标准型访问控制列表配置指导书
实验十一:标准访问控制列表配置
《网络互联技术》课程实验指导书实验十一:标准访问控制列表配置当网络管理员想要阻止某一网络的所有通信流量时,或者允许来自某一特定网络的所有通信流量时,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表实现这一目标。
标准ACL检查可以过滤被路由的数据包的源地址、从而允许或拒绝基于网络、子网或主机IP地址的某一协议簇通过路由器出口。
一、网络拓朴二、实验内容1、在路由器的E 0/0口添加“ACL 访问控制列表6”并对转出(从路由器端口出来转向交换机或主机)的数据包进行过滤,实现功能:禁止将HostC、HostD的数据包通过路由器E 0/0 口转发到HostA、HostB。
其结果是:(对于TCP数据包来说,访问是双向的,只要A不能访问B,则B也将不能访问A)●HostA和HostB之间可以通信,但无法访问HostC、HostD。
●HostC和HostD之间可以通信,但无法访问HostA、HostB。
2、在路由器的E 0/1口添加“ACL 访问控制列表10”并对转出(从路由器端口出来转向交换机或主机)的数据包进行过滤,实现功能:禁止HostA、HostC访问Server E服务器。
由于标准ACL访问控制列表只能根据数据包的源地址来过滤通信流量,因此,应该将ACL 访问控制列表放置离目标地址最近的地方。
三、实验目的1、掌握标准访问控制列表的原理2、掌握标准访问控制列表的配置四、实验设备1、一台台思科(Cisco)3620路由器2、两台思科(Cisco)2950二层交换机3、思科(Cisco)专用控制端口连接电缆4、四台安装有windows 98/xp/2000操作系统的主机5、一台提供WWW服务的WEB服务器6、若干直通网线与交叉网线五、实验过程(需要将相关命令写入实验报告)1、根据上述图示进行交换机、路由器、主机的连接2、设置主机的IP地址、子网掩码和默认网关3、配置路由器接口Router> enableRouter# configure terminalRouter(config)# interface ethernet 0/0Router(config-if)# ip address 192.168.1.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)# exitRouter(config)# interface ethernet 0/1Router(config-if)# ip address 192.168.3.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)# exitRouter(config)# interface ethernet 0/2Router(config-if)# ip address 192.168.2.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)#exit4、配置访问控制列表6并将之添加到Ethernet 0/0接口的out方向上Router(config)# access-list 6 deny 192.168.2.0 0.0.0.255Router(config)# access-list 6 permit anyRouter(config)# interface ethernet 0/0Router(config-if)# ip access-group 6 outRouter(config-if)# exit5、配置访问控制列表10并将之添加到Ethernet 0/1接口的out方向上Router(config)# access-list 10 deny host 192.168.1.2Router(config)# access-list 10 deny host 192.168.2.2Router(config)# access-list 10 permit anyRouter(config)# interface ethernet 0/1Router(config-if)# ip access-group 10 outRouter(config-if)# exit6、查看设置的访问控制列表信息Router# show access-lists7、查看e 0/0 接口上设置的访问控制列表信息Router# show ip interface e 0/08、查看e 0/1 接口上设置的访问控制列表信息Router# show ip interface e 0/1六、思考问题1、请简述标准访问控制列表与扩展访问控制列表有何区别?2、请简述设置标准访问控制列表的操作过程。
R实验5 标准IP访问控制列表配置
路由器需要添加NM-2FE2W(左)和WIC-2T(右)PC1:172.16.1.5 255.255.255.0 172.16.1.1PC2:172.16.2.8 255.255.255.0 172.16.2.1PC3:172.16.4.22 255.255.255.0 172.16.4.2R1的配置(1)对各PC机和路由器的相应端口做基本配置(DCE 端在R1,时钟频率64000).Router>enRouter#conf tRouter(config)#ho R1R1(config)#interface s0/2R1(config-if)#clock rate 64000R1(config-if)#ip address 172.16.3.1 255.255.255.0R1(config-if)#no shutR1(config-if)#exitR1(config)#interface f1/0R1(config-if)#ip address 172.16.1.1 255.255.255.0R1(config-if)#no shutR1(config-if)#exitR1(config)#interface f1/1R1(config-if)#ip address 172.16.2.1 255.255.255.0R1(config-if)#no shutR1(config)#ip route 172.16.4.0 255.255.255.0 Serial0/2R2的配置Router>enRouter#conf tRouter(config)#interface s0/2Router(config-if)#ip address 172.16.3.2 255.255.255.0Router(config-if)#no shutRouter(config-if)#exitRouter(config)#interface f1/0Router(config-if)#ip address 172.16.4.2 255.255.255.0Router(config-if)#no shut(2)在路由器上配置静态路由,让三台PC 能够相互Ping通,因为只有在互通的前提下才涉及到方控制列表。
