建立访问控制列表(cisco)
2017-11-25 16:19
218 查看
实验一
问题描述:用标准ACL实现172.16.1.0网段主机可以访问172.16.3.0网段的主机,172.16.2.0网段主机不能访问172.16.3.0网段的主机。拓扑图
步骤1:配置各接口地址
Router(config)#hostname Router0Router0(config)#int s0/0/1
Router0(config-if)#ip add 172.16.2.1 255.255.255.0
Router0(config-if)#clock rate 64000
Router0(config-if)#no sh
Router0 (config-if)#exit
Router0 (config) #int f0/1
Router0 (config-if)#ip add 172.16.1.1 255.255.255.0
Router0 (config-if)#no sh
Router0 (config-if)#exit
Router(config)#hostname Router1
Router1(config)#int f0/1
Router1(config-if)#ip add 172.16.3.1 255.255.255.0
Router1(config-if)#no sh
Router1(config-if)#exit
Router1(config)#int s0/0/1
Router1(config-if)#ip add 172.16.2.2 255.255.255.0
Router1(config-if)#no sh
Router1(config-if)#exit
步骤2:配置静态路由
Router0(config)#ip route 172.16.3.0 255.255.255.0 172.16.2.2Router1(config)#ip route 172.16.1.0 255.255.255.0 172.16.2.1
步骤3:验证静态路由配置
Router0(config)#do show ip routeRouter1(config)#do show ip route
步骤4:配置标准IP访问控制列表
(1)172.16.2.0网段的主机不能ping通172.16.3.0网段的主机
Router1(config)#access-list 2 deny 172.16.2.0 0.0.0.255
(2)172.16.1.0网段的主机能ping通172.16.3.0网段的主机
Router1(config)#access-list 2 permit 172.16.1.0 0.0.0.255
步骤5:把访问控制列表在接口上应用
Router1(config)#int f0/1Router1(config-if)#ip access-group 2 out
步骤6:验证测试
(1)172.16.2.0网段的主机不能ping通172.16.3.0网段的主机(2)172.16.1.0网段的主机能ping通172.16.3.0网段主机
实验二
问题描述:使用扩展ACL实现实验一拓扑图
步骤1:配置各接口地址
Router(config)#hostname Router0Router0(config)#int s0/0/1
Router0(config-if)#ip add 172.16.2.1 255.255.255.0
Router0(config-if)#clock rate 64000
Router0(config-if)#no sh
Router0 (config-if)#exit
Router0 (config) #int f0/1
Router0 (config-if)#ip add 172.16.1.1 255.255.255.0
Router0 (config-if)#no sh
Router0 (config-if)#exit
Router(config)#hostname Router1
Router1(config)#int f0/1
Router1(config-if)#ip add 172.16.3.1 255.255.255.0
Router1(config-if)#no sh
Router1(config-if)#exit
Router1(config)#int s0/0/1
Router1(config-if)#ip add 172.16.2.2 255.255.255.0
Router1(config-if)#no sh
Router1(config-if)#exit
步骤2:配置静态路由
Router0(config)#ip route 172.16.3.0 255.255.255.0 172.16.2.2Router1(config)#ip route 172.16.1.0 255.255.255.0 172.16.2.1
步骤3:验证静态路由配置
Router0(config)#do show ip routeRouter1(config)#do show ip route
步骤4:配置扩展IP访问控制列表
Router(config)#ip access-list extended 101Router(config-ext-nacl)#deny tcp 172.16.2.0 0.0.0.255 host 172.16.3.22 eq ftp
Router(config-ext-nacl)#permit tcp 172.16.1.0 0.0.0.255 host 172.16.3.22 eq ftp
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#exit
步骤5:把访问控制列表在接口上应用
Router(config)#int f0/1Router(config-if)#ip access-group 101 out
步骤7:验证测试
(1)在PC0访问172.16.3.22的FTP服务(2)修改步骤4的内容
Router(config)#ip access-list extended 101
Router(config-ext-nacl)#deny tcp 172.16.1.0 0.0.0.255 host 172.16.3.22 eq ftp
Router(config-ext-nacl)#permit tcp 172.16.2.0 0.0.0.255 host 172.16.3.22 eq ftp
Router(config-ext-nacl)#permit ip any any
Router(config-ext-nacl)#exit
在PC0访问172.16.3.22的FTP服务
实验三
问题描述:你是公司的网络管理员,公司的经理部、财务部门和销售部分别属于不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部进行访问,但经理部可以对财务部进行访问。PC1代表经理部的主机,PC2代表销售部的主机,PC3代表财务部的主机。
拓扑图
步骤1:配置各接口地址
Router(config)#hostname Router1Router1(config)#int f0/0
Router1(config-if)#ip add 172.16.1.1 255.255.255.0
Router1(config-if)#no sh
Router1(config-if)#exit
Router1(config)#int f0/1
Router1(config-if)#ip add 172.16.2.1 255.255.255.0
Router1(config-if)#no sh
Router1(config-if)#exit
Router1(config)#int s0/0/1
Router1(config-if)#ip add 172.16.3.1 255.255.255.252
Router1(config-if)#clock rate 64000
Router1(config-if)#no sh
Router1(config-if)#exit
Router(config)#hostname Router2
Router2(config)#int f0/1
Router2(config-if)#ip add 172.16.4.1 255.255.255.0
Router2(config-if)#no sh
Router2(config-if)#exit
Router2(config)#int s0/0/1
Router2(config-if)#ip add 172.16.3.2 255.255.255.252
Router2(config-if)#no sh
Router2(config-if)#exit
步骤2:配置静态路由
4000Router1(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2
Router2(config)#ip route 172.16.1.0 255.255.255.0 172.16.3.1
Router2(config)#ip route 172.16.2.0 255.255.255.0 172.16.3.1
步骤3:验证静态路由配置
Router1(config)#do show ip routeRouter2(config)#do show ip route
步骤4:配置标准IP访问控制列表
Router2(config)#ip access-list standard 2Router2(config-std-nacl)#deny 172.16.2.0 0.0.0.255
Router2(config-std-nacl)#permit 172.16.1.0 0.0.0.255
步骤5:把访问控制列表在接口上应用
Router2(config)#int f0/1Router2(config-if)#ip access-group 2 out
Router2(config-if)#exit
步骤6:验证PC1可以访问PC3,但PC2不能访问PC3
验证PC1:验证PC2:
相关文章推荐
- 扩展访问控制列表 CISCO之CCNA篇之七(3)
- 实施CISCO访问控制列表
- CISCO 配置实验 --扩展访问控制列表
- 详解cisco访问控制列表ACL
- 关于cisco网络设备访问控制列表ACL中IN、OUT的理解
- CISCO路由器访问控制列表---之经理权利
- Cisco路由器配置ACL详解之扩展访问控制列表
- 时间访问控制列表 CISCO之CCNA篇之七(4)
- 华为交换机上IP与MAC绑定,建立访问控制列表,实现只有经批准的PC才能接入网络。
- cisco安全访问控制列表
- Cisco路由器配置ACL详解之基于名称的访问控制列表
- Cisco 扩展访问控制列表配置 (结合不同vlan间通信)
- 详解cisco访问控制列表ACL
- Cisco 基于名称的访问控制列表
- Cisco路由器配置ACL详解之基于时间的访问控制列表
- Cisco 带Established选项的扩展访问列表ACL
- AR系列路由器包过滤控制访问列表的配置方法
- 路由器访问控制列表详解
- linux命令:facl文件系统的访问控制列表
- 路由器访问控制列表详解