CISCO的ACL教程
- 格式:ppt
- 大小:678.02 KB
- 文档页数:51
下载文档原格式
合集下载
ACL
BSCI 2.0—1-6
命名ACL 命名
© 2003, Cisco Systems, Inc. All rights reserved.
BSCI 2.0—1-7
高 级A C L 应 用
© 2002, Cisco Systems, Inc. All rights reserved.
8
基于时间的ACL 基于时间的
© 2003, Cisco Systems, Inc. All rights reserved.
BSCI 2.0—1-10
反向ACL 反向
© 2003, Cisco Systems, Inc. All rights reserved.
BSCI 2.0—1-11
动态ACL 动态
© 2003, Cisco Systems, Inc. All rights reserved.
© 2003, Cisco Systems, Inc. All rights reserved.
BSCI 2.0—1-4
标准ACL 标准
© 2003, Cisco Systems, Inc. All rights reserved.
BSCI 2.0—1-5
扩展ACL 扩展
© 2003, Cisco Systems, Inc. All rights reserved.
BSCI 2.0—1-12
动态ACL案例 案例 动态
© 2003, Cisco Systems, Inc. All rights reserved.
BSCI 2.0—1-13
© 2003, Cisco Systems, Inc. All rights reserved.
BSCI 2.0—1-3
acl 规则
ACL规则什么是ACL规则?ACL(Access Control List)是访问控制列表的缩写,它是一种用于管理网络设备(如路由器、交换机、防火墙等)上的访问控制策略的技术。
ACL规则定义了允许或禁止通过网络设备的流量。
它基于一系列的条件和动作来控制网络流量的流入和流出。
ACL规则的作用ACL规则的作用是保护网络设备和网络资源的安全。
通过配置ACL规则,可以限制特定用户或特定IP地址的访问权限,防止未经授权的访问和攻击。
ACL规则可以用于控制网络流量的源和目的地,限制特定协议或端口的使用,实施流量过滤和防火墙策略。
ACL规则的分类ACL规则可以分为两种类型:标准ACL和扩展ACL。
标准ACL标准ACL是最简单的ACL类型,它只能基于源IP地址来过滤流量。
标准ACL适用于一些简单的网络策略,例如限制特定IP地址的访问权限。
标准ACL的规则是按照编号顺序执行的,当匹配到第一个规则时,后续的规则将不再生效。
扩展ACL扩展ACL比标准ACL更加灵活,它可以基于源IP地址、目的IP地址、协议类型、端口号等多个条件来过滤流量。
扩展ACL适用于更复杂的网络策略,可以实现更精细的流量控制和安全策略。
扩展ACL的规则也是按照编号顺序执行的,但当匹配到一条规则后,后续的规则仍然会继续执行。
ACL规则的配置与应用为了配置和应用ACL规则,我们需要了解一些基本的概念和步骤。
1. 确定ACL规则的目的在配置ACL规则之前,我们需要明确规定ACL的目的是什么。
是为了限制某些用户的访问权限,还是为了保护网络资源的安全?明确目的可以帮助我们更好地定义ACL规则。
2. 编写ACL规则根据ACL规则的目的,我们可以开始编写ACL规则。
ACL规则通常包括以下几个方面:•源IP地址:指定允许或禁止的源IP地址范围。
•目的IP地址:指定允许或禁止的目的IP地址范围。
•协议类型:指定允许或禁止的协议类型,如TCP、UDP、ICMP等。
•端口号:指定允许或禁止的端口号范围。
思科路由器怎么配置限速和记录登录失败的尝试次数的方法
思科路由器怎么配置限速和记录登录失败的尝试次数的方法今天,小编就给大家介绍下思科路由器怎么配置限速和记录登录失败的尝试次数的方法。
思科路由器怎么配置限速?在路由器设置ACL(访问控制列表)将该服务所用的端口封掉,从而阻止该服务的正常运行。
对BT软件,我们可以尝试封它的端口。
一般情况下,BT软件使用的是6880-6890端口,在公司的核心思科路由器上使用以下命令将6880-6890端口全部封锁。
路由器设置限速:access-list130remarkbtaccess-list130permittcpanyanyrange68816890access-list130permittcpanyrange68816890anyrate-limitinputaccess-group13071200080008000conform-actiontransmitexceed-actiondroprate-limitoutputaccess-group13071200080008000conform-actiontransmitexceed-actiondrop路由器设置禁止下载:access-list130denytcpanyanyrange68816890access-list130denytcpanyrange68816890anyipaccess-group130in/out不过现在的bt软件,再封锁后会自动改端口,一些软件还是用到8000、8080、2070等端口,限制这些端口这样网络不正常!第二种方法是使用:NVAR(Network-BasedApplicationRecognition,网络应用识别)。
NBAR(Network-BasedApplicationRecognition)的意思是网络应用识别。
NBAR是一种动态能在四到七层寻找协议的技术,它不但能做到普通ACL能做到那样控制静态的、简单的网络应用协议TCP/UDP的端口号。
ACL
接受任何地址 0.0.0.0 255.255.255.255 接受任何地址: 可以缩写为:any. 可以缩写为:
2002, Cisco Systems, Inc. All rights reserved.
