CCNA课堂练习:控制访问列表(ACCESS LIST)
2010-05-28 07:29
393 查看
大家今天介绍一下访问控制列表,那为什么要用访问控制列表呢?比如说公司里不想让公司以外的人telnet本公司电脑可以用ACL、不想让别人ping通ip可以用ACL、不想……
老师说挺好用的我在这和大家分享一下,废话少说,我们开始,先来介绍一下ACL。
那使用ACL的目的是什么呢?在性能和安全上介绍一下:
•性能
对网络设计中特定的用户进行控制
拒绝网络之间进行访问
管理网络中逐步增长的 IP 数据
•安全
可以基于主机地址、目的地址和服务器类型来允许或禁止为特定的用户提供资源
当数据通过路由器时进行过滤
控制访问列表有两种:标准的控制访问列表和扩展的控制访问列表。
•标准
检查源地址
通常允许、拒绝的是完整的协议
能够对源地址进行过滤,是一种简单,直接的数据控制手段
•扩展
检查源地址和目的地址
通常允许、拒绝的是某个特定的协议
除了基于数据包源地址的过滤以外,还能够对协议,目的地址,端口号进行网络流量过滤。当然,配置也更复杂
控制访问列表的一般用法:
•限制对网络的FTP访问
•禁止一个子网到另一个子网的访问
•允许规定主机Telnet访问路由器
如:不允许指定的主机TELNET访问
访问列表的配置指南:
•访问列表的编号指明了使用何种协议的访问列表
•每个端口、每个方向、每条协议只能对应于一条访问列表
•访问列表的内容决定了数据的控制顺序
•具有严格限制条件的语句应放在访问列表所有语句的最上面
•在访问列表的最后有一条隐含声明:deny any-每一条正确的访问列表都至少应该有一条允许语句
•先创建访问列表,然后应用到端口上
•访问列表不能过滤由路由器自己产生的数据
标准访问列表的一般配置举例:
Router#
Router#configure terminal
Router(config)#
Router(config)#access-list 1 permit 172.16.2.0 0.0.0.255
配置的访问列表是允许来自网络172.16.2.0的流量
•Router#configure terminal
•Router(config)#
•Router(config)#access-list 2 deny 172.16.3.0 0.0.0.255
•Router(config)#access-list 2 permit any
•Router(config)#int s0
•Router(config-if)#ip access-group 2 out
•Router(config-if)#
禁止来自网络172.16.3.0的流量!!!
扩展访问列表的一般配置举例:
access-list 101 deny tcp 172.16.4.00.0.0.255 172.16.3.0 0.0.0.255 eq 21
access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20
access-list 101 permit ip any any
(implicit deny all)
(access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255)
•拒绝子网172.16.4.0 的数据使用路由器e0口ftp到子网172.16.3.0
•允许其它数据
access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23
access-list 101 permit ip any any
(implicit deny all)
•拒绝子网 172.16.4.0 内的主机使用路由器的端口建立Telnet会话
•允许其它数据
我们来比较一下标准的和扩展的异同:
标准:
基于源地址
允许和拒绝完整的
TCP/IP协议
编号范围1-99和1300-1999
扩展:
基于源地址和目标地址
指定TCP/IP的特定协议
和端口号
编号范围 100-199和2000-2699
我们指定特定的主机时一般用通配符掩码指明,下面我举几个例子:
例如172.30.16.29 0.0.0.0检查所有的地址位可以简写为host (host 172.30.16.29)
所有主机: 0.0.0.0 255.255.255.255可以用any 简写
好了我们来做一个扩展访问列表的实验来验证并巩固一下我们今天的学习。
实验要求:三台路由器,r1 r2 r3 拒绝r3通过r2向r1做telnet
实验的大致步骤:
1、给路由器命名
2、开启telnet功能并设置密码
3、配置ip
4、配置时钟频率
5、关闭自动汇总
6、配置rip用版本2,实现基本的通信
7、r2上配置访问控制列表
8、验证:r3 telnet r1失败
实验大致拓扑如图:
我们把实验的命令写到文本:
基本配置:
r1:
en
conf t
host r1
enable pass cisco
line vty 0 4
pass cisco
login
exit
int s0/0
ip addr 192.168.1.1 255.255.255.0
no shut
clock rate 64000
exit
router rip
