运维系列&网路设备系列【仅供参考】:CISCO路由器的ACL的各项设置

已于 2025-06-21 12:52:28 修改
阅读量788 收藏 30
点赞数 22
CC 4.0 BY-SA版权
文章标签: 运维 智能路由器
于 2025-06-21 12:40:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_54626591/article/details/148808682

CISCO路由器的ACL的各项设置



CISCO路由器的ACL的各项设置

摘要

本文详细介绍了CISCO路由器的访问控制列表(ACL)设置,包括标准和扩展ACL的类型,以及MAC和时间基ACL。通过实际配置案例,演示了如何限制特定设备的Telnet访问、禁止某些设备ping服务器以及允许特定部门访问Web服务,提供了全面的网络流量控制解决方案。

正文

基础知识:用于网络流量过滤

ACL:access control list,访问控制列表

访问控制:动作:允许(permit)、拒绝(deny)

匹配流量:Qos、VPN感兴趣流量匹配,

用作NAT的转换(私有网络→公网,多对一转换)

ACL种类:

GW(config)#access-list ?
    <1-99>     IP standard access list
      <100-199>  IP extended access list

  1. 标准访问控制列表:(1-99)只检测源IP

  2. 扩展访问控制列表:(100-199)检测源、目的IP地址、源端口、目的端口(TCP/UDP)

  3. 基于MAC的ACL:匹配MAC物理地址

  4. 基于时间ACL:匹配时间戳

配置ACL准备:

确认流量走向,确定应用的接口以及接口方向

确认ACL类型:(原则上标准ACL尽可能接近目的网络;扩展ACL尽可能呢接近源网络)

网络拓扑图:

在这里插入图片描述

IP分配:(省略截图)记得进行配置PC的网关

PC0:192.168.2.1 PC1:192.168.2.2  PC3:192.168.1.1  Server:192.168.100.1
R1:g0/0:192.168.2.254  g0/1:192.168.1.254  Se0/1/0:192.168.3.254
GW(R2):g0/0:192.168.100.254  Se0/1/0:192.168.3.1

R1的OSPF路由配置

R1(config)#router ospf 100
R1(config-router)#router-id 1.1.1.1
R1(config-router)#network 192.168.1.0 0.0.0.255 area 0
R1(config-router)#network 192.168.2.0 0.0.0.255 area 0
R1(config-router)#network 192.168.3.0 0.0.0.255 area 0

GW的OSPF配置:

GW(config)#router ospf 101
GW(config-router)#router-id 2.2.2.2
GW(config-router)#network 192.168.3.0 0.0.0.255 area 0
GW(config-router)#network 192.168.100.0 0.0.0.255 area 0

测试:PC0 ping Server(其他截图省略),成功进行全网互连

在这里插入图片描述

确保PC0、PC1、PC2能够正常访问Server0的WEB服务,只截PC1,其他结果一样

在这里插入图片描述

Gateway配置Telnet远程会话,确保PC0、PC1、PC2能够远程Telnet管理设备,设置密码如下:

  • Telnet密码:telnet

  • Console密码:console

  • enable密码:cisco

GW配置:

GW(config)#line vty 0 4
GW(config-line)#password telnet
GW(config-line)#login 
GW(config-line)#exit
GW(config)#enable password cisco

测试结果,只截图PC3,其他电脑结果一样
在这里插入图片描述

需求一:

只有PC2属于IT部门,限制只有PC2所属网段才能Telnet访问Gateway网关
我使用标准访问控制列表,在line vty上应用:

GW(config)#access-list 10 permit 192.168.1.0 0.0.0.255
GW(config)#line vty  0 4
GW(config-line)#access-class 10 in
GW(config-line)#exit
验证:

PC0:

在这里插入图片描述
PC3:

在这里插入图片描述

需求二:禁止PC0、PC1 ping通Server0

扩展访问控制列表,在R1的G0/0的端口应用

R1(config)#access-list 100 deny icmp 192.168.2.0 0.0.0.255 host 192.168.100.1
R1(config)#access-list 100 permit ip any any
R1(config-if)#int g0/0
R1(config-if)#ip access-group 100 in
验证:

PC0:

在这里插入图片描述

PC3:
在这里插入图片描述

需求三:仅允许PC0、PC1部门访问Server0的Web服务

扩展访问控制列表,在R1的Se0/1/0应用

R1(config)#access-list 120 permit tcp 192.168.2.0 0.0.0.255 host 192.168.100.1 eq 80
R1(config)#access-list 120 deny tcp any host 192.168.1.100 eq www
R1(config)#int s0/1/0
R1(config-if)#ip access-group 120 out
验证:

PC3:

在这里插入图片描述
PC1:

