美文网首页网络工程师学习笔记
cisco Routing-配置扩展ACL

cisco Routing-配置扩展ACL

作者: 凯歌响起 | 来源:发表于2018-07-25 21:56 被阅读457次

问题

在网络中很有可能要允许或拒绝的并不是某一个源IP地址,而是根据目标地址或是协议来匹配。但是标准访问控制列表只能根据源IP地址来决定是否允许一个数据包通过。

配置扩展ACL允许pc1访问pc4的www服务但拒绝访问PC4的其他服务,PC2、PC3无限制。

方案

为了实现更灵活、列精确的网络控制就需要用到扩展访问控制列表了。

扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。

拓扑图

步骤

1.在三台路由器中配置IP、RIP动态路由实现全网互通

tarena-R1(config)#interface fastEthernet 0/0

tarena-R1(config-if)#ip address 192.168.1.254 255.255.255.0

tarena-R1(config-if)#no shutdown

tarena-R1(config-if)#exit

tarena-R1(config)#interface fastEthernet 0/1

tarena-R1(config-if)#ip address 192.168.2.1 255.255.255.0

tarena-R1(config-if)#no shutdown

tarena-R1(config-if)#exit

tarena-R1(config)#router rip

tarena-R1(config-router)#no auto-summary

tarena-R1(config-router)#version

tarena-R1(config-router)#network 192.168.1.0

tarena-R1(config-router)# network192.168.2.0

tarena-R2(config)#interface fastEthernet 0/1

tarena-R2(config-if)#ip address 192.168.2.2 255.255.255.0

tarena-R2(config-if)#no shutdown

tarena-R2(config-if)#exit

tarena-R2(config)#interface fastEthernet 0/0

tarena-R2(config-if)#ip address 192.168.3.1 255.255.255.0

tarena-R2(config-if)#exit

tarena-R2(config)#router rip

tarena-R2(config-router)#version 2

tarena-R2(config-router)#no auto-summary

tarena-R2(config-router)#network 192.168.2.0

tarena-R2(config-router)#network 192.168.3.0

tarena-R3(config)# interface fastEthernet 0/0

tarena-R3(config-if)#ip add 192.168.3.2 255.255.255.0

tarena-R3(config-if)#no shu

tarena-R3(config-if)#exit

tarena-R3(config)#interface fastEthernet 0/1

tarena-R3(config-if)#ip address 192.168.4.254 255.255.255.0

tarena-R3(config-if)#no shutdown

tarena-R3(config-if)#exit

tarena-R3(config)#router rip

tarena-R3(config-router)#version 2

tarena-R3(config-router)#no auto-summary

tarena-R3(config-router)#network 192.168.3.0

tarena-R3(config-router)#network 192.168.4.0

2.开启192.168.4.1的http服务后在PC1、PC2和PC3上验证到Web Server的HTTP协议访问

在没有配置扩展ACL的时候,主机均可以正常访问到Web Server。

3.R1上配置扩展访问控制列表,PC1仅允许到Web Server的HTTP服务(不允许访问其他服务),PC2、PC3无限制

扩展ACL可以对数据包中的源、目标IP地址以及端口号进行检查,所以可以将该ACL放置在通信路径中的任一位置。但是,如果放到离目标近的地方,每台路由器都要对数据进行处理,会更多的消耗路由器和带宽资源。放到离源最近的路由器端口入方向直接就将拒绝数据丢弃,可以减少其他路由器的资源占用以及带宽占用。

tarena-R1(config)#access-list 100 permit tcp host 192.168.1.1 host 192.168.4.1 eq 80

tarena-R1(config)#access-list 100 deny ip host 192.168.1.1 host 192.168.4.1

tarena-R1(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 host 192.168.4.1

tarena-R1(config)#interface fastEthernet 0/0

tarena-R1(config-if)# ip access-group 100 in //access-list 1到99这是属于标准的访问控制列表而100以上的属于扩展

4.在PC1上验证

PC>ipconfig

FastEthernet0 Connection:(default port)

Link-local IPv6 Address.........: FE80::2E0:F7FF:FED6:54CC

IP Address......................: 192.168.1.1

Subnet Mask.....................: 255.255.255.0

Default Gateway.................: 192.168.1.254

PC>ping 192.168.4.

Pinging 192.168.4.1 with 32 bytes of data:

Reply from 192.168.1.254: Destination host unreachable.

Reply from 192.168.1.254: Destination host unreachable.