路由器综合路由配置---标准IP访问控制列表配置
实验步骤1、新建如下拓扑图(1)路由器之间通过V.35电缆通过串口连接,DCE端连接在R1上,配置其时钟频率64000;主机与路由器通过交叉线连接。
(2)配置路由器接口IP地址。
(3)在路由器上配置静态路由协议,让三台PC能相互Ping通,因为只有在互通的前提下才能涉及到访问控制列表。
(4)在R1上配置编号的IP标准访问控制。
(5)将标准IP访问列表应用到接口上。
(6)验证主机之间的互通性。
PC1配置172.16.1.2255.255.255.0172.16.1.1PC2配置172.16.2.2255.255.255.0172.16.2.1PC3配置172.16.4.2255.255.255.0172.16.4.1(Generic)R0基本配置Router>enRouter#conf tRouter(config)# host R0R0(config)#int fa 0/0R0(config-if)#ip add 172.16.1.1 255.255.255.0R0(config-if)#no shR0(config-if)#int fa 1/0R0(config-if)#ip add 172.16.2.1 255.255.255.0R0(config-if)#no shR0(config-if)#exitR0(config)#int s 2/0R0(config-if)#ip add 172.16.3.1 255.255.255.0R0(config-if)#no shR0(config-if)#clock rate 64000R0(config-if)#exit(Generic)R1基本配置Router>enRouter#conf tRouter(config)#host R1R1(config)#int s 2/0R1(config-if)#ip add 172.16.3.2 255.255.255.0R1(config-if)#no shR1(config-if)#int fa 0/0R1(config-if)#ip add 172.16.4.1 255.255.255.0R1(config-if)#no shR1(config-if)#exit配置静态路由(Generic)R0配置R0(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2 (Generic)R1配置R1(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1路由表的基本配置(创建基本访控列表)R0(config)#ip access-list standard xxjsR0(config-std-nacl)#permit 172.16.1.0 0.0.0.255R0(config-std-nacl)#deny 172.16.2.0 0.0.0.255R0(config-std-nacl)#exitR0(config)#int s 2/0R0(config-if)#ip access-group xxjs out。
cisco路由器配置12标准访问控制列表
access-list access-list-number {permit|deny} protocol source source-wildcard [operator port] destination destination-wildcard [operator port] [established] [log]
后面的in|out用于控制列表生效的方向(过滤),access-list-number:标识要调用的控制列表的标识号。
access-class access-list-number {in|out}
解答:限制acl内为vty连接设定限制进出方向(和上一条指令类似,这条指令用来对vty虚拟远程登录接口接口进行调用控制列表,同理使用这条指令前需要先进入虚拟接口进程才行)
destination:目的地址ip
destination-wildcard:目的地址通配符
established:(eq|gt|lt)
log:目标端口(established log在一起表示一个端口范围)
一般使用方法例:
access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21
如果没有配置,序列号自动从10以10为单位递增
“no”命令删除特定的访问列表
ip access-group name {in|out}
解答:在某端口上应用访问列表(命名的)(此条命令应该在进入某端口后使用)
show access-lists {access-list number|name}
L000 0075 访问控制列表原理与配置实验指导书(中文版1.1)
实验1 路由协议基础配置1.1 实验内容●掌握访问控制列表基本原理;●掌握访问控制列表基本配置。
1.2 路由器基础配置1.2.1 实验目的●熟悉路由器的包过滤的核心技术:访问控制列表;●掌握访问控制列表的相关知识;●掌握访问控制列表的应用,灵活设计防火墙;1.2.2 实验环境在实际的企业网或者校园网络中为了保证信息安全以及权限控制,都需要分别对待网内的用户群。
有的能够访问外部,有的则不能。
这些设置往往都是在整个网络的出口或是入口(一台路由器上)进行的。
所以在实验室我们用一台路由器(RTA)模拟整个企业网,用另一台路由器(RTB)模拟外部网。
