计算机网络实验--在Cisco Packet Tracer中配置ACL
2017-12-02 10:56
1076 查看
实验内容
配置ACL禁止192.168.3.0/24网段的icmp协议数据包通向与192.168.1.0/24网段配置ACL禁止特点的协议端口通讯:
禁止192.168.2.10访问web(禁止网段与禁止单个之间的区别)
禁止192.168.2.20访问DNS
ACL(访问控制列表)介绍
应用在路由器接口的指令列表指定哪些数据报可以接收、哪一些需要拒绝
相对网络接口来说,从网络上流入该接口的数据包,为入站数据流。对入站数据流的过滤控制称为入站访问控制。
从网络接口流出的网络数据包,称为出站数据流。出站访问控制是对出站数据流的过滤控制。
路由器配置(图形界面配置)
首先关闭路由器电源,向路由器中配置两个高速串口 WIC-2T开启路由器电源,并连接线路
接下来配置路由器端口网段,注意Port Status 选择on,设置速率匹配
设置默认网关,即路由器与主机网段的接口,注意网关应该与主机所在网段在一个网段
主机和服务器配置
设置PC主机的IP地址,子网掩码,网关和DNS服务地址域名服务器配置
注意在这里要开启DNS服务
服务器配置
配置RIP协议
在路由器上配置rip协议,就是将路由器相邻的网段配置到路由器里添加rip协议的命令: router rip
Network w.x.y.z
注意:如果不是C类网段,可能需要使用version 2模式,宣告路由信息时携带子网掩码
下面以对Router0进行RIP配置
Router>en Router#conf t Router(config)#router rip Router(config-router)#Network 192.168.3.0 Router(config-router)#Network 192.168.4.0 Router(config-router)#Network 192.168.5.0 Router(config-router)#end
在配置完之后可以通过命令 sh ip route 查看配置情况
当三个路由器全部配置好后,可以互相ping通
当然也可以通过浏览器访问服务器
配置ACL禁止192.168.3.0/24网段的icmp协议数据包通向与192.168.1.0/24网段
拓展ACL配置过程
创建ACLRouter(config)# access-list access-list-number { permit | deny } protocol source source-wildcard [operator port] destination destination-wildcard [ operator port ] [ established ] [log]
将ACL绑定到指定端口
Router(config-if)# ip access-group access-list-number { in | out }
注意
access-list-number 要选择在100以上的数字
in 表示入站访问控制
out表示出站访问控制
“no access-list access-list-number” 命令删除指定号码的ACL
“no ip access-group access-list-number” 命令在特定接口禁用ACL
“sh access-lists”可以查看某台路由上ACL配置情况
Router>en Router#conf t Router(config)#access-list 101 deny icmp 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 Router(config)#access-list 101 permit ip any any Router(config)#int fa0/0 Router(config-if)#ip access-group 101 in
配置好之后,192.168.3.0网段应该就无法ping通192.168.1.0网段
但是仍然可以通过浏览器访问网址(没有禁止TCP、UDP)
禁止192.168.2.2访问web(禁止网段与禁止单个的区别);禁止192.168.2.3访问DNS
Router>en Router#conf t Router(config)#access-list 101 deny tcp host 192.168.2.10 192.168.1.0 0.0.0.255 eq www Router(config)#access-list 101 deny udp host 192.168.2.20 192.168.1.0 0.0.0.255 eq 53 Router(config)#access-list 101 permit ip any any Router(config)#int fa0/0 Router(config-if)#ip access-group 101 out
设置好之后,主机192.168.2.10无法通过浏览器访问192.168.1.0网段
主机192.168.2.20 无法通过域名访问192.168.1.0网段,但可以通过输入IP地址的方式在浏览器中访问
相关文章推荐
- python网络编程中,Cisco packet tracer 中两个交换机和一个路由器的配置
- 实验一 路由配置(cisco packet tracer)
- Cisco Packet Tracer 交换与路由实验配置文件下载
- 计算机网络之Cisco Packet Tracer模拟器使用
- 基于CiscoPacket Tracer6.0网络协议分析实验第一节
- 构建简易网络与网络设备的简单配置(Cisco Packet Tracer)第一弹:交换机VLAN配置
- 构建简易网络与网络设备的简单配置(Cisco Packet Tracer)第二弹:静态路由协议配置
- 构建简易网络与网络设备的简单配置(Cisco Packet Tracer)第三弹:动态路由协议配置
- Cisco Packet Tracer 5 汉化版 | 学习网络配置的学习工具
- 关于Cisco Packet Tracer配置DHCP实验
- python网络编程中,Cisco packet tracer 中多个路由器和两个交换机的配置
- 利用Cisco Packet Tracer仿真配置网络
- Cisco Packet Tracer 5 汉化版 | 学习网络配置的学习工具
- 计算机网络之Cisco Packet Tracer模拟器使用
- Cisco Packet Tracer 配置网络实例---包括单臂路由-3层交换机-NAT的配置
- 第16章,Cisco Packet Tracer系列之--网络端口地址转换NAPT配置
- 构建简易网络与网络设备的简单配置(Cisco Packet Tracer)第一弹:交换机VLAN配置
- 基于Cisco Packet Tracer6.0网络协议分析实验第二节
- 第10章,Cisco Packet Tracer系列之--RIP动态路由配置
- Cisco Packet Tracer12…………不同的配置模式