51CTO下载-Cisco_ACL实验配置

ACL实验配置ACL 高度总结：(以下总结希望都去做实验验证一下)1．为了避免 ACL 过多，号不够用，标准列表和扩展列表的范围进行了扩充标准：1-99，1300-1999扩展：100-199 ，2000-26992．路由器上的 ACL 不对自己产生的流量产生作用。

3．ACL 没有定义内容，就相当于不存在。

4．ACL 在一个接口的一个方向上只能配置一个访问列表，后面的会覆盖前面的5．不论是标准还是扩展列表，每个条目之间都是一个鼻孔出气，想要去掉某一个条目，实现不了，要么都去掉，要么都存在；但是命名的访问列表可以去掉单独的某一条目。

添加的条目会自动添加在末尾，不能在中间添加我们现在把R1和R5作为PC机，在R2、R3、R4上运行RIP v2，保障路由畅通。

一、标准ACL：要求： 192.168.1.0网络的数据不能访问192.168.4.0网络1、我们先在R2上配置ACL：access-list 1deny 192.168.1.0 0.0.0.255 拒绝192.168.1.0的数据通过access-list 1 permit any 允许其它网络的数据通过在接口上应用：interface fa0/0ip access-group 1 in 在法FA0/0口的进方向上应用ACL1测试：用PC0去ping 192.168.4.2，我们发现ping不通，说明ACL生效了，但是我们用PC0去ping其它的网络，比如ping 172.16.1.1,也ping不通，因为标准ACL只能对源进行控制，现在R2拒绝了来自192.168.1.0的数据，不管是到哪儿去的，所以R1现在哪儿都去不了。

在R2上用扩展的ping ，用192.168.1.2这个s0口的地址去ping 192.168.4.2，我们发现可以ping通，这是因为对于路由器自己产生的数据，ACL不起作用。

2、我们在R4上配置ACL：access-list 1deny 192.168.1.0 0.0.0.255 access-list 1 permit any在接口上应用：interface Serial1ip access-group 1 out 在s0口的出方向上应用ACL1在R2上把ACL去掉。

CISCO ACL配置详解什么是ACL?访问控制列表简称为ACL,访问控制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提供ACL的支持了。

访问控制列表的原理对路由器接口来说有两个方向出：已经经路由器的处理，正离开路由器接口的数据包入：已经到达路由器接口的数据包，将被路由器处理。

匹配顺序为："自上而下，依次匹配".默认为拒绝访问控制列表的类型标准访问控制列表：一般应用在out出站接口。

建议配置在离目标端最近的路由上扩展访问控制列表：配置在离源端最近的路由上，一般应用在入站in方向命名访问控制列表：允许在标准和扩展访问列表中使用名称代替表号访问控制列表使用原则1、最小特权原则只给受控对象完成任务所必须的最小的权限。

也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。

2、最靠近受控对象原则所有的网络层访问权限控制。

也就是说在检查规则时是采用自上而下在ACL中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的ACL语句。

3、默认丢弃原则在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。

这一点要特别注意，虽然我们可以修改这个默认，但未改前一定要引起重视。

由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。

因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

一、标准访问列表访问控制列表ACL分很多种，不同场合应用不同种类的ACL.其中最简单的就是标准访问控制列表，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用访问控制列表号1到99来创建相应的ACL.它的具体格式：access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask]access-list-number 为1-99 或者1300-1999之间的数字，这个是访问列表号。

acl配置实验报告ACL配置实验报告摘要：本实验报告旨在探讨ACL（Access Control List）配置的实验过程和结果。

ACL是一种用于网络设备中的访问控制机制，可以限制网络流量的传输和访问权限。

本实验通过实际配置ACL规则来验证其对网络流量的控制作用。

1. 引言ACL是网络设备中非常重要的一种安全机制，可以帮助网络管理员控制和管理网络流量。

通过ACL配置，可以限制特定IP地址、端口或协议的访问权限，从而提高网络的安全性和性能。

本实验旨在通过实际配置ACL规则，验证ACL在网络流量控制方面的有效性。

2. 实验环境本实验使用了一台路由器和多台主机构成的局域网。

路由器上运行着一套支持ACL功能的操作系统，并且已经配置好了网络接口和路由表。

主机之间可以通过路由器进行通信。

3. 实验步骤3.1 ACL规则设计在本实验中，我们设计了以下两条ACL规则：- 允许所有主机访问HTTP服务（端口号80）- 禁止某个特定IP地址访问SSH服务（端口号22）3.2 ACL配置在路由器的配置界面中，我们使用命令行界面（CLI）进行ACL配置。

