访问控制列表三(控制Telnet访问)

访问控制列表三（控制Telnet访问）

操作路由器的方法有两种，一种是通过本地控制台端口(console port)直接操作；另一种是远程连接操作，在远程控制中最常用的方法是Telnet，只要知道路由器的任意一个物理接口地址和Telnet口令，并且存在路由，就可以远程操作路由器。

使用ACL提高Telnet的安全性也有两种办法：一种是在物理线路上设置访问控制列表，这种方法比较麻烦，需要在路由器上配置多条ACL并关联到每个物理接口；另一种是配置ACL并关联到Telnet使用的虚拟口(VTY 0 4)上，这种方法比较简单。

实验拓扑图：

1、配置路由协议，使全网络连通；

2、在Router1中设置特权密码（enable密码）和Telnet远程登录密码，在PC0、PC1、PC2上测试；

3、在Router1上设置ACL实现，只允许PC0计算机远程登录Router1，其他均不允许。

Router(config)#ip access-list extended a1

Router(config-ext-nacl)#permit tcp host 192.168.1.2 host 192.168.2.2 eq telnet

Router(config-ext-nacl)#permit tcp host 192.168.1.2 host 192.168.4.1 eq telnet

Router(config-ext-nacl)#permit tcp host 192.168.1.2 host 192.168.3.1 eq telnet

Router(config-ext-nacl)#deny tcp any any eq telnet

//如果Router2、Router4上也存在telnet，能否这样配置。

Router(config-ext-nacl)#permit ip any any

Router(config-ext-nacl)#exit

Router(config)#int s0/0/1

Router(config-if)#ip access-group a1 in

Router(config-if)#int s0/1/0

Router(config-if)#ip acc

Router(config-if)#ip access-group a1 in

Router(config-if)#int s0/0/0

Router(config-if)#ip acc

Router(config-if)#ip access-group a1 in

4、思考题

请考虑如果不采用上面的方法，如何实现该功能？

访问控制列表(ACL)总结

访问控制列表（ACL）总结 一、什么是ACL？ 访问控制列表简称为ACL，访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。 二、访问控制列表使用原则 由于ACL涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部ACL的配置。在介绍例子前为大家将ACL设置原则罗列出来，方便各位读者更好的消化ACL知识。 1、最小特权原则 只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。 2、最靠近受控对象原则 所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。 3、默认丢弃原则 在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY，也就是丢弃所有不符合条件的数据包。这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。 由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。 三、标准访问列表 访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99来创建相应的ACL 标准访问控制列表的格式： 访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是标准访问控制列表，他是通过使用IP包中的源IP地址进行过滤，使用的访问控制列表号1到99 来创建相应的ACL。 它的具体格式如下：access-list ACL号permit|deny host ip地址 例：access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。 当然我们也可以用网段来表示，对某个网段进行过滤。命令如下：access-list 10 deny 192.168.1.0 0.0.0.255 通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃。为什么后头的子网掩码表示的是0.0.0.255呢？这是因为CISCO规定在ACL中用反向掩玛表示子网掩码，反向掩码为0.0.0.255的代表他的子网掩码为255.255.255.0。 注：对于标准访问控制列表来说，默认的命令是HOST，也就是说access-list 10 deny 192.168.1.1表示的是拒绝192.168.1.1这台主机数据包通讯，可以省去我们输入host命令。 标准访问控制列表实例一：

实验十一：标准访问控制列表配置

《网络互联技术》课程实验指导书 实验十一：标准访问控制列表配置 当网络管理员想要阻止某一网络的所有通信流量时，或者允许来自某一特定网络的所有通信流量时，或者想要拒绝某一协议簇的所有通信流量时，可以使用标准访问控制列表实现这一目标。 标准ACL检查可以过滤被路由的数据包的源地址、从而允许或拒绝基于网络、子网或主机IP地址的某一协议簇通过路由器出口。 一、网络拓朴 二、实验内容 1、在路由器的E 0/0口添加“ACL 访问控制列表6”并对转出（从路由器端口出来转向交换机或主机）的数据包进行过滤，实现功能：禁止将HostC、HostD的数据包通过路由器E 0/0 口转发到HostA、HostB。其结果是：（对于TCP数据包来说，访问是双向的，只要A不能访问B，则B也将不能访问A） ●HostA和HostB之间可以通信，但无法访问HostC、HostD。 ●HostC和HostD之间可以通信，但无法访问HostA、HostB。 2、在路由器的E 0/1口添加“ACL 访问控制列表10”并对转出（从路由器端口出来转向