ver 2
no auto-summary
network 192.168.1.0
exit
r2:
en
conf t
host r2
enable pass cisco
line vty 0 4
pass cisco
login
exit
int s0/0
ip addr 192.168.1.2 255.255.255.0
no shut
int s0/1
ip addr 192.168.2.1 255.255.255.0
no shut
clock rate 64000
exit
router rip
ver 2
no auto-summary
network 192.168.1.0
network 192.168.2.0
exit
r3:
en
conf t
host r3
enable pass cisco
line vty 0 4
pass cisco
login
exit
int s0/1
ip addr 192.168.2.2 255.255.255.0
no shut
exit
router rip
ver 2
no auto-summary
network 192.168.2.0
exit
在r2上配置拒绝telnet:
conf t
access-list 101 deny tcp 192.168.1.1 0.0.0.0 192.168.2.0 0.0.0.255 eq telnet
access-list 101 permit ip any any
int s0/1
ip access-group 100 out
exit
access-list 102 deny tcp 192.168.1.1 0.0.0.0 192.168.2.0 0.0.0.255 eq ftp
access-list 102 permit ip any any
int s0/1
ip access-group 100 out
exit
access-list 103 deny icmp 192.168.4.2 0.0.0.0 192.168.1.0 0.0.0.255 echo
access-list 103 deny icmp 192.168.4.2 0.0.0.0 192.168.1.0 0.0.0.255 echo-reply
access-list 103 permit ip any any
int s0/0
ip access-group 101 out
写完了以后我们开始粘贴。
粘贴完并没有错误,我们先不添加访问控制列表看能否telnet
没有问题可以telnet并打开了
我们来添加访问列表
在来telnet 如果失败了,我们就成功了。
telnet不上了,成功!!!!!!
凌晨了睡觉喽!!!!!!呵呵 !!!!!!
本文出自 “龙游浅水” 博客,请务必保留此出处http://liuyonglei.blog.51cto.com/501877/139178
老师说挺好用的我在这和大家分享一下,废话少说,我们开始,先来介绍一下ACL。
那使用ACL的目的是什么呢?在性能和安全上介绍一下:
•性能
对网络设计中特定的用户进行控制
拒绝网络之间进行访问
管理网络中逐步增长的 IP 数据
•安全
可以基于主机地址、目的地址和服务器类型来允许或禁止为特定的用户提供资源
当数据通过路由器时进行过滤
控制访问列表有两种:标准的控制访问列表和扩展的控制访问列表。
•标准
检查源地址
通常允许、拒绝的是完整的协议
能够对源地址进行过滤,是一种简单,直接的数据控制手段
•扩展
检查源地址和目的地址
通常允许、拒绝的是某个特定的协议
除了基于数据包源地址的过滤以外,还能够对协议,目的地址,端口号进行网络流量过滤。当然,配置也更复杂
控制访问列表的一般用法:
•限制对网络的FTP访问
•禁止一个子网到另一个子网的访问
•允许规定主机Telnet访问路由器
如:不允许指定的主机TELNET访问
访问列表的配置指南:
•访问列表的编号指明了使用何种协议的访问列表
•每个端口、每个方向、每条协议只能对应于一条访问列表
•访问列表的内容决定了数据的控制顺序
•具有严格限制条件的语句应放在访问列表所有语句的最上面
•在访问列表的最后有一条隐含声明:deny any-每一条正确的访问列表都至少应该有一条允许语句
•先创建访问列表,然后应用到端口上
•访问列表不能过滤由路由器自己产生的数据
标准访问列表的一般配置举例:
Router#
Router#configure terminal
Router(config)#
Router(config)#access-list 1 permit 172.16.2.0 0.0.0.255
配置的访问列表是允许来自网络172.16.2.0的流量
•Router#configure terminal
•Router(config)#
•Router(config)#access-list 2 deny 172.16.3.0 0.0.0.255
•Router(config)#access-list 2 permit any
•Router(config)#int s0
•Router(config-if)#ip access-group 2 out
•Router(config-if)#
禁止来自网络172.16.3.0的流量!!!
