【网络设备配置与管理实验八】ACL 配置

最新推荐文章于 2021-08-27 21:33:11 发布
最新推荐文章于 2021-08-27 21:33:11 发布
阅读量295 收藏 2
点赞数 1
分类专栏: 网络设备配置与管理 文章标签: 网络设备配置与管理 Cisco Packet Tracer ACL配置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ssjjtt1997/article/details/80402452
版权

一、实验目的

通过本实验,可以掌握以下技能:

  • 配置接口IP地址
  • 配置访问控制列表
  • 验证访问控制列表的配置

二、设备需求

  • Cisco路由器3台,分别命名为R1、R2和R3
  • 1台access server
  • 1台PC机

三、拓扑结构及接口IP配置

实验拓扑图如下图所示

实验8拓扑图

学院出口路由器R2与学校路由器R3之间通过串口连接。学校服务器上有各种服务,比如WWW、FTP、TELNET等。现为了网络安全,仅允许学院PC机访问学校服务器上的WWW服务,其他一概拒绝,包括ICMP协议(即不允许从PC机ping服务器)。各路由器使用的接口及其编号见图所示的标注,各接口IP地址分配如下:

PC机IP:172.16.1.2  子网掩码:255.255.255.0 网关:172.16.1.1
R1 Fa0/0端口IP:172.16.1.1子网掩码:255.255.255.0
R1 Fa1/0端口IP:172.16.2.1子网掩码:255.255.255.0
R2 Fa0/0端口IP:172.16.2.2子网掩码:255.255.255.0
R2 Se2/0端口IP:172.16.3.1子网掩码:255.255.255.0 时钟频率64000
R3 Se2/0端口IP:172.16.3.2子网掩码:255.255.255.0
R3 Fa1/0端口IP:172.16.4.1 子网掩码:255.255.255.0
ServerIP:172.16.4.2 子网掩码:255.255.255.0 网关:172.16.4.1

四、实验配置文件

1. 基本网络配置

PC-sjt:

PC-sjt

R1-sjt:

Router>
Router>en
Router>enable 
Router#conf
Router#configure ter
Router#configure terminal 
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#hos
Router(config)#hostname R1-sjt
R1-sjt(config)#int
R1-sjt(config)#interface F
R1-sjt(config)#interface FastEthernet 0/0
R1-sjt(config-if)#ip add
R1-sjt(config-if)#ip address 172.16.1.1 255.255.255.0
R1-sjt(config-if)#no sh
R1-sjt(config-if)#no shutdown 
R1-sjt(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
R1-sjt(config-if)#exit
R1-sjt(config)#int
R1-sjt(config)#interface F
R1-sjt(config)#interface FastEthernet 1/0
R1-sjt(config-if)#ip ad
R1-sjt(config-if)#ip address 172.16.2.1 255.255.255.0
R1-sjt(config-if)#no sh
R1-sjt(config-if)#no shutdown 
R1-sjt(config-if)#
%LINK-5-CHANGED: Interface FastEthernet1/0, changed state to up
R1-sjt(config-if)#

R2-sjt:

Router>en
Router>enable 
Router#conf
Router#configure ter
Router#configure terminal 
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#host
Router(config)#hostname R2-sjt
R2-sjt(config)#ip ad
R2-sjt(config)#inte
R2-sjt(config)#interface F
R2-sjt(config)#interface FastEthernet 0/0
R2-sjt(config-if)#ip ad
R2-sjt(config-if)#ip address 172.16.2.2 255.255.255.0
R2-sjt(config-if)#no sh
R2-sjt(config-if)#no shutdown 
R2-sjt(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up
R2-sjt(config-if)#exit
R2-sjt(config)#int
R2-sjt(config)#interface s
R2-sjt(config)#interface serial 2/0
R2-sjt(config-if)#ip ad
R2-sjt(config-if)#ip address 172.16.3.1 255.255.255.0
R2-sjt(config-if)#cl
R2-sjt(config-if)#clock r
R2-sjt(config-if)#clock rate 64000
R2-sjt(config-if)#no sh
R2-sjt(config-if)#no shutdown 
%LINK-5-CHANGED: Interface Serial2/0, changed state to down
R2-sjt(config-if)#