ICND v2.0—6-10
使用通配符掩码匹配IP子网 使用通配符掩码匹配 子网
如果你想实施路由通告过滤 可以使用 如果你想实施路由通告过滤,可以使用 可以使用ACL结合路由通告命令 结合路由通告命令 对需要通过的子网路由进行过滤.比如你想让下列路由信息通过 比如你想让下列路由信息通过: 对需要通过的子网路由进行过滤 比如你想让下列路由信息通过 172.30.16.0/24 to 172.30.31.0/24.
地址 和 通配符掩码 172.30.16.0 0.0.15.255 通配符掩码:
2002, Cisco Systems, Inc. All rights reserved.
ICND v2.0—6-11
总结
访问列表是实施各种网络控制的强大的工具;不仅对 访问列表是实施各种网络控制的强大的工具; 数据包通过路由器接口实施安全控制, 数据包通过路由器接口实施安全控制,而且可以起到 控制路由信息的发布和节省带宽的作用。 控制路由信息的发布和节省带宽的作用。 一个ACL是一组允许或拒绝的判断语句的集合;它可 是一组允许或拒绝的判断语句的集合; 一个 是一组允许或拒绝的判断语句的集合 以根据数据报的三层或四层协议信息进行流量的过滤 。ACL可以对通过路由器或到达路由器的流量进行过 可以对通过路由器或到达路由器的流量进行过 但对路由器自身产生的流量不能起到过滤作用。 滤,但对路由器自身产生的流量不能起到过滤作用。 ACL作为一种安全控制的可选手段,网络管理员可以 作为一种安全控制的可选手段, 作为一种安全控制的可选手段 根据企业的实际需要做流量的允许或拒绝操作。 根据企业的实际需要做流量的允许或拒绝操作。
访问控制列表acl
int vl 10
ip ad 192.168.10.254 255.255.255.0
no sh
int vl 20
ip ad 192.168.20.254 255.255.255.0
no sh
exi
username benet password 123
line vty 0 15
login local
no ip routing
end
3)sw1配置
en
vl da
vl 10
vl 20
exi
conf t
hos sw1
int fa0/10
sw ac vl 10
no sh
int fa0/15
sw ac vl 20
no sh
int vl 1
ip ad 192.168.1.254 255.255.255.0
no sh
access-class1 in
exi
5)分析
5.1配置允许192.168.10.0/24网段只能在在周一至周五的8:30~17:30能够访问R2,将SW1的系统时间设置为周六即不能访问R2。
只有R1能够可以登录SW2,其它PC不能登录。
6)验证
任务二:配置ACL控制服务
实验拓扑图:
1)R1配置
en
access-l 10 deny any
int fa0/1 out
4)分析
在验证FTP时将上面语句应用到接口后无法访问FTP服务器,取消接口应用后可以正常访问FTP。未验证出结果……
5)验证
FTP未验证出结果。
出现的问题及解决方法:
问题1:
解决:
验证总结:
int fa0/1
ip ad 192.168.10.254 255.255.255.0
no sh
int vl 20
ip ad 192.168.20.254 255.255.255.0
no sh
exi
username benet password 123
line vty 0 15
login local
no ip routing
end
3)sw1配置
en
vl da
vl 10
vl 20
exi
conf t
hos sw1
int fa0/10
sw ac vl 10
no sh
int fa0/15
sw ac vl 20
