标准ACL配置练习

已于 2022-06-14 10:24:13 修改
阅读量1.1k 收藏 9
点赞数
分类专栏: 网络 文章标签: 网络
于 2022-06-13 17:32:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50339832/article/details/125264193
版权

目录

第一章:实验准备

第二章:实例分析

第一节:实例分析1

第二节:实例分析2

第三节:实例分析3

第三章:补充知识

第一章:实验准备

第一步:搭建TOP

先按照下图搭建好实验环境

第二步:配置

请按照下表将网络中设备做好相应配置:

PC配置:

PC机

IP地址

网关

PC1

192.168.10.1/24

192.168.10.100

PC2

192.168.20.1/24

192.168.20.100

PC3

192.168.30.1/24

192.168.30.100

路由器配置:

1.路由器上接口地址请按下表规划:

设备

接口编号

IP地址

R1

F0/0

12.1.1.1 /24

F0/1

192.168.10.100 /24

F0/2

192.168.20.100 /24

R2

F0/0

12.1.1.2 /24

F0/1

192.168.30.100 /24

2.配置好IP地址后,再为路由器配好路由条目,实现全网互通。

第三步:测试

配置完成后,测试三台PC是否已经能正常通信,确保配置无误:

(将你测试的截图粘在下方)

PC2 ping PC3:

 

第二章:实例分析

经过第一章的配置,你已经实现了全网PC互相通信。这一章分为三个实例,前两个实例会教你如何通过配置标准ACL来限制用户之间的访问;最后一个实例,会带你理解ACL的一个特性”不能对本路由器产生的数据包生效“

第一节:实例分析1 

这一节以实现“不允许PC1访问PC3”这个效果为例子,带你具体分析ACL的配置过程。配置ACL主要有以下几个配置步骤:

1.确定部署位置;

2.匹配对应流量;

3.决定调用接口和方向;

4.查看及测试。

下面将带你具体分析每一个步骤:

第一步:确定部署位置

这一步是决定你要在哪台设备上部署ACL。

在选择部署ACL的设备时,需要注意以下两个原则:

1.必须是对应流量所经过的设备上;

2.尽量选择离流量源头最近的设备上去部署。

PS:请你简要说明一下,为什么ACL最好在离流量源头最近的设备上配置?

原因:数据的流量经过路由器时在最近的地方截停,减少不必要的开销。

根据以上两个原则,我们最终选择在R1上部署这个ACL。

第二步:匹配对应流量

匹配对应流量,即配置ACL条目,参考配置命令如下:

注:

1、红框1表示的是ACL的编号,不同的编号对应不同的策略;标准ACL编号范围为“2000-2999”,这里使用编号为5

2、实验要求效果为“不允许PC1访问PC3”,因此使用deny;

3、拒绝的源地址,可以通过反掩码匹配一个地址范围,也可以只匹配一个主机地址。

参考上述配置在你的实验台上做好配置,要求只匹配PC1一个主机地址:

(将你配置的截图粘在下方)

第三步:决定调用接口和方向

在设备上配置好ACL后,还需要在接口上调用才能生效。调用配置如下:

观察上图配置,你会发现,在接口调用ACL时,需要选择in或out方向。“in”表示流量在这个接口进入时启用ACL,“out”表示流量从这个接口出去时启用ACL。所以使用“in”还是“out”需要看流量从这个接口经过的方向而决定。

如上图所示,PC1访问PC3的流量经过路由器R1时,会从F0/1接口进入(in),从F0/0接口出去(out)。根据这个流量走向写出你在R1的F0/1或者F0/0接口上调用ACL的配置:

(将你的配置截图粘在下方)

第四步:查看和测试

完成上述配置步骤后,通过命令“display acl 2000”可以查看ACL。

(将你查看的截图粘在下方)

查看无误后,可以进行测试了:

(将PC1 Ping PC3的结果截图粘在下方)

测试结果为“time out“,说明数据包被强行阻止,ACL已经生效。

为了不影响后续实例的分析,在R1上将你配置的ACL删除后,再继续后续实例。删除配置过程如下:

1.在路由器上删除ACL

2.在接口上删除ACL的调用

删除ACL后,再查看ACL情况:

(将查看的截图粘在下方)

