❶ 路由器的acl怎麼配置
看是哪個廠商的
比較常見的有思科ACL和華三的路由器和三層交換有ACL
ACL中有標準的ACL,有擴展的,有基於時間的,有自反ACL,命名ACL,多得很,一般用標準的和擴展的就行了,要記住默認的策略是拒絕所有,這點非常重要
標準的ACL是基於源IP,擴展ACL基於源IP,目的IP,源埠,目的埠,功能比標準的要分得細些,
你可以去網路搜搜相關配置
第一階段實驗:配置實驗環境,網路能正常通信
R1的配置:
復制代碼
代碼如下:
R1>en
R1#conf t
R1(config)#int f0/0
R1(config-if)#ip addr 10.0.0.1 255.255.255.252R1(config-if)#no shut
R1(config-if)#int loopback 0
R1(config-if)#ip addr 123.0.1.1 255.255.255.0R1(config-if)#int loopback 1
R1(config-if)#ip addr 1.1.1.1 255.255.255.255R1(config-if)#exit
R1(config)#ip route 192.168.0.0 255.255.0.0 10.0.0.2R1(config)#username benet password testR1(config)#line vty 0 4
R1(config-line)#login local
SW1的配置:
復制代碼
代碼如下:
SW1>en
SW1#vlan data
SW1(vlan)#vlan 2
SW1(vlan)#vlan 3
SW1(vlan)#vlan 4
SW1(vlan)#vlan 100
SW1(vlan)#exit
SW1#conf t
SW1(config)#int f0/1
SW1(config-if)#no switchport
SW1(config-if)#ip addr 10.0.0.2 255.255.255.252SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1SW1(config)#int range f0/14 - 15
SW1(config-if-range)#switchport
trunk encapsulation dot1qSW1(config-if-range)#switchport mode
trunkSW1(config-if-range)#no shut
SW1(config-if-range)#exit
SW1(config)#int vlan 2
SW1(config-if)#ip addr 192.168.2.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#int vlan 3
SW1(config-if)#ip addr 192.168.3.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#int vlan 4
SW1(config-if)#ip addr 192.168.4.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#int vlan 100
SW1(config-if)#ip addr 192.168.100.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#ip routing
SW1(config)#int vlan 1
SW1(config-if)#ip addr 192.168.0.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#username benet password testSW1(config)#line vty 0 4
SW1(config-line)#login local
SW2的配置:
復制代碼
代碼如下:
SW2>en
SW2#vlan data
SW2(vlan)#vlan 2
SW2(vlan)#vlan 3
SW2(vlan)#vlan 4
SW2(vlan)#exit
SW2#conf t
SW2(config)#int f0/15
SW2(config-if)#switchport mode trunk
SW2(config-if)#no shut
SW2(config-if)#exit
SW2(config)#int f0/1
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 2SW2(config-if)#no shut
SW2(config-if)#int f0/2
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 3SW2(config-if)#no shut
SW2(config-if)#int f0/3
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 4SW2(config-if)#no shut
SW2(config-if)#int vlan 1
SW2(config-if)#ip addr 192.168.0.2 255.255.255.0SW2(config-if)#no shut
SW2(config-if)#exit
SW2(config)#ip default-gateway 192.168.0.1SW2(config)#no ip routing
SW2(config)#username benet password testSW2(config)#line vty 0 4
SW2(config-line)#login local
SW3的配置:
復制代碼
代碼如下:
SW3>en
SW3#vlan data
SW3(vlan)#vlan 100
SW3(vlan)#exit
SW3#conf t
SW3(config)#int f0/15
SW3(config-if)#switchport mode trunk
SW3(config-if)#no shut
SW3(config-if)#int f0/1
SW3(config-if)#switchport mode access
SW3(config-if)#switchport access vlan 100SW3(config-if)#no shut
SW3(config-if)#int vlan 1
SW3(config-if)#ip addr 192.168.0.3 255.255.255.0SW3(config-if)#no shut
SW3(config-if)#exit
