搜档网
当前位置:搜档网 › 三层交换机访问控制列表ACL的配置

三层交换机访问控制列表ACL的配置

访问控制列表(ACL)总结

访问控制列表(ACL)总结 一、什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 二、访问控制列表使用原则 由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 三、标准访问列表 访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL 标准访问控制列表的格式: 访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,他是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99 来创建相应的ACL。 它的具体格式如下:access-list ACL号permit|deny host ip地址 例:access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。 当然我们也可以用网段来表示,对某个网段进行过滤。命令如下:access-list 10 deny 192.168.1.0 0.0.0.255 通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢?这是因为CISCO规定在ACL中用反向掩玛表示子网掩码,反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。 注:对于标准访问控制列表来说,默认的命令是HOST,也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯,可以省去我们输入host命令。 标准访问控制列表实例一:

计算机网络实验报告(7)访问控制列表ACL配置实验

一、实验项目名称 访问控制列表ACL配置实验 二、实验目的 对路由器的访问控制列表ACL 进行配置。 三、实验设备 PC 3 台;Router-PT 3 台;交叉线;DCE 串口线;Server-PT 1 台; 四、实验步骤 标准IP访问控制列表配置: 新建Packet Tracer 拓扑图 (1)路由器之间通过V.35 电缆通过串口连接,DCE 端连接在R1 上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置路由器接口IP 地址。 (3)在路由器上配置静态路由协议,让三台PC 能够相互Ping 通,因为只有在互通的前提下才涉及到方控制列表。 (4)在R1 上编号的IP 标准访问控制。 (5)将标准IP 访问控制应用到接口上。 (6)验证主机之间的互通性。 扩展IP访问控制列表配置: 新建Packet Tracer 拓扑图 (1)分公司出口路由器与外路由器之间通过V.35 电缆串口连接,DCE 端连接在R2 上,配置其时钟频率64000;主机与路由器通过交叉线连接。 (2)配置PC 机、服务器及路由器接口IP 地址。 (3)在各路由器上配置静态路由协议,让PC 间能相互ping 通,因为只有在互通的前提下才涉及到访问控制列表。 (4)在R2 上配置编号的IP 扩展访问控制列表。 (5)将扩展IP 访问列表应用到接口上。 (6)验证主机之间的互通性。 五、实验结果 标准IP访问控制列表配置: PC0: PC1:

PC2:

PC1ping:

PC0ping: PC1ping: 扩展IP 访问控制列表配置:PC0: Server0:

ACL访问控制列表配置案例

访问控制列表练习----扩展访问控制列表 R1#configure R1(config)#intloo 1 R1(config-if)#ip add 1.1.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)# intfa 0/0 R1(config-if)#ip add 12.12.12.1 255.0.0.0 R1(config-if)#no shutdown R1(config-if)#do show ipint b R1(config-if)# R1(config)#ip route 23.0.0.0 255.0.0.0 fa0/0 R1(config)#ip route 3.3.3.0 255.255.255.0 fa0/0 R1(config)#ip route 100.100.100.0 255.255.255.0 fa0/0 R1(config)#exit R1#show ip route

R2#configure R2(config)#intfa 0/0 R2(config-if)#ip add 12.12.12.2 255.0.0.0 R2(config-if)#no shutdown R2(config-if)# intfa 0/1 R2(config-if)#ip add 23.23.23.1 255.0.0.0 R2(config-if)#no shutdown R2(config-if)#do show ipint b R2(config-if)# R2(config)#ip route 1.1.1.0 255.255.255.0 fa0/0 R2(config)#ip route 3.3.3.0 255.255.255.0 fa0/1 R2(config)#ip route 100.100.100.0 255.255.255.0 fa0/1 R2(config)#exit

访问控制列表ACL配置-实验报告

课设5:访问控制列表ACL的配置 【实验目的】: 1.熟悉掌握网络的基本配置连接 2.对网络的访问性进行配置 【实验说明】: 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL定义的。访问控制列表是偶permit/deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。 【实验设备】: 【实验过程记录】:

步骤1:搭建拓扑结构,进行配置 (1)搭建网络拓扑图: (2 虚拟机名IP地址Gateway PC0 PC1 PC2 PC3 PC4 上节课的实验已经展示了如何配置网关和IP地址,所以本次实验将不再展示,其配置对应数据见上表。 (3)设置路由信息并测试rip是否连通

三个路由器均做route操作。 对rip结果进行测试,测试结果为连通。

(4)连通后对访问控制列表ACL进行配置 代码如下: Route(config)#route rip Route(config-route)#net Route(config-route)#net Route(config-route)#exit Route(config)#access-list 1 deny Route(config)#access-list 1 permit any Route(config)#int s3/0 Route(config-if)#ip access-group 1 in Route(config-if)#end

步骤2:检验线路是否通畅 将访问控制列表ACL配置完成后点开PC0进行ping操作,ping 。 检验结果:结果显示目的主机不可达,访问控制列表ACL配置成功。

华为交换机ACL控制列表设置

华为交换机ACL控制列表设置

交换机配置(三)ACL基本配置 1,二层ACL . 组网需求: 通过二层访问控制列表,实现在每天8:00~18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。 .配置步骤: (1)定义时间段 # 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL # 进入基于名字的二层访问控制列表视图,命名为traffic-of-link。 [Quidway] acl name traffic-of-link link # 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。 [Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress

00e0-fc01-0303 0-0-0 time-range huawei (3)激活ACL。 # 将traffic-of-link的ACL激活。[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link 2 三层ACL a)基本访问控制列表配置案例 . 组网需求: 通过基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤: (1)定义时间段 # 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源IP为10.1.1.1的ACL # 进入基于名字的基本访问控制列表视图,命名为traffic-of-host。 [Quidway] acl name traffic-of-host basic # 定义源IP为10.1.1.1的访问规则。[Quidway-acl-basic-traffic-of-host] rule 1 deny

ACL访问控制列表配置

ACL的使用 ACL的处理过程: 1.它是判断语句,只有两种结果,要么是拒绝(deny),要么是允许(permit) 2.语句顺序 按照由上而下的顺序处理列表中的语句 3. 语句排序 处理时,不匹配规则就一直向下查找,一旦某条语句匹配,后续语句不再处理。 4.隐含拒绝 如果所有语句执行完毕没有匹配条目默认丢弃数据包,在控制列表的末尾有一条默认拒绝所有的语句,是隐藏的(deny) 要点: 1.ACL能执行两个操作:允许或拒绝。语句自上而下执行。一旦发现匹配,后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。 2.如果在语句结尾增加deny any的话可以看到拒绝记录 3.Cisco ACL有两种类型一种是标准另一种是扩展,使用方式习惯不同也有两种方式一种是编号方式,另一种是命名方式。 示例: 编号方式 标准的ACL使用1 ~ 99以及1300~1999之间的数字作为表号,扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号 一、标准(标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。) 允许172.17.31.222通过,其他主机禁止 Cisco-3750(config)#access-list 1(策略编号)(1-99、1300-1999)permit host 172.17.31.222 禁止172.17.31.222通过,其他主机允许 Cisco-3750(config)#access-list 1 deny host 172.17.31.222 Cisco-3750(config)#access-list 1 permit any 允许172.17.31.0/24通过,其他主机禁止 Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254(反码255.255.255.255减去子网掩码,如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255) 禁止172.17.31.0/24通过,其他主机允许 Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254 Cisco-3750(config)#access-list 1 permit any 二、扩展(扩展ACL比标准ACL提供了更广泛的控制范围。例如,网络管理员如果希望做到“允许外来的Web通信流量通过,拒绝外来的FTP和Telnet等通信流量”,那么,他可以使用扩展ACL来达到目的,标准ACL不能控制这么精确。) 允许172.17.31.222访问任何主机80端口,其他主机禁止 Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222(源)any(目标)eq www