no sh
int vl 1
ip ad 192.168.1.254 255.255.255.0
no sh
access-class1 in
exi
5)分析
5.1配置允许192.168.10.0/24网段只能在在周一至周五的8:30~17:30能够访问R2,将SW1的系统时间设置为周六即不能访问R2。
只有R1能够可以登录SW2,其它PC不能登录。
6)验证
任务二:配置ACL控制服务
实验拓扑图:
1)R1配置
en
access-l 10 deny any
int fa0/1 out
4)分析
在验证FTP时将上面语句应用到接口后无法访问FTP服务器,取消接口应用后可以正常访问FTP。未验证出结果……
5)验证
FTP未验证出结果。
出现的问题及解决方法:
问题1:
解决:
验证总结:
int fa0/1
思科交换机NAT配置介绍及实例
思科交换机NAT配置介绍及实例思科交换机(Cisco Switch)是企业级网络设备中最常用的一种。
与传统的路由器不同,交换机主要用于在局域网(LAN)内部提供数据包的转发和过滤功能。
然而,在一些情况下,我们可能需要使用交换机进行网络地址转换(NAT)来实现特定的网络部署需求。
本文将介绍思科交换机的NAT配置方法,并提供实例说明。
1.NAT概述网络地址转换(NAT)是一种在不同网络之间转换IP地址的技术。
它主要用于解决IPv4地址空间的短缺问题,并允许多个主机通过一个公网IP地址来访问互联网。
NAT实现了将内部网络地址与外部IP地址之间进行映射,使得内部主机可以通过共享公网IP地址来与外部网络进行通信。
2.NAT配置方法在思科交换机上配置NAT通常涉及以下步骤:步骤1:创建访问控制列表(ACL)访问控制列表(Access Control List)用于定义需要进行NAT转换的数据包。
我们可以根据源地址、目标地址、端口等条件来配置ACL,以确定哪些数据包需要进行NAT转换。
例如,下面是一条配置ACL的命令示例:access-list 10 permit 192.168.1.0 0.0.0.255该命令表示允许192.168.1.0/24网段的内部主机进行NAT转换。
步骤2:创建NAT池NAT池用于定义可以被映射到的公网IP地址范围。
我们可以通过配置交换机的外部接口和NAT池来设置NAT转换的目标IP地址。
例如,下面是一条配置NAT池的命令示例:ip nat pool NAT_POOL 203.0.113.1 203.0.113.10 netmask255.255.255.0该命令表示创建一个名为NAT_POOL的NAT池,其中可用的IP地址范围为203.0.113.1至203.0.113.10。
步骤3:创建NAT规则NAT规则用于将内部网络的私有IP地址映射到NAT池的公网IP地址。
我们可以通过配置NAT类型(静态/动态)、内部地址、外部地址等参数来创建NAT规则。
21.学习ACL
© 2007 Cisco Systems, Inc. All rights reserved.
ICND2 v1.0—6-7
访问列表配置指导
标准或者扩展列表指出什么流量可以被过滤。 每协议,每接口,每方向只能有一条列表。 访问列表条目的顺序决定流量的匹配顺序,精确的条目要放在列表条 目的前面。 列表最后隐含决绝所有流量,因此列表中至少要有一条允许条目。 访问列表在全局配置模式下建立,在接口的出向或者入向方向应用。 访问列表可以过滤穿过路由器,始于或者终结于路由器的流量,能过 滤什么流量取决于访问列表如何应用。 当在网络中部署访问控制列表: – 扩展访问控制列表尽可能接近源 – 标准访问控制列表尽可能接近目的
通配符掩码匹配IP子网 通配符掩码匹配 子网
Match for IP subnets 172.30.16.0/24 to 172.30.31.0/24.
