ACL配置

最新推荐文章于 2025-07-28 09:30:58 发布
原创 最新推荐文章于 2025-07-28 09:30:58 发布 · 1k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#思科 #路由器 #ACL

本文档详细介绍了如何配置访问控制列表(ACL),以允许学院的PC机仅访问学校服务器上的WWW服务,同时阻止其他所有通信,包括ICMP。实验涉及配置Cisco路由器接口IP地址、OSPF协议,并验证ACL配置。通过实验,作者掌握了接口配置和ACL的验证。 
         ACL配置

实验目的

通过本实验,可以掌握以下技能:

  1. 配置接口IP地址。
  2. 配置访问控制列表。
  3. 验证访问控制列表的配置。

设备需求

  • Cisco路由器3台,分别命名为R1、R2和R3。
  • 1台access server。

  • 1台PC机。

    拓扑结构及配置说明

学院出口路由器R2与学校路由器R3之间通过串口连接。学校服务器上有各种服务,比如WWW、FTP、TELNET等。现为了网络安全,仅允许学院PC机访问学校服务器上的WWW服务,其他一概拒绝,包括ICMP协议(即不允许从PC机ping服务器)。各路由器使用的接口及其编号见图所示的标注。
实验的拓扑结构如图所示
这里写图片描述

各接口IP地址分配如下:
PC机IP:172.16.1.2 子网掩码:255.255.255.0 网关:172.16.1.1

R1 Fa0/0端口IP:172.16.1.1子网掩码:255.255.255.0

R1 Fa1/0端口IP:172.16.2.1子网掩码:255.255.255.0

R2 Fa0/0端口IP:172.16.2.2子网掩码:255.255.255.0

R2 Se2/0端口IP:172.16.3.1子网掩码:255.255.255.0 时钟频率64000

R3 Se2/0端口IP:172.16.3.2子网掩码:255.255.255.0

R3 Fa1/0端口IP:172.16.4.2 子网掩码:255.255.255.0 网关:172.16.4.1

实验配置

1. 基本网络配置

根据上述IP地址配置好基本网络配置。

R1:

R1 Fa0/0端口IP:172.16.1.1子网掩码:255.255.255.0

R1 Fa1/0端口IP:172.16.2.1子网掩码:255.255.255.0

AoChengKaoRA>enable
AoChengKaoRA#config t
Enter configuration commands, one per line.  End with CNTL/Z.
AoChengKaoRA(config)#hostname AoChengKaoRA
AoChengKaoRA(config)#int fa0/0
AoChengKaoRA(config-if)#ip address 172.16.1.1  255.255.255.0
AoChengKaoRA(config-if)#no shut down
AoChengKaoRA(config-if)#
%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

AoChengKaoRA(config-if)#int fa1/0
R1(config-if)#ip address  172.16.2.1  255.255.255.0
R1(config-if)#no shut  down
R1(config-if)#
%LINK-5-CHANGED: Interface FastEthernet1/0, changed state to up

AoChengKaoRA(config-if)#exit
AoChengKaoRA(config)#router rip
AoChengKaoRA(config-router)#network  172.16.1.0
AoChengKaoRA(config-router)
最低0.47元/天 解锁文章