访问控制列表实验

0分计。 4. 实验报告文件以PDF 格式提交。 【实验题目】访问控制列表(ACL )实验。 【实验目的】 1. 掌握标准访问列表规则及配置。 2. 掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4(P190),请写出步骤0安装与建立FTP 、WEB ,的步骤,并完成P192~P193的测试要求。 【实验要求】 重要信息信息需给出截图, 注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图: 【实验设备】 路由器一台,PC 5台(其中两台作为WWW Server 和FTP Server )。 【实验原理】 基于时间的ACL 是在各种ACL 规则(标准ACL 、扩展ACL 等)后面应用时间段选项(time-range )以实现基于时间段的访问控制。当ACL 规则应用了时间段后,只有在此时间范围内规则才能生效。此外,只有配置了时间段的规则才会在指定的时间段内生效,其他未引用时间段的规则将不受影响。 要基于时间的ACL 一生效,一般需要下面的配置步骤。

(1)定义时间段及时间范围。 (2)ACL自身的配置,即将详细的规则添加到ACL中。 (3)应用ACL,将设置好的ACL添加到相应的端口中。 【实验步骤】 步骤0: (1)配置3台PC(PC1、PC2和Manager)的IP地址、掩码、网关。 (2)检查PC与服务器的连通性如何? PC与服务器无法连通,因为还未安装FTP Server和WWW Server和配置路由器。 (3)在服务器上安装FTP Server和WWW Server。FTP Server需至少创建一个用户名和口令。 FTP Server我们选择Serv-U,下载安装后见如下界面。

H3C实验报告大全【含18个实验】17.0-标准ACL

标准ACL 实验人:高承旺 实验名称:标准acl 实验要求: 不让1.1.1.1 ping通3.3.3.3 实验拓扑: 实验步骤: 网络之间开启RIP协议! [R1]rip [R1-rip-1]ver 2 [R1-rip-1]undo summary [R1-rip-1]net 192.168.1.0 [R1-rip-1]net 1.0.0.0 [R1-rip-1]q [R2]rip [R2-rip-1]ver 2 [R2-rip-1]undo summary [R2-rip-1]net 192.168.1.0 [R2-rip-1]net 192.168.2.0

[R2-rip-1]q [R3]rip [R3-rip-1]ver 2 [R3-rip-1]net 192.168.2.0 [R3-rip-1]net 3.0.0.0 [R3-rip-1]q 通3.3.3.3 配置好动态路由后,测试能R1ping 配置ACL访问控制列表 [R2]firewall enable [R2]firewall default permit [R2]acl number ? INTEGER<2000-2999> Specify a basic acl INTEGER<3000-3999> Specify an advanced acl INTEGER<4000-4999> Specify an ethernet frame header acl INTEGER<5000-5999> Specify an acl about user-defined frame or packet head [R2]acl number 2000 [R2-acl-basic-2000]rule ? INTEGER<0-65534> ID of acl rule deny Specify matched packet deny permit Specify matched packet permit [R2-acl-basic-2000]rule deny source 1.1.1.1 ? 0 Wildcard bits : 0.0.0.0 ( a host ) X.X.X.X Wildcard of source [R2-acl-basic-2000]rule deny source 1.1.1.1 0 [R2]int s0/2/0 [R2-Serial0/2/0]firewall packet-filter 2000 ? inbound Apply the acl to filter in-bound packets outbound Apply the acl to filter out-bound packets [R2-Serial0/2/0]firewall packet-filter 2000 inbound