Address and wildcard mask: 172.30.16.0 0.0.15.255
© 2007 Cisco Systems, Inc. All rights reserved.
© 2007 Cisco Systems, Inc. All rights reserved. ICND2 v1.0—6-4
访问列表的类型
标准访问列表
– 检查源地址 – 一般允许或拒绝整个协议集
扩展访问列表
– 检查源和目的地址 – 一般允许或拒绝特定的协议和应用
标识标准和扩展访问列表的两种方式:
– 编号访问列表通过编号来标识访问列表 – 命名访问列表使用名字或序号标识访问列表
介绍 ACL 实施
访问控制列表
© 2007 Cisco Systems, Inc. All rights reserved.
ACL访问控制列表配置.
ACL的使用ACL的处理过程:1.它是判断语句,只有两种结果,要么是拒绝(deny),要么是允许(permit)2.语句顺序按照由上而下的顺序处理列表中的语句3.语句排序处理时,不匹配规则就一直向下查找,一旦某条语句匹配,后续语句不再处理。
4.隐含拒绝如果所有语句执行完毕没有匹配条目默认丢弃数据包,在控制列表的末尾有一条默认拒绝所有的语句,是隐藏的(deny)要点:1.ACL能执行两个操作:允许或拒绝。
语句自上而下执行。
一旦发现匹配,后续语句就不再进行处理一因此先后顺序很重要。
如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。
一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。
2.如果在语句结尾增加denyany的话可以看到拒绝记录3.CiscoACL有两种类型一种是标准另一种是扩展,使用方式习惯不同也有两种方式一种是编号方式,另一种是命名方式。
示例:编号方式标准的ACL使用1~99以及1300~1999之间的数字作为表号,扩展的ACL使用100~199以及2000~2699之间的数字作为表号一、标准(标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。
)允许172.17.31.222通过,其他主机禁止Cisco-3750(config)#access-list1(策略编号)(1-99、1300-1999)permithost172.17.31.222 禁止172.17.31.222通过,其他主机允许Cisco-3750(config)#access-list1denyhost172.17.31.222Cisco-3750(config)#access-list1permitany允许172.17.31.0/24通过,其他主机禁止Cisco-3750(config)#access-list1permit172.17.31.00.0.0.254(反码255.255.255.255减去子网掩码,如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255)禁止172.17.31.0/24通过,其他主机允许Cisco-3750(config)#access-list1deny172.17.31.00.0.0.254Cisco-3750(config)#access-list1permitany二、扩展(扩展ACL比标准ACL提供了更广泛的控制范围。
网络层访问权限控制技术-ACL详解
网络层访问权限控制技术-ACL详解技术从来都是一把双刃剑,网络使用和互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做和工作不相干事等负面影响。
如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。
A公司网管的难题A公司的某位可怜的网管目前就面临了一堆这样的问题。
A公司建设了一个企业网,并通过一台路由器接入到互联网。
在网络核心使用一台基于IOS的多层交换机,所有的二层交换机也为可管理的基于IOS的交换机,在公司内部使用了VLAN技术,按照功能的不同分为了6个VLAN。
分别是网络设备和网管(VLAN1,10.1.1.0/24)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6),出口路由器上Fa0/0接公司内部网,通过s0/0连接到Internet。
每个网段的三层设备(也就是客户机上的缺省网关)地址都从高位向下分配,所有的其它节点地址均从低位向上分配。
该网络的拓朴如下图所示:网络拓扑图自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要捣乱;一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;一会儿财务的人又说研发部门的员工看了不该看的数据。
这些抱怨都找这位可怜的网管,搞得他头都大了。
那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控制技术――访问控制列表(下文简称ACL)。