在这里插入图片描述






「已注销」

CISCO路由器的ACL的各项设置

CISCO路由器ACL各项设置
RongChun的博客
05-27 5095
基础知识:用于网络流量过滤 ACL:access control list,访问控制列表 访问控制:动作:允许(permit)、拒绝(deny) 匹配流量:Qos、VPN感兴趣流量匹配, 用作NAT的转换(私有网络→公网,多对一转换) ACL种类: GW(config)#access-list ? &lt;1-99&gt; IP standard access list ...
思科CiscoPT路由器ACL配置实现单向访问
Caijinocz的博客
11-24 4012
问题:配置路由器ACL使PC0不能访问PC1,但可以访问PC2,同时PC1仍可正常访问PC0。即实现PC1对PC0的单向访问。
Cisco 路由器ACL配置详解
12-02
给大家分享下: Cisco 路由器ACL配置详解,很详细,对大家应该有帮助
cisco路由器配置ACL详解
xwchen的专栏
08-19 4202
 什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。访问控制列表使用原则由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过
cisco路由器配置ACL详解+
04-11
cisco路由器配置ACL详解+000000000000000000000000000000000000000000000000000000000000000000000000000000000000000
思科ACL访问控制列表配置命令教程
2301_76845656的博客
05-25 9778
访问控制列表ACL概念访问控制列表简称为ACL,访问控制列表使用包过滤技术,在上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定 义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的 支持了。入:已经到达路由器接口的数据包,但是还没有被路由器处理。出:已经 经过路由器的处理,正要离开路由器接口的数据包标准访问控制列表:一般应用在out出站接口。建议配置在离目标端最近的路由上。
思科网络技术ACL
2301_82114415的博客
04-17 2108
常见的ACL模型包括基于访问控制列表的ACL和基于角色的访问控制列表的ACL。基于访问控制列表的ACL将权限直接分配给用户或用户组,而基于角色的访问控制列表的ACL将权限分配给角色,然后用户被分配到角色中。同时,ACL配置和管理也变得更加灵活和简化。基于硬件的ACLs:最早的ACLs是在网络设备(如路由器和交换机)上实现的,通过对数据包的源地址、目标地址、端口号等进行匹配,来决定是否允许通过。总之,ACLs在网络中的发展主要包括基于硬件和软件的实现、应用层ACLs的发展以及统一的ACLs管理技术的出现。
全面解析:思科路由器配置命令指南
&quot;这篇文档是关于思科交换机和路由器的常用配置命令的全面汇总,旨在帮助网络管理员和操作人员快速查找和应用各种配置指令,提高网络设备的管理和维护效率。&quot; 思科作为全球领先的网络解决方案提供商,其设备配置是IT...
思科配置设备思科路由器采用IKEv2建立IPSec隧道案例
最新发布
Elitepublic的博客
04-12 1438
在RouterA上执行display ike sa和display ipsec sa命令,在RouterB上执行show crypto isakmp sa和show crypto ipsec sa命令,均可以看到IPSec隧道配置成功的信息。access-list 102 permit ip 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 //指定被保护的数据流,总部子网访问分支子网的流量。ipsec proposal prop1 //配置IPSec安全提议。
全面解析:CISCO路由器配置指南
此外,手册还提供了参考资料,包括Cisco路由器的口令恢复步骤和IP地址的分配方法,这些都是实际运维中可能遇到的问题。 这份手册是全面了解和掌握CISCO路由器配置的宝贵资源,无论是对初学者还是经验丰富的网络管理...
如何配置Cisco路由器ACL访问控制列的实际案例
10-01
主要为大家介绍了在网络正常通信后,如何配置Cisco路由器ACL访问控制列的详细步骤,以及配置的细节,需要的朋友可以参考下
思科CISCO ACL配置详解
2301_81615088的博客
06-18 1352
简称为ACL,访问控制列表使用包过滤技术,在上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定 义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的 支持了。入:已经到达路由器接口的数据包,但是还没有被路由器处理。出:已经 经过路由器的处理,正要离开路由器接口的数据包(1)、最小特权原则只给受控对象完成任务所必须的最小的权限。
思科网络中如何配置扩展ACL协议
2201_75693008的博客
03-11 4579
源IP地址、目标IP地址、协议类型、端口号。
思科设置ACL(访问控制列表)
Erilam的博客
08-20 3418
思科4500设置ACL(访问控制列表)
Packet Tracer - 在 VTY 线路上配置 ACL
傻傻的心动的博客
05-28 2878
Packet Tracer - 在 VTY 线路上配置 ACL
CiscoACL、NAT及端口映射
wangyingteng的博客
03-09 815
CiscoACL,NAT,端口映射
Packet Tracer - 在 VTY 线路上配置 IPv4 ACL
热门推荐
小白的博客
06-08 7万+
拓扑 地址分配表 设备 接口 IP地址 子网掩码 默认网关 路由器 F0/0 10.0.0.254 255.0.0.0 不适用 ...
cisco交换机端口聚合、VTP、ACL配置实例
weixin_34267123的博客
07-10 283
网络拓扑:       **************** 基本配置 ****************SW1&amp;gt; en  ;进入特权模式SW1# conf t  ;进入全局配置模式SW1(config)# hostname SW1   ;设置交换机的主机名SW1(config)# enable secret cisco  ;设置特权加密口令SW1(config)# enable pa...
Cisco配置命令ACL
sniperliter的博客
11-16 1万+
文章目录路由器配置命令:扩展acl:上述配可以浏览网页,但是不能ping通是因为:ACL书写注意:自定义ACLACL要应用到出入口上:自定义的扩展ACL中一条写错了怎么改?想在自定义扩展ACL中增加一个条目:例如11 路由器配置命令: 扩展acl: access-list 100 permit tcp(协议) any(源地址) host(目标地址:单一主机名) 70.1.1.100 eq(gt 大于 lt 小于 neq 不等于) 80 do show access # 显示ACL i
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

坦笑&&life

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值