详解cisco访问控制列表ACL

详解cisco访问控制列表ACL 一:访问控制列表概述 〃访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以通过,哪些数据包需要拒绝。 〃工作原理:它读取第三及第四层包头中的信息,如源地址、目的地址、源端口、目的端口等。根据预先设定好的规则对包进行过滤,从而达到访问控制的目的。 〃实际应用:阻止某个网段访问服务器。 阻止A网段访问B网段,但B网段可以访问A网段。 禁止某些端口进入网络,可达到安全性。 二:标准ACL 〃标准访问控制列表只检查被路由器路由的数据包的源地址。若使用标准访问控制列表禁用某网段,则该网段下所有主机以及所有协议都被禁止。如禁止了A网段,则A网段下所有的主机都不能访问服务器,而B网段下的主机却可以。 用1----99之间数字作为表号 一般用于局域网,所以最好把标准ACL应用在离目的地址最近的地方。 〃标准ACL的配置: router(config)#access-list表号 deny(禁止)网段/IP地址反掩码 ********禁止某各网段或某个IP router(config)#access-list表号 permit(允许) any 注:默认情况下所有的网络被设置为禁止,所以应该放行其他的网段。 router(config)#interface 接口 ******进入想要应用此ACL的接口(因为访问控制列表只能应用在接口模式下)

router(config-if)#ip access-group表号 out/in ***** 设置在此接口下为OUT或为IN 其中router(config)#access-list 10 deny 192.168.0.1 0.0.0.0 = router(config)#access-list 10 deny host 192.168.0.1 router(config)#access-list 10 deny 0.0.0.0 255.255.255.255 = router(config)#access-list 10 deny any router#show access-lists ******查看访问控制列表。 〃标准访问控制列表的工作原理。 (每当数据进入路由器的每口接口下,都会进行以下进程。) 注:当配置访问控制列表时,顺序很重要。要确保按照从具体到普遍的次序来排列条目。

访问控制列表实验.详解

实验报告如有雷同,雷同各方当次实验成绩均以0分计。 警示 2.当次小组成员成绩只计学号、姓名登录在下表中的。 3.在规定时间内未上交实验报告的,不得以其他方式补交,当次成绩按0分计。 4.实验报告文件以PDF格式提交。 【实验题目】访问控制列表(ACL)实验。 【实验目的】 1.掌握标准访问列表规则及配置。 2.掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4(P190),请写出步骤0安装与建立,的步骤,并完成P192~P193的测试要求。 【实验要求】 重要信息信息需给出截图,注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图: 【实验设备】 路由器一台,PC 5台(其中两台作为和)。 【实验原理】 基于时间的ACL是在各种ACL规则(标准ACL、扩展ACL等)后面应用时间段选 项(time-range)以实现基于时间段的访问控制。当ACL规则应用了时间段后,只有在 此时间范围内规则才能生效。此外,只有配置了时间段的规则才会在指定的时间段内生 效,其他未引用时间段的规则将不受影响。 要基于时间的ACL一生效,一般需要下面的配置步骤。 (1)定义时间段及时间范围。 (2)ACL自身的配置,即将详细的规则添加到ACL中。 (3)应用ACL,将设置好的ACL添加到相应的端口中。 【实验步骤】

步骤0: (1)配置3台PC(PC1、PC2和Manager)的IP地址、掩码、网关。(2)检查PC与服务器的连通性如何? PC与服务器无法连通,因为还未安装和和配置路由器。 (3)在服务器上安装和。需至少创建一个用户名和口令。 我们选择Serv-U,下载安装后见如下界面。 先新建域:

Cisco访问控制列表

C i s c o访问控制列表 内部编号:(YUUT-TBBY-MMUT-URRUY-UOOY-DBUYI-0128)

cisco路由器配置ACL详解 如果有人说路由交换设备主要就是路由和交换的功能,仅仅在路由交换数据包时应用的话他一定是个门外汉。 如果仅仅为了交换数据包我们使用普通的HUB就能胜任,如果只是使用路由功能我们完全可以选择一台WINDOWS服务器来做远程路由访问配置。 实际上路由器和交换机还有一个用途,那就是网络管理,学会通过硬件设备来方便有效的管理网络是每个网络管理员必须掌握的技能。今天我们就为大家简单介绍访问控制列表在CISCO路由交换上的配置方法与命令。 什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表使用原则 由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则 所有的层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。 3、默认丢弃原则 在路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 分类: 标准访问控制列表 扩展访问控制列表 基于名称的访问控制列表 反向访问控制列表 基于时间的访问控制列表 标准访问列表: 访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL

ACL配置实验

ACL配置实验 一、实验目的: 深入理解包过滤防火墙的工作原理 二、实验内容: 练习使用Packet Tracer模拟软件配置ACL 三、实验要求 A.拓扑结构如下图所示,1,2,3是主机,4是服务器 1、配置主机,服务器与路由器的IP地址,使网络联通; 2、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。使该配置生效,然后再删除该条ACL; 3、配置扩展ACL,使得主机1可以访问主机4的www服务,主机2不能访问主机4的www服务,4个主机间相互能够ping通。使该配置生效,然后再删除该条ACL; B.拓扑结构如下图所示(要求:跟拓扑上的ip地址配置不同)

1、配置ACL 限制远程登录(telnet)到路由器的主机。 路由器R0只允许192.168.2.2 远程登录(telnet)。 2、配置ACL 禁止192.168.3.0/24 网段的icmp 协议数据包通向与192.168.1.0/24 网段。 3、配置ACL 禁止特点的协议端口通讯。 禁止192.168.2.2 使用www (80)端口访问192.168.1.0 禁止192.168.2.3 使用dns (53)端口访问192.168.1.0 3、验证ACL 规则,检验并查看ACL。 四、实验步骤 1、配置主机,服务器与路由器的IP地址,使网络联通;

PC0 ping PC2

PC1 ping 服务器 服务器ping PC0

2、配置标准ACL,使得主机1可以访问主机3和4,主机2不能访问主机3和4。使该配置生效,然后再删除该条ACL;

配置实现访问控制列表ACL

石河子大学信息科学与技术学院 网络工程实验报告 课题名称:配置实现访问控制列表ACL 学生姓名: 学号: 学院:信息科学与技术学院专业年级: 指导教师: 完成日期:2014年4月25日

一、实验目的 1、熟练掌握2种访问控制列表的配置实现技术,特别掌握扩展ACL的配置方法。 2、掌握使用show access-list,show access-lists和show ip interface [接口名]等命令对路由器ACL列表是否创建及其内容的各种查看和跟踪方法。 3、能按要求利用Cisco Packet Tracer V5.00 模拟配置工具绘制出本实验的 网络拓扑图,并能实现拓扑的物理连接 4、熟悉2种ACL的配置方法及基本操作步骤,掌握在存根网络中利用ACL将路由器配置为包过滤防火墙的方法 二、实验环境 PC机一台,并安装PACKET TRACER 5.0或以上版本 三、实验步骤 1、本实验的拓扑,如图所示:

2,PC0~PC2,server0,server1的IP配置: Step2:配置PC0的IP、子网掩码、默认网关、DNS 4项基本参数;(PC0: 1.1.1.100 255.255.255.0 GW: 1.1.1.3 DNS: 2.2.2.200) Step3:配置PC1的IP、子网掩码、默认网关、DNS 4项基本参数;(PC1: 1.1.1.200 255.255.255.0 GW: 1.1.1.3 DNS: 2.2.2.200) Step4:配置PC2的IP、子网掩码、默认网关、DNS 4项基本参数;(PC2: 2.2.2.100 255.255.255.0 GW: 2.2.2.1 DNS: 2.2.2.200) Step5:配置Server-PT Server0的IP、子网掩码、默认网关3项基本参数;(Server0: 2.2.2.200 255.255.255.0 GW: 2.2.2.1) Step6:配置Server-PT Server1的IP、子网掩码、默认网关3项基本参数;(Server0: 4.4.4.100 255.255.255.0 GW: 4.4.4.1)