在实际完成实验时不一定需要两台交换机和多台主机,交换机可以共用一台,但最好划分在不同的VLAN下,主机至少两台,可以灵活改变IP地址来满足实验需求。
1.2.3 实验组网图1.2.4 实验步骤1. 实验准备按照上面的组网图建立实验环境,然后按照如下规则分配IP地址。
路由器接口IP地址:主机的地址和缺省网关:2. 标准访问控制列表标准访问控制列表只使用数据包的源地址来判断数据包,所以它只能以源地址来区分数据包,源相同而目的不同的数据包也只能采取同一种策略。
所以利用标准访问控制列表,我们只能粗略的区别对待网内的用户群,那些主机能访问外部网,那些不能。
我们来完成如下实验,看看标准访问控制列表是如何完成该功能的。
在实验环境中,我们如果只允许IP地址为202.0.0.2的主机PCA访问外部网络,则只需在路由器上进行如下配置即可:[RTA]display current-configurationNow create configuration...Current configuration!version 1.74firewall enable //启动防火墙功能sysname RTAencrypt-card fast-switch!acl 1 match-order autorule normal permit source 202.0.0.2 0.0.0.0 //允许特定主机访问外部网络rule normal deny source 202.0.0.0 0.0.0.255 //禁止其他主机访问外部网络!interface Aux0async mode flowphy-mru 0link-protocol ppp!interface Ethernet0ip address 202.0.0.1 255.255.255.0!interface Serial0link-protocol pppip address 192.0.0.1 255.255.255.0firewall packet-filter 1 outbound //使访问列表生效!interface Serial1clock DTECLK1link-protocol ppp!quitrip //启动路由协议 network all!quit!return[RTB]display current-configurationNow create configuration...Current configuration!version 1.74firewall enablesysname RTBencrypt-card fast-switch!interface Aux0async mode flowphy-mru 0link-protocol ppp!interface Ethernet0ip address 202.0.1.1 255.255.255.0!interface Serial0clock DTECLK1link-protocol pppip address 192.0.0.2 255.255.255.0!interface Serial1link-protocol ppp!quitripnetwork all!quit!return注意:在配置路由器时还需要配置防火墙的缺省工作过滤视图(firewall default {permit|deny}),因该命令配置与否在配置信息中没有显示,所以要特别注意。
访问控制列表(ACL)配置
ACL(访问控制列表)一、基本:1、基本ACL表2、扩展ACL表3、基于时间的ACL表4、动态ACL表二、ACL工作过程1、自上而下处理1)、如果有一个匹配的ACL,后面的ACL表不再检查2)、如果所有的ACL都不匹配,禁止所有的操作(隐含)特例,创建一个空的ACL表,然后应用这个空的ACL表,产生禁止所有的操作。
3)、后添加的ACL表,放在尾部4)、ALC表放置的原则:如果是基本ACL表,尽量放在目的端,如果是扩展ACL表,尽量放在源端5)、语句的位置:一般具体ACL表放在模糊的ACL表前6)、3P原则:每一个协议每一个接口每一个方向只有一个ACL表。
(多个ACL表会引起干扰)7)、应用ACL的方向,入站和出站,应用在接口上三、基本ACL表(不具体)1、定义命令:access-list <</span>编号> permit/denny 源IP地址 [子网掩码反码]应用命令:ip access-group <</span>编号> in/out 查看命令:sh access-lists1)、编号:1-99和1300-19992)、可以控制一台计算机或控制一段网络3)、host:表示一台计算机4)、any:表示任何计算机四、ACL配置步骤:1、定义ACL表2、应用ACL表五、路由器在默认的情况下,对所有数据都是开放,而防火墙在默认情况下,对所有数据都禁止。
六:判断是流入还是流出,看路由器的数据流向七:注意:如果在写禁止,小心默认禁止所有1.控制一台计算机(禁止)Access-list 1 deny 172.16.2.100Access-list 1 permit anyInterface f0/0Ip access-group 1 out (应用到端口)2、控制一段网络(禁止)Access-list 1 deny 172.16.2.0 0.0.0.255Access-list 1 permit anyInterface f0/0Ip access-group 1 out(应用到端口)3、控制一台计算机(允许)Access-list 1 permit 172.16.1.1004、控制一个网段(允许)Access-list 1 permit 172.16.1.0 0.0.0.255telnet服务配置:1)、使能密码2)、登录密码控制telnet服务应用端口命令:access-class <</span>编号> in/out 实例:只允许172.16.1.100能够使用telnet服务access-list 1 permit 172.16.1.100 Line vty 0 4Access-class 1 in实例:。
实验七 标准访问控制列表
实验七 标准访问控制列表一、编号标准访问控制列表1.按图7-1将实验设备连接好。
图7-12.对PC 和路由器进行基本配置。