新学期VIP享超值加赠
acl配置
安静的一个人
07-18 4293
1 配置 基本acl配置案例 配置基本acl步骤 配置规则生效时间段 执行命令system-view,进入系统视图。 执行命令time-rangetime-name{start-timetoend-time{days} &<1-7> |fromtime1date1[totime2date2] },创建一个时间段。 创建基本ACL 执行命令acl{ [n...
ACL配置
weixin_44029504的博客
01-28 2058
ACL 访问控制列表 一、Cisco: 作用: 1.访问控制—在路由器流量的进或出接口上,匹配流量;之后对流量进行动作,拒绝或允许; 2.定义感兴趣流量—为其他的策略抓取流量; 匹配规则: 至上而下逐一匹配,上条匹配按上条执行,不再查看下条,末尾隐含拒绝所有; 标准ACL:仅关注数据包中的源IP地址,调用时尽量靠近目标,避免对其他流量误删除; 扩展ACL:关注数据包中的源、目标IP地址,协议号、目...
ACL 访问控制列表全解析:从规则语法到实战配置
最新发布
-曾牛的博客
07-28 1447
语法元素说明示例创建ACL列表,为编号acl 2000(创建基本ACL,编号2000)定义单条规则,<rule-id>为规则编号(需唯一,设备按编号从小到大依次匹配规则)rule 5(创建编号为5的规则)<action>规则动作: -permit:允许匹配的流量 -deny:拒绝匹配的流量deny(拒绝流量)、permit(允许流量)匹配源IP地址: -:源IP(单个IP或网段) -:反掩码(0表示严格匹配该位,255表示任意)(匹配网段)控制逻辑:通过源/目的IP地址和协议类型。
标准ACL基本配置
咸鱼的梦想专栏
07-29 8993
R0上做如下设置: R0(config)#int s0/0 R0(config-if)#no shutdown R0(config-if)#ip add 12.1.1.1 255.255.255.0 R0(config-if)#ip add 12.1.1.3 255.255.255.0 secondary R0(config-if)#end R0#conf ter R0(co...
配置ACL
weixin_64444995的博客
04-13 5560
通过ACL可以实现对网络中报文流的精确识别和控制,达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的,从而切实保障网络环境的安全性和网络服务质量的可靠性。 应用于路由器接口的指令列表,用于指定哪些数据包可以接收转发,哪些数据包需要拒绝。
第八次实验ACL配置实验.docx
05-17
ACL 配置实验报告 本实验报告的主要目的是了解并掌握路由器上的标准 ACL 配置,实现网段间互访的安全控制。通过本次实验,我们可以深入理解包过滤防火墙的工作原理,并掌握路由器上的标准 ACL 规则及配置。 一、...
华为s5700vlan划分和acl配置命令.docx
09-11
### 华为S5700交换机VLAN划分与ACL配置详解 #### 一、华为S5700交换机简介 华为S5700系列交换机是一款多功能、高性能的企业级接入层交换机,支持多种管理和安全特性,如IPv6、PoE+、集成Wi-Fi等,适用于中小型企业...
H3C路由器基本ACL配置案例.doc
12-15
H3C路由器基本ACL配置案例
华为ACL配置.zip
03-08
解压后的文件“华为ACL配置”应该包含网络设备的拓扑结构图,显示了设备间的连接关系,这对于理解流量如何在不同设备间流动至关重要。同时,设备代码部分提供了具体的ACL配置命令,可以复制到华为设备的CLI(命令行...
ACL基本配置
飘雪冰峰的博客
05-28 6154
ACL 基本配置 OSPF 配置 这里以 R3 为例,展示 ospf 的配置。 在 AR3260 系列路由器中,可以正常配置 # R3 IP配置 <Huawei>system-view [Huawei]sysname R3 [R3]q <R3>undo terminal monitor # 屏蔽 terminal 端的打印信息 Info: Current terminal monitor is off. <R3> <R3>system-view En
访问控制列表(ACL)概述
weixin_34208185的博客
06-10 568
技术从来都是一把双刃剑,网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等负面影响。如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。   A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个企业网,并通过一台路由器接入到互联网。在网络核心使用一...
ACL 配置
05-27
### ACL配置的相关信息与最佳实践 #### 标准IPv4 ACL配置 在复杂的网络环境中,访问控制列表(ACL)是管理流量和保障网络安全的重要工具。标准IPv4 ACL可以通过以下方式配置:首先定义一个标准ACL编号范围为1到99或1300到1999[^1]。使用`access-list`命令指定规则,例如允许特定IP地址访问网络: ```cisco access-list 1 permit 192.168.1.1 ``` 随后将此ACL应用到接口上以实现流量过滤: ```cisco interface GigabitEthernet0/0 ip access-group 1 in ``` 以上命令表示在GigabitEthernet0/0接口上应用ACL 1,并对入站流量进行过滤[^1]。 #### 高级ACL配置 高级ACL提供了更灵活的流量控制选项,可以基于源IP、目标IP、协议类型以及端口号等参数设置规则。其编号范围为100到199或20002699[^2]。例如,创建一条规则以允许来自192.168.1.0/24网段的SSH流量: ```cisco access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 22 ``` 然后将该ACL应用到相应的接口上: ```cisco interface GigabitEthernet0/1 ip access-group 101 out ``` 这条命令的作用是对外发流量进行过滤[^2]。 #### VTY线路的安全控制 为了防止未经授权的远程访问,可以通过配置ACL来限制VTY线路的登录来源。例如,仅允许来自特定子网的用户通过Telnet访问设备: ```cisco access-list 150 permit ip 192.168.3.0 0.0.0.255 any line vty 0 4 access-class 150 in ``` 上述配置确保只有192.168.3.0/24网段内的主机能够建立Telnet会话,从而提高安全性[^3]。 #### ACL配置的最佳实践 1. **规划优先**:在实施前详细规划ACL规则,避免因频繁修改导致的混乱。 2. **具体化规则**:尽可能明确地定义规则条件,减少不必要的流量匹配。 3. **顺序敏感性**:注意ACL规则的顺序,因为路由器按照从上到下的顺序逐一检查规则[^2]。 4. **测试验证**:部署后进行全面测试,确保所有预期的流量行为均符合设计要求。 5. **定期审查**:定期检查和更新ACL规则,适应网络环境的变化,保持高效性和安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值