交换机或主机）的数据包进行过滤，实现功能：禁止HostA、HostC访问Server E服务器。 由于标准ACL访问控制列表只能根据数据包的源地址来过滤通信流量，因此，应该将ACL 访问控制列表放置离目标地址最近的地方。 三、实验目的 1、掌握标准访问控制列表的原理 2、掌握标准访问控制列表的配置 四、实验设备 1、一台台思科（Cisco）3620路由器 2、两台思科（Cisco）2950二层交换机 3、思科（Cisco）专用控制端口连接电缆 4、四台安装有windows 98/xp/2000操作系统的主机 5、一台提供WWW服务的WEB服务器 6、若干直通网线与交叉网线 五、实验过程（需要将相关命令写入实验报告） 1、根据上述图示进行交换机、路由器、主机的连接 2、设置主机的IP地址、子网掩码和默认网关 3、配置路由器接口 Router> enable Router# configure terminal Router(config)# interface ethernet 0/0 Router(config-if)# ip address 192.168.1.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)# exit Router(config)# interface ethernet 0/1 Router(config-if)# ip address 192.168.3.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)# exit Router(config)# interface ethernet 0/2 Router(config-if)# ip address 192.168.2.1 255.255.255.0 Router(config-if)# no shutdown Router(config-if)#exit 4、配置访问控制列表6并将之添加到Ethernet 0/0接口的out方向上 Router(config)# access-list 6 deny 192.168.2.0 0.0.0.255 Router(config)# access-list 6 permit any

ACL配置规范

ACL配置规范： ACL分类： 第一类是：基本ACL 1.标准ACL的编号范围：1-99和1300-1999； 2.标准ACL只匹配源ip地址 3.ACL的匹配顺序为从上往下（ACE序号从小到大）匹配ACE条目，若匹配对应的ACE条目后，就执行该ACE条目的行为（允许/拒绝），不会再往下匹配其他ACE条目。 4.ACL最后隐含一体deny any的ACE条目，会拒绝所有流量。若是禁止某网段访问，其他网段均放通，则应该在拒绝流量的ACE配置完成后，再加一条permit any的ACE条目，用来放行其他流量。 第二类是：扩展ACL 1.扩展ACL的编号范围：100-199和2000-2699。 2.标准ACL只匹配源ip地址，扩展ACL可以匹配数据流的五大元素（源ip地址、目的ip地址、源端口、目的端口、协议号） 3.ACL的匹配顺序为从上往下（ACE序号从小到大）匹配ACE条目，若匹配对应的ACE条目后，就执行该ACE条目的行为（允许/拒绝），不会再往下匹配其他ACE条目。 4.ACL最后隐含一体deny any的ACE条目，会拒绝所有流量。若是禁止某网段访问，其他网段均放通，则应该在拒绝流量的ACE配置完成后，再加一条permit any的ACE条目，用来放行其他流量。 ACL规划： 标准ACL总体规划如下: ACL范围编号用户备注 2000-2099 业务设备访问控制通用ACL 2100-2199 数据存储访问控制通用ACL 2200-2299 测试用户访问控制通用ACL 2300-2399 管理用户访问控制通用ACL 2400-2500 预留

注释：通用ACL即是一类用户的接口都调用的ACL. 扩展ACL总体规划如下： ACL范围编号用户备注 2000-2099 业务设备访问控制通用ACL 2100-2199 数据存储访问控制通用ACL 2200-2299 测试用户访问控制通用ACL 2300-2399 管理用户访问控制通用ACL 2400-2500 预留 ACL规范： ACL命名规范： 为了便于ACL的管理和检索，新增ACL命名规范需要统一制定规范，命名规范如下： 公式：XXX_YY_Z 各字段含义如下： ?XXX：所属部门名称单字的首拼音大写，如委办局则为WBJ； ?YY：区分不同的部门，如果为VLAN_10使用，则XX字段为10。 ?Z：在默认情况下是数字0，如果遇到XXX_XX都一致时，X就从1往上加。 ACL描述规范： 为了便于查看ACL的用途，需要增加ACL描述，描述规范如下： 公式：XXX_YYYYY ?XXX：所属部门名称首字的首拼音大写 ?YYYYY：所实现的功能，最多20个字符 举例说明：委办局的不能访问管理平台的ACL，则描述为 WBJ_JinZhiFangWenGuanLiPingTai ACL配置规范： 为配置ACL形成统一规范，便于管理，制定规范如下： ?启用ACL时，必须按照规划的ACL，编写Number、Name和description；

