当前位置: 首页 > article >正文

Packet Tracer - 配置编号的标准 IPv4 ACL(两篇)

Packet Tracer - 配置编号的标准 IPv4 ACL(第一篇)

目标

第 1 部分:计划 ACL 实施

第 2 部分:配置、应用和验证标准 ACL

背景/场景
标准访问控制列表 (ACL) 为路由器 配置脚本,基于源地址控制路由器 是允许还是拒绝数据包。本练习的主要内容是定义过滤标准、 配置标准 ACL、将 ACL 应用于路由器接口并 验证和测试 ACL 实施。路由器已经配置完成, 包括 IP 地址以及增强型内部网关路由 协议 (EIGRP) 路由。

说明
第 1 部分:规划 ACL 实施

步骤 1:调查当前的 网络配置。
在将 ACL 应用于网络中之前, 都必须确保网络中的连通性没有问题。通过选择一个 PC, 然后 ping 网络上的其他设备,验证网络具有全面连接。您 应该能够成功 ping 通每台设备。

步骤 2:评估两个网络 策略,计划 ACL 实施。
a.     在R2上实施了以下网络策略:

        192.168.11.0/24 网络不允许访问 192.168.20.0/24 网络上的 Web服务器 。

         允许所有其他访问。

要限制从 192.168.11.0/24 网络访问 192.168.20.254 网络上的 Web服务器,而不干扰其他流量,则必须在 R2上创建 ACL。该访问列表必须放置在连接 Web服务器的出站接口上。必须在R2 上创建另一个规则以允许所有其他流量。

b.     在R3上实施了以下网络策略:

        不允许 192.168.10.0/24 网络与 192.168.30.0/24 网络通信。

       允许所有其他访问。

要限制从 192.168.10.0/24 网络访问 192.168.30/24 网络,而不干扰其他流量,则需要在 R3上创建访问列表。该访问列表必须放置在连接 PC3的出站接口上。必须在R3上创建另一个规则以允许 所有其他流量。

第 2 部分:配置、应用和 验证标准 ACL
步骤 1:在 R2 上配置和应用 编号的标准 ACL。
a.     在R2上创建编号为1的ACL, 拒绝192.168.11.0/24网络访问192.168.20.0/24网络。

打开配置窗口

R2(config)# access-list 1 deny 192.168.11.0 0.0.0.255

b.     默认情况下,访问列表会拒绝与列表中的所有规则均不匹配的流量。 要允许所有其他流量,则需要配置下面这条语句:

R2(config)# access-list 1 permit any

c. 在把访问列表应用在接口上过滤流量 之前 ,最好首先检查访问列表的内容, 以确认它会按照预期过滤流量。

R2# show access-lists

Standard IP access list 1

10 deny 192.168.11.0 0.0.0.255

20 permit any

d.     为了让这个 ACL 真的能够过滤流量,必须应用 这个 ACL。在千兆以太网 G0/0 接口上应用 ACL 来过滤出站流量。 注意:在实际运行的网络中,把未经测试的访问列表应用在活跃接口上 可不是一个好主意。

R2(config)# interface GigabitEthernet0/0

R2(config-if)# ip access-group 1 out

步骤 2:在R3上配置和应用 编号的标准 ACL。

a.     在R3 创建一个 ACL,在其中拒绝PC1 的网络 (192.168.10.0/24) 访问192.168.30.0/24网络。

R3(config)# access-list 1 deny 192.168.10.0 0.0.0.255

b.     默认情况下,ACL 会拒绝与列表中的所有规则均不匹配的流量。 要允许所有其他流量,需要为 ACL 1 创建另一个规则。

R3(config)# access-list 1 permit any

c.     验证访问列表的配置是正确的。

R3# show access-lists

Standard IP access list 1

10 deny 192.168.10.0 0.0.0.255

20 permit any

d.     在千兆以太网 G0/0 接口上应用 ACL 来过滤出站流量。

R3(config)# interface GigabitEthernet0/0

R3(config-if)# ip access-group 1 out

步骤 3:验证 ACL 的配置 和功能。
a.     使用 show run 或 show ip interface gigabitethernet 0/0 命令 来验证 ACL 的应用。

 

b.     通过使用两个 ACL,将根据第 1 部分 详述的策略来限制网络流量。使用以下测试来验证 ACL 的实施:

·         从192.168.10.10到192.168.11.10 的ping成功。

·         从192.168.10.10到192.168.20.254的ping成功。

·         从192.168.11.10到192.168.20.254的ping失败。

·         从192.168.10.10到192.168.30.10的ping失败。

·         从192.168.11.10到192.168.30.10的ping成功。

·         从192.168.30.10到192.168.20.254的ping成功。

c.     再次在路由器R2 和 R3上使用命令 show access-lists。在输出中您应该会看到访问列表中 每条语句的数据包匹配数量。注意:根据发送和接收 ping 的数量, 在您的实验中, 路由器显示的匹配数量可能会有所不同。