实验十二 访问控制列表实验报告

实验十二访问控制列表 一、试验目的 1. 熟悉路由器的标准访问控制列表配置方法 2. 了解路由器的扩展访问控制列表配置方法 二、相关知识 访问控制列表(Access Control List ,简称ACL)既是控制网络通信流量的手段,也是网络安全策略的一个组成部分。每一个ACL列表可以由一条或若干条指令组成,对于任一个被检查的数据包,依次用每一指令进行匹配,一旦获得匹配,则后续的指令将被忽略。 路由器为不同的网络协议定义不同的ACL列表。为了标识与不同的网络协议对应的ACL,可以采用数字标识的方式。在使用ACL数字标识时,必须为每一协议的访问控制列表分配唯一的数字,并保证该数字值在所规定的范围内。标准IP协议的ACL取值范围:1-99;扩展IP协议的ACL取值范围:100-199。 1标准ACL的相关知识 标准ACL是指基于数据包中的源IP地址进行简单的包过滤的访问控制列表,其通过检查数据包的源地址,来确定是允许还是拒绝基于网络、子网络或主机IP地址的某一协议簇通过路由器的接口。 (1)标准ACL列表的定义 Router(config)# access-list access-list-number {deny | permit} source [source-wildcard ][log] Access-list-num:ACL号(1-99) Deny:若测试条件成立,则拒绝相应的数据包 Permit:若测试条件成立,则接受相应的数据包 Source:源IP地址(网络或主机均可) Source-wildcard:与源IP地址配合使用的通配掩码 Log:是否就ACL事件生成日志 (2)标准ACL列表的接口配置 Router(config-if)#ip access-group access-list-number {in | out} 此命令用于将已经定义的标准ACL列表应用于相应的路由器端口。 in:指定相应的ACL被用于对从该接口进入的数据包进行处理。 out:指定相应的ACL被用于对从该接口流出的数据包进行处理。 注:在路由器的每一个端口,对每个协议、在每个方向上只能指定一个ACL列表 2扩展ACL的相关知识 扩展ACL是对标准ACL功能上的扩展,其不仅可以基于源和目标IP地址数据包的测试,还可基于协议类型和TCP端口号进行数据包的测试,从而较标准的ACL提供了更强大的包过滤功能和设置上的灵活性 扩展ACL通常用于下列情况

ACl访问控制列表

ACl 访问控制列表(Access Control List,ACL)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。 信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求,为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,是控制访问的一种网络技术手段。 配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定端口数据包等。 如可以配置ACL,禁止局域网内的设备访问外部公共网络,或者只能使用FTP服务。ACL 既可以在路由器上配置,也可以在具有ACL功能的业务软件上进行配置。 ACL是物联网中保障系统安全性的重要技术,在设备硬件层安全基础上,通过对在软件层面对设备间通信进行访问控制,使用可编程方法指定访问规则,防止非法设备破坏系统安全,非法获取系统数据。 作用 ACL可以限制网络流量、提高网络性能。例如,ACL可以根据数据包的协议,指定数据包的优先级。 ACL提供对通信流量的控制手段。例如,ACL可以限定或简化路由更新信息的长度,从而限制通过路由器某一网段的通信流量。 ACL是提供网络安全访问的基本手段。ACL允许主机A访问人力资源网络,而拒绝主机B访问。 ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。例如,用户可以允许E-mail通信流量被路由,拒绝所有的Telnet通信流量。 例如:某部门要求只能使用WWW 这个功能,就可以通过ACL实现;又例如,为了某部门的保密性,不允许其访问外网,也不允许外网访问它,就可以通过ACL实现。 3P原则