基于时间策略的ACL访问控制列表限速

第一章设置时间策略 time-range A8:30 to 12:00 daily \\设置时间策略C，时间范围08：30至12:00,每天设置时间策略，命名为随意，参数daily=每天 详细解析 [M65-HN-SW01]time-range A 8:00 to 9:00 ? <0-6> Day of the week(0 is Sunday) Fri Friday星期五 Mon Monday星期一 Sat Saturday星期六 Sun Sunday星期日 Thu Thursday星期四 Tue Tuesday星期二 Wed Wednesday星期三 daily Every day of the week每一天 off-day Saturday and Sunday休息日即星期六和星期日 working-day Monday to Friday工作日即星期一至星期五 第二章ACL设置访问策略并关联时间策略 acl number 3500 rule 5 permit ip time-range A 设置ACL 编号3500，明细内容为允许所有数据包通过，时间策略引用time-range A 第三章定义流类别 traffic classifier 50M if-match acl 3500 定义一个类别，traffic classifier 50M，其中50M为自定义名称，引用ACL 3500策略

第四章定义行为 traffic behavior 50M car cir 51200 pir 51200 cbs 51200 pbs 51200 green pass yellow pass red discard 定义一个行为，自定义名称为50M，流量设置为50M 第五章关联类别和行为 traffic policy 50M classifier 50M behavior 50M 定义一个策略，将类别和行为关联 第六章应用在端口下 interface GigabitEthernet0/0/5 traffic-policy 50M inbound traffic-policy 50M outbound 在接口下调用traffic-policy 50M，设置出入限制 总结： 1．设置限速时间策略 2．ACL与时间策略关联 3．traffic policy调用ACL时间策略、调用限速策略

ACL访问控制列表配置案例

访问控制列表练习----扩展访问控制列表 R1#configure R1(config)#intloo 1 R1(config-if)#ip add 1.1.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)# intfa 0/0 R1(config-if)#ip add 12.12.12.1 255.0.0.0 R1(config-if)#no shutdown R1(config-if)#do show ipint b R1(config-if)# R1(config)#ip route 23.0.0.0 255.0.0.0 fa0/0 R1(config)#ip route 3.3.3.0 255.255.255.0 fa0/0 R1(config)#ip route 100.100.100.0 255.255.255.0 fa0/0 R1(config)#exit R1#show ip route

R2#configure R2(config)#intfa 0/0 R2(config-if)#ip add 12.12.12.2 255.0.0.0 R2(config-if)#no shutdown R2(config-if)# intfa 0/1 R2(config-if)#ip add 23.23.23.1 255.0.0.0 R2(config-if)#no shutdown R2(config-if)#do show ipint b R2(config-if)# R2(config)#ip route 1.1.1.0 255.255.255.0 fa0/0 R2(config)#ip route 3.3.3.0 255.255.255.0 fa0/1 R2(config)#ip route 100.100.100.0 255.255.255.0 fa0/1 R2(config)#exit

标准ACL配置与调试

实验5 标准ACL配置与调试 1．实验目标 在这个实验中，我们将在Cisco 2611XM路由器上配置标准ACL。通过该实验我们可以进一步了解ACL的定义和应用，并且掌握标准ACL的配置和调试。 2．实验拓扑 实验的拓扑结构如图1所示。 图1 ACL实验拓扑结构 3．实验要求 根据图1，设计标准ACL，首先使得PC1所在的网络不能通过路由器R1访问PC2所在的网络，然后使得PC2所在的网络不能通过路由器R2访问PC1所在的网络。本实验各设备的IP地址分配如下： ⑴路由器R1： s0/0:192.168.100.1/24 fa0/0:10.1.1.1/8 ⑵计算机PC1： IP：10.1.1.2/8 网关：10.1.1.1 ⑶路由器R2： s0/0:192.168.100.2/24

fa0/0:172.16.1.1/16 ⑷计算机PC2： IP：172.16.1.2/16 网关：172.16.1.１ 4．实验步骤 在开始本实验之前，建议在删除各路由器的初始配置后再重新启动路由器。这样可以防止由残留的配置所带来的问题。在准备好硬件以及线缆之后，我们按照下面的步骤开始进行实验。 ⑴按照图1进行组建网络，经检查硬件连接没有问题之后，各设备上电。 ⑵按照拓扑结构的要求，给路由器各端口配置IP地址、子网掩码、时钟（DCE端），并且用“no shutdown”命令启动各端口，可以用“show interface”命令查看各端口的状态，保证端口正常工作。 ⑶设置主机A和主机B的 IP地址、子网掩码、网关，完成之后，分别ping自己的网关，应该是通的。 ⑷为保证整个网络畅通，分别在路由器R1和R2上配置rip路由协议：在R1和R2上查看路由表分别如下： ①R1#show ip route Gateway of last resort is not set R 172.16.0.0/16 [120/1] via 192.168.100.2, 00:00:08, Serial0/0 C 192.168.100.0/24 is directly connected, Serial0/0 C 10.0.0.0/8 is directly connected, FastEthernet0/0 ②R2#show ip route Gateway of last resort is not set C 192.168.100.0/24 is directly connected, Serial0/0 R 10.0.0.0/8 [120/1] via 192.168.100.1, 00:00:08, Serial0/0 C 172.16.0.0/16 is directly connected, FastEthernet0/0 ⑸ R1路由器上禁止PC2所在网段访问：

