ的射频信号。 8.连接外网需要采用Easy IP模式。 9.任何一个设备出现故障时都不能影响正常通信。 10.两个部门设置双网关。 该网络应用到OSPF、DHCP、WLAN、VLAN、FTP 、NAPT、STP等协议,另外还有链路聚合、备份路由等设计。 适合人群:在校大学生学习华为HCIA对应课程设计,对所学内容深入体会。 阅读建议:此资源对认证网络工程师具有较大的帮助,对在校学生有很好的启示作用,所以在学习的过程要结合这些内容一起来实践,并查看对应的代码。
访问控制列表构筑“铜墙铁壁”
03-04
本文在路由器交换机上进行ACL访问控制列表配置来防范病毒和黑客攻击,效果非常好。经过配置后,在很多主机没打相应补丁的情况下,各网络设备有效地阻止了震荡波的攻击。由于病毒(特别是系统漏洞病毒)都是利用相应端口进行传播与攻击的,所以我们可以考虑通过在路由器交换机上设置相应的ACL进行防范。我们以Cisco产品为例进行说明,具体ACL配置如下:access-list 101 permit tcp any any established。这个命令是建立一个ACL,它只容许已经建立的连接从外向里传输数据,而对于事先没有建立的连接将被拒绝进行数据传输。
ACL网络安全的应用仿真-网络安全论文-计算机论文.docx
06-07
ACL网络安全的应用仿真-网络安全论文-计算机论文全文共7页,当前为第1页。ACL网络安全的应用仿真-网络安全论文-计算机论文全文共7页,当前为第1页。ACL网络安全的应用仿真-网络安全论文-计算机论文 ACL网络安全的应用仿真-网络安全论文-计算机论文全文共7页,当前为第1页。 ACL网络安全的应用仿真-网络安全论文-计算机论文全文共7页,当前为第1页。 ——文章均为WORD文档,下载后可直接编辑使用亦可打印—— 摘要:ACL作为热门的网络技术之一,被广泛应用于网络管理领域中。文章结合企业对网络的常用访问控制需求,并利用思科PacketTracer仿真,模拟了ACL网络安全中的应用。 关键词:ACL网络安全;仿真 1ACL概述 1.1ACL基本概念 ACL网络安全的应用仿真-网络安全论文-计算机论文全文共7页,当前为第2页。ACL网络安全的应用仿真-网络安全论文-计算机论文全文共7页,当前为第2页。 访问控制列表(AccessControlList,ACL),工作在OSI参考模型的第3层,用于通过建立的访问规则对进出网络中的数据包进行访问控制,进而达到对网络的控制和保护目的。访问控制列表每条语句组成一个规则,决定数据包的运行通过或拒绝通过。ACL可分为标准访问控制列表和扩展的访问控制列表两类,标准访问控制列表基于源地址做过滤策略,适应场合有限,不能进行复杂的条件过滤。扩展的访问控制列表可通过源IP地址、目的IP地址、端口号、协议等诸多信息来规定数据包的处理动作,对经过的数据流进行判断、分类和过滤。通过访问控制列表可以实现控制网络流量,提高网络性能;提供访问权限,实现访问控制等功能,是目前重要的安全保护技术,被广泛应用于互联网。 1.2ACL工作原理 ACL可以工作在路由器交换机网络设备上,主要采用数据包过滤技术。以路由器为例,当数据包到达路由器的转发端口时,首先ACL网络安全的应用仿真-网络安全论文-计算机论文全文共7页,当前为第3页。ACL网络安全的应用仿真-网络安全论文-计算机论文全文共7页,当前为第3页。判断该端口是否有ACL,没有则直接转发;如果有则匹配ACL的转发规则,根据转发规则来决定数据包permit或deny;如果permit,则直接转发;如果deny则丢弃该数据包并向数据源发送目标不可达的ICMP报文或终止TCP的连接请求。 1.3ACL使用原则 在配置和使用ACL时由于每个接口、每个方向、每种协议只能设置一个ACL,同时ACL按顺序比较,直找到符合条件的那条以后就不再继续比较,因此应注意以下3点原则。(1)最小权限原则:即只给予受控对象完成任务所必须的最小权限。(2)最靠近受控对象原则:即所有的网络层访问权限控制要尽量距离受控对象最近。