项目11 扩展访问控制列表

最新推荐文章于 2024-01-31 22:10:02 发布
最新推荐文章于 2024-01-31 22:10:02 发布
阅读量213 收藏 1
点赞数 1
文章标签: 智能路由器 网络 网络协议 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sdszoe4922/article/details/134944985
版权

项目11 扩展访问控制列表
总目标:
1.了解IP访问控制列表的功能及用途(做管理—流量控制)
2.掌握IP访问控制列表的配置技术
3.掌握基于时间的访问控制配置技术。
11.1 扩展访问控制列表的建立及应用
项目目标:(IP访问控制列表的功能用途;配置技术)
工作任务:
角色:网络管理员
任务:公司有两个部门技术部JSB和业务部YWB,公司中的服务器角色FTP服务器和WEB服务器。分别属于三个网段,三个网段之间通过路由器进行信息传递(三个网段可以通信—默认路由)
业务部 192.168.1.0
技术部192.168.2.0
服务器192.168.3.0
要求:FTP服务器是技术部专用,业务部不可用。技术部和业务部都可以访问WEB服务器
任务分析:
首先要对路由器配置实现三个网段能通信。
然后要对离控制器校订的路由器RA配置扩展访问控制列表,不允许192.168.1.0网段(YWB)主机发出的FTP数据包到达192.168.3.0网段。(过滤YWB的FTP数据包),允许其他服务的数量流量通过,
最后将这一策略应用于对应的接口上(业务部去外网的入口)
在这里插入图片描述

任务实施:
1.终端设备的基本配置
在这里插入图片描述在这里插入图片描述
2.配置服务器信息
在这里插入图片描述在这里插入图片描述
3.配置WEB服务器
在这里插入图片描述在这里插入图片描述
4、配置路由器
4.1路由器的基本配置(端口和IP地址)
RA(config)#int e1/0
RA(config-if)#ip add 192.168.1.1 255.255.255.0
RA(config-if)#no sh
RA(config-if)#int e1/1
RA(config-if)#ip add 192.168.2.1 255.255.255.0
RA(config-if)#no sh
RA(config-if)#int s0/0
RA(config-if)#ip add 192.168.12.1 255.255.255.0
RA(config-if)#no sh
RA(config-if)#clock rate 64000
RB(config)#int s0/0
RB(config-if)#ip add 192.168.12.2 255.255.255.0
RB(config-if)#no sh
RB(config-if)#int e1/0
RB(config-if)#ip add 192.168.3.1 255.255.255.0
RB(config-if)#no sh
4.2配置默认路由(实现全网能通信)
RA(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2
RB(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.1
网络连通性测试
在这里插入图片描述
业务部能够和192.168.3.0网段的服务器可以通信
在这里插入图片描述
技术部可以和服务器通信
在这里插入图片描述
业务部和技术部可以通信(全网贯通)
5.在路由器上配置扩展访问控制列表
5.1在路由器RA上配置扩展ACL,用于拒绝来自192.168.1.0网段去往192.168.3.0网段的FTP流量
RA(config)#access-list 100 deny tcp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 eq FTP
允许其他的服务的流量能够通过
RA(config)#access-list 100 permit ip any any
5.2 将写好的规则应用于路由器的相应端口上(业务部的入口)
RA(config)#int e1/0
RA(config-if)#ip access-group 100 in
6.验证测试
6.1用业务部YWB访问FTP服务器情况如下
在这里插入图片描述
扩展访问控制列表ACL100拒绝成功
在这里插入图片描述
技术部的ckh用户FTP登录成功,但是他的权限不可用查看list
在这里插入图片描述
技术部的xw用户具有全权限,可以查看如上图所示。
业务部是不可用访问服务器网段的FTP服务器测试成功,技术部的用户可以访问FTP服务器。再测试业务部的用户是否可以访问WEB服务器
在这里插入图片描述在这里插入图片描述
小结:技术部可以访问192.168.3.0网段的两个服务器,但业务部只能访问WEB服务不能访问FTP服务器,实验成功。

sdszoe4922
关注
ACL——扩展访问控制列表
Yplayer001的博客
10-15 2303
(2) 扩展ACL(表号取值范围100-199) 第一步:定义访问控制列表 命令格式:access-list access-list-number { permit |deny } protocol {source source-wildcard destination destination-wildcard} [operator operan] 第二步:应用到某一个接口上 命令格式:...