首先，我们创建了两个ACL规则，分别命名为HTTP-ACL和SSH-ACL。

然后，我们为HTTP-ACL规则设置允许访问的目的端口为80，为SSH-ACL规则设置禁止访问的目的端口为22。

最后，我们将这两个ACL规则应用到路由器的入口接口。

4. 实验结果经过ACL配置后，我们进行了以下实验验证：4.1 HTTP服务访问首先，我们尝试从一个主机访问另一个主机上的HTTP服务。

结果显示，ACL 配置生效，允许访问HTTP服务的流量顺利通过，两台主机成功建立连接并进行数据传输。

4.2 SSH服务访问接下来，我们尝试从特定IP地址访问另一台主机上的SSH服务。

根据ACL配置，这个特定IP地址被禁止访问SSH服务。

实验结果显示，当我们尝试建立SSH连接时，连接被拒绝，无法成功进行认证和登录。

Cisco配置ACL-电脑资料第一阶段实验：配置实验环境，网络能正常通信R1的配置：R1>enR1#conf tR1（config）#int f0/0R1（config-if）#ip addr 10.0.0.1 255.255.255.252R1（config-if）#no shutR1（config-if）#int loopback 0R1（config-if）#ip addr 123.0.1.1 255.255.255.0R1（config-if）#int loopback 1R1（config-if）#ip addr 1.1.1.1 255.255.255.255R1（config-if）#exitR1（config）#ip route 192.168.0.0 255.255.0.0 10.0.0.2 R1（config）#username benet password testR1（config）#line vty 0 4R1（config-line）#login localSW1的配置：SW1>enSW1#vlan dataSW1（vlan）#vlan 2SW1（vlan）#vlan 3SW1（vlan）#vlan 4SW1（vlan）#vlan 100SW1（vlan）#exitSW1#conf tSW1（config）#int f0/1SW1（config-if）#no switchportSW1（config-if）#ip addr 10.0.0.2 255.255.255.252SW1（config-if）#no shutSW1（config-if）#exitSW1（config）#ip route 0.0.0.0 0.0.0.0 10.0.0.1SW1（config）#int range f0/14 - 15SW1（config-if-range）#switchport trunk encapsulation dot1qSW1（config-if-range）#switchport mode trunkSW1（config-if-range）#no shutSW1（config-if-range）#exitSW1（config）#int vlan 2SW1（config-if）#ip addr 192.168.2.1 255.255.255.0SW1（config-if）#no shutSW1（config-if）#int vlan 3SW1（config-if）#ip addr 192.168.3.1 255.255.255.0SW1（config-if）#no shutSW1（config-if）#int vlan 4SW1（config-if）#ip addr 192.168.4.1 255.255.255.0SW1（config-if）#no shutSW1（config-if）#int vlan 100SW1（config-if）#ip addr 192.168.100.1 255.255.255.0SW1（config-if）#no shutSW1（config-if）#exitSW1（config）#ip routingSW1（config）#int vlan 1SW1（config-if）#ip addr 192.168.0.1 255.255.255.0SW1（config-if）#no shutSW1（config-if）#exitSW1（config）#username benet password testSW1（config）#line vty 0 4SW2的配置：SW2>enSW2#vlan dataSW2（vlan）#vlan 2SW2（vlan）#vlan 3SW2（vlan）#vlan 4SW2（vlan）#exitSW2#conf tSW2（config）#int f0/15SW2（config-if）#switchport mode trunkSW2（config-if）#no shutSW2（config-if）#exitSW2（config）#int f0/1SW2（config-if）#switchport mode accessSW2（config-if）#switchport access vlan 2SW2（config-if）#no shutSW2（config-if）#int f0/2SW2（config-if）#switchport mode accessSW2（config-if）#switchport access vlan 3SW2（config-if）#no shutSW2（config-if）#int f0/3SW2（config-if）#switchport mode accessSW2（config-if）#switchport access vlan 4SW2（config-if）#no shutSW2（config-if）#int vlan 1SW2（config-if）#ip addr 192.168.0.2 255.255.255.0 SW2（config-if）#no shutSW2（config-if）#exitSW2（config）#ip default-gateway 192.168.0.1SW2（config）#username benet password test SW2（config）#line vty 0 4SW2（config-line）#login localSW3的配置：SW3>enSW3#vlan dataSW3（vlan）#vlan 100SW3（vlan）#exitSW3#conf tSW3（config）#int f0/15SW3（config-if）#switchport mode trunkSW3（config-if）#no shutSW3（config-if）#int f0/1SW3（config-if）#switchport mode accessSW3（config-if）#switchport access vlan 100SW3（config-if）#no shutSW3（config-if）#int vlan 1SW3（config-if）#ip addr 192.168.0.3 255.255.255.0 SW3（config-if）#no shutSW3（config-if）#exitSW3（config）#ip default-gateway 192.168.0.1 SW3（config）#no ip routingSW3（config）#username benet password test SW3（config）#line vty 0 4SW3（config-line）#login local网络管理区主机PC1（这里用路由器模拟）R5>enR5#conf tR5（config）#int f0/0R5（config-if）#ip addr 192.168.2.2 255.255.255.0R5（config-if）#no shutR5（config-if）#exitR5（config）#ip route 0.0.0.0 0.0.0.0 192.168.2.1财务部主机PC2配置IP:IP地址：192.168.3.2 网关：192.168.3.1信息安全员主机PC3配置IP:IP地址：192.168.4.2 网关：192.168.4.1服务器主机配置IP:IP地址：192.168.100.2 网关：192.168.100.1第一阶段实验验证测试：所有部门之间的主机均能互相通信并能访问服务器和外网（测试方法：用PING命令）在所有主机上均能远程管理路由器和所有交换机，，电脑资料《Cisco 配置ACL》(https://www.)。

