㈠ 思科配置路由器擴展訪問控制列表 acl
在路由右側的介面做ACL方向為OUT,限制UDP協議,源網路學員,目標網路老師,埠號用伺服器FTP埠號,默認是21,然後第二條寫permit
any
any
就可以了
㈡ 思科路由器設置訪問控制列表
在路由上建若干個訪問控制列表(ACL),然後配置好後把它們應用到相應埠,就能實現你的要求。
擴展型的ACL可以實現限制某些IP地址的某些服務或埠的攔截,比如電子郵件,FTP之類都是可以限制的,只能訪問某一站點也是可以實現的,只允許它們訪問限定的IP就行了。
具體的就是TELNET到你路由的介面,然後打命令去。具體命令想解釋清楚就太長了。。。也不知道你什麼情況沒法細說。
限制改IP也很容易實現,如果你用的WINDOWS的話,只要設置許可權就行了。具體的到「本地安全策略」里設,點 開始-運行-輸入「gpedit.msc」 在「本地策略」的「用戶權利指派」里有各用戶組的權利分配。如果對用戶組做調整,用「組策略」-開始-運行-「gpedit.msc」 可以把用戶劃分到不同的組以分配許可權。
㈢ 思科配置路由器擴展訪問控制列表 acl
access-list 101 deny ip 172.16.3.0 0.0.0.255 172.16.1.0 0.0.0.255 eq 21
access-list 101 permit ip 172.16.3.0 0.0.0.255 172.16.1.0 0.0.0.255 any
應該是這樣寫
㈣ 思科模擬中ACL怎麼配置
訪問控制列表簡稱為ACL,訪問控制列表使用包過濾技術,在路由器上讀取第三層及第四層包頭中的信息如源地址,目的地址,源埠,目的埠等,根據預先定 義好的規則對包進行過濾,從而達到訪問控制的目的。該技術初期僅在路由器上支持,近些年來已經擴展到三層交換機,部分最新的二層交換機也開始提供ACL的 支持了。
訪問控制列表的原理:
1、對路由器介面來說有兩個方向:
入:已經到達路由器介面的數據包,但是還沒有被路由器處理。
出:已經 經過路由器的處理,正要離開路由器介面的數據包
2、匹配順序為:"自上而下,依次匹配"。默認為拒絕
3、訪問控制列表的類型:
標准訪問控制列表:一般應用在out出站介面。建議配置在離目標端最近的路由上
擴展訪問控制列表:配置在離源端最近的路由上,一般應用在入站in方向
命名訪問控制列表:允許在標准和擴展訪問列表中使用名稱代替表號
4、訪問控制列表使用原則
(1)、最小特權原則
只給受控對象完成任務所必須的最小的許可權。也就是說被控制的總規則是各個規則的交集,只滿足部分條件的是不容許通過規則的。
(2)、默認丟棄原則
在CISCO路由交換設備中默認最後一句為ACL中加入了DENY ANY ANY,也就是丟棄所有不符合條件的數據包。這一點要特別注意,雖然我們可以修改這個默認,但未改前一定要引起重視。
(3)、最靠近受控對象原則
所有的網路層訪問許可權控制。也就是說在檢查規則時是採用自上而下在ACL中一條條檢測的,只要發現符合條件了就立刻轉發,而不繼續檢測下面的ACL語句。
由於ACL是使用包過濾技術來實現的,過濾的依據又僅僅只是第三層和第四層包頭中的部分信息,這種技術具有一些固有的局限性,如無法識別到具體的人,無法 識別到應用內部的許可權級別等。因此,要達到端到端的許可權控制目的,需要和系統級及應用級的訪問許可權控制結合使用。
㈤ cisco 訪問控制列表 配置命令及注釋理解
配置訪問控制列表的步驟:
第一步:創建訪問控制列表:
access-list access-list-number {deny|permit} {test conditions}
//access-list-number:序列號,這個地方也可以寫命名的名稱;
//deny:拒絕;
//permit:允許;
//test conditions:過濾條件語句
第二步:應用訪問控制列表:
A、首先要進入介面模式;
B、ip access-group access-list-number {in|out}
7、標准訪問控制列表的格式:
access-list [list number| word] [permit|deny] [source address] [wildcard mask]
//[list number|word]列表序列號或者命名
//[permit|deny]允許或者拒絕
//[source address]源IP地址
//[wildcard mask]掩碼,如果不使用掩碼,則使用關鍵字Host ,例:host 192.168.2.4
8、擴展訪問控制列表的格式:
access-list [list number| word] [permit | deny] [protocol | protocol key word] [source address] [source-swidcard mask] [source port] [destination address] [destination-wildceard mask] [destination port]
//[list number| word]訪問控制列表的序列號或者命名
//[permit | deny]允許或者拒絕
//[protocol | protocol key word]協議或者協議號
//[source address] 源IP地址
//[source-swidcard mask]源地址掩碼,如果使用關鍵字host,則不用掩碼
//[source port]源埠
//[destination address]目的地IP地址
//[destination-wildceard mask]目的地地址掩碼,如果使用host關鍵字,則不用掩碼
//[destination port]目的埠
㈥ 在思科試驗中做《標准訪問控制列表》,《擴展訪問控制列表》 這兩個怎麼做呢
首先我想說的是,你是知道思科上面
標准ACL和擴展ACL的區別吧??