那么,什么是ACL呢?ACL是种什么样的技术,它能做什么,又存在一些什么样的局限性呢?ACL的基本原理、功能和局限性网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。
只不过支持的特性不是那么完善而已。
在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。
ACL
ACL 时间『ACL 控制源目IP』1、time-range cisco 定义一个时间名称为CISCO periodic weekdays 9:00 to 9:30 时间范围是工作日(周一到周五)9:00 到9:30 访问periodic weekend 00:00 to 23:59 定义具体时间范围,为每周周末(6,日)的0点到23点59分access-list 111 permit icmp 172.16.1.2 0.0.0.0 2.2.2.2 0.0.0.0 log time-range cisco access-list 111 permit ip any any利用扩展ACL定义一个主机或多个主机可以在9:00到9:30 ping 主机 2.2.2.2 r1#clock set 09:20:10 1 Dec 2012 定义当前时间为2012年12月1号09:20:10 r1#show clock 查看当前时间动态ACL作用:动态ACL 是Cisco IOS 的一种安全特性,它使用户能在防火墙中临时打开一个缺口,而不会破坏其它已配置了的安全限制基于名称ACL作用:不管是标准访问控制列表还是扩展访问控制列表都有一个弊端,那就是当设置好ACL的规则后发现其中的某条有问题,希望进行修改或删除的话只能将全部ACL信息都删除。
也就是说修改一条或删除一条都会影响到整个ACL列表。
这一个缺点影响了我们的工作,为我们带来了繁重的负担。
不过我们可以用基于名称的访问控制列表来解决这个问题。
1、ip access-list standard chao 用名称定义一个标准的ACL(standard--标准)permit 1.1.1.1 允许deny 1.1.2.2 拒绝permit any log 最后允许其它的通过ip access-group chao in 进接口把ACL加进来,自反—ACL 反向访问控制列表的用途反向访问控制列表属于ACL的一种高级应用。
CISCO ACL顺序修改
CISCO ACL顺序修改2011-08-1016:17:31分类:网络与安全利用序列号修改思科IOS的ACL在“过去”,你在一个访问控制列表中唯一可以添加一条新条目的位置就是它的底部。
在访问控制列表的指定位置添加条目的是不可能实现的工作。
如果你想在一个已经存在的访问控制列表的指定位置添加条目,就必须将其所有内容复制到记事本中,进行修改,并删除现有的访问控制列表,将新修改的作为新列表,进行重建和再编译。
通过引入序列号,思科改变了这一切。
该功能是从网络操作系统12.2(14)版本开始提供的。
通过使用序列号,你可以在希望的位置添加条目,也可以在需要删除的位置进行删除,并对列表进行重新排列。
这项新功能让访问控制列表的管理变得非常方便。
你们中的很多人应该已经非常熟悉访问控制列表中序列号的编辑了。
如果不了解这样的操作的话,可以看看下面提供的这个例子。
让我们看看这样的操作是多么的简单。
在这个例子中,我们将打开一个现有的访问控制列表,在里面添加一条数据,对列表进行重新排列,接着还要删除一条数据。
所做的这一切,我们都会在同一个使用界面下进行。
在这个例子中,我使用的是一个简单的扩展访问控制列表,但操作也适用于其它类型的访问控制列表。
下面显示的就是show run命令运行后的结果:interface Ethernet0/0ip access-group MYTESTACL inip access-list extended MYTESTACLpermit ip10.10.10.00.0.0.255anypermit icmp10.10.10.00.0.0.255anydeny ip10.10.20.00.0.0.255anypermit tcp10.10.30.00.0.0.255host192.168.87.65eq www正如你所看到的,序列号不会显示在路由器运行配置中。
只有运行show access-list查看访问列表显示命令才能显示输入的序列号信息。
思科路由器配置教程
思科路由器配置教程思科路由器配置教程1、硬件准备1.1 路由器选购1.2 网线连接1.3 电源连接2、系统登录2.1 打开浏览器2.2 输入默认IP地质2.3 输入用户名和密码2.4 登录路由器管理界面3、基本配置3.1 修改设备名称3.2 设置系统时间3.3 配置DNS服务器3.4 设置路由器登录密码3.5 保存配置4、网络接口配置4.1 查看接口信息4.2 配置IP地质4.3 配置子网掩码4.4 配置默认网关4.5 激活接口4.6 保存配置5、路由配置5.1 静态路由配置5.2 动态路由配置5.3 路由优先级配置5.4 保存配置6、网络服务配置6.1 DHCP服务器配置 6.2 NAT配置6.3 ACL配置6.4 端口转发配置6.5 防火墙配置6.6 保存配置7、无线网络配置7.1 开启无线功能7.2 配置无线网络名称(SSID)7.3 配置无线密码7.4 保存配置8、安全性配置8.1 修改默认管理端口8.2 配置访问控制列表(ACL)8.3 开启SSH服务8.4 配置防火墙规则8.5 保存配置9、附件本文档附带了以下相关附件,供参考使用: - 配置示例文件- 路由器型号手册- 思科路由器常见问题解答集10、法律名词及注释- IP地质:Internet Protocol Address,即互联网协议地质,用于唯一标识网络上的设备。