计算机网络实验报告(7)访问控制列表ACL配置实验

一、实验项目名称 访问控制列表ACL配置实验 二、实验目的 对路由器的访问控制列表ACL 进行配置。 三、实验设备 PC 3 台；Router-PT 3 台；交叉线；DCE 串口线；Server-PT 1 台； 四、实验步骤 标准IP访问控制列表配置： 新建Packet Tracer 拓扑图 （1）路由器之间通过V.35 电缆通过串口连接，DCE 端连接在R1 上，配置其时钟频率64000；主机与路由器通过交叉线连接。 （2）配置路由器接口IP 地址。 （3）在路由器上配置静态路由协议，让三台PC 能够相互Ping 通，因为只有在互通的前提下才涉及到方控制列表。 （4）在R1 上编号的IP 标准访问控制。 （5）将标准IP 访问控制应用到接口上。 （6）验证主机之间的互通性。 扩展IP访问控制列表配置： 新建Packet Tracer 拓扑图 （1）分公司出口路由器与外路由器之间通过V.35 电缆串口连接，DCE 端连接在R2 上，配置其时钟频率64000；主机与路由器通过交叉线连接。 （2）配置PC 机、服务器及路由器接口IP 地址。 （3）在各路由器上配置静态路由协议，让PC 间能相互ping 通，因为只有在互通的前提下才涉及到访问控制列表。 （4）在R2 上配置编号的IP 扩展访问控制列表。 （5）将扩展IP 访问列表应用到接口上。 （6）验证主机之间的互通性。 五、实验结果 标准IP访问控制列表配置： PC0： PC1：

PC2：

PC1ping:

PC0ping: PC1ping: 扩展IP 访问控制列表配置：PC0： Server0：

第六章 Windows2003网络管理

第六章 Windows2003网络管理 [填空选择题] 一、本地用户和组管理P152-156 1、在Windows Server2003环境中，有两种用户：本地用户和域。P152 2 3 各种资源信息。通过活动目录，可以迅速定位网络资源，还可对企业网络进行中央管理。P152 4、“组类型”栏有两个选项：1）“安全组”是列在随机访问控制列表中的组，用于为共享资源 分配权限；2）“通讯组”是仅用于分发电子邮件且没有启用安全 性的组。P157 二、活动目录和管理域P159-163 1在Windows Server 2003， 、P160。 2 3、P159 ●集中的管理。使资源更易于定位和管理信息 ●具有高伸缩性。 ●整合DNS。活动目录使用DNS命名，还提供了DNS安全动态更新功能。 ●委派授权。防止了管理员有意或无意超越自己的责任范围。 三、终端服务P163-165 1、终端服务：提供了通过作为终端仿真器工作的“瘦客户机”软件远程访问服务器桌面的功能。P163 。 对从客户端传输到服务器的数据进行加密。 4、运行Linux操作系统的计算机不能使用远程桌面连接。 四、远程管理P168-171 1、Windows Server 2003远程管理功能改进：管理远程桌面功能属于改进型的远程管理功能， 它在原来的Windows 2000 Server系统“远程管理”模式中称为“终端服务”。P169 2 3、在WindowsNT中，SNMP包括两个应用程序。其中，陷入服务程序为snmptrap.exe。【历年真题】 一、选择题 1、在Windows Server 2003环境中，仅用于分发电子邮件且没有 ．．启用安全性的组类型是( )