在接口删除 调用acl信息

[AR1-GigabitEthernet0/0/0]undo traffic-filter inbound

在路由器上删除ACL条目

[AR1]undo acl number 2000

第二节:实例分析2

这一节实例依然采用上一节的TOP结构,要求实现“仅PC1可以访问PC2“,下面请你按照ACL的配置步骤去配置ACL,以实现实验要求。

第一步:确定部署位置

按照ACL的部署原则,选择你配置ACL的设备。写出你选择部署的位置和原因:

第二步:匹配对应流量

考虑:实验要求是“仅PC1可以访问PC2“,也就是说网络中PC3以及其他所有设备都不可以访问PC2.根据这个要求,你觉得使用”deny“还是”permit“参数比较好?说出你的选择和理由:

写出你的ACL配置,要求用“permit“参数实现

(将你的配置截图粘在下方)

第三步:决定调用接口和方向

根据上一个实例,你已经掌握”in”和“out”方向的使用,现在请你选择接口做相应配置:

(将配置截图粘在下方)

第四步:查看和测试

先查看ACL:

(将查看结果粘在下方)

测试分为两个部分:

PC1 Ping PC2:

PC3 Ping PC2:

玉米同学
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
实验28:配置标准ACL
TXTbaby的博客
03-25 1019
实验拓扑: 实验目标: 1、学会配置编号标准ACL; 2、学会配置命令标准ACL; 3、理解命名ACL的优点。 实验步骤: 1、配置全网OSPF路由协议,实现全网通信; 2、部署合适的编号标准ACL,实现PC0不能访问S0,其他均可正常访问; 3、使用命令标准ACL完成此实验。 实验配置: 1、配置OSPF (1)配置R1的OSPF: (2)配置R2的OSPF: (3)PC0测试全网通信: (a)PC0测试S0的通信: (b)PC0测试PC1的通信: 2...
网络工程实验标准ACL配置
shelbytt的博客
06-14 3185
一、实验目的 掌握利用ACL控制数据流的方法 二、实验原理 1、ACL(Access Control List,访问控制列表),简单说就是包过滤,根据数据包的报头中的ip地址、协议端口号等信息进行过滤。利用ACL可以实现安全控制。编号:1-99 or 1300-1999(standard IP),100-199 or 2000-2699(Extended IP)。ACL并不复杂,但在实际应用中的,要想恰当地应用ACL,必需要制定合理的策略。 2. ACL配置的基本原则 (1)最小权限原则。 只满
ACL-基础ACL命令及配置练习
最新发布
little_startoo的博客
04-08 1098
ACL-基础ACL命令及配置练习
ACL练习
weixin_34352449的博客
09-07 198
首先要在各个路由上运行路由协议,以保证各个路由能相互ping通。 要求: 1.只允许R3和R2通信,不允许R1和R2通信。 R0(config)#access-list 1 deny host 192.168.1.2 R0(config)#access-list permit any R0(config)#int s0/1 R0(con...
acltext练习
lixu3011的博客
04-05 260
1.新建用户并满足以下条件 1)asasin,uid=2000 [root@foundation152 kiosk]# useradd -u 2000 asasin 2)sareo,uid=2001 [root@foundation152 kiosk]# useradd -u 2001 sareo 3)这两个用户都属于deho组 [root@foundation152 kiosk]#
ACL决策练习
qq_44685426的博客
11-16 383
需求分析: ping:PC1不能ping通R1,但是可以ping通R2;PC2可以ping通R1,但是不能ping通R2 telnet:PC1不能telnet成功R2,但是可以telnetR1;PC2可以telnetR2,但是不能telnetR1 解: 此时分析需要进行的ACL决策为高级ACL,因为已经给定了源ip和目标ip 对于给出的三个接口,此时需要选择R1的g0/0/0口,因为此时为了不浪费资源,所以选择R1的g0/0/0口的inband 思考:R1有两个接口G0/0/0和G0/0...
ACL模块H3C真题练习
MAY的博客
05-10 926
对进出的数据包逐个过滤,丢弃或允许通过 ACL应用于接口上,每个接口的出入双向分别过滤 仅当数据包经过一个接口时,才能被此接口的此方向的ACL过滤
访问控制列表ACL配置教程
10-01