R3-sjt:

Router>en
Router>enable 
Router#conf
Router#configure ter
Router#configure terminal 
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#hos
Router(config)#hostname R3-sjt
R3-sjt(config)#int
R3-sjt(config)#interface s
R3-sjt(config)#interface serial 2/0
R3-sjt(config-if)#ip ad
R3-sjt(config-if)#ip address 172.16.3.2 255.255.255.0
R3-sjt(config-if)#no sh
R3-sjt(config-if)#no shutdown 
R3-sjt(config-if)#
%LINK-5-CHANGED: Interface Serial2/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to up
R3-sjt(config-if)#exit
R3-sjt(config)#int
R3-sjt(config)#interface F
R3-sjt(config)#interface FastEthernet 1/0
R3-sjt(config-if)#ip ad
R3-sjt(config-if)#ip address 172.16.4.1 255.255.255.0
R3-sjt(config-if)#no sh
R3-sjt(config-if)#no shutdown 
R3-sjt(config-if)#
%LINK-5-CHANGED: Interface FastEthernet1/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to up
R3-sjt(config-if)#

Server-sjt:

Server-sjt

2. 配置路由协议,实现全网通信

R1-sjt:

R1-sjt(config)#rout
R1-sjt(config)#router ei
R1-sjt(config)#router eigrp 100
R1-sjt(config-router)#net
R1-sjt(config-router)#network 172.16.1.0 0.0.0.255
R1-sjt(config-router)#network 172.16.2.0 0.0.0.255
R1-sjt(config-router)#

R2-sjt:

R2-sjt(config)#rou
R2-sjt(config)#router ei
R2-sjt(config)#router eigrp 100
R2-sjt(config-router)#net
R2-sjt(config-router)#network 172.16.2.0 0.0.0.255
R2-sjt(config-router)#
%DUAL-5-NBRCHANGE: IP-EIGRP 100: Neighbor 172.16.2.1 (FastEthernet0/0) is up: new adjacency
R2-sjt(config-router)#network 172.16.3.0 0.0.0.255
R2-sjt(config-router)#

R3-sjt:

R3-sjt(config)#rou
R3-sjt(config)#router ei
R3-sjt(config)#router eigrp 100
R3-sjt(config-router)#net
R3-sjt(config-router)#network 172.16.3.0 0.0.0.255
R3-sjt(config-router)#
%DUAL-5-NBRCHANGE: IP-EIGRP 100: Neighbor 172.16.3.1 (Serial2/0) is up: new adjacency
R3-sjt(config-router)#network 172.16.4.0 0.0.0.255
R3-sjt(config-router)#

3. 配置ACL

R2-sjt:

R2-sjt>en
R2-sjt>enable 
R2-sjt#conf
R2-sjt#configure ter
R2-sjt#configure terminal 
Enter configuration commands, one per line.  End with CNTL/Z.
R2-sjt(config)#ip ac
R2-sjt(config)#ip access-list ex
R2-sjt(config)#ip access-list extended onlypermitwww
R2-sjt(config-ext-nacl)#permit
R2-sjt(config-ext-nacl)#permit t
R2-sjt(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 172.16.4.0 0.0.0.255 eq 80
R2-sjt(config-ext-nacl)#deny ip any any
R2-sjt(config-ext-nacl)#int
R2-sjt(config-ext-nacl)#exit
R2-sjt(config)#int
R2-sjt(config)#interface F
R2-sjt(config)#interface FastEthernet 0/0
R2-sjt(config-if)#ip ac
R2-sjt(config-if)#ip access-group onlypermitwww in
R2-sjt(config-if)#

五、验证实验结果

1. show access-list

该命令显示路由器的所有访问控制列表的内容:

show access-list

2. show run

该命令show run 显示了访问控制列表的内容和所应用的接口:

show run

3. ping指令的使用

在PC上ping 服务器不通,在PC机上可以访问服务器的WWW服务。单击PC机->选择WEB浏览器->在URL地址栏入“172.16.4.2”,应该可以看到服务器上网页的内容:先是使用pc去ping服务器,发现ping不通

ping指令ping不通

ping 172.16.4.2

访问web服务器成功

http://172.16.4.2

六、实验总结

  1. 掌握了配置接口IP地址和访问控制列表
  2. 在配置ACL时需要注意允许和禁止的顺序,如果顺序不当可能导致整个网络出问题
  3. 配置ACL中主要源地址和目的地址的顺序,如果搞反的话也是会使得整个网络出错