(3)默认丢弃原则:即每个访问控制列表最后都隐含了一条denyany规则。 2ACL网络安全中应用场景设计为研究 ACL网络安全的应用仿真-网络安全论文-计算机论文全文共7页,当前为第4页。ACL网络安全的应用仿真-网络安全论文-计算机论文全文共7页,当前为第4页。 ACL网络安全中的应用,这里设计如下的企业应用场景。某企业有管理部、员工部、财务部3个部门,另企业架设了自己的FTP服务和Web服务器。其中VLAN10模拟管理部,VLAN20模拟员工部,VLAN30模拟财务部,VLAN40模拟服务器区。www1,www2模拟外网的Web服务器,PC3模拟未授权的网络。为仿真ACL网络隔离、网络保护、访问控制等安全功能,提出如下网络安全需求:(1)内网、外网都可以访问企业的Web服务器,但FTP服务器只能被校内访问。(2)管理部可以访问员工部、财务部,但员工部不能访问财务部。(3)管理部可以访问外网www1和www2服务器,员工部只能访问www1,而财务部拒绝访问一切外网[1]。 3ACL关键配置 鉴于篇幅有限,本部分配置仅为ACL配置部分的关键代码。(1)限制外网对FTP的访问,仿真保护特定的内网目标。Router(config)#access-list101denytcpanyhost192.168.4.2eq21Router(coACL网络安全的应用仿真-网络安全论文-计算机论文全文共7页,当前为第5页。ACL网络安全的应用仿真-网络安全论文-计算机论文全文共7页,当前为第5页。nfig)#access-list101permitipanyanyRouter(config)#ints1/0Router(config-if)#ipaccess-group101in(2)管理部可以访问员工部、财务部,但员工部不能访问财务部,仿真内网的访问控制。Switch(config)#access-list1permit192.168.1.00
网络的安全配置.pptx
06-10
网络设备安装与调试(神码版) 4. 网络的安全配置 网络的安全配置全文共43页,当前为第1页。 网络设备安装与调试(神码版) 学习任务1 交换机的端口安全配置 学习任务2 IP访问控制列表配置 学习任务3 路由器Ipsec VPN隧道实现 交换机的端口安全 标准访问控制列表配置 实现AM功能 扩展访问控制列表配置 命名访问控制列表配置 基于时间的访问控制列表 使用ACL过滤特制订病毒报文 网络的安全配置全文共43页,当前为第2页。 4.1.1 网络设备安装与调试(神码版) 交换机的端口安全 4.1端口安全配置 网络的安全配置全文共43页,当前为第3页。 网络设备安装与调试(神码版) 学习情境 某公司管理员接到单位员工电脑中病毒的电话,过去查找定位问题主机很困难,这给管理带来很大的麻烦,于是管理员决定采用MAC地址与端口进行绑定来进行管理。 情境分析 为了安全和方便管理,采用将MAC地址与端口进行绑定,在MAC地址与端口进行绑定后,该MAC地址的数据流只能从绑定端口进入,不能从其他端口进入,该端口可以允许其他MAC地址的数据流通过。这样一旦网络当中有哪台计算机出了问题,都能很快定位出来,及时采取有效措施。 网络的安全配置全文共43页,当前为第4页。 网络设备安装与调试(神码版) 本任务是通过MAC地址与端口绑定技术来实现计算机的安全接入,该任务在交换机上完成,任务实施过程当中应按如下几点要求操作。 (1)交换机设置管理IP地址为192.168.10.100/24,PC1的IP地址设置为192.168.10.110/24,PC2的IP地址设置为192.168.10.220/24。 (2)在交换机上对PC1的MAC地址作端口绑定。 (3)将PC1分别连接到绑定的端口和未绑定的端口ping交换机IP,检验理论是否和实验一致。 (4)将PC2分别连接到绑定了PC1的MAC地址的端口和未绑定的端口ping交换机IP,检验理论是否和实验一致。 所需设备: (1)DCS-3950交换机1台。 (2)PC机1台。 (3)console线一根。 (4)直通双绞线一根。 网络的安全配置全文共43页,当前为第5页。 网络设备安装与调试(神码版) 请任课教师根据拓扑结构图进行讲解和演示 网络的安全配置全文共43页,当前为第6页。 网络设备安装与调试(神码版) 知识拓展---动态实现MAC地址与端口绑定 所需设备: (1)DCS-5650 交换机1台。 (2)PC机2台。 (3)console线一根。 (4)直通线2根。 网络的安全配置全文共43页,当前为第7页。 网络设备安装与调试(神码版) 请任课教师根据拓扑结构图进行讲解和演示 网络的安全配置全文共43页,当前为第8页。 4.1.2 网络设备安装与调试(神码版) 实现AM功能 4.1端口安全配置 网络的安全配置全文共43页,当前为第9页。 网络设备安装与调试(神码版) 学习情境 公司员工的计算机使用的都是固定IP地址,但有时员工会修改自己的IP地址,造成IP地址冲突,这样给内部网络造成了很大的麻烦,管理起来也很不方便,于是管理员想把计算机的MAC地址与IP绑定。 情境分析 将计算机的MAC地址与IP绑定,使用户不能随便修改IP地址,可以使用交换机的AM功能做到,管理员可以实现内部网络管理上的完善。AM全称为Access Management即访问管理,它利用收到数据报文的信息,与配置硬件地址池相比较,如果找到则转发,否则丢弃。 通过对接入交换机的适当设置,可以将很多网络威胁隔离在交换机的每端口内,而不至于对整网产生危害。 网络的安全配置全文共43页,当前为第10页。 网络设备安装与调试(神码版) 所需设备: (1)DCRS-5650交换机1台。 (2)PC机1台。 (3)console线一根。 (4)直通双绞线一根。 网络的安全配置全文共43页,当前为第11页。 网络设备安装与调试(神码版) 请任课教师根据拓扑结构图进行讲解和演示 网络的安全配置全文共43页,当前为第12页。 4.2.1 网络设备安装与调试(神码版) 标准访问控制列表配置 4.2IP访问控制列表 网络的安全配置全文共43页,当前为第13页。 网络设备安装与调试(神码版) 学习情境 某公司组建了公司内部网络,其中有财务部、技术部、市场部等部门。为了保证公司财务安全,公司经理让管理员实现禁止技术部门员工访问财务部门的主机。 情境分析 应用了ACL之后,交换机会在相应端口上检查某一方向的数据包,如果数据包与ACL的某一条规则匹配成功,则应用该规则的动作:允许该数据包通过或者丢弃该数据包。标准访问控制列表匹配规则元素只包括IP数据包的源IP地址,这意味着标准ACL只检查IP数据包的源IP地址。 网络的安全配置全文共43页,当前为第
ICND课件-3-操作与配置Cisco IOS设备
06-12
ICND培训课件之三:操作与配置Cisco IOS设备 1、 目标 通过此门课程的培训,可以完成如下任务: ——在什么情况下应用集线器、交换机路由器 ——利用Cisco软件确认端口、协议、地址和可连接性 ——根据要求互连交换机路由器 ——配置交换机路由器以支持LAN和WAN 服务 ——设置IP子网以便于有效地管理网络 ——通过配置访问列表来控制对网络段或网络资源的访问 ——确认交换机路由器及其配置网络服务是按我们的预期在运作 ——判断网络故障的原因并解决之 2、 主要内容、知识点  网络基础知识  操作和配置Cisco IOS设备  管理网络环境  基于TCP的互联网络(其中包含VLSM)  IP路由  ACL访问控制列表及NAT  广域网
标准与扩展ACL 、 命名ACL 、 总结和答疑
weixin_33709590的博客
05-14 1215
1 配置标准ACL1.1 问题络调通后,保证网络是通畅的。同时也很可能出现未经授权的非法访问。企业网络既要解决连连通的问题,还要解决网络安全的问题。1)配置标准ACL实现拒绝PC2(IP地址为192.168.0.20)对Web Server P的浏览器访问1.2 方案访问控制网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的...