cisco路由器配置ACL详解

cisco路由器配置ACL详解 什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的支持了。 访问控制列表使用原则 由于ACL涉及的配置命令很灵活,功能也很强大,所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来,方便各位读者更好的消化ACL知识。1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。 3、默认丢弃原则 在路由交换设备中默认最后一句为ACL中加入了DENYANYANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 分类: 标准访问控制列表 扩展访问控制列表 基于名称的访问控制列表 反向访问控制列表 基于时间的访问控制列表 标准访问列表: 访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,标准访问控制列表是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL 访问控制列表ACL分很多种,不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表,他是通过使用IP包中的源IP地址进行过滤,使用的访问控制列表号1到99来创建相应的ACL。 标准访问控制列表的格式: 标准访问控制列表是最简单的ACL。 它的具体格式如下:access-listACL号permit|denyhostip地址 例如:access-list10denyhost

IP访问控制列表实验

IP访问控制列表(ACL)实验 【实验目的】 掌握网络交换设备的标准IP访问列表规则及配置。 1.准备知识 IP ACL(IP访问控制列表或IP访问列表),是实现对流经路由器或交换机的数据包根据一定的规则进行过滤。从而提高网络可管理性和安全性。类似于包过滤防火墙的功能。 IP ACL分为两种:标准IP访问列表和扩展IP访问列表。标准IP访问列表可以根据数据包的源IP地址定义规则,进行数据包的过滤。扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。 IP ACL基于接口进行规则的应用方向分为:入口应用和出口应用。入口应用是对由外部经该接口进入路由器的数据包进行过滤。出口应用是对从路由器接口向外转发数据时的数据包过滤。 IP ACL的配置有两种方式:按照编号的访问列表,按照命名的访问列表。标准IP访问列表编号范围是1-99、1300-1999,扩展IP访问列表编号范围是100-199、2000-2699。 2.实验模拟环境和拓扑图 在3760三层交换机上连着学校的服务器,另外还连接着学生宿舍楼和学校的办公区,学校规定学生宿舍楼只能访问学校的Web服务器,不能访问办公区。办公区可以访问学校的Web和FTP服务器。 先配置好VLAN 10中的Web/FTP服务器。 3.配置命名的标准IP访问列表 根据以上要求,配置步骤如下:

(1)配置三个VLAN: Switch(config)#vlan 10 Switch(config-vlan)#name server Switch(config)#vlan 20 Switch(config-vlan)#name teachers Switch(config)#vlan 30 Switch(config-vlan)#name students (2)将交换机端口加入相对应的VLAN: Switch(config)#interface f0/1 Switch(config-if)#switchport access vlan 10 Switch(config-if)#exit Switch(config)#interface f0/2 Switch(config-if)#switchport access vlan 20 Switch(config-if)#exit Switch(config)#interface f0/3 Switch(config-if)#switchport access vlan 30 Switch(config-if)#exit (3)为每个VLAN配置IP地址: Switch(config)#int vlan10 Switch(config-if)#ip add 192.168.10.1 255.255.255.0 Switch(config-if)#exit Switch(config)#int vlan 20 Switch(config-if)#ip add 192.168.20.1 255.255.255.0 Switch(config-if)#exit Switch(config)#int vlan 30 Switch(config-if)#ip add 192.168.30.1 255.255.255.0 Switch(config-if)#exit (4)配置三台主机: 将三台主机分别插入三个VLAN的端口,并为主机配置好IP地址和默认网关地址。(5)配置命名标准IP访问控制列表: 定义命名访问控制列表: Switch(config)#ip access-list standard denystudent 定义列表匹配的条件: Switch(config-std-nacl)#deny 192.168.30.0 0.0.0.255 允许其他流量通过: Switch(config-std-nacl)#permit any (6)验证:

访问控制列表实验报告

实训报告 实验名称访问控制列表 课程名称计算机网络 1.实验目的 掌握访问控制列表的概念。 能对路由器进行访问控制列表的设置。 2.实验环境 (1)微机4台,2811的路由器2台,2950的交换机4台,双绞线4条,串行线一条。 (2)在计算机上安装有windows xp 的操作系统,并且安装有Cisco Packet Tracer 软件。 3.实训规划和拓扑图规划:

4、实验要求: 要求:a、Lan 1 不能访问lan 2 . b、Lan 1 能访问lan 3 不能访问lan 4. c、Lan 2能访问lan 4 不能访问lan 3. 5、实验步骤: (1)按照规划,构建拓扑图。(标注好各个接口,和ip地址)(2)按照规划配置好路由器的各个接口的ip地址,并且配置好路由协议,这里用的rip 2.通过show ip route是否学到全网的路由。R1结果如下: R2结果如下: (3)配置访问控制列表: 针对要求:Lan 1 不能访问lan 2 (以R1的接口f0/1为参照)

在R1:access-list 1 deny 20.0.0.0 0.0.0.255 access-list 1 permit any R1的接口f0/1: ip access-group 1 out 针对要求:Lan 1 能访问lan 3 不能访问lan 4(以R2的接口f0/1为参照) 在R2 :access-list 1 deny 20.0.0.0 0.0.0.255 access-list 1 permit any R2.f0/1 ip access-group out 针对要求:Lan 2能访问lan 4 不能访问lan 3(以R2的接口f0/0为参照) 在R2:aceess-list 2 deny 30.0.0.0 0.0.0.255 aceess-list 2 permit any R2.f0/0:ip access-group 2 out 6、实验结果: (1)针对要求:Lan 1 不能访问lan 2. 测试有以下结果: pc1 ping pc2不通,符合要求1,如下图所示。 Pc2 ping pc1如下图: Pc1上路由跟踪pc2: (2)针对要求:Lan 1 能访问lan 3 不能访问lan 4 Pc1 ping pc3:结果如下

ACL访问控制列表

?轻松学习理解ACL访问控制列表 【独家特稿】任何企业网络系统在为创造价值的同时,对安全性也有很高的要求。ACL(网络层访问控制列表)其实可以帮助企业实现网络安全策略,可以说ACL是一个很不错的解决工具或方案。 那什么是ACL呢?为了帮助企业网络运维人员深入理解ACL,可以根据以下几点看透ACL本质。 一、从名称解析ACL ACL:Acess Control List,即访问控制列表。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。 信息点间通信,内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。简而言之,ACL可以过滤网络中的流量,控制访问的一种网络技术手段。 二、看透ACL的本质 通常,很多企业都在使用NAT技术进行地址转换,而NAT技术中就包含了ACL的应用。通过ACL,我们可以控制哪些私有地址能上外网(公网),哪些不能。然后把这些过滤好的数据,进行NAT转换。另外,企业也需要对服务器的资源访问进行控制,通过ACL过滤出哪些用户不能访问,哪些用户能访问。 从实际应用中,我们看到ACL能够区分不同的数据流。这也意味着ACL的本质其实是一种流量分类技术,它是人为定义的一组或几组规则,目的是通过网络设备对数据流分类,以便执行用户规定的动作。换句话说,ACL本身不能直接达到访问控制的目的,它间接辅助特定的用户策略,达到人们所需效果的一种技术手段。在笔者看来,ACL是一种辅助型的技术或者说是工具。 三、玩转基本的ACL 拓扑描述:某企业有100个信息点,分属五个部门。用一台二层交换机和一台路由器作为网络层设备;局域网内部有一台OA服务器。 组网需求:五个部门分属5个VLAN,VLAN间不能互通。要求所有终端都可以上公网,并访问OA服务器。 也就是说,有两个需求: 1、5个部门的终端不能互相通讯 2、5个部门都要求能够访问OA SERVER和公网。 根据这两种实际需求,怎么用ACL实现呢? 以Cisco路由器为例,在全局模式下进行如下配置: access-list 100 permit ip any host OA的ip

相关主题