- DNS服务器:Domn Name System Server,用于将域名解析为对应的IP地质。
- DHCP服务器:Dynamic Host Configuration Protocol Server,用于自动分配IP地质和其他网络配置信息给客户端设备。
- NAT:Network Address Translation,网络地质转换,用于将私有IP地质转换为公共IP地质。
- ACL:Access Control List,访问控制列表,用于控制网络流量的进出规则。
ACL配置大全及命令
ACL的使用ACL的处理过程:1、语句排序一旦某条语句匹配,后续语句不再处理。
2、隐含拒绝如果所有语句执行完毕没有匹配条目默认丢弃数据包要点:ACL能执行两个操作:允许或拒绝。
语句自上而下执行。
一旦发现匹配,后续语句就不再进行处理---因此先后顺序很重要。
如果没有找到匹配,ACL末尾不可见的隐含拒绝语句将丢弃分组。
一个ACL应该至少有一条permit语句;否则所有流量都会丢弃,因为每个ACL末尾都有隐藏的隐含拒绝语句。
如果在语句结尾增加deny any的话可以看到拒绝记录Cisco ACL有两种类型一种是标准另一种是扩展,使用方式习惯不同也有两种方式一种是编号方式,另一种是命名方式。
示例:编号方式标准的ACL使用1 ~ 99 以及1300~1999之间的数字作为表号,扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号一、标准(标准ACL可以阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者拒绝某一协议簇(比如IP)的所有通信流量。
)允许172.17.31.222通过,其他主机禁止Cisco-3750(config)#access-list 1(策略编号)(1-99、1300-1999)permit host 172.17.31.222禁止172.17.31.222通过,其他主机允许Cisco-3750(config)#access-list 1 deny host 172.17.31.222Cisco-3750(config)#access-list 1 permit any允许172.17.31.0/24通过,其他主机禁止Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254(反码255.255.255.255减去子网掩码,如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255)禁止172.17.31.0/24通过,其他主机允许Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254Cisco-3750(config)#access-list 1 permit any二、扩展(扩展ACL比标准ACL提供了更广泛的控制范围。
ACL
实验五路由器访问控制列表ACL配置实验目的及要求:理解路由器中重要的安全控制技术——访问控制列表的工作原理,对路由器IP访问控制列表ACL进行配置与监测,掌握配置使用编号的标准IP访问控制列表与扩展IP访问控制列表。
实验设备:1. 带Cisco IOS 10.0以上版本的Cisco路由器2台;2. RJ45-to-RJ45 rollover cable(反转线)2根、RJ45-DB9 Adapter(转换头)2个,用于将路由器console口与PC机COM口相连;3. RJ45-to-RJ45 crossover cable(RJ45交叉线)2根,用于将路由器以太接口与PC机以太接口相连;4. V.35(一种同步串行传输标准)DTE线缆、V.35 DCE线缆各1根,用于将2台路由器异步/同步serial串行接口相连;5. 带9针COM口的PC机2台。
实验方法:1. 实验前预先阅读实验讲义课文,理解访问控制列表ACL的工作原理与配置及监测的方法;2.阅读后附的技术背景文档,熟悉使用访问控制列表的三个步骤及每个步骤使用的命令用法、掌握标准IP访问控制列表与扩展IP访问控制列表各自对报文的过滤能力;3.按照实验内容给出的步骤,完成对IP访问控制列表的配置和监测,并将获取的信息和配置及监测结果在实验报告中给出;验证所做配置是否能正常工作。
实验内容:1、配置和引用标准IP访问控制列表如下图,先连接好实验设备,使用erase startup-config命令清除以前配置。
并配置好各设备的基本IP地址及静态路由,实现整个拓扑的IP连通性,在此基础上进行IP访问控制列表的配置和监测。
下图中,如实际实验设备的网络端口为100M快速以太网端口,则须改用fa0/0、fa0/1表示,图中的lo为loopback自回环网络端口。
配置访问控制列表:在Router_A上,我们允许从网络139.1.1.0来的数据通过,拒绝其他的数据。
标准ACL和扩展ACL.