访问控制列表ACL
天上掉馅饼
12-03 292
ACL
逸佳君:CCNA之标准ACL与拓展ACL
simayijia的博客
02-21 340
标准acl与拓展acl 拓扑图: 要求: 1、 配置静态路由,使得PC能访问两个服务器 2、 标准ACL,不允许PC1访问任意R1以外的网络PC1只允许访问R1);不允许PC2访问17.1.1.0内的所有主机(PC2不允许访问17.1.1.0这个网段) 3、 清除所有标准ACL(把2的标准ACL清除掉) 4、 拓展ACL,不允许PC1访问61.1.1.3的http(只是禁止一个协议);不允许PC2访问17.1.1.1的https(只是禁止一个协议) 命令解答: 交换机S1配置: ..
第13组_16通信1班_084_防火墙技术
weixin_30558305的博客
05-25 166
网络安全作业2 题目:防火墙技术综合实验 扩展ACL 实验拓扑以及地址规划 要求: 拒绝PC0 所在网段访问Server 172.84.3.100 的Web 服务 拒绝PC1 所在网段访问Server 172.84.3.100 的Ftp 服务 拒绝PC0 所在网段访问Server 172.84.3.100 的SQL 服务 拒绝PC0 所在网段访问路由...
HCIA笔记-----ACL访问控制列表
qq_34267076的博客
09-19 2997
ACL 访问控制列表 功能: 1.访问限制 ----在路由器流量进或出的接口上匹配流量,之后对其进行限制 2.定义感兴趣流量 ACL 简介: 1.自上而下,逐一匹配,上条匹配按上条执行,不在查看下条 2.ACL 列表的调用分为in(先匹配ACL再查看路由)和out(先查看路由,再匹配ACL) 3.必须满足金字塔形结构 4.ACL 分为 标准 ACL 和 扩展 ACL 5.(在cisco中末尾隐含拒绝所有 ;在华为设备中若没有匹配到ACL 则执行默认处理) ACL的分类 标准ACL : 关注 源IP 地址 ,
ACL限制网络访问技术的一个简单例子
IABQL的博客
07-12 2186
需求:PC1不可以访问192.168.2.1,但可以访问其他ip地址 要在ar1中就对PC1的访问进行控制,所以在AR1中创建ACL表 1.先将各个接口按上图配置好ip 测试:PC1 ping 192.168.2.1,能成功连接 2.在AR1中添加ACL表 创建表 acl 3000(序号为3000的表) 表中添加规则(即控制某些ip是否可以访问某些ip) rule deny(拒绝连接) ip source 源ip 0.0.0.0(0代表ip相应位不可变,1代...
第三组 通信一班 030 防火墙技术综合实验
weixin_30481087的博客
04-29 743
一、 扩展ACL 1.实验目的 (一)定义扩展ACL (二)应用扩展ACL (三)扩展ACL 测试 (四) 定义命名扩展ACL 2.拓扑 图 1 3.地址规划 设备 接口 地址 R0 Fa 0/0 172.16.30.2/24 S 0/1/0 1...
ACL标准访问控制列表
最新发布
huangzwei的博客
11-23 92
你是一个公司的网络管理员,公司的经理部、财务部门和销售部门分属不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门PC2不能对财务部门PC3进行访问,但经理部PC1可以对财务部门PC3进行访问。6、扩展ACL使用表号范围100-199,可检查源地址和目的地址,可检查第四层的端口号,应放置在接近源的位置上。当检测到某个指令条件满足的时候,就不会再检测后面的指令条件。两台路由器分别改为自己姓名缩写1和姓名缩写2的格式,例如zs1,zs2。,只检查源地址,应放置在接近目的的位置。
ACL访问控制列表
qq_42387244的博客
11-04 1646
ACL访问控制列表 1.基本定义 访问控制列表是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。 2. ACL概述 1) 收发数据时可以根据数据报文的IP头部和TCP/UDP头部来进行数据预处理 2) 路由器工作流程:从一个端口收到数据---->预处理(用ACL判断是否接收,IN方向)---->查路由表看从哪个端口出---->发送预处理...