第七章 访问控制列表练习题

《网络互联技术》练习题 第七章：访问控制列表 一、填空题 1、________________是用于控制和过滤通过路由器的不同接口去往不同方向的信息流的一种机制。 2、访问控制列表主要分为____________和扩展访问控制列表。 3、访问控制列表最基本的功能是_____________。 4、标准访问控制列表的列表号范围是__________。 5、将 66 号列表应用到fastethernet 0/0接口的in方向上去，其命令是_________________________。 5、定义77 号列表，只禁止192.168.5.0网络的访问，其命令是______________________________________________。 6、基于时间的访问控制列表，定义时间范围的关键字主要有两个，它们是___________和__________。 二、选择题 1、标准访问控制列表应被放置的最佳位置是在（）。 A、越靠近数据包的源越好 B、越靠近数据包的目的地越好 C、无论放在什么位置都行 D、入接口方向的任何位置 2、标准访问控制列表的数字标识范围是（）。 A、1-50 B、1-99 C、1-100 D、1-199 3、标准访问控制列表以（）作为判别条件。 A、数据包的大小 B、数据包的源地址 C、数据包的端口号 D、数据包的目的地址 4、IP扩展访问列表的数字标示范围是多少? （）。 A、0-99 B、1-99 C、100-199 D、101-200 5、下面哪个操作可以使访问控制列表真正生效：（）。 A、将访问控制列表应用到接口上 B、定义扩展访问控制列表 C、定义多条访问控制列表的组合 D、用access-list命令配置访问控制列表 6、以下对思科系列路由器的访问列表设置规则描述不正确的是（）。 A、一条访问列表可以有多条规则组成 B、一个接口只可以应用一条访问列表 C、对冲突规则判断的依据是：深度优先

华为交换机ACL控制列表设置

华为交换机ACL控制列表设置

交换机配置（三）ACL基本配置 1，二层ACL . 组网需求: 通过二层访问控制列表，实现在每天8:00～18:00时间段内对源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303报文的过滤。该主机从GigabitEthernet0/1接入。 .配置步骤: (1)定义时间段 # 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的ACL # 进入基于名字的二层访问控制列表视图，命名为traffic-of-link。 [Quidway] acl name traffic-of-link link # 定义源MAC为00e0-fc01-0101目的MAC为00e0-fc01-0303的流分类规则。 [Quidway-acl-link-traffic-of-link] rule 1 deny ingress 00e0-fc01-0101 0-0-0 egress

00e0-fc01-0303 0-0-0 time-range huawei (3)激活ACL。 # 将traffic-of-link的ACL激活。[Quidway-GigabitEthernet0/1] packet-filter link-group traffic-of-link 2 三层ACL a)基本访问控制列表配置案例 . 组网需求: 通过基本访问控制列表，实现在每天8:00～18:00时间段内对源IP为10.1.1.1主机发出报文的过滤。该主机从GigabitEthernet0/1接入。.配置步骤: (1)定义时间段 # 定义8:00至18:00的周期时间段。[Quidway] time-range huawei 8:00 to 18:00 daily (2)定义源IP为10.1.1.1的ACL # 进入基于名字的基本访问控制列表视图，命名为traffic-of-host。 [Quidway] acl name traffic-of-host basic # 定义源IP为10.1.1.1的访问规则。[Quidway-acl-basic-traffic-of-host] rule 1 deny

ACL IP访问控制列表配置实验

IP访问控制列表配置 目录： 第一个任务的：验证测试 (3) 第二个任务的：交换机的验证测试 (6) 第三个任务的：扩展访问验证测试 (10) 最后---总结： (12) ▲表示重要的 一、IP标准访问控制列表的建立及应用 工作任务 你是学校网络管理员，学校的财务处、教师办公室和校办企业财务科分属不同的3个网段，三个部门之间通过路由器进行信息传递，为了安全起见，学校领导要求你对网络的数据流量进行控制，实现校办企业财务科的主机可以访问财务处的主机，但是教师办公室主机不能访问财务处主机。 首先对两路由器进行基本配置，实现三个网段可以相互访问；然后对距离控制目的地址较近的路由器RouterB配置IP标准访问控制列表，允许192.168.1.0网段（校办企业财务科）主机发出的数据包通过，不允许192.168.2.0网段（教师办公室）主机发出的数据包通过，最后将这一策略加到路由器RouterB的Fa

0端口，如图所示。 第1步：基本配置 路由器RouterA： R >enable R #configure terminal R(config)#hostname RouterA RouterA (config)# line vty 0 4 VTY是路由器的远程登陆的虚拟端口,04表示可以同时打开5个会话,line vty 04是进入VTY端口,对VTY端口进行配置,比如说配置密码, RouterA (config-line)#login RouterA (config-line)#password 100 RouterA (config-line)#exit RouterA (config)# enable password 100 RouterA (config)#interface fastethernet 0/0 RouterA (config-if)#ip address 192.168.1.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.12.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#interface s0/3/0 RouterA (config-if)#ip address 192.168.2.1 255.255.255.0 RouterA (config-if)#no shutdown RouterA (config-if)#Exit RouterA (config)#ip route 192.168.3.0 255.255.255.0 192.166.12.2 路由器RouterB： R >enable R #configure terminal R(config)#hostname RouterB RouterB (config)# line vty 0 4 RouterB (config-line)#login RouterB (config-line)#password 100 RouterB (config-line)#exit RouterB (config)# enable password 100 RouterB (config)#interface fastethernet 0/0 RouterB (config-if)#ip address 192.168.3.1 255.255.255.0 RouterB (config-if)#no shutdown RouterB (config-if)#Exit RouterB (config)#interface s0/3/1 RouterB (config-if)#ip address 192.168.12.2 255.255.255.0

