ACL组网实验(思科)

已于 2024-05-25 18:49:25 修改
阅读量788 收藏 15
点赞数 23
分类专栏: 网工基础 文章标签: 网络 安全
于 2024-05-21 17:18:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65150735/article/details/139074731
版权

华为设备参考:ACL组网实验(华为)

技术简介

ACL(Access Control List)技术是一种基于包过滤的流控制技术,主要用于控制网络设备访问权限。具体来说,ACL通过把源地址、目的地址及端口号作为数据包检查的基本元素,并可以规定符合条件的数据包是否允许通过。ACL通常应用在企业的出口控制上,通过实施ACL,可以有效地部署企业网络出网策略。随着局域网内部网络资源的增加,一些企业已经开始使用ACL来控制对局域网内部资源的访问能力,进而保障这些资源的安全性。

        

一,ACL流量访问控制

实验目的

实现 192.168.1.192--192.168.1.255 不能访问192.168.2.128--192.168.2.255

基础配置

PC

Router

Router#configure terminal 
Router(config)#no logging console 

Router(config)#int g0/0
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit

Router(config)#int g0/1
Router(config-if)#ip address 192.168.2.1 255.255.255.0
Router(config-if)#no shutdown

测试

192.168.1.x都能访问192.168.2.x

ACL配置

Router

推荐方法一二,三四的缺点是:PC2也不能连通PC3

方法一:在Rouer的入口(g0/0)方向使用拓展ACL
Router(config)#access-list 100 deny ip 192.168.1.192 0.0.0.63 192.168.2.128 0.0.0.127
Router(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 any
Router(config)#int g0/0
Router(config-if)#ip access-group 100 in


方法二:在Rouer的出口(g0/1)方向使用拓展ACL
Router(config)#access-list 110 deny ip 192.168.1.192 0.0.0.63 192.168.2.128 0.0.0.127
Router(config)#access-list 110 permit ip any any
Router(config)#int g0/1
Router(config-if)#ip access-group 110 out


方法三:在Rouer的入口(g0/0)方向使用标准ACL
Router(config)#access-list 2 deny 192.168.1.192 0.0.0.63
Router(config)#access-list 2 permit 192.168.1.0 0.0.0.255
Router(config)#int g0/0
Router(config-if)#ip access-group 2 in


方法四:在Rouer的出口(g0/1)方向使用标准ACL
Router(config)#access-list 4 deny 192.168.1.192 0.0.0.63
Router(config)#access-list 4 permit any
Router(config)#int g0/1
Router(config-if)#ip access-group 4 out

测试

192.168.1.192--192.168.1.255 不能访问192.168.2.128--192.168.2.255

        

二,ACL设备访问控制

实验目的

实现只有 192.168.3.0/24 网段能够 Telnet 到 Router

基础配置

PC

Router

Router#configure terminal
Router(config)#no logging console
Router(config)#username 123 password 123

Router(config)#int f1/0
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit

Router(config)#int f1/1
Router(config-if)#ip address 192.168.2.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit

Router(config)#int f2/0
Router(config-if)#ip address 192.168.3.1 255.255.255.0
Router(config-if)#no shutdown

测试

三个网段都能够 Telnet 到 Router

ACL配置

Router

Router(config)#access-list 10 permit 192.168.3.0 0.0.0.255

Router(config)#line vty 0 4
Router(config-line)#login local
Router(config-line)#transport input telnet 
Router(config-line)#access-class 10 in

测试

只有 192.168.3.0/24 网段能够 Telnet 到 Router

                

三,ACL单向访问控制

实验目的

实现只有 192.168.1.0/24 能主动访问外网,而外网不能主动访问 192.168.1.0/24

基础配置

PC

Router1

Router#configure terminal 
Router(config)#no logging console

Router(config)#int g0/1
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit

Router(config)#int g0/0
Router(config-if)#ip address 192.168.2.1  255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit

Router(config)#ip route 192.168.3.0 255.255.255.0 192.168.2.2

Router2

Router(config)#no logging console
Router#configure terminal 

Router(config)#int g0/0
Router(config-if)#ip address 192.168.2.2 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit

Router(config)#int g0/1
Router(config-if)#ip address 192.168.3.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit

Router(config)#ip route 192.168.1.0 255.255.255.0 192.168.2.1

测试

内网和外网可以互通

                

ACL配置

Router1

方法一:使用带 TCP Established 的扩展 ACL 实现

Router(config)#access-list 105 permit tcp any 192.168.1.0 0.0.0.255 established 

Router(config)#int g0/0
Router(config-if)#ip access-group 105 in

------

方法二:使用自反 ACL 实现

Router(config)#ip access-list extended flow-in  
Router(config-ext-nacl)#evaluate reflect ref  
Router(config-ext-nacl)#exit 

Router(config)#ip access-list extended flow-out  
Router(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 any reflect ref  
Router(config-ext-nacl)#exit  