扩展访问控制列表(ACL)
Joker的博客
02-01 1668
说明: 本实验采用华为模拟器(ensp),路由器使用AR3260等器材,华为模拟器在配置扩展ACL时,如果没有说明执行规则的顺序,则默认使用的config,即按照rule-id的从小到大的顺序匹配规则,并且,值得注意的一点是,如果前面的规则都没有匹配到,那么就会匹配隐含的规则,华为模拟器隐含的规则不同于思科,华为模拟器隐含规则是允许所有的ip通过,即permit any 实验拓扑图如下: 实验操...
计算机网络扩展访问控制列表
weixin_43892219的博客
06-26 1209
课程设计目的: 你是一家企业的网络管理员,企业中有相同局域网的主机连接在不同的交换机中,你需要实现让连在同一个局域网或连在同一个交换机尚德主机能够互通,同时在3560-24PS交换机上连着企业提供的Web和FTP的服务器,企业规定VLAN10局域网只能对服务器进行FTP访问,不能进行Web访问,VLAN 20则没有此限制。 课程设计任务: 利用VTP技术实现全网互通,并且限制VLAN10局域网访问服务器web。 任务1:按图所示的网络拓扑图在PT环境中建立相应的拓扑图:对其中的各
扩展访问控制列表配置
生活不易,喵喵叹气
12-11 1636
设置扩展访问控制列表路由器应尽可能靠近数据包所送达的目的主机端,这样可以直接对数据包进行过滤
思科Cisco路由器access-list访问控制列表命令详解终稿.pdf
02-26
扩展型IP访问列表是思科Cisco路由器access-list访问控制列表命令的高级形式。其格式如下: access-list [list number] [permit|deny] [source address] [address] [wildcard mask] [protocol] [port] 其中,list ...
计算机网络实验报告(7)访问控制列表ACL配置实验.doc
07-07
4. 在R2上配置编号的IP扩展访问控制列表。 5. 将扩展IP访问控制列表应用到接口上。 6. 验证主机之间的互通性。 实验结果: 标准IP访问控制列表配置: * PC0:可以Ping到PC1和PC2 * PC1:可以Ping到PC0和PC2 * PC2...
C#中的快速访问控制列表
04-11
在C#编程环境中,快速访问控制列表(Access Control Lists,ACLs)是权限管理的核心机制。这篇文章的主题“C#中的快速访问控制列表”探讨了如何高效地实现基于角色的访问控制,这对于大型企业级应用程序或者安全性...
ACL访问控制列表的应用[参照].pdf
10-11
2. 扩展访问控制列表(Extended ACL) 扩展ACL则更为灵活,除了源IP地址外,还可以基于目的IP地址、协议类型、端口号以及TCP/UDP标志等进行过滤。其编号范围是100到199。例如,创建一个允许192.168.1.0/24网段访问...
思科Cisco路由器access-list访问控制列表命令详解.docx
10-25
access-list访问控制列表命令可以分为标准型IP访问列表扩展型IP访问列表两种,下面将对这两种类型进行详细解释。 标准型IP访问列表命令格式如下: access-list [list number] [permit|deny] [source address] ...
ACL扩展IP访问控制列表配置
xtggbmdk的博客
03-27 7951
一、实验目标 理解扩展IP访问控制列表的原理及功能; 掌握编号的扩展IP访问控制列表的配置方法; 二、实验背景 分公司和总公司分别属于不同的网段,部门之间用路由器进行信息传递,为了安全起见,分公司领导要求部门主机只能访问总公司服务器的WWW服务,不能对其使用ICMP服务。 三、技术原理 访问列表中定义的典型规则主要有以下:源地址、目标地址、上层协议、时间区域; 扩展IP访问列表(编号为...