- 根据需要过滤的流量类型选择合适的ACL类型,标准ACL用于简单的IP地址过滤,扩展ACL则适用于复杂的过滤需求。 ACL在QoS(Quality of Service)中也有应用,可以设置某些数据包的优先级,确保关键流量优先传输。...
CISCO交换机的ACL配置练习[文].pdf
10-12
CISCO交换机的ACL配置练习 CISCO交换机的ACL(访问控制列表)配置练习是一种网络管理技术,旨在控制网络流量,确保网络安全。ACL可以根据需要允许或拒绝来自特定网络、子网或主机的通信流量。 在CISCO交换机中,...
ACL 实际控制练习
02-17
- **更新和维护**:网络策略可能随时间变化,因此需要定期检查和更新ACL配置。 通过这个练习,我们可以深入理解如何利用ACL来实现复杂的网络访问控制,同时提高网络安全性。掌握这些技能,对于网络管理员来说是必不...
华为模拟器eNSP练习题-ACL
01-04
实验需要的网络拓扑,配置命令,topo
第八次实验ACL配置实验.docx
05-17
2. 练习使用 Packet Tracer 模拟软件配置 ACL 3. 掌握路由器上标准 ACL 的规则及配置 4. 掌握通过路由器标准 ACL配置实现网段间互访的安全控制 二、实验内容 1. 实验器材:计算机—Cisco Packet Tracer(Router...
ACL配置实验.doc
05-10
这验证了标准ACL配置的有效性。 接着,我们移除了之前的标准ACL,以进行扩展ACL配置。扩展ACL标准ACL更精细,可以基于协议、端口等具体信息进行过滤。在这里,我们创建了编号为101的扩展ACL,允许10.10.1.0/24...
企业网网络设备综合配置练习
04-03
这个练习涵盖了网络基础、VLAN管理、路由配置、安全策略和性能优化等多个方面,对于提升网络工程师的实践技能至关重要。通过这样的练习,你可以深入理解企业网络的架构和管理,为实际工作打下坚实基础。
实验:使用基本ACL限制公司网络访问.docx
11-09
在本实验中,我们主要关注基于IP地址的标准ACL,它主要用于控制网络流量,通过对源IP地址的匹配来决定数据包的转发或丢弃。每个ACL可以包含多个规则,每个规则都有明确的允许或拒绝行为。 实验的步骤分为以下几个...
ACL基础习题配置
WangandTang的博客
12-25 3240
第一步 配置ip和缺省 第二步 扩展配置 设置Telnet [r1]aaa 进入aaa服务 [r1-aaa]local-user panxi privilege level 15 password cipher 123456 设定账号和密码 [r1-aaa]local-user panxi service-type telnet 定义账号的功能 [r1-aaa]q [r1]user-interface vty 0 4 [r1-ui-vty0-4]authenticat...
acl基础实验练习
qq_62331653的博客
07-24 168
首先按照拓扑图上的ip地址配置好ip,R1和R2上各有一个环回,然后用静态路由让全网可达,pc1如果要telnetR1必须在R1路由器上做AAA验证或者密码验证,R2也同样如此。此处也必须用扩展acl,并把这张表架在R1的g0/0/0接口,扩展acl表的位置要选择靠近源。
访问控制列表ACL练习
weixin_44558065的博客
06-13 4485
1访问控制列表配置中,操作符“gt portnumber”表示控制的是_____________。 A、端口号小于此数字的服务 B、端口号大于此数字的服务 C、端口号等于此数字的服务 D、端口号不等于此数字的服务 正确答案: B 我的答案:B 得分: 3.1分 2某台路由器上配置了如下一条访问列表 acess-list 4 permit 202.38.160.1 0.0.0.255 acess-list 4 deny 202.38.0.0 0.0.255.255表示___________。 A、只禁止源地址
2022软考网工下午配置题(ACL)
Pluto1215777的博客
04-24 974
软考网工ACL配置
标准acl和扩展acl配置
10-22
ACL(Access Control List)是一种网络安全技术,用于控制网络流量,限制网络中的数据包传输。标准ACL和扩展ACL是两种常见的ACL类型。标准ACL只能根据源IP地址来过滤数据包,而扩展ACL可以根据源IP地址、目的IP地址、协议类型、端口号等多种因素来过滤数据包。在配置标准ACL时,需要注意靠近目的IP,避免误伤;而在配置扩展ACL时,需要接近源IP,以节省带宽。在配置ACL时,需要注意ACL的编号有限制,如传统的标准ACL用1〜99表示,扩展ACL用100〜199表示。同时,ACL的具体作用需要通过阅读具体的条目来了解。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值