1~99 是標準的編號
100~199 是擴展的編號
--------------------------------------------------------------------------
這個就簡單了啊
實際上只要實現銷售不能訪問財務不就行了,一條ACL就可以實現了。
但我感覺是不是你還有一些需求沒寫完呢?
只要在R1上寫 access-list 101 deny 銷售IP網段 反掩碼 財務IP網段 反掩碼。
然後應用在銷售IP網段的介面上 ,in的方向。
--------------------------------------------------------------------------
你這個題目太簡單不能體現ACL的基礎精髓。
再給你個題目。
實驗要求:
1. 各部門之間不能互相通信,但各部門經理之間可以相互通信.
實驗拓撲:
一個交換機下三個VLAN(三個部門),每個vlan裡面至少兩個PC,有一個是經理。
若是你想要詳細的實驗流程,把郵箱給我。
㈦ 思科路由器針對主機設擴展訪問控制列表問題
這個語句的意思就是禁止0.1和0.2訪問18.4,如果沒生效,檢查下你是不是哪裡做錯了什麼。
㈧ 如何配置Cisco路由器ACL訪問控制列的實際案例
第一階段實驗:配置實驗環境,網路能正常通信
R1的配置:
復制代碼
代碼如下:
R1>en
R1#conf t
R1(config)#int f0/0
R1(config-if)#ip addr 10.0.0.1 255.255.255.252R1(config-if)#no shut
R1(config-if)#int loopback 0
R1(config-if)#ip addr 123.0.1.1 255.255.255.0R1(config-if)#int loopback 1
R1(config-if)#ip addr 1.1.1.1 255.255.255.255R1(config-if)#exit
R1(config)#ip route 192.168.0.0 255.255.0.0 10.0.0.2R1(config)#username benet password testR1(config)#line vty 0 4
R1(config-line)#login local
SW1的配置:
復制代碼
代碼如下:
SW1>en
SW1#vlan data
SW1(vlan)#vlan 2
SW1(vlan)#vlan 3
SW1(vlan)#vlan 4
SW1(vlan)#vlan 100
SW1(vlan)#exit
SW1#conf t
SW1(config)#int f0/1
SW1(config-if)#no switchport
SW1(config-if)#ip addr 10.0.0.2 255.255.255.252SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1SW1(config)#int range f0/14 - 15
SW1(config-if-range)#switchport trunk encapsulation dot1qSW1(config-if-range)#switchport mode trunkSW1(config-if-range)#no shut
SW1(config-if-range)#exit
SW1(config)#int vlan 2
SW1(config-if)#ip addr 192.168.2.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#int vlan 3
SW1(config-if)#ip addr 192.168.3.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#int vlan 4
SW1(config-if)#ip addr 192.168.4.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#int vlan 100
SW1(config-if)#ip addr 192.168.100.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#ip routing
SW1(config)#int vlan 1
SW1(config-if)#ip addr 192.168.0.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#username benet password testSW1(config)#line vty 0 4
SW1(config-line)#login local
SW2的配置:
復制代碼
代碼如下:
SW2>en
SW2#vlan data
SW2(vlan)#vlan 2
SW2(vlan)#vlan 3
SW2(vlan)#vlan 4
SW2(vlan)#exit
SW2#conf t
SW2(config)#int f0/15
SW2(config-if)#switchport mode trunk
SW2(config-if)#no shut
SW2(config-if)#exit
SW2(config)#int f0/1
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 2SW2(config-if)#no shut
SW2(config-if)#int f0/2
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 3SW2(config-if)#no shut
SW2(config-if)#int f0/3
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 4SW2(config-if)#no shut
SW2(config-if)#int vlan 1
SW2(config-if)#ip addr 192.168.0.2 255.255.255.0SW2(config-if)#no shut
SW2(config-if)#exit
SW2(config)#ip default-gateway 192.168.0.1SW2(config)#no ip routing
SW2(config)#username benet password testSW2(config)#line vty 0 4