使用 ACL 时主要涉及以下两项任务: 1.通过指定访问列表编号或名称以及访问条件来创建访问列表. 2.将 ACL 应用到接口或终端线路.
2
编号ACL和命名ACL
3
输入条件语句
注意: • 应该将最频繁使用的 ACL 条目放在列表顶部. • 您必须在 ACL 中至少包含一条 permit 语句,
否则所有流量都会被阻止.
11
配置扩展 ACLs
配置扩展 ACL 的操作步骤与配置标准 ACL 的步骤相同 — 首先创建扩展 ACL,然后在接口上应用它.
12
配置扩展 ACLs
13
创建命名扩展 ACLs
1.进入全局配置模式,使用 ip access-list extendedname 命令创建命名 ACL. 2.在命名 ACL 配置模式中,指定您望允许或 拒绝的条件. 3.应用ACL. 4.返回特权执行模式,并使用 show accesslists [number | name] 命令检验 ACL.
若以ACL规定的表号范围的数字命名,则自动转为表号命名方式
8
监控和检验 ACLs
show access-lists
9
编辑命名 ACLs
命名 IP ACL 允许您删除指定 ACL 中的具体条目. 可以使用序列号将语句插入命名 ACL 中的任何位置。
10
扩展 ACLs
为了更加精确地控制流量过滤,可以使用编号在 100 到 199 之间以及 2000 到 2699 之 间的扩展 ACL(最多可使用 800 个扩展 ACL)。可以对扩展 ACL 命名.
ACL 3P原则
• 每种协议一个 ACL - 要控制接口上的流量,必须为接口上启用的每种协议定义相应的 ACL。 • 每个方向一个 ACL - 一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量
2
编号ACL和命名ACL
3
输入条件语句
注意: • 应该将最频繁使用的 ACL 条目放在列表顶部. • 您必须在 ACL 中至少包含一条 permit 语句,
否则所有流量都会被阻止.
11
配置扩展 ACLs
配置扩展 ACL 的操作步骤与配置标准 ACL 的步骤相同 — 首先创建扩展 ACL,然后在接口上应用它.
12
配置扩展 ACLs
13
创建命名扩展 ACLs
1.进入全局配置模式,使用 ip access-list extendedname 命令创建命名 ACL. 2.在命名 ACL 配置模式中,指定您望允许或 拒绝的条件. 3.应用ACL. 4.返回特权执行模式,并使用 show accesslists [number | name] 命令检验 ACL.
若以ACL规定的表号范围的数字命名,则自动转为表号命名方式
8
监控和检验 ACLs
show access-lists
9
编辑命名 ACLs
命名 IP ACL 允许您删除指定 ACL 中的具体条目. 可以使用序列号将语句插入命名 ACL 中的任何位置。
10
扩展 ACLs
为了更加精确地控制流量过滤,可以使用编号在 100 到 199 之间以及 2000 到 2699 之 间的扩展 ACL(最多可使用 800 个扩展 ACL)。可以对扩展 ACL 命名.