ACL访问控制列表配置

ACL的使用 ACL的处理过程： 1.它是判断语句，只有两种结果，要么是拒绝（deny），要么是允许（permit） 2.语句顺序 按照由上而下的顺序处理列表中的语句 3. 语句排序 处理时，不匹配规则就一直向下查找，一旦某条语句匹配，后续语句不再处理。 4.隐含拒绝 如果所有语句执行完毕没有匹配条目默认丢弃数据包，在控制列表的末尾有一条默认拒绝所有的语句，是隐藏的（deny） 要点： 1.ACL能执行两个操作：允许或拒绝。语句自上而下执行。一旦发现匹配，后续语句就不再进行处理---因此先后顺序很重要。如果没有找到匹配，ACL末尾不可见的隐含拒绝语句将丢弃分组。一个ACL应该至少有一条permit语句；否则所有流量都会丢弃，因为每个ACL末尾都有隐藏的隐含拒绝语句。 2.如果在语句结尾增加deny any的话可以看到拒绝记录 3.Cisco ACL有两种类型一种是标准另一种是扩展，使用方式习惯不同也有两种方式一种是编号方式，另一种是命名方式。 示例： 编号方式 标准的ACL使用1 ~ 99以及1300~1999之间的数字作为表号，扩展的ACL使用100 ~ 199以及2000~2699之间的数字作为表号 一、标准（标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。） 允许172.17.31.222通过，其他主机禁止 Cisco-3750(config)#access-list 1（策略编号）（1-99、1300-1999）permit host 172.17.31.222 禁止172.17.31.222通过,其他主机允许 Cisco-3750(config)#access-list 1 deny host 172.17.31.222 Cisco-3750(config)#access-list 1 permit any 允许172.17.31.0/24通过,其他主机禁止 Cisco-3750(config)#access-list 1 permit 172.17.31.0 0.0.0.254（反码255.255.255.255减去子网掩码，如172.17.31.0/24的255.255.255.255—255.255.255.0=0.0.0.255） 禁止172.17.31.0/24通过,其他主机允许 Cisco-3750(config)#access-list 1 deny 172.17.31.0 0.0.0.254 Cisco-3750(config)#access-list 1 permit any 二、扩展（扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。） 允许172.17.31.222访问任何主机80端口，其他主机禁止 Cisco-3750(config)#access-list 100 permit tcp host 172.17.31.222（源）any（目标）eq www

第六章 路由策略

第六章路由策略 6.1路由策略简介 6.1.1路由策略与策略路由 路由策略（Routing Policy）是为了改变网络流量所经过的途径而修改路由信息的技术，主要通过改变路由属性（包括可达性）来实现。 策略路由（Policy Routing）是一种依据用户制定的策略进行路由选择的机制。有关策略路由的详细介绍请参见“策略路由”章节。 路由器在发布与接收路由信息时，可能需要实施一些策略，以便对路由信息进行过滤，例如只接收或发布满足一定条件的路由信息。一种路由协议可能需要引入其它的路由协议发现的路由信息，路由器在引入其它路由协议的路由信息时，可能只需要引入一部分满足条件的路由信息，并控制所引入的路由信息的某些属性，以使其满足本协议的要求。 为实现路由策略，首先要定义将要实施路由策略的路由信息的特征，即定义一组匹配规则。可以以路由信息中的不同属性作为匹配依据进行设置，如目的地址、发布路由信息的路由器地址等。匹配规则可以预先设置好，然后再将它们应用于路由的发布、接收和引入等过程的路由策略中。 6.1.2过滤器 路由协议可以引用访问控制列表、地址前缀列表、AS 路径访问列表、团体属性列表、扩展团体属性列表和Route-policy 几种过滤器。下面对各种过滤器逐一进行介绍。 1. 访问控制列表 访问控制列表包括针对IPv4 报文的ACL 和针对IPv6 报文的ACL。用户在定义ACL 时可以指定IP(v6)地址和子网范围，用于匹配路由信息的目的网段地址或下一跳地址。ACL 的有关配置请参见“安全分册”中的“ACL 配置”。 2. 地址前缀列表 地址前缀列表包括IPv4 地址前缀列表和IPv6 地址前缀列表。 地址前缀列表的作用类似于ACL，但比它更为灵活，且更易于用户理解。使用地址前缀列表过滤路由信息时，其匹配对象为路由信息的目的地址信息域；另外，用户可以指定gateway 选项，指明只接收某些路由器发布的路由信息。关于gateway选项的设置请参见“IP 路由分册”中的“RIP 命令”和“OSPF 命令”。 一个地址前缀列表由前缀列表名标识。每个前缀列表可以包含多个表项，每个表项可以独立指定一个网络前缀形式的匹配范围，并用一个索引号来标识，索引号指明了在地址前缀列表中进行匹配检查的顺序。 每个表项之间是“或”的关系，在匹配的过程中，路由器按升序依次检查由索引号标识的各个表项，只要有某一表项满足条件，就意味着通过该地址前缀列表的过滤（不再进入下一个表项的测试）。

