ACL的简单应用

应用场景描述:<?xml:namespace prefix = o />

随着公司网络建设的开展，对网络的安全性也要求越来越高，因此需要在路由器上应用访问控制列表进行控制.

实验使用命令：

1：access-list 1-99 permit/deny 源地址 反码

2：access-list 100-199 permit/deny protocol 源地址 反码 目的地址 反码 关键字（http,ftp,telnet,www,dom   eq21,23,25,53 69,80）

3. access-list 1-199 permit/deny any( protocol any any)

4：ip access-group 1<?xml:namespace prefix = st1 />-199 in/out

5. sh access-list

6. sh  ip int 接口号

7. ip access-list standard/extended name

8. 要取消访问控制列表时应先取消接口的应用

No  ip access-group 1-199 in/out

No  access-list 1-199 permit/deny ………

实验步骤：

r1的配置：

ena

conf t

hostname r1

int e0/0

ip add 12.12.12.12 255.255.255.0

no sh

exit

int loop 0

ip add 192.168.1.1 255.255.255.0

exit

router ospf 1

net 192.168.1.0 0.0.0.255 area 1

net 12.12.12.0 0.0.0.255 area 1

***************************************

r2的配置：

ena

conf t

hostname r2

int e0/0

ip add 12.12.12.21 255.255.255.0

no sh

exit

int e0/1

ip add 23.23.23.23 255.255.255.0

no sh

exit

int loo 0

ip add 192.168.2.1 255.255.255.0

exit

router ospf 1

net 192.168.2.0 0.0.0.255 area 1

net 12.12.12.0 0.0.0.255 area 1

net 23.23.23.0 0.0.0.255 area 1

exit

R3的配置：

ena

conf t

hostname r3

int e0/0

ip add 23.23.23.32 255.255.255.0

no sh

exit

int loop 0

ip add 192.168.3.1 255.255.255.0

exit

int e0/1

ip add 159.226.139.150 255.255.255.0

no sh

exit

router ospf 1

net 192.168.3.0 0.0.0.255 area 1

net 23.23.23.0 0.0.0.255 area 1

1,标准ACL

要求:站点1内的机器192.168.1.1可以访问外网，而机器192.168.1.2却是被拒绝的

思考：应该在哪一个路由器上实现，应该如何写acl，应该把acl应用到路由器的哪一个接口，为什么？

r3

ena

conf t

access-list 1 deny 192.168.1.2  host

access-list 1 permit any

int e0/0

ip access-group 1 in

测试手段：结合扩展ping作相应测试

***********************************************************

2，扩展acl

要求：网络管理员能够在外网通过telnet 的方式管理内部的设备，外网用户不能访问内网的http服务，

为了防止外网用探测内部主机和dos***，还需要拒绝外网的用户ping 内部机器

思考：应该在哪一个路由器上实现，应该如何写acl，应该把acl应用到路由器的哪一个接口，为什么？

R3

access-list 110 deny tcp any 192.168.0.0 0.0.255.255 eq 80

access-list 110 deny tcp any 12.0.0.0 0.255.255.255 eq 80

access-list 110 deny tcp any 23.0.0.0 0.255.255.255 eq 80

access-list 110 deny icmp any 192.168.0.0 0.0.255.255 echo

access-list 110 deny icmp any 12.0.0.0 0.255.255.255 echo

access-list 110 deny icmp  any 23.0.0.0 0.255.255.255 echo

access-list 110 permit ip any any

int e0/1

ip access-group 110 in

exit

*****************************************

转载于:https://blog.51cto.com/jasonyuan/84710