Reply from 192.168.1.254: Destination host unreachable.

Reply from 192.168.1.254: Destination host unreachable.

Ping statistics for 192.168.4.1:

Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

从输入结果可以验证,PC1到Web Server的http服务访问没有受到影响但不能ping通Web Server。

5.在PC2上进行验证

PC>ipconfig

FastEthernet0 Connection:(default port)

Link-local IPv6 Address.........: FE80::209:7CFF:FED5:B0E4

IP Address......................: 192.168.1.2

Subnet Mask.....................: 255.255.255.0

Default Gateway.................: 192.168.1.254

PC>ping 192.168.4.1

Pinging 192.168.4.1 with 32 bytes of data:

Reply from 192.168.4.1: bytes=32 time=0ms TTL=125

Reply from 192.168.4.1: bytes=32 time=12ms TTL=125

Reply from 192.168.4.1: bytes=32 time=13ms TTL=125

Reply from 192.168.4.1: bytes=32 time=12ms TTL=125

Ping statistics for 192.168.4.1:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 0ms, Maximum = 13ms, Average = 9ms

6.在R1上查看相关的ACL信息

tarena-R1#show ip access-lists

Extended IP access list 100

10 permit tcp host 192.168.1.1 host 192.168.4.1 eq www (5 match(es))

20 deny ip host 192.168.1.1 host 192.168.4.1 (4 match(es))

30 permit ip 192.168.1.0 0.0.0.255 host 192.168.4.1 (8 match(es))

相关文章

  • cisco Routing-配置扩展ACL

    问题 在网络中很有可能要允许或拒绝的并不是某一个源IP地址,而是根据目标地址或是协议来匹配。但是标准访问控制列表只...

  • cisco Routing-配置扩展命名ACL

    问题 使用基本编号的ACL没有实际意义,只有通过阅读具体的条目才能得知该ACL的作用。而且ACL的编号有限制,如传...

  • cisco Routing-配置标准ACL

    问题 网络调通后,保证网络是通畅的。同时也很可能出现未经授权的非法访问。企业网络既要解决连连通的问题,还要解决网络...

  • cisco Routing-配置标准命名ACL

    问题 使用基本编号的ACL没有实际意义,只有通过阅读具体的条目才能得知该ACL的作用。而且ACL的编号有限制,如传...

  • 思科ACL配置与扩展

    思科ACL配置与扩展 一.实验目的 (1).掌握基本ACL (2).掌握扩展ACL (3).学会如何应用ACL 二...

  • 华三ACL扩展与Telnet配置实验报告

    华三Acl扩展与Telnet配置实验报告 实验目的: 1.理解并掌握ACL的工作原理 2.学会扩展ACL的工作方...

  • cisco Routing-配置静态NAT

    问题 随着接入Internet的计算机数量的不断猛增,IP地址资源也就愈加显得捉襟见肘。事实上,除了中国教育和科研...

  • cisco Routing-配置动态NAT

    问题 在R1通过动态NAT实现企业内网192.168.1.0/24转换为公网地址61.159.62.131-61....

  • cisco Routing-配置端口映射

    问题 通过端口映射技术将内部服务器发布向Internet。 方案 在R1上配置端口映射将192.168.1.3的8...

  • ACL加log后不能放行的原因

    在NAT配置中的ACL不能加log,否则会出现问题。比如permit,此时会不放行。原因在于Cisco IOS N...

网友评论

    本文标题:cisco Routing-配置扩展ACL

    本文链接:https://www.haomeiwen.com/subject/tdwmmftx.html

    延伸阅读

    深度阅读

    • 您也可以注册成为美文阅读网的作者,发表您的原创作品、分享您的心情!

    栏目导航

    热点阅读

    网络工程师学习笔记

    关于我们|服务条款|联系我们|cisco Routing-配置扩展ACL|投稿指南|网站地图|RSS订阅|排版工具|手机版

    提供经典美文摘抄,优美散文欣赏,现代诗歌精选,短篇小说,心情随笔,表白情书范文,故事会在线阅读欣赏

    Copyright © 2014-2023 Haomeiwen.com All Rights Reserved. 好美文阅读网 版权所有

    备案信息:桂公网安备 45052102000051号 · 桂ICP备13007215号-3

    本站所收录作品、热点评论等信息部分来源互联网,目的只是为了系统归纳学习和传递资讯

    所有作品版权归原创作者所有,与本站立场无关,如不慎侵犯了你的权益,请联系我们告知,我们将做删除处理!