SW2(config-line)#login local
SW3的配置:
復制代碼
代碼如下:
SW3>en
SW3#vlan data
SW3(vlan)#vlan 100
SW3(vlan)#exit
SW3#conf t
SW3(config)#int f0/15
SW3(config-if)#switchport mode trunk
SW3(config-if)#no shut
SW3(config-if)#int f0/1
SW3(config-if)#switchport mode access
SW3(config-if)#switchport access vlan 100SW3(config-if)#no shut
SW3(config-if)#int vlan 1
SW3(config-if)#ip addr 192.168.0.3 255.255.255.0SW3(config-if)#no shut
SW3(config-if)#exit
SW3(config)#ip default-gateway 192.168.0.1SW3(config)#no ip routing
SW3(config)#username benet password testSW3(config)#line vty 0 4
SW3(config-line)#login local
網路管理區主機PC1(這里用路由器模擬)
復制代碼
代碼如下:
R5>en
R5#conf t
R5(config)#int f0/0
R5(config-if)#ip addr 192.168.2.2 255.255.255.0R5(config-if)#no shut
R5(config-if)#exit
R5(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1
財務部主機PC2配置IP:
IP地址:192.168.3.2 網關:192.168.3.1
信息安全員主機PC3配置IP:
IP地址:192.168.4.2 網關:192.168.4.1
伺服器主機配置IP:
IP地址:192.168.100.2 網關:192.168.100.1第一階段實驗驗證測試:
所有部門之間的主機均能互相通信並能訪問伺服器和外網(測試方法:用PING命令)
在所有主機上均能遠程管理路由器和所有交換機。(在PC主機上用telnet命令)
第二階段實驗:配置ACL實現公司要求
1、只有網路管理區的主機才能遠程管理路由器和交換機R1的配置:
復制代碼
代碼如下:
R1#conf t
R1(config)#access-list 1 permit 192.168.2.0 0.0.0.255R1(config)#line vty 0 4
R1(config-line)#access-class 1 in
SW1的配置
復制代碼
代碼如下:
SW1#conf t
SW1(config)#access-list 1 permit 192.168.2.0 0.0.0.255SW1(config)#line vty 0 4
SW1(config-line)#access-class 1 in
SW2的配置
復制代碼
代碼如下:
SW2#conf t
SW2(config)#access-list 1 permit 192.168.2.0 0.0.0.255SW2(config)#line vty 0 4
SW2(config-line)#access-class 1 in
SW3的配置
復制代碼
代碼如下:
SW3#conf t
SW3(config)#access-list 1 permit 192.168.2.0 0.0.0.255SW3(config)#line vty 0 4
SW3(config-line)#access-class 1 in
驗證:在PC1可以遠程TELNET管理路由器和交換機,但在其他主機則被拒絕telnet
2、內網主機都可以訪問伺服器,但是只有網路管理員才能通過telnet、ssh和遠程桌面登錄伺服器,外網只能訪問伺服器80埠。
在SW1三層交換機上配置擴展ACL
3、192.168.3.0/24網段主機可以訪問伺服器,可以訪問網路管理員網段,但不能訪問其他部門網段,也不能訪問外網。
在SW1三層交換機上配置擴展ACL
4、192.168.4.0/24網段主機可以訪問伺服器,可以訪問管理員網段,但不能訪問其他部門網段,可以訪問外網。
在SW1三層交換機上配置擴展ACL
以上就是通過實際案例來告訴大家如何配置Cisco路由器ACL訪問控制列
㈨ cisco擴展訪問控制列表設置只允許部分網段使用www形式訪問一外網伺服器
由於你沒有說清楚是哪個網段,示例如下,可以滿足你說的需求,只允許訪問外網80服務,拒絕其他TCP數據包,最後一條是允許其他流量通過:
access-list 101 permit tcp 192.168.10.0 0.0.0.255 host 200.1.1.2 eq 80
access-list 101 deny tcp 192.168.10.0 0.0.0.255 any
access-list 101 permit ip any any
最後將ACL應用至介面。
提示:每ACL列表最後都有一條隱含拒絕所有:deny ip any any
㈩ 思科模擬器的命名擴展訪問控制列表,求教
首先Ping使用的協議是ICMP協議,訪問網頁使用的時TCP協議,那麼我想讓它不也能訪問這個服務只需要禁止就可以了。
假設你得IP為192.168.1.1 伺服器地址為10.1.1.1
Access-list <name> deny icmp 192.168.1.1 0.0.0.0 10.1.1.1 0.0.0.0
阻止ICMP協議在二者之間溝通
Access-list<name> deny tcp 192.168.1.1 0.0.0.0 10.1.1.1 0.0.0.0
阻止TCP協議在二者間溝通
Access-list<name> ip any any
其他協議選擇放行。
選中後,我們需要用route-map來包含它們(策略路由法)
route-map <name>
ma ip add <ACL name>
最後,我們要應用它(出介面和入介面都可以,建議在出介面上應用)
int g0/0/0
ip policy route-map <route-map name>
或者用ACL引用的方法,不需要建立route-map(ACL法)
int g0/0/0
ip access-group <ACL name> out
最後效果,不能ping通、不能上訪網頁,但是僅限於這台主機和這台伺服器之間。