访问控制列表（ACL）配置实验报告实验四访问控制列表（ACL）配置1、实验目的：（1）掌握扩展访问控制列表对某个网段数据流进行抑制的配置方法。

（2）思科交换机的基本ACL配置2、实验环境：利用Boson Network Designer软件绘制两台交换机（Cisco Catalyst1912 型）、一台路由器（Cisco2621型）以及三台PC进行互连。

通过Boson Netsim软件加载绘制好的网络拓扑图，从而进行路由器、交换机以及PC的相关配置，网络拓扑图如图2-1所示。

3、实验内容：(1）使用Boson Network Designer软件绘制路由器互连的网络拓扑图。

（2）运行Boson Netsim软件，加载网络拓扑图后，分别配置好各台PC的IP地址、子网掩码及网关以及对两台交换机与路由器进行基本配置（交换机和路由器的机器名、控制台密码、进入配置模式口令、远程登录口令、各端口的参数）。

（3）在路由器上定义一个扩展访问控制列表，抑制某台PC的ICMP数据流通往其它任意的一条网段。

将该列表应用于路由器的相应端口。

然后，进行相应的Ping测试。

（4）在路由器撤消之前配置的扩展访问控制列表，然后定义一个标准访问控制列表，抑制某条网段的PC机访问另一条网段的PC机。

将该列表应用于路由器的相应端口，最后进行相应的Ping测试。

2.3 实验步骤（1）运行Boson Network Designer软件，按照图2-1所示绘制配置拓扑图，保存在相应的目录下。

（2）运行Boson Netsim软件，加载绘制好的网络拓扑图，然后切换到PC机设置界面，使用winipcfg命令，配置PC1的IP地址为192.168.1.3 ，子网掩码为：255.255.255.0，网关为：192.168.1.1，如下图2-2所示：其他PC机的配置方法类似，配置如下：PC2:192.168.1.4 255.255.255.0 GATEWAY: 192.168.1.1PC3:192.168.2.3 255.255.255.0 GATEWAY: 192.168.2.1PC4:192.168.2.4 255.255.255.0 GATEWAY: 192.168.2.1PC5:192.168.3.3 255.255.255.0 GATEWAY: 192.168.3.1PC6:192.168.4.3 255.255.255.0 GATEWAY: 192.168.4.1（3）进入第一台思科1912交换机的CLI界面，做如下配置：>enable#conf tEnter configuration commands, one per line. End with CNTL/Z.(config)#hostname csi1912sw1csi1912sw1(config)#enable secret level 15 ciscocsi1912sw1(config)#ip addr 192.168.1.2 255.255.255.0csi1912sw1(config)#ip default-gateway 192.168.1.1csi1912sw1(config)#exi进入思科交换机1912的全局配置界面，将其主机名配置为cis1912sw1,登录密码设置为cisco,其管理IP地址为192.168.1.2，子网掩码配置为255.255.255.0，默认网关与其他PC 机一样，为192.168.1.1 ，最后退出全局配置界面。