访问控制列表(ACL)高级应用

首先简单介绍下ACL cisco里的ACL一共分为4种 1.标准控制列表序号范围在1---99以及1300~1999 标准的控制列表不能过滤数据包中的4层信息，并且只可以过 滤三层的原地址 2.扩展控制列表需要范围在100-199以及2000~2699 扩展的控制列表可以过滤数据包的4层信息，并且可以根据三 层的原目地址进行过滤 3.命名控制列表这里不再用序号表示，而是以字符为命名并且还比前两种好的地方在于，可以自由删除表的随意一个 条目，而前两种都不行 4.基于时间的控制列表这里就是增加了一个时间的选项，前三种都可以引用这个定义的时间(时间可以是周期也可以 是绝对时间) ACL 3p原则 记住 3P 原则，您便记住了在路由器上应用 ACL 的一般规则。您可以为每种协议 (per protocol)、每个方向 (per d (per interface) 配置一个 ACL：每种协议一个 ACL 要控制接口上的流量，必须为 接口上启用的每种协议定义相应的 ACL。每个方向一个 ACL 一个 ACL 只能控制接口上一个方向的流量。 要控制入站流量和出站流量，必须分别定义两个 ACL。每个接口一个 ACL 一个 ACL 只能控制一个接口 （例如快速以太网 0/0）上的流量。ACL 的编写可能相当复杂而且极具挑战性。每个接口上都可以针对多种协议和各个方向进行定义。示例中的路由器有两个接口配置了 IP、AppleTalk 和 IPX。该路由器可能需要 12 个不同的 ACL —协议数 (3) 乘以方向数 (2)，再乘以端口数 (2)。 ACL的执行过程 一个端口执行哪条ACL，这需要按照列表中的条件语句执行顺序来判断。如果一个数据包的报头跟表中某个条 件判断语句相匹配，那么后面的语句就将被忽略，不再进行检查。数据包只有在跟第一个判断条件不匹配时，它才被交给ACL中的下一个条件判断语句进行比较。如果匹配（假设为允许发送），则不管是第一条还是最后一条语句，数据都会立即发送到目的接口。如果所有的ACL判断语句都检测完毕，仍没有匹配的语句出口，则该数据包将视为被拒绝而被丢弃。这里要注意，ACL不能对本路由器产生的数据包进行控制。 1、利用ACL检测SYN Flood攻击 服务器每接收到一个SYN报文就需要建立一个连接并为这个链接信息分配核心内存，并将此链接放入半连接，然后向源地址回应SYN＋ACK报文。如果SYN报文的源地址是伪造的，则源端无法收到服务器发送的SYN+ACK 报文，也就不会返回ACK确认报文，这时服务器上这个半连接就会一直等待直到超时。 如果短时间内接收到的大量SYN报文，半连接队列就会溢出，使得有效的连接被挤出队列。这种方式的攻击就是SYN Flood攻击。SYN Flood攻击是利用TCP协议三次握手的原理，发送大量伪造源IP的SYN报文，使被攻击主机产生大量的半连接。 由于SYN Flood攻击的发起报文中SYN位为1，所以可以配置一个扩展ACL来匹配这样的报文，由此来观察是否出现SYN攻击。配置的ACL如下： Router(config)#access-list 100 permit tcp any any syn 此ACL表示TCP报文中SYN位为1的数据报文就会匹配此ACL。如果只想检测某台服务器是否被攻击，可以将目的地址改为服务器地址。 由于ACL最后隐含着一条全部拒绝的条目，所以还需要进行如下配置： Router(config)#access-list 100 permit ip any any 在配置完成后需要在连接服务器的接口应用，之后要查看SYN报文的数量可以使用show ip access-list命令进行查看： Router#show ip access-lists