15. 扩展IP访问控制列表配置
NDHuaErFeiFei的博客
04-21 1778
转载于:http://7c0bab95.wiz03.com/share/s/1Y2WKl218k5e2gpBCl2BeEsq2JBmkw26o4Uq2o65c805P767 扩展IP访问控制列表配置 实验目标 理解标准IP访问控制列表的原理及功能; 掌握编号的标准IP访问控制列表的配置方法; 实验背景 你是公司的网络管理员,公司的经理部、财务部们和销...
ACL(标准/扩展访问控制列表)
ITwang1的博客
08-28 3667
一 定义及作用 定义:它是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。 作用:读取三层四层信息,根据预先定义好的规则对流量进行过滤,筛选。 三层信息包括(源目IP) 四层信息包括(tcp/udp协议 源目端口号) 二 ACL的处理原则 调用ACL的出入接口区别 出:已经被本地路由器处理过了,流量将离开本地路由器; .
扩展访问控制的应用
angle1020的博客
05-15 756
项目目标(1)了解IP扩展访问控制列表的功能及用途工作任务你是某公司的网络管理员,公司有两个部门,分别为技术部和业务部,公司的网络中心分别架设FTP 、WEB服务器,其中FTP服务器供技术部专用,业务部不可使用。技术部和业务部都可以访问WEB服务器,FTP及web服务器、技术部、业务部分属3个不同的网段,三个网段之间通过交换机进行信息传递,要求你对交换机进行适当的设置,从而实现网络的数据流量...
扩展ACL
k0sec的安全路
08-02 456
2、做扩展ACL允许192.168.10.100访问WEB服务器,拒绝ping服务器,并在扩展ACL表中插入序号为15的策略(对IP为192.168.10.101的主机拒绝web访问,允许ping服务器)。 未配置ACL: 配置: guohuanxin-R1(config)#access-list 101 permit tcp host 192.168.10.100 host 76.12.3...
Cisco-命名ACL访问控制列表
最新发布
可惜已不在
01-31 1254
网络已经成为了我们生活中不可或缺的一部分,它连接了世界各地的人们,让信息和资源得以自由流动。随着互联网的发展,我们可以通过网络学习、工作、娱乐,甚至是社交。因此,学习网络知识和技能已经成为了每个人都需要掌握的重要能力。本课程博主将带领读者深入了解网络的基本原理、结构和运作方式,帮助读者建立起对网络的全面理解。我们将介绍网络的发展历程、网络的分类和组成、网络安全和隐私保护等内容,帮助读者掌握网络知识,提高网络素养。
扩展访问控制列表
sdszoe4922的博客
12-11 378
在距离控制源地址较近的RA配置IP扩展访控ACL,不允许192.168.1.0网段(业务部)发出的数据的FTP数据包通过去192.168.3.0网段(过滤192.168.1.0网段终端FTP数据包【通往192.168.3.0】;允许192.168.1.0网段的主机发出的其他服务数据包通过,最后讲这个策略加到路由器的相关的接口上(YWB和路由器的接口)【补充:所做策略必须应用于对应的接口上】小结:扩展ACL可以很好的细分访问控制的对象以及流量的控制情况得以实现。2.掌握路由器IP扩展访问控制列表的配置技术。
扩展IP访问控制列表配置
汝严君
10-23 2070
访问列表中定义的典型规则主要有以下:源地址、目标地址、上层协议、时间区域;扩展IP访问列表(编号100-199、2000、2699)使用以上四种组合来进行转发或阻断分组;可以根据数据包的源 IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。在三层交换机上划分vlan,设置vlanIP地址,并将各个端口划分到对应的vlan中,并开启三层交换机的路由功能。测试结果发现192.168.2.0/24网段能访问web服务器不能访问ftp服务器,掌握编号的标准IP访问控制列表的配置方法。
17 扩展IP访问控制列表配置
m0_47110032的博客
05-20 2718
扩展IP访问控制列表配置
配置路由器NAT接入Internet:访问控制列表与动态NAT
"创建一个访问控制列表来标识要转换的主机-项目五接入Internet" 在配置网络访问时,尤其是涉及到内外部网络的交互,如接入Internet,NAT(网络地址转换)是一个关键的技术。NAT允许内部网络的设备使用私有IP地址与...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值