A. PC 机配置PC1的IP 地址为192.168.1.10,子网掩码为255.255.255.0,默认网关为192.168.1.1。
PC2的IP 地址为192.168.2.10,子网掩码为255.255.255.0,默认网关为192.168.2.1。
PC3的IP 地址为192.168.3.10,子网掩码为255.255.255.0,默认网关为192.168.3.1。
B.路由器基本配置R1(config)#interface fastethernet 1/0R1(config-if)#ip address 192.168.1.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exitR1(config)#interface fastethernet 1/1R1(config-if)#ip address 192.168.2.1 255.255.255.0 R1(config-if)#no shutdown R1(config-if)#exitR1(config)#interface serial 1/2R1(config-if)#ip address 192.168.12.1 255.255.255.0 R1(config-if)#clock rate 64000 R1(config-if)#no shutdown R1(config-if)#endR1#show ip interface brief R1#configure terminalR1(config)#ip route 192.168.3.0 255.255.255.0 192.168.12.2PC3 3.10192.168.3.0/24192.168.12.0/24PC1 R1R2F1/0 3.1S1/2 12.2S1/2 12.1R2(config)#interface fastethernet 1/0R2(config-if)#ip address 192.168.3.1 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#exitR2(config)#interface serial 1/2R2(config-if)#ip address 192.168.12.2 255.255.255.0 R2(config-if)#no shutdown R2(config-if)#endR2#show ip interface brief R2#configure terminalR2(config)#ip route 192.168.1.0 255.255.255.0 192.168.12.1 R2(config)#ip route 192.168.2.0 255.255.255.0 192.168.12.13. 测试网络的连通性。
标准访问控制列表的配置
对于TCP,可以使用以下句法:
deny tcp source source-mask [operator port] destination destination-
mask [operator port ] [established] [precedence precedence] [tos tos] [log]
4. CR-V35FC 一条
5. 网线
两条
4、 实验拓扑
5、 实验要求
ROUTER-A
S1/1 (DCE) 192.168.1.1/24
F0/0
192.168.0.1/24
PC-A
IP 192.168.0.2/24
网关 192.168.0.1
Байду номын сангаас
ROUTER-B
S1/0 (DTE) 192.168.1.2/24
VRF ID: 0
S 192.168.0.0/24 C 192.168.1.0/24 C 192.168.2.0/24
[1,0] via 192.168.1.1 is directly connected, Serial1/0 is directly connected, FastEthernet0/0
制数。
使用关键字any作为0.0.0.0 0.0.0.0的目标和目
标掩码的缩写。
destination- 目标地址网络掩码。使用关键字any作为
mask
0.0.0.0 0.0.0.0的目标地址和目标地址掩码缩
写。
precedence (可选)包可以由优先级过滤,用0到7的数字
precedence 指定。
Router-B#sh ip route Codes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connected
ACL标准访问控制列表
ACL标准访问控制列表本实现目的是pc0能够访问pc2,但pc1不能访问pc2.Pc0:172.16.1.2255.255.255.0172.16.1.1Pc1:172.16.2.2255.255.255.0172.16.2.1Pc2172.16.4.2255.255.255.0172.16.4.1第一步:配置各端口IP地址。
对路由器R0进行配置:Router>enableRouter#config terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R0R0(config)#interface fa 0/0R0(config-if)#ip address 172.16.1.1 255.255.255.0R0(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upR0(config-if)#exitR0(config)#interface fa 1/0R0(config-if)#ip address 172.16.2.1 255.255.255.0R0(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet1/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0, changed state to upR0(config-if)#exitR0(config)#interface serial 2/0R0(config-if)#ip address 