七、附件

下面给出该实验的文件

链接:https://pan.baidu.com/s/1bnQ_ZcL-2XCsMqYA8Z61MA 密码:l4gz

Fudo_Yusei
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
路由与交换--ACL基本命令及其实验配置
weixin_30449239的博客
12-23 1165
1 ACL配置 1.1创建 ACL 标准 ACL router(config)#access-list <ACL表号> {permit|deny}{<源IP|host><反掩码>|any} //表号1~99 扩展 ACL router(config)#access-list <ACL表号> {pe...
IPv6 的ACL配置及注意点
weixin_34088583的博客
01-19 5132
IPv6ACL规则如下:1只能使用命名的ACL2 ACL序号匹配由小到大3默认情况下,隐含permit icmp any any nd-na 和permit icmp anyany nd-ns 用于邻居发现协议的邻居通告和邻居请求,允许接口发送和接收IPv6邻居发现包。3结尾默认隐含 deny ipv6 any any 4使用命令ipv6 traffic-filter...
華為ACL配置注意事项
07-26
華為ACL配置注意華為ACL配置注意華為ACL配置注意華為ACL配置注意
ACL配置大全及命令
01-16
ACL能执行两个操作:允许或拒绝。语句自上而下执行。一旦发现匹配,后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。
ACL的几点注意
cucumber_ll的专栏
10-16 547
ACL的几点注意2010/2/24 17:10:58<br />int vlan 1///no ip access-group 1 out///exit///no access-list 1:取消access-list 1,对于非命名的ACL,可以只需要这一句就可以全部取消。注意,在取消或修改一个ACL前,必须先在它所应用的接口上先把应用给no掉,否则会导致相当严重的后果。<br />tcp host 10.1.6.66 any eq telnet:匹配条件。完整格式为:协议 源地址 源wildcards
ACL配置管理——1
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
09-15 1万+
ACL是由一个或多个用于报文过滤的规则组成的规则集合,通过在不同功能上的应用可达到不同的应用效果,如用户登录控制、网络访问控制、QoS流策略、路由信息过滤、策略路由等方面。 华为S系列交换机中,根据ACL所过滤的报文类型和功能的不同又分为多种ACL类型,如基本ACL、高级ACL、基本ACL6、高级ACL6、二层ACL、用户自定义ACL等。ACL6是基于IPv6协议的。 ACL基础 ACL(A
CCNA-acl配置注意事项
qq_35362867的博客
07-01 1689
cisco模拟器下: 在三层交换机或者路由器上配置标准型/扩展型访问控制链路表时, 除了需要用正确的acl语句写入设备外,个人总结了些许注意事项如下:         1.acl配置必须针对单个(设计的)不可分网段否则将会无法在端口或vlan中准确应用生效。 2.扩展型acl只需要在基于源最近的可配置节点的in中配置即可。 3.有序号的acl指令在config t 权限下使用
思科网络技术学院(CCNA)-配置并检验标准 ACL
01-01
• 设置设备以匹配网络拓扑。 • 初始化并重新加载路由器和交换机。 第 2 部分:配置设备并检验连接 • 为 PC 分配静态 IP 地址。 • 在路由器上配置基本设置。 • 在交换机上配置基本设置。 • 在 R1、ISP、R3 上...
思科网络技术学院(CCNA)-配置并检验扩展 ACL
01-01
第 3 部分:配置并检验扩展编号 ACL 和命名 ACL配置、应用并检验编号扩展 ACL。 • 配置、应用并检验命名扩展 ACL。 第 4 部分:修改并检验扩展 ACL 二、 实验准备 • 3 台路由器(支持 Cisco IOS 15.2(4)M3 ...
路由11个基础实验网络设备基本配置管理二VLAN组网配置管理三VLAN间路由配置管理四生成树协议配置与……
最新发布
12-23
网络设备基本配置管理 二VLAN组网配置管理 三VLAN间路由配置管理 四生成树协议配置与 五静态路由组网配置管理 六RIP协议组网配置管理 七单区域OSPF协议组网配置管理...十ACL配置管理 十一NAT配置管理