思科设备ACL与NAT技术
CSDN
05-23 1万+
ACL 访问控制列表(Access Control Lists),是应用在路由器(或三层交换机)接口上的指令列表,用来告诉路由器哪些数据可以接收,哪些数据是需要被拒绝的,ACL的定义是基于协议的,它适用于所有的路由协议,并根据预先定义好的规则对数据包进行过滤,从而更好的控制数据的流入与流出. NAT 网络地址转换(Network Address Translation),是一个互联网工程任务组的标准,它可以实现内部私有IP地址和公网IP地址的转换,能够起到节约公网IP地址的作用,以下将介绍NAT的三种方式
配置基本ACL
qq_36963043的博客
06-27 687
配置基本ACL 1.1 问题 如图配置IP地址 禁止 PC1 网络访问服务器 Server1 允许其他所有的访问流量 1.2 方案 搭建实验环境,如图-1所示。 图-1 1.3 步骤 实现此案例需要按照如下步骤进行。 配置终端设备 - PC1 地址: 192.168.1.1 掩码: 255.255.255.0 网关: 192.168.1.254 配置终端设备 - PC2 地址: 192.168.2.1 掩码: 255.255.255.0 网关: 192.168.2.254 配置终端设备 -
Windows server防火墙如何设置阻止IP访问 防火墙限制ip地址访问
热门推荐
驰网飞飞的博客
08-19 1万+
Windows server防火墙如何设置阻止IP访问 防火墙限制ip地址访问 打开“控制面板”,在右上角的查看方式改为“小图标”,选择打开“Windows 防火墙” 在Windows 防火墙窗口点击“高级设置” 在高级安全 Windows 防火墙窗口点击“入站规则”—“新建规则” 打开新建入站规则向导界面 规则类型:选择“自定义”,点击下一步 程序:默认选择所有程序,下一步 协议端口:添加远程桌面端口,参照截图上的设置 作用域:此规则应用于哪些本地ip地址 默认选择“任何ip地址”, 此规则应
一招让你拥有“网络访问的权限分配-ACL
qq_62462797的博客
07-20 985
网络环境下,通常运用黑名单和白名单来设置外部的访问权限白名单默认拒绝所有,放一个可以通信一个自己内部的业务黑名单默认开放所有,加入一个,不能通信一个。应用在接口的ACL-----过滤数据包(五元组源IP地址、目的IP地址、协议号、源端口、目的端口)应用在路由协议-------匹配相应的路由条目NAT、IPSECVPN、QOS-----匹配感兴趣的数据流(匹配上我设置的数据流的)1.区分出高级ACL和基础ACL的的作用用2.了解ACL的运用场景httpshttps。......
思科模拟器 | 访问控制列表ACL实现网段精准隔绝
做技术人 · 产优质博客 · 找好工作
05-08 7196
访问控制列表ACL实现网段精准隔绝,灵活控制IP的访问接入
请描述以太网中访问控制列表(ACL)的用途是什么
07-11
以太网中的访问控制列表ACL)是一种网络安全功能,用于控制数据包的流动和访问权限。ACL可以根据预先定义的规则来决定数据包是否被允许通过设备。 ACL的主要用途包括: 1. 访问控制ACL可以限制特定用户、设备或网络流量对网络资源的访问。通过配置ACL规则,可以实现对特定IP地址、MAC地址、协议类型、端口号等条件进行访问控制,以确保只有授权的用户或设备可以访问网络资源。 2. 流量过滤:ACL可以过滤和控制网络流量。通过配置ACL规则,可以阻止或允许特定类型的数据包通过网络设备,从而实现对网络流量的管理和筛选。例如,可以配置ACL规则来阻止某些恶意流量、拒绝特定端口的访问或限制特定协议的使用。 3. 安全增强:ACL可以增加网络设备的安全性。通过配置ACL规则,可以阻止潜在的攻击、网络嗅探和未经授权的访问等安全威胁。ACL可以帮助识别和阻止有害的流量,提高网络的安全性和可靠性。 4. 负载平衡:ACL还可以用于实现负载平衡和流量控制。通过设置ACL规则,可以将特定类型的流量分发到不同的网络路径或服务器上,以实现网络资源的优化利用和负载均衡。 综上所述,ACL在以太网中具有重要的用途,用于控制数据包的流动、保护网络资源的安全性,并实现网络流量的管理和优化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值