访问控制列表实验

0分计。 4. 实验报告文件以PDF 格式提交。 【实验题目】访问控制列表（ACL ）实验。 【实验目的】 1. 掌握标准访问列表规则及配置。 2. 掌握扩展访问列表规则及配置。 3. 了解标准访问列表和扩展访问列表的区别。 【实验内容】 完成教材实例5-4（P190），请写出步骤0安装与建立FTP 、WEB ，的步骤，并完成P192～P193的测试要求。 【实验要求】 重要信息信息需给出截图， 注意实验步骤的前后对比。 【实验记录】(如有实验拓扑请自行画出) 【实验拓扑】 本实验的拓扑图结构如下图： 【实验设备】 路由器一台，PC 5台（其中两台作为WWW Server 和FTP Server ）。 【实验原理】 基于时间的ACL 是在各种ACL 规则（标准ACL 、扩展ACL 等）后面应用时间段选项（time-range ）以实现基于时间段的访问控制。当ACL 规则应用了时间段后，只有在此时间范围内规则才能生效。此外，只有配置了时间段的规则才会在指定的时间段内生效，其他未引用时间段的规则将不受影响。 要基于时间的ACL 一生效，一般需要下面的配置步骤。

（1）定义时间段及时间范围。 （2）ACL自身的配置，即将详细的规则添加到ACL中。 （3）应用ACL，将设置好的ACL添加到相应的端口中。 【实验步骤】 步骤0： （1）配置3台PC（PC1、PC2和Manager）的IP地址、掩码、网关。 （2）检查PC与服务器的连通性如何？ PC与服务器无法连通，因为还未安装FTP Server和WWW Server和配置路由器。 （3）在服务器上安装FTP Server和WWW Server。FTP Server需至少创建一个用户名和口令。 FTP Server我们选择Serv-U，下载安装后见如下界面。

标准访问控制列表配置命令

标准访问控制列表配置命令一、拒绝PC0 Router>enable Router#configure terminal Router(config)#interface fastEthernet 0/0 Router(config-if)#ip address 192.168.0.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface fastEthernet 1/0 Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#ip access-list standard 1 Router(config-std-nacl)#deny host 192.168.0.2 Router(config-std-nacl)#permit any Router(config-std-nacl)#exit Router(config)#interface fastEthernet 0/0 Router(config-if)#ip access-group 1 in Router(config-if)#exit Router(config)#interface fastEthernet 1/0 Router(config-if)#ip access-group 1 out Router(config-if)#exit Router(config)#exit Router#write

第7章 访问控制列表

第7章访问列表 访问列表概述 访问列表由一系列语句组成，这些语句主要包括匹配条件和采取的动作（允许或禁止）两个部分；访问列表应用在路由器的接口上，通过匹配数据包信息与访问列表参数来决定允许还是拒绝数据包通过某个接口。数据包是通过还是拒绝，主要通过数据包中的源地址、目的地址、源端口、目的端口、协议等信息来决定。 访问列表的功能： 控制网络流量，提高网络性能控制用户网络行为控制网络病毒的传播 访问列表类型：可分为标准IP访问列表和扩展IP访问列表。 标准访问列表：其只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP 地址的所有通信流量通过路由器的出口。 扩展IP访问列表：它不仅检查数据包的源地址，还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等 ACL的相关特性： 每一个接口可以在进入（inbound）和离开（outbound）两个方向上分别应用一个ACL，且每个方向上只能应用一个ACL。 ACL语句包括两个动作：拒绝（deny）和允许(permit) 数据包进入路由器时，进入方向（In方向）的ACL起作用。 数据包离开路由器时，出方向（Out方向）的ACL起作用； 每个ACL列表结尾有一个隐含的“拒绝的所有数据包(deny any)”的语句 IP地址与通配符掩码的作用规 32位的IP地址与32位的通配符掩码逐位进行比较，通配符掩码为0的位要求IP地址的对应位必须匹配，通配符掩码为1的位所对应的IP地址位不必匹配 例：IP地址为192.168.1.0，通配符掩码为0.0.0.255对应的二进制为： 11000000 10101000 00000001 00000000 00000000 00000000 00000000 11111111 检查的地址范围为：192.168.1.0～192.168.1.255 通配符掩码示例：通配符掩码掩码的两种特殊形式 host表示一台主机，是通配符掩码0.0.0.0的简写形式 192.168.1.10 0.0.0.0等价于host 192.168.1.10 any表示所有主机，是通配符掩码掩码255.255.255.255的简写形式 192.168.1.10 255.255.255.255等价于any 访问列表配置步骤：第一步是配置访问列表语句；第二步是把配置好的访问列表应用到某个端口上；标准IP访问列表的配置命令 配置标准访问列表 access-list access-list-number deny|permit source-address source-wildcard [log] access-list-number：只能是1～99之间的一个数字 deny|permit：deny表示匹配的数据包将被过滤掉；permit表示允许匹配的数据包通过source-address：表示单台或一个网段内的主机的IP地址