思科acl实验报告思科ACL实验报告引言网络安全是现代社会中一个非常重要的议题，任何一个组织或个人都应该重视网络安全的保护。

为了加强网络安全，思科提供了一种有效的工具，即访问控制列表（ACL），它可以帮助管理员限制网络流量并保护网络免受潜在的威胁。

本实验报告将介绍ACL的基本概念、配置和应用，并通过实际案例展示ACL的作用和效果。

ACL的基本概念ACL是一种用于过滤网络流量的安全功能，它可以根据预定义的规则来允许或拒绝特定类型的流量通过网络设备。

ACL通常应用于路由器、交换机等网络设备上，以控制进出设备的数据流。

ACL规则由许多因素组成，如源IP地址、目标IP地址、传输协议、端口号等，管理员可以根据实际需求定义这些规则。

ACL的配置和应用在思科设备上，配置ACL需要使用命令行界面（CLI）或图形用户界面（GUI）。

首先，我们需要确定ACL的类型，包括标准ACL和扩展ACL。

标准ACL基于源IP地址来过滤流量，而扩展ACL可以基于源IP地址、目标IP地址、传输协议、端口号等多个因素进行过滤。

接下来，我们需要定义ACL规则。

例如，我们可以创建一个标准ACL规则，允许来自特定IP地址的流量通过，并拒绝其他所有流量。

配置ACL规则时，我们还可以指定规则的优先级，以确保流量按照预期的方式进行过滤。

一旦ACL规则定义完毕，我们需要将ACL应用到特定的接口或设备上。

通过将ACL应用到接口，我们可以控制流入或流出该接口的数据流。

这样，我们就可以限制特定IP地址的访问，阻止潜在的网络攻击或滥用。

ACL的实际应用ACL可以应用于各种场景，下面我们将通过一个实际案例来展示ACL的作用和效果。

假设我们是一家中型企业的网络管理员，我们需要保护内部网络免受外部恶意攻击。

我们可以使用ACL来限制外部IP地址对内部网络的访问。

首先，我们创建一个扩展ACL规则，允许内部员工的IP地址访问内部网络，同时拒绝所有其他IP地址的访问。

cisco访问控制列表acl所有配置命令详解Cisco 路由ACL（访问控制列表）的配置标准ACL Router(config)#access-list 1-99 permit/deny 192.168.1.1（源IP）0.0.0.255（反码）Router(config)#interface f0/0 Router(config-if)#ip access-group 1-99 out/in 扩展ACL Router(config)#access-list 100-199 permit/deny tcp （协议类型）192.168.1.1（源IP） 0.标准ACLRouter(config)#access-list 1-99 permit/deny 192.168.1.1（源IP） 0.0.0.255（反码）Router(config)#interface f0/0Router(config-if)#ip access-group 1-99 out/in扩展ACLRouter(config)#access-list 100-199 permit/deny tcp（协议类型） 192.168.1.1（源IP） 0.0.0.255（源IP反码） 172.16.0.1（目标IP） 0.0.255.255（目标IP反码） eq ftp/23 端口号Router(config)#interface f0/0Router(config-if)#ip access-group 100-199 out/in基于时间的ACL设定路由器的时间:#clock set {hh:mm:ss} {data} {month} {year}Router(config)#time-range wangxin （定义时间名称）以下有两种：1.absouluterRouter(config-time-range)#absouluter指定绝对时间范围start hh:mm end hh:mm Day（日） MONTH(月份） YEAR（年份）end hh:mm end hh:mm Day（日） MONTH(月份） YEAR（年份）如果省略start及其后面的时间，则表示与之相联系的permit或deny语句立即生效，并一直作用到end处的时间为止。

acl配置实验报告ACL配置实验报告一、实验目的本实验旨在通过配置ACL（Access Control List）来实现对网络数据包的访问控制，实现对网络流量的过滤和控制，保障网络安全。

二、实验环境本次实验使用了一台运行Linux操作系统的服务器作为实验环境，通过配置iptables来实现ACL的配置。

三、实验步骤1. 首先，我们需要在服务器上安装iptables，可以通过以下命令进行安装：sudo apt-get install iptables2. 接下来，我们需要创建ACL规则，可以通过以下命令进行配置：sudo iptables -A INPUT -s 192.168.1.0/24 -j DROP以上命令表示拒绝所有来自192.168.1.0/24网段的数据包。

3. 配置完成后，我们可以通过以下命令查看已配置的ACL规则：sudo iptables -L4. 最后，我们可以测试ACL规则是否生效，可以通过向服务器发送数据包来进行测试，如果ACL规则配置正确，服务器应该能够正确过滤和控制数据包。

四、实验结果经过测试，ACL配置成功生效，服务器能够正确过滤和控制数据包，实现了对网络流量的有效管理。

五、实验总结通过本次实验，我们了解了ACL的配置和使用方法，掌握了对网络流量进行过滤和控制的技能，这对于提升网络安全性和保障网络畅通具有重要意义。

六、实验展望未来，我们可以进一步研究ACL的高级用法，如通过ACL实现对特定协议或端口的访问控制，以及结合其他安全设备和技术，进一步提升网络安全水平。

综上所述，本次实验取得了良好的效果，对ACL的配置和使用有了更深入的了解，为今后的网络安全工作奠定了基础。