172.16.3.1 255.255.255.0R0(config-if)#no shutdown%LINK-5-CHANGED: Interface Serial2/0, changed state to downR0(config-if)#clock rate 64000R0(config-if)#endR0#%SYS-5-CONFIG_I: Configured from console by consoleR0#对路由器R1进行配置:Router>enableRouter#config terminalEnter configuration commands, one per line. End with CNTL/Z.Router(config)#hostname R1R1(config)#interface serial 2/0R1(config-if)#ip address 172.16.3.2 255.255.255.0R1(config-if)#no shutdown%LINK-5-CHANGED: Interface Serial2/0, changed state to upR1(config-if)#interface fa0/0%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial2/0, changed state to upR1(config-if)#exitR1(config)#interface fa0/0R1(config-if)#ip address 172.16.4.1 255.255.255.0R1(config-if)#no shutdown%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to upR1(config-if)#endR1#%SYS-5-CONFIG_I: Configured from console by consoleR1#第二步:路由表配置在R0上配置静态路由R0#config terminalEnter configuration commands, one per line. End with CNTL/Z.R0(config)#ip route 172.16.4.0 255.255.255.0 172.16.3.2R0(config)#endR0#%SYS-5-CONFIG_I: Configured from console by consoleR0#在R1上配置缺省路由:R1(config)#ip route 0.0.0.0 0.0.0.0 172.16.3.1R1(config)#endR1#%SYS-5-CONFIG_I: Configured from console by consoleR1#show ip routeCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGPD - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter areaN1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGPi - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area* - candidate default, U - per-user static route, o - ODRP - periodic downloaded static routeGateway of last resort is 172.16.3.1 to network 0.0.0.0172.16.0.0/24 is subnetted, 2 subnetsC 172.16.3.0 is directly connected, Serial2/0C 172.16.4.0 is directly connected, FastEthernet0/0S* 0.0.0.0/0 [1/0] via 172.16.3.1R1#在PC0上进行测试:Packet Tracer PC Command Line 1.0PC>ping 172.16.4.2Pinging 172.16.4.2 with 32 bytes of data:Request timed out.Reply from 172.16.4.2: bytes=32 time=94ms TTL=126Reply from 172.16.4.2: bytes=32 time=94ms TTL=126Reply from 172.16.4.2: bytes=32 time=93ms TTL=126Ping statistics for 172.16.4.2:Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),Approximate round trip times in milli-seconds:Minimum = 93ms, Maximum = 94ms, Average = 93msPC>发现是通的在PC1上进行测试:Packet Tracer PC Command Line 1.0PC>ping 172.16.4.2Pinging 172.16.4.2 with 32 bytes of data:Reply from 172.16.4.2: bytes=32 time=125ms TTL=126Reply from 172.16.4.2: bytes=32 time=94ms TTL=126Reply from 172.16.4.2: bytes=32 time=93ms TTL=126Reply from 172.16.4.2: bytes=32 time=78ms TTL=126Ping statistics for 172.16.4.2:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),Approximate round trip times in milli-seconds:Minimum = 78ms, Maximum = 125ms, Average = 97msPC>发现也是通的。