Router(config)#interface g0/0  
Router(config-if)#ip access-group flow-in in  
Router(config-if)#ip access-group flow-out out

测试

内网能主动访问外网,而外网不能主动内网

                

四,放通路由协议数据包

实验目的

实现 192.168.3.0/24 网段只能被 192.168.1.0/24 网段访问

基础配置

PC

Router

Router#configure terminal 
Router(config)#no logging console

Router(config)#int g0/0
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit

Router(config)#int g0/1
Router(config-if)#ip address 192.168.2.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit

Router(config)#int g0/2
Router(config-if)#ip address 192.168.3.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit

测试

都可以访问192.168.3.0网段

ACL配置

Router

Router(config)#ip access-list extended flow1
Router(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255
Router(config-ext-nacl)#exit

Router(config)#int g0/2
Router(config-if)#ip access-group flow1 out

测试

192.168.3.0/24 网段只能被 192.168.1.0/24 网段访问

                

五,基于时间的ACL

实验目的

实现工作时间段(9:00-12:00,14:00-18:00)不能访间 Internet

基础配置

PC

Router1

Router#configure terminal
Router(config)#no logging console

Router(config)#int f1/0
Router(config-if)#ip address 192.168.1.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit

Router(config)#int f1/1
Router(config-if)#ip address 192.168.2.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit

Router(config)#ip route 192.168.3.0 255.255.255.0 192.168.2.2

Router2

Router#configure terminal
Router(config)#no logging console

Router(config)#int f1/0
Router(config-if)#ip address 192.168.3.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit

Router(config)#int f1/1
Router(config-if)#ip address 192.168.2.2 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit

Router(config)#ip route 192.168.1.0 255.255.255.0 192.168.2.1

测试

都能访间 Internet

ACL配置

Router1

Router(config)#time-range w
Router(config-time-range)#periodic weekdays 9:00 to 12:00
Router(config-time-range)#periodic weekdays 14:00 to 18:00
Router(config-time-range)#exit

Router(config)#access-list 106 deny ip 192.168.1.0 0.0.0.255 any time-range w
Router(config)#access-list 106 permit ip any any