扩展访问列表的一般配置举例:
access-list 101 deny tcp 172.16.4.00.0.0.255 172.16.3.0 0.0.0.255 eq 21
access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20
access-list 101 permit ip any any
(implicit deny all)
(access-list 101 deny ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255)
•拒绝子网172.16.4.0 的数据使用路由器e0口ftp到子网172.16.3.0
•允许其它数据
access-list 101 deny tcp 172.16.4.0 0.0.0.255 any eq 23
access-list 101 permit ip any any
(implicit deny all)
•拒绝子网 172.16.4.0 内的主机使用路由器的端口建立Telnet会话
•允许其它数据
我们来比较一下标准的和扩展的异同:
标准:
基于源地址
允许和拒绝完整的
TCP/IP协议
编号范围1-99和1300-1999
扩展:
基于源地址和目标地址
指定TCP/IP的特定协议
和端口号
编号范围 100-199和2000-2699
我们指定特定的主机时一般用通配符掩码指明,下面我举几个例子:
例如172.30.16.29 0.0.0.0检查所有的地址位可以简写为host (host 172.30.16.29)
所有主机: 0.0.0.0 255.255.255.255可以用any 简写
好了我们来做一个扩展访问列表的实验来验证并巩固一下我们今天的学习。
实验要求:三台路由器,r1 r2 r3 拒绝r3通过r2向r1做telnet
实验的大致步骤:
1、给路由器命名
2、开启telnet功能并设置密码
3、配置ip
4、配置时钟频率
5、关闭自动汇总
6、配置rip用版本2,实现基本的通信
7、r2上配置访问控制列表
8、验证:r3 telnet r1失败
实验大致拓扑如图:
我们把实验的命令写到文本:
基本配置:
r1:
en
conf t
host r1
enable pass cisco
line vty 0 4
pass cisco
login
exit
int s0/0
ip addr 192.168.1.1 255.255.255.0
no shut
clock rate 64000
exit
router rip
ver 2
no auto-summary
network 192.168.1.0
exit
r2:
en
conf t
host r2
enable pass cisco
line vty 0 4
pass cisco
login
exit
int s0/0
ip addr 192.168.1.2 255.255.255.0
no shut
int s0/1
ip addr 192.168.2.1 255.255.255.0
no shut
clock rate 64000
exit
router rip
ver 2
no auto-summary
network 192.168.1.0
network 192.168.2.0
exit
r3:
en
conf t
host r3
enable pass cisco
line vty 0 4
pass cisco
login
exit
int s0/1
ip addr 192.168.2.2 255.255.255.0
no shut
exit
router rip
ver 2
no auto-summary
network 192.168.2.0
exit
在r2上配置拒绝telnet:
conf t
access-list 101 deny tcp 192.168.1.1 0.0.0.0 192.168.2.0 0.0.0.255 eq telnet
access-list 101 permit ip any any
int s0/1
ip access-group 100 out
exit
access-list 102 deny tcp 192.168.1.1 0.0.0.0 192.168.2.0 0.0.0.255 eq ftp
access-list 102 permit ip any any
int s0/1
ip access-group 100 out
exit
access-list 103 deny icmp 192.168.4.2 0.0.0.0 192.168.1.0 0.0.0.255 echo
access-list 103 deny icmp 192.168.4.2 0.0.0.0 192.168.1.0 0.0.0.255 echo-reply
access-list 103 permit ip any any
int s0/0
ip access-group 101 out
写完了以后我们开始粘贴。
粘贴完并没有错误,我们先不添加访问控制列表看能否telnet
没有问题可以telnet并打开了
我们来添加访问列表
在来telnet 如果失败了,我们就成功了。
telnet不上了,成功!!!!!!
凌晨了睡觉喽!!!!!!呵呵 !!!!!!
本文出自 “龙游浅水” 博客,请务必保留此出处http://liuyonglei.blog.51cto.com/501877/139178
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- CCNA课堂练习:控制访问列表(ACCESS LIST)
- CCNA课堂练习三:标准访问控制列表和扩展访问控制列表的区别 推荐
- CCNA课堂练习三:标准访问控制列表和扩展访问控制列表的区别
- CCNA之五:访问列表与telnet访问控制
- CCNA--LAB-6:配置ACL(访问控制列表-经典实例)
- CCNA之访问控制列表
- 时间访问控制列表 CISCO之CCNA篇之七(4)
- CCNA入门---访问控制列表-ACL配置实例
- CCNA--LAB-6:配置ACL(访问控制列表-经典实例)
- CCNA学习笔记13-IP访问控制列表
- 扩展访问控制列表 CISCO之CCNA篇之七(3)
- CCNA--LAB-6:配置ACL(访问控制列表-经典实例)
- CCNA--LAB-6:配置ACL(访问控制列表-经典实例)
- CCNA路由器访问控制列表ACL的应用
- 您不具备查看该目录或页面的权限,因为访问控制列表 (ACL) 对Web服务器上的该资源进行了配置
- 巧用Squid的ACL和访问列表实现高效访问控制
- Linux之文件的访问控制(acl列表)
- CCNP课堂练习三:利用帧中继的流量整形来实现流量控制
- phpGACL-- 基于PHP的通用访问控制列表 [中文手册]
- 基于时间的访问控制列表