ACL 3P原则
• 每种协议一个 ACL - 要控制接口上的流量,必须为接口上启用的每种协议定义相应的 ACL。 • 每个方向一个 ACL - 一个 ACL 只能控制接口上一个方向的流量。要控制入站流量和出站流量
思科交换机基本配置命令
思科交换机基本配置命令目录1、基本概念介绍 (2)2、密码、登陆等基本配置 (2)3、CISCO设备端口配置详解 (4)4、VLAN的规划及配置 (6)4.1核心交换机的相关配置 (6)4.2接入交换机的相关配置 (8)5、配置交换机的路由功能 (9)6、配置交换机的DHCP功能 (9)7、常用排错命令 (10)1、基本概念介绍IOS: 互联网操作系统,交换机和路由器常用操作系统VLAN: 虚拟lanVTP: VLAN TRUNK PROTOCOLDHCP: 动态主机配置协议ACL:访问控制列表三层交换机:具有三层路由转发能力的交换机2、密码、登陆等基本配置本节介绍cisco路由器或者交换机的基本配置,本教程用的是cisco的模拟器做的介绍,一些具体的端口显示可能与实际的设备不符,但并不影响基本配置命令的执行。
Router># 显示稳定后,出现最初的提示符,提示符“>”表示目前所处的状态为用户模式。
Router>Router>en# 如果在当前状态下没有重复的命令,可以用“TAB”键来补齐命令Router>enable# 从用户模式(user mode)进入到特权模式(exec mode),提示符变为“#”Router#configure terminal#在特权模式下输入configure terminal进入全局配置模式(global configuration mode),在这之下输入的命令叫做全局命令,一旦输入,将对整个router产生即时影响。
*Mar 1 00:44:26.491: %SYS-5-CONFIG_I: Configured from console by console t # 在输入命令的过程中,IOS会出现一些即时提示。
Enter configuration commands, one per line. End with CNTL/Z.Router(config)#exit # 退出当前模式Router(config)#hostname test# 更改当前设备的名字,主要是为了便于区分设备。
acl1
ACL ACL运行简介访问控制列表w ww.c w np c hi n a .or g为什么要使用ACL ?过滤:通过过滤经过路由器的数据包来管理IP 流量类标流特殊分类:标识流量以进行特殊处理w ww.c w np c hi n a .or g的应用过滤ACL 的应用:过滤允许或拒绝经过路由器的数据包允许或拒绝经过路由器的数据包。
允许或拒绝来自路由器或到路由器的vty 访问。
所有数据包会发往网络的所有部分如果没有ACL ,所有数据包会发往网络的所有部分。
w ww.c w np c hi n a .or g的应用分类ACL 的应用:分类根据数据包测试情况对流量进行特殊处理w ww.c w np c hi n a .or gACL 出站ACL 运行如果没有ACL 语句匹配,则丢弃数据包。
w ww.c w np c hi n a .or g测试步骤拒绝或允许测试步骤:拒绝或允许w w w.cw np c hi n a.o r gACL 的类型标准ACL–检查源地址–通常允许或拒绝整个协议簇扩展ACL–检查源地址和目的地址–通常允许或拒绝特定协议和应用程序 有两种用于标识标准ACL 和扩展ACL 的方法:ACL –编号ACL 使用编号进行标识–命名ACL 使用描述性名称或编号进行标识ww w .c wnp c hi n a .or g如何标识ACL标准编号IPv4 列表(1-99) 可测试源地址的所有IP数据包的条件。
扩展范围是(1300-1999)。
扩展编号IPv4(100-199)IPv4 列表(100199) 可测试源地址和目的地址、特定TCP/IP 协议和目的端口的条件。
扩展范围是(2000-2699)。
命名ACL IP ACL 用字母数字字符串(名称)标识IP 标准ACL 和扩展ACL 。
w ww.c w np c hi n a .or gIP 访问列表条目序列编号需要Cisco IOS 12.3 版允许使用序列编号来编辑ACL 语句的顺序–在Cisco IOS 12.3 版之前,使用文本编辑器来创建ACL 语句,然后将语句以正确的顺序复制到路由器中。