标准访问控制列表实验
标准访问控制列表实验访问控制列表有两种:一种是标准的访问控制列表,另一种是扩展的访问控制列表。
访问控制列表(ACL)是应用在路由器接口的指令列表。
这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。
至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
访问控制列表的应用:1、允许、拒绝数据包通过路由器2、允许、拒绝Telnet会话的建立3、没有设置访问列表时,所有的数据包都会在网络上传输4、基于数据包检测的特殊数据通讯应用标准访问控制列表应注意以下几点:1、检查源地址2、通常允许、拒绝的是完整的协议标准访问列表和扩展访问列表相比,标准的比扩展的简单。
下面我们来做一个关于标准访问控制列表的实验。
经过在路由上配置访问控制命令后,阻止R3 ping R2和R1,但是R3能ping通R4的端口s1/1和s1/2.实验的拓扑连接图如下:Router1 s1/2 <----> ip 192.168.1.2Router2 s1/2 <----> ip 192.168.2.2Router3 s1/2 <----> ip 192.168.3.2Router4 s1/1 <----> ip 192.168.1.1Router4 s1/2 <----> ip 192.168.2.1Router4 s1/3 <----> ip 192.168.3.1用到的模拟器版本为标准路由模拟器标准访问控制列表配置时候很简单,要用的设备也很简单,四台路由器,下面我们开始来做实验,第一步基本配置首先这是在路由器R4中的配置Route>enRoute#conf tRoute(config)#host R4R4(config)#int s1/1R4(config-if)#ip addr 192.168.1.1 255.255.255.0R4(config-if)#no shutR4(config-if)#exitR4(config)#int s1/2R4(config-if)#ip addr 192.168.2.1 255.255.255.0R4(config-if)#no shutR4(config-if)#exitR4(config)#int s1/3R4(config-if)#ip addr 192.168.3.1 255.255.255.0R4(config-if)#no shutR4(config-if)#exitR4(config)#router ripR4(config)#network 192.168.1.0R4(config)#network 192.168.2.0R4(config)#network 192.168.3.0R4(config)#exitR4#show ip route接下来配置R1,R2,R3,配置ip和启动RIP路由,配置如下:R1的IP是192.168.1.2R1(config)#router ripR1(config)#network 192.168.1.0R2的IP是192.168.2.2R2(config)#router ripR2(config)#network 192.168.2.0R3的IP是192.168.3.2R3(config)#router ripR3(config)#network 192.168.3.0Ok配置完成后我们测试一下,最后结果是R3 ping通R1和R2,第二步配置标准访问控制列表R4(config)#access-list 1 deny 192.168.3.0 0.0.0.255----------访问控制列表号+许可的IP网段+反掩码R4(config)#access-list 1 permit anyR4(config)#int s1/1R4(config-if)#ip access-group 1 out------------在接口上应用配置R4(config-if)#exitR4(config)#int s1/2R4(config-if)#ip access-group 1 outR4(config-if)#exitOk配置完成后我们测试一下,最后结果是R3 ping不通R1和R2,但是能R4的端口s1/1,s1/2标准访问控制列表的配置就这样的完成了…..。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
访问控制列表实训指导说明
一、实训目的:
掌握在路由器或者三层交换机上配置访问控制列表的方法
二、背景描述:
你是某公司的网管,由于要保护企业的内部网络拓扑,所以要用到访问控制列表
三、实训设备:
1. 电脑
2. 思科模拟器packet tracer
三、实训任务
任务1:IP地址访问控制列表的配置
任务2:远程登录访问控制列表的配置
四、实训步骤
任务1:IP地址访问控制列表的配置
访问控制列表基本命令.
第一步:设定访问控制列表的参数
Router(config)#access-list access-list-number { permit | deny } ip-address wildcard
第二步:指定访问控制列表的作用范围
Router(config-if)#ip access-group access-list-number [in | out]
任务2:远程登录访问控制列表的配置
第一步:配置一条访问规则
Router(config)#access-list access-list- number {permit|deny} ip-address wildcard
第二步:进入配置一条虚拟终端线或配置一组虚拟终端线的模式Router(config)#line vty { vty-number | vty-range }
第三步:限制特定虚拟终端线和访问列表中地址之间的入连接和出连
接
Router(config-line)#access-class access-list-number{ in | out }
要删除一条访问控制列表
Router(config)#no access-list access-list- number
则该列表下的所有规则全部被删除。