SW3(config)#ip default-gateway 192.168.0.1SW3(config)#no ip routing
SW3(config)#username benet password testSW3(config)#line vty 0 4
SW3(config-line)#login local
網路管理區主機PC1(這里用路由器模擬)
復制代碼
代碼如下:
R5>en
R5#conf t
R5(config)#int f0/0
R5(config-if)#ip addr 192.168.2.2 255.255.255.0R5(config-if)#no shut
R5(config-if)#exit
R5(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1
財務部主機PC2配置IP:
IP地址:192.168.3.2 網關:192.168.3.1
信息安全員主機PC3配置IP:
IP地址:192.168.4.2 網關:192.168.4.1
伺服器主機配置IP:
IP地址:192.168.100.2 網關:192.168.100.1第一階段實驗驗證測試:
所有部門之間的主機均能互相通信並能訪問伺服器和外網(測試方法:用PING命令)
在所有主機上均能遠程管理路由器和所有交換機。(在PC主機上用telnet命令)
第二階段實驗:配置ACL實現公司要求
1、只有網路管理區的主機才能遠程管理路由器和交換機R1的配置:
復制代碼
代碼如下:
R1#conf t
R1(config)#access-list 1 permit 192.168.2.0 0.0.0.255R1(config)#line vty 0 4
R1(config-line)#access-class 1 in
SW1的配置
復制代碼
代碼如下:
SW1#conf t
SW1(config)#access-list 1 permit 192.168.2.0 0.0.0.255SW1(config)#line vty 0 4
SW1(config-line)#access-class 1 in
SW2的配置
復制代碼
代碼如下:
SW2#conf t
SW2(config)#access-list 1 permit 192.168.2.0 0.0.0.255SW2(config)#line vty 0 4
SW2(config-line)#access-class 1 in
SW3的配置
復制代碼
代碼如下:
SW3#conf t
SW3(config)#access-list 1 permit 192.168.2.0 0.0.0.255SW3(config)#line vty 0 4
SW3(config-line)#access-class 1 in
驗證:在PC1可以遠程TELNET管理路由器和交換機,但在其他主機則被拒絕telnet
2、內網主機都可以訪問伺服器,但是只有網路管理員才能通過telnet、ssh和遠程桌面登錄伺服器,外網只能訪問伺服器80埠。
在SW1三層交換機上配置擴展ACL
3、192.168.3.0/24網段主機可以訪問伺服器,可以訪問網路管理員網段,但不能訪問其他部門網段,也不能訪問外網。
在SW1三層交換機上配置擴展ACL
4、192.168.4.0/24網段主機可以訪問伺服器,可以訪問管理員網段,但不能訪問其他部門網段,可以訪問外網。
在SW1三層交換機上配置擴展ACL
以上就是通過實際案例來告訴大家如何配置Cisco路由器ACL訪問控制列
❸ cisco路由器如何配置標准訪問控制列表 ACL
標准ACL配置
提問:如何只允許埠下的用戶只能訪問特定的伺服器網段?
回答:
步驟一:定義ACL
S5750#conf t ----進入全局配置模式
S5750(config)#ip access-list standard 1 ----定義標准ACL
S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255
----允許訪問伺服器資源
S5750(config-std-nacl)#deny any ----拒絕訪問其他任何資源
S5750(config-std-nacl)#exit ----退出標准ACL配置模式
步驟二:將ACL應用到介面上
S5750(config)#interface GigabitEthernet 0/1 ----進入所需應用的埠
S5750(config-if)#ip access-group 1 in ----將標准ACL應用到埠in方向
注釋:
1. S1900系列、S20系列交換機不支持基於硬體的ACL。
2. 實際配置時需注意,在交換機每個ACL末尾都隱含著一條「拒絕所有數據流」的語句。
3. 以上所有配置,均以銳捷網路S5750-24GT/12SFP 軟體版本10.2(2)為例。
其他說明,其詳見各產品的配置手冊《訪問控制列表配置》一節。
❹ 怎樣配置思科路由器自反ACL 實現網段之間單向訪問
1、配置路由器,並在R1、R3上配置默認路由確保IP連通性。
R1(config)#interface s0/0/0
R1(config)#ip address 192.168.12.1 255.255.255.0
R1(config)#no shutdown
R1(config)#interface g0/0
R1(config)#ip address 172.16.1.1 255.255.255.0
R1(config)#no shutdown
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2
R2(config)#interface s0/0/0
R2(config)#ip address 192.168.12.2 255.255.255.0
R2(config)#no shutdown
R2(config)#interface s0/0/1
R2(config)#ip address 202.210.23.2 255.255.255.0
R2(config)#no shutdown
R3(config)#interface loopback 0
R3(config)#ip address 3.3.3.3 255.255.255.0
R3(config)#no shutdown
R3(config)#interface s0/0/1
R3(config)#ip address 202.210.23.3 255.255.255.0
R3(config)#no shutdown
R3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.2
2、在路由器R2上配置自反ACL
R2(config)#ip access-list extended ACLOUT