Router(config)#int f1/1
Router(config-if)#ip access-group 106 out

测试

工作时间段(9:00-12:00,14:00-18:00)不能访间 Internet

无泡汽水
关注
  • 23
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
办公室网络组网实验
weixin_45810707的博客
06-02 841
基于Cisco模拟器的办公室组网实验
思科网络技术的一课一得ACL的配置
LSY20230408017的博客
05-30 914
这种学习方式特别适用于技术和专业知识的学习,如网络技术等快速发展的领域。在这些领域中,新技术和新概念层出不穷,通过“一课一得”的方式,学习者可以确保紧跟技术发展的步伐,逐步构建和巩固自己的知识体系。随着技术的不断发展,作为网络技术人员,我们必须保持好奇心和学习热情,不断进步,以适应不断变化的技术环境。通过这种方式,学习者不仅能够积累知识和技能,还能培养自我驱动和终身学习的能力,这对于适应快速变化的技术环境至关重要。同时,学生应该善于思考,对于课堂上学到的知识,要进行深入的思考和理解,形成自己的见解和观点。
ACL组网实验(华为)
qq_65150735的博客
05-25 462
ACL(Access Control List)技术是一种基于包过滤的流控制技术,主要用于控制网络设备访问权限。具体来说,ACL通过把源地址、目的地址及端口号作为数据包检查的基本元素,并可以规定符合条件的数据包是否允许通过。ACL通常应用在企业的出口控制上,通过实施ACL,可以有效地部署企业网络出网策略。随着局域网内部网络资源的增加,一些企业已经开始使用ACL来控制对局域网内部资源的访问能力,进而保障这些资源的安全性。
计算机网络实验-ACL配置
visualstu的博客
01-22 992
实验使用软件:Cisco Packet Tracer 6.0实验得分:19/20。
ACL技术,NAT技术,园区网组网
weixin_67259816的博客
10-24 1262
ACL技术解决了网络安全的问题;NAT技术解决了IPV4公网地址枯竭的问题; 园区组网是我们现在工作和生活所使用的的网络,主流为有线,无线为辅助。
思科软件校园网网络规划与实现(组网综合实验
XLB
02-19 3216
(1)校园核心交换机的链路汇聚:“校园网核心交换机”上需要设置4组聚合端口,即,gig1/0/1和gig1/0/2组合为聚合端口1对应于“行政楼汇聚交换机”,gig1/0/3、gig1/0/4和gig1/0/5组合为聚合端口2对应于“教学楼汇聚交换机”,gig1/0/6、gig1/0/7和gig1/0/8组合为聚合端口3对应于“学生宿舍汇聚交换机”,gig1/0/9和gig1/0/10组合为聚合端口6对应于“网管机房服务器汇聚交换机”。同时,由于教学楼有教学监督的视频监控需要,需要的信道较宽,所以。
配置ACL包过滤防火墙典型实验
zszfs的博客
10-25 2972
配置ACL包过滤防火墙
cisco-宿舍组网
qq_69814495的博客
04-01 1547
可以很大程度的节省公有IP地址的应用、也能处理编址方案重叠的情况、网络发生变化的时候也不需要重新编址、还能隐藏真实的IP地址、因为内部网络访问公有地址是用的路由器出口处的公有地址的IP,接收信息的时候也是发送给这个公有地址的IP,而不是私有地址的IP,可以很大程度的保护用户的隐私以及安全。当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同 的内部计算机中。将ip配置好,然后点击服务中的FTP,将服务开启后,设置好用户名和密码(注意,密码需要七位),然后点击添加。
基于eNSP+软考中级各类组网技术/综合实验
热门推荐
m0_46179473的博客
03-26 1万+
由于华为近几年在国内的市场越来越大,网络工程师中的组网技术的题目都由思科变为了华为,所以华为的设备还是有必要学习一下的了;由于本文章只提供,在设计过程中的关键技术与设计笔记(可根据以下所提供的设计与实现步骤一步一步自行实现(每一条命令都是关键的命令);但是如果有需要的也可以根据以下地址进行下载完整的topo图和完整的配置进行参考与借鉴 [配套资源:基于eNSP+软考中级各类组网技术/综合实验网络规划topo图及其相应实验的配套软件.rar]
网络工程与组网技术所有单项目实验 路由实验
06-18
路由 RIP ERGIP RGIP OSPF VLAN PPP DHCP ACL NAT 等 一系列的实验配置 要求使用 Cisco Packet Tracer 5.3
典型中小企业组网实例
02-04
典型中小企业组网实例,申请一个公网IP和10M带宽,一台CISCO路由器,WEB服务器,文件服务器,FTP服务器等,客户端办公电脑,300台左右,多部门划分VLAN,用ACL控制各部门访问权限,配置网络打印机
中小企业典型组网案例
01-09
典型中小企业组网实例,申请一个公网IP和10M带宽,一台CISCO路由器,WEB服务器,文件服务器,FTP服务器等,客户端办公电脑,300台左右,多部门划分VLAN,用ACL控制各部门访问权限,配置网络打印机。
计算机组网技术试题(答案).pdf
10-10
在 Cisco 交换机中,show interfaces trunk 命令用于显示中继链路的配置状态。 6. 交换机上,2-1001 VLAN 是默认可以修改和删除的。在交换机中,VLAN 是一种逻辑网络,用于将大型网络划分为小型网络,以便更好地...
Cisco 中小企业网络结构设计案例
10-14
Cisco 中小企业网络结构设计案例 设计思路: 1、 路由器上配置NAT转换,默认路由至ISP,静态路由至三层交换机 2、 三层交换机上划VLAN,实现VLAN间路由,至路由器默认路由; 3、 三层交换机上做ACL列表演,写实现...
网络安全实验BUAA-全套实验报告打包
m0_62165705的博客
06-07 452
网络安全实验1,路由器配置地址和子网掩码后,路由器默认只知道直连的网段,即同一网段的主机之间可以相互通信,但分属于不同网段的主机之间还无法通信,因此需要进一步配置路由器实现整个网络的互连互通,方法是。BUAA网络安全实验1。
网络安全技术实验一 信息收集和漏洞扫描
zzzfff__的博客
06-09 972
了解信息搜集和漏洞扫描的一般步骤,利用Nmap等工具进行信息搜集并进行综合分析;掌握TCP全连接扫描、TCP SYN扫描的原理,利用Scapy编写网络应用程序,开发端口扫描功能模块;使用漏洞扫描工具发现漏洞并进行渗透测试。
✊构建浏览器工作原理知识体系(网络协议篇)
最新发布
坚信万物皆可切的切图仔
06-11 742
正如上面所说,为了保证数据的可靠传输和顺序传输,以及进行流量和拥塞控制,发送请求之前需要先建立TCP连接。Socket:由 IP 地址和端口号组成序列号:用来解决乱序问题等窗口大小:用来做流量控制所以在发送请求之前,客户端和服务端需要先相互发送TCP报文学如逆水行舟,不进则退~加油吧少年👊👊👊先看后赞,养成习惯👍点个关注,不要迷路🪤。
htb_office
weixin_62621015的博客
06-08 1007
hack the box windows
思科模拟器acl实验
08-13
在你的实验中,你配置了一个标准ACL,但在对端PING返回方面遇到了问题。 根据你提供的引用和,你配置了两个不同的ACL实验。第一个实验中,你配置了一个标准ACL,并禁止了192.168.10.0网段的路由通过。然后,在接口...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值