R2# show access-lists

Standard IP access list 1

10 deny 192.168.11.0 0.0.0.255 (4 match(es))

20 permit any (8 match(es))

R3# show access-lists

Standard IP access list 1

10 deny 192.168.10.0 0.0.0.255 (4 match(es))

20 permit any (8 match(es))

配置脚本如下: 

R2

enable

conf t

access-list 1 deny 192.168.11.0 0.0.0.255

ccess-list 1 permit any

interface GigabitEthernet0/0

ip access-group 1 out

end

R3

enable

conf

access-list 1 deny 192.168.10.0 0.0.0.255

access-list 1 permit any

interface GigabitEthernet0/0

ip access-group 1 out

end

完成结果如下: 

 

Packet Tracer - 配置编号的标准 IPv4 ACL(第二篇) 

 

 

目标

第 1 部分:配置和应用命名的标准 ACL

第 2 部分:验证 ACL 实施

背景/场景
资深网络 管理员指派您创建一个命名的标准ACL,来过滤去往 文件服务器的访问。文件服务器中包含Web应用所使用的数据库。 只有Web管理工作站PC1和Web服务器需要访问文件 服务器。其他所有去往文件服务器的流量都应该被拒绝。

说明
第 1 部分:配置和应用命名的 标准 ACL

步骤 1:在配置和应用 ACL 之前 验证连通性。
三个工作站都应该可以ping通 Web 服务器和文件服务器。

步骤 2:配置命名的标准 ACL。
打开配置窗口

a.     在R1上配置命名的ACL。

R1(config)# ip access-list standard File_Server_Restrictions

R1(config-std-nacl)# permit host 192.168.20.4

R1(config-std-nacl)# permit host 192.168.100.100

R1(config-std-nacl)# deny any

注意:出于评分的目的,ACL的名称 要区分大小写,语句的顺序必须与上述显示相同。

b.     在接口上应用访问列表之前,要使用 show access-lists 命令来确认访问列表的内容。 确保您没有误输入IP地址, 并且命令的顺序也是正确的。

R1# show access-lists

Standard IP access list File_Server_Restrictions

10 permit host 192.168.20.4

20 permit host 192.168.100.100

30 deny any

步骤 3:应用命名的ACL
a.     在Fa0/1接口的出站方向上应用ACL。

R1(config-if)#interface f0/1

注意:在实际运行的网络中, 把未经测试的访问列表应用在活跃接口上 可不是一个好主意。

R1(config-if)# ip access-group File_Server_Restrictions out

b.     保存配置。

关闭配置窗口

第 2 部分:验证ACL的部署

步骤 1:验证ACL 配置以及在接口上的应用。
打开配置窗口

使用 show access-lists 命令 验证 ACL 配置。使用 show run 或 show ip interface fastethernet 0/1 命令验证 ACL 是否已 应用于正确接口。

步骤 2:验证ACL 是否正常工作。
所有三个工作站都可以ping通Web 服务器,但只有PC1和Web服务器可以 ping通文件服务器。再次使用 show access-list 命令来查看 每条语句上匹配的数据包数量。

PC0 

 

PC1

 

PC2 

 

 配置脚本如下:

R1

enable

conf t

ip access-list standard File_Server_Restrictions

permit host 192.168.20.4

permit host 192.168.100.100

deny any

exit

int f0/1 

ip access-group File_Server_Restrictions out

end


http://www.kler.cn/a/315679.html

相关文章:

  • WEB攻防-通用漏洞SQL注入sqlmapOracleMongodbDB2等
  • 随时随地编码:香橙派Zero3上安装Code Server远程开发指南
  • Django基础用法+Demo演示
  • 远离生成式AI大乱斗,SAS公司揭示亚太区千亿AI市场蓝图
  • golang如何实现sse
  • WebGIS三维地图框架--Cesium
  • jQuery 入口函数 详解
  • IT行业中的工作生活平衡探讨
  • Android 内核开发之—— repo 使用教程
  • Kotlin 函数和变量(四)
  • 双向链表:实现、操作与分析【算法 17】
  • 【Fastapi】参数获取,json和query
  • 深度学习02-pytorch-05-张量的索引操作
  • 2024 年最新前端ES-Module模块化、webpack打包工具详细教程(更新中)
  • Android 车载应用开发指南 - CarService 详解(下)
  • 在Spring Boot中实现多环境配置
  • 汽车总线之----FlexRay总线
  • LeetCode_sql_day31(1384.按年度列出销售总额)
  • C# 委托与事件 观察者模式
  • Java项目实战II基于Java+Spring Boot+MySQL的植物健康系统(开发文档+源码+数据库)
  • 设计模式之复合模式
  • 高级java每日一道面试题-2024年9月16日-框架篇-Spring MVC和Struts的区别是什么?
  • Redis发布和订阅
  • 波分技术基础 -- Liquid OTN技术特性
  • 高效打造知识图谱,使用LlamaIndex Relik实现实体关联和关系抽取
  • 火车站高铁站站点时刻查询网站计算机毕设/动车站点时刻查询