大三 路由交换作业.zip 实验15 ACL综合练习 实验12 路由配置综合练习3 实验11 路由配置综合练习2
03-29
实验要求: ... 2、192.168.0.0/24网段可以访问server的FTP,其他访问均被拒绝。 ... 4、服务器server可以ping通所有设备,但所有设备不可以ping服务器sever。...本实验可以有哪些不同的设置ACL访问控制列表的方法实现?
最新软考网络工程师配置高频知识点手册
11-17
最新2023年,软考,网络工程师,下午题,实验,华为路由器、交换机,代码配置,高频知识点,91页 重点版,高清!最全! 第一部分:基础实验 实验一:登录华为设备 实验二:ACL 原理及应用 实验三:NAT 原理及应用 ...
ACL权限列表的常见配置
qq_40628106的博客
10-15 1万+
一:什么是ACL:         定义: ACL(Access control  list),即访问控制列表,它是一系列规则的集合,ACL通过这些规则对不同的报文分类,进而对不同的报文进行不同的处理。       ACL的基本原理:它负责管理用户配置的所有的规则,提供报文匹配规则的算法。       ACL规则的匹配: 报文到达设备后,设备从报文中提取信息,并将提取到的报文与ACL规则进行...
ACL配置(十分基础)
konna_H的博客
12-06 8582
ACL----------两者都可以以描述性名称和数字命名 使用通配符掩码,和子网掩码不同,它的0表示精确匹配,非0则表示不用精确匹配的位,即1表示可0可1,2表示有00,01,10,11四种,配合Ip地址使用 --------有两种配置方法,一般用access-list 1-99|100-199 源地址范围 目的地址范围 端口号 1.标准访问控制列表(在使用时尽量放在靠近目的地址的位
了解ACL及其配置方法
wanghaoyang0324的博客
08-27 8577
目录一.ACL概念二.ACL作用三.访问控制列表的调用方向3.1、入接口3.2、出接口四.入接口调用与出接口调用的区别五.访问控制列表的处理原则六.访问控制列表类型6.1、标准访问控制列表6.2、扩展访问控制列表七.ACL配置7.1、项目测试拓扑图7.2、Client客户机设置7.3、二层交换机设置7.4、路由器设置7.5、服务器设置7.6、测试ACL配置 一.ACL概念 ACL——访问控制列表 ACL:访问控制列表(ACL)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许
h3c如何配置acl命令
answan的博客
06-04 1万+
交换机直接用下面的就可以 acl number 3000 rule permit ip source 1.1.1.1 0 destination 2.2.2.2 0 acl number 2000 rule permit ip source 1.1.1.1 0 acl 2000-3000 只能定义源 acl 3000 及以上可以定义源和目标 上面是配置实例 permit是允许 deny是拒绝 定义之后到接口或端口去下发。 Packet in/out 2000 路由器的话略有不同 你要先 fiirwall e
ACL配置步骤及要点
weixin_30284355的博客
05-24 1187
配置步骤 对于这两个子任务而言,ACL配置都应该依照以下两个步骤进行: 1.定义访问控制列表:按照要求,确定任务一使用标准ACL,任务二使用扩展ACL 2.将访问控制列表应用到对应的接口。 配置要点 如果网络中有多个路由器,在配置访问控制列表时,首先,我们需要考虑在哪一台路由器上 配置:其次,应用到接口时,我们需要选择将此访问控制列表应用到哪个物理端口,选择好 了端口就能够决定应用...
CISCO ACL配置详解
热门推荐
奇幻风云
04-29 4万+
什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表的原理 对路由器接口来说有两个方向 出:已经经路由器的处理,正
华为ensp acl配置实验
12-14
为eNSP是一款网络仿真软件,可以用于模拟网络环境,进行ACL配置实验。下面是ACL配置实验的步骤: 1. 创建网络拓扑:在eNSP中创建网络拓,包括交换机、路由器和主机等设备。 2. 配置IP地址:为每个设备配置IP地址,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值