R2(config-ext-nacl)#permit tcp any any reflect REF //定義自反ACL
R2(config-ext-nacl)#permit udp any any reflect REF
R2(config)#ip access-list extended ACLIN
R2(config-ext-nacl)#evaluate REF //評估反射
R2(config)#int s0/0/1
R2(config-if)#ip access-group ACLOUT out
R2(config-if)#ip access-group ACLIN in
PS:(1)、自反ACL永遠是permit的;
(2)、自反ACL允許高層Session信息的IP包過濾;
(3)、利用自反ACL可以只允許出去的流量,但是阻止從外部網路產生的向內部網路的流量,從而可以更好地保護內部網路;
(4)、自反ACL是在有流量產生時(如出方向的流量)臨時自動產生的,並且當Session結束條目就刪除;
(5)、自反ACL不是直接被應用到某個介面下的,而是嵌套在一個擴展命名訪問列表下的。
3、調試
(1)同時在路由器R1和R3都打開TELNET服務,在R1(從內網到外網)TELNET路由器R3成功,同時在路由器R2上查看訪問控制列表:
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
permit tcp host 202.210.23.3 eq telnet host 192.168.12.1 eq 11002 (48 matches) (time left 268)
//以上輸出說明自反列表是在有內部到外部TELNET流量經過的時候,臨時自動產生一條列表。
(2)在路由器R1打開TELNET 服務,在R3(從外網到內網)TELNET路由器R1不能成功,同時在路由器R2上查看訪問控制列表:
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
❺ cisco路由器命名ACL配置
Router(config)#ip access-list extended HQINBOUND
Router(config-ext-nacl)#permit tcp any any eq www
Router(config-ext-nacl)#permit tcp any any established
Router(config-ext-nacl)#permit icmp any any echo
Router(config-ext-nacl)#deny ip any any
Router(config-ext-nacl)#exit
Router(config-ext-nacl)#int f0/0
Router(config-ext-nacl)#ip access-group HQINBOUND in
Router(config-ext-nacl)#end
❻ 思科模擬中ACL怎麼配置
訪問控制列表簡稱為ACL,訪問控制列表使用包過濾技術,在路由器上讀取第三層及第四層包頭中的信息如源地址,目的地址,源埠,目的埠等,根據預先定 義好的規則對包進行過濾,從而達到訪問控制的目的。該技術初期僅在路由器上支持,近些年來已經擴展到三層交換機,部分最新的二層交換機也開始提供ACL的 支持了。
訪問控制列表的原理:
1、對路由器介面來說有兩個方向:
入:已經到達路由器介面的數據包,但是還沒有被路由器處理。
出:已經 經過路由器的處理,正要離開路由器介面的數據包
2、匹配順序為:"自上而下,依次匹配"。默認為拒絕
3、訪問控制列表的類型:
標准訪問控制列表:一般應用在out出站介面。建議配置在離目標端最近的路由上
擴展訪問控制列表:配置在離源端最近的路由上,一般應用在入站in方向
命名訪問控制列表:允許在標准和擴展訪問列表中使用名稱代替表號
4、訪問控制列表使用原則
(1)、最小特權原則
只給受控對象完成任務所必須的最小的許可權。也就是說被控制的總規則是各個規則的交集,只滿足部分條件的是不容許通過規則的。
(2)、默認丟棄原則
在CISCO路由交換設備中默認最後一句為ACL中加入了DENY ANY ANY,也就是丟棄所有不符合條件的數據包。這一點要特別注意,雖然我們可以修改這個默認,但未改前一定要引起重視。
(3)、最靠近受控對象原則
所有的網路層訪問許可權控制。也就是說在檢查規則時是採用自上而下在ACL中一條條檢測的,只要發現符合條件了就立刻轉發,而不繼續檢測下面的ACL語句。
由於ACL是使用包過濾技術來實現的,過濾的依據又僅僅只是第三層和第四層包頭中的部分信息,這種技術具有一些固有的局限性,如無法識別到具體的人,無法 識別到應用內部的許可權級別等。因此,要達到端到端的許可權控制目的,需要和系統級及應用級的訪問許可權控制結合使用。
❼ 一個管理員需要在一台思科路由器上配置acl允許網路1192.168146.0192.168點147
摘要 您好,很高興為你解答疑問,這是我為您搜索的結果:路由器配置命令
❽ 思科ACL在路由器上如何配置 最好弄個圖,我是菜鳥,先謝啦
cisco的具體命令我想不起來了。。你在路由器連b網路的介面配置acl。。拒絕a網路訪問,介面設置為in
什麼什麼的。。。若是真需要具體命令我就只能查查資料再告訴你了
❾ 在CISCO路由上如何做ACL
反向訪問列表 有5個VLAN,分別為 管理(63)、辦公(48)、業務(49)、財務(50)、家庭(51)。 要求: 管理可以訪問其它,而其它不能訪問管理,並且其它VLAN之間不能互相訪問! 其它的應用不受影響,例如通過上連進行INTERNET的訪問 方法一: 只在管理VLAN的介面上配置,其它VLAN介面不用配置。 在入方向放置reflect ip access-list extended infilter permit ip any any reflect cciepass ! 在出方向放置evaluate ip access-list extended outfilter evaluate cciepass deny ip 10.54.48.0 0.0.0.255 any deny ip 10.54.49.0 0.0.0.255 any deny ip 10.54.50.0 0.0.0.255 any deny ip 10.54.51.0 0.0.0.255 any permit ip any any !應用到管理介面 int vlan 63 ip access-group infilter in ip access-group outfilter out
記得採納啊
❿ 思科路由如何添加一條ACL 麻煩詳細點,重登錄開始一步一步的,謝謝了。
說的太少了,ACL有很多種,不同場景下應用的通常不一樣。ACL不需要進入多個VLAN配置