《2022年ACL实例.pdf》由会员分享,可在线阅读,更多相关《2022年ACL实例.pdf(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ACL 实例ACL 配置实例拓扑图如下 : 实验一:标准访问控制列表1、设置访问控制列表1,禁止 192、168、2、2 这台主机访问 192、168、1、0/24这个网段中的服务器 ,而 192、 168、 2、 0/24 这个网段中的其它主机可以正常访问。设置访问控制列表如下 : R1(config)#access-list 1 deny host 192 、168、2、2 R1(config)#access-list 1 permit any 将访问控制列表应用到接口F0/0的出站方向上R1(config)#int f0/0 R1(config-if)#ip access-group 1
2、 out 2、设置访问控制列表2,只允许 192、168、2、0/24 这个网段中的主机可以访问外网,192、168、1、0/24 这个网段的主机则不可以。设置访问控制列表R1(config)#access-list 2 permit 192 、168、2、0 0、0、0、255 将访问控制列表应用到S0/0的出站方向上R1(config)#int serial 0/0 R1(config-if)#ip access-group 2 out 3、设置访问控制列表3,只允许 192、168、2、3 这台主机可以使用telnet 连接R1。精品资料 - - - 欢迎下载 - - - - - - -
3、 - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 1 页,共 8 页 - - - - - - - - - - ACL 实例设置访问控制列表R1(config)#access-list 3 permit host 192 、168、2、3 设置 VTY 的登录密码R1(config)#line vty 0 4 R1(config-line)#password cisco R1(config-line)#login R1(config-line)#access-class 3 in /在入站方向上应用访问控制列表3 R1(config-line)#exit R1(co
4、nfig)#enable password wnt 4、查瞧访问控制列表R1#show access-lists Standard IP access list 1 deny host 192 、168、2、2 (4 match(es) permit any (15 match(es) Standard IP access list 2 permit 192、168、2、0 0、0、0、255 (4 match(es) Standard IP access list 3 permit host 192、168、2、3 (2 match(es) 2 match(es)这些信息显示就是过滤包的数据
5、,可以 使用clear access-list counters命令来清除。5、查瞧配置在接口上的访问控制列表R1#show ip interface f0/0 FastEthernet0/0 is up, line protocol is up (connected) Internet address is 192 、168、1、1/24 Broadcast address is 255 、255、255、255 Outgoing access list is 1 Inbound access list is not set 6、删除访问控制列表精品资料 - - - 欢迎下载 - - - -
6、 - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 2 页,共 8 页 - - - - - - - - - - ACL 实例删除访问控制列表要从两个方面入手,一就是删除访问控制列表,二就是取消访问控制列表有接口上的应用。R1(config)#no access-list 1 R1(config)#int f0/0 R1(config-if)#no ip access-group 1 out 实验二:扩展访问控制列表扩展访问控制列表的语法: access-list 100-199 permit/deny 协议 源 IP 源 IP 反码 目标 IP 目标 I
7、P反码 条件 eq 具体协议 /端口号 1、在 SERVER上搭建、 DNS 服务如下 : 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 3 页,共 8 页 - - - - - - - - - - ACL 实例精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 4 页,共 8 页 - - - - - - - - - - ACL 实例2、测试从三台 PC 中就是否可以正常访问各种服务。精品资料 - - - 欢迎下载 -
8、- - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 5 页,共 8 页 - - - - - - - - - - ACL 实例如上表明 ,、FTP 服务都可以正常工作 ,且其余三台 PC都可以正常访问。3、在 R1 上设置扩展访问控制列表101,禁止 192、168、2、2 这台主机 PING 通服务器 ,禁止 192、168、2、3 这台主机访问 FTP 服务。R1(config)#access-list 101 deny icmp host 192 、168、2、2 host 192、168、1、2 R1(config)#access-lis
9、t 101 deny tcp host 192 、168、2、3 host 192、168、1、2 eq 20 R1(config)#access-list 101 deny tcp host 192 、168、2、3 host 192、168、1、2 eq 21 R1(config)#access-list 101 permit ip any any R1(config)#int f0/1 R1(config-if)#ip access-group 101 in R1#show access-lists 101 Extended IP access list 101 deny icmp ho
10、st 192 、168、2、2 host 192 、168、1、2 deny tcp host 192 、168、2、3 host 192 、168、1、2 eq 20 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 6 页,共 8 页 - - - - - - - - - - ACL 实例deny tcp host 192 、168、2、3 host 192 、168、1、2 eq ftp permit ip any any 4、在 R1上设置扩展访问控制列表102,允许外网中的用户只能访问WWW 服务。
11、R1(config)#access-list 102 permit tcp any host 192 、168、1、2 eq www R1(config)#int serial 0/0 R1(config-if)#ip access-group 102 in 5、在 R1 上设置扩展访问控制列表103,只允许 192、168、2、2 这台主机可以进行 TELNET 远程管理。R1(config)#access-list 103 permit tcp host 192 、168、2、2 any eq telnet R1(config)#line vty 0 4 R1(config-line)#p
12、assword cisco R1(config-line)#login R1(config-line)#access-class 103 in R1(config-line)#exit R1(config)#enable password wnt 实验二:命名访问控制列表命名的 IP acl提供的两个主要优点就是 : 解决 ACL 号码不足的问题。可以自由的删除ACL 中的一条语句 ,而不必删除整个ACL 。(原本需要先取消端口的规则应用 ,再用 no+整个列表 )。基于名字的 IP ACL 还有一个很好的优点就就是可以为每个ACL 取一个有意义的名字 ,便于日后的管理与维护命名的标准 ACL
13、 1、定义命名的标准ACL wnt1, 只允许 192、168、2、2 这台 PC 可以上外网。R1(config)#ip access-list standard wnt1 R1(config-std-nacl)#permit host 192、168、2、2 R1(config-std-nacl)#exit R1(config)#int serial 0/0 R1(config-if)#ip access-group wnt1 out 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 7 页,共 8 页
14、 - - - - - - - - - - ACL 实例2、向命令访问列表wnt1 中新添加一条语句 ,允许 192、168、1、0/24 这个网段中的主机也可以访问外网。R1(config)#ip access-list standard wnt1 R1(config-std-nacl)#permit 192、168、1、0 0、0、0、255 R1#show access-lists wnt1 Standard IP access list wnt1 permit host 192、168、2、2 permit 192、168、1、0 0、0、0、255 3、删除命令访问列表wnt1 中的语
15、句 ,即实现不允许 192、168、2、2 这台主机访问外网。R1(config)#ip access-list standard wnt1 R1(config-std-nacl)#no permit host 192 、168、2、2 R1#show access-lists wnt1 Standard IP access list wnt1 permit 192、168、1、0 0、0、0、255 /删除成功 ,这也就是命名访问控制列表的优点。命名的扩展 ACL 1、定义命名扩展 ACL,禁止 192、168、2、2 这台主机 PING 通服务器 ,禁止 192、168、2、3这台主机访问
16、 FTP服务。R1(config)#ip access-list extended wnt2 R1(config-ext-nacl)#deny icmp host 192、168、2、2 host 192、168、1、2 R1(config-ext-nacl)#deny tcp host 192 、168、2、3 host 192、168、1、2 eq 21 R1(config-ext-nacl)#deny tcp host 192 、168、2、3 host 192、168、1、2 eq 20 R1(config-ext-nacl)#permit ip any any R1(config)#int f0/1 R1(config-if)#ip access-group wnt2 in 精品资料 - - - 欢迎下载 - - - - - - - - - - - 欢迎下载 名师归纳 - - - - - - - - - -第 8 页,共 8 页 - - - - - - - - - -