❶ 路由器的acl怎么配置
看是哪个厂商的
比较常见的有思科ACL和华三的路由器和三层交换有ACL
ACL中有标准的ACL,有扩展的,有基于时间的,有自反ACL,命名ACL,多得很,一般用标准的和扩展的就行了,要记住默认的策略是拒绝所有,这点非常重要
标准的ACL是基于源IP,扩展ACL基于源IP,目的IP,源端口,目的端口,功能比标准的要分得细些,
你可以去网络搜搜相关配置
第一阶段实验:配置实验环境,网络能正常通信
R1的配置:
复制代码
代码如下:
R1>en
R1#conf t
R1(config)#int f0/0
R1(config-if)#ip addr 10.0.0.1 255.255.255.252R1(config-if)#no shut
R1(config-if)#int loopback 0
R1(config-if)#ip addr 123.0.1.1 255.255.255.0R1(config-if)#int loopback 1
R1(config-if)#ip addr 1.1.1.1 255.255.255.255R1(config-if)#exit
R1(config)#ip route 192.168.0.0 255.255.0.0 10.0.0.2R1(config)#username benet password testR1(config)#line vty 0 4
R1(config-line)#login local
SW1的配置:
复制代码
代码如下:
SW1>en
SW1#vlan data
SW1(vlan)#vlan 2
SW1(vlan)#vlan 3
SW1(vlan)#vlan 4
SW1(vlan)#vlan 100
SW1(vlan)#exit
SW1#conf t
SW1(config)#int f0/1
SW1(config-if)#no switchport
SW1(config-if)#ip addr 10.0.0.2 255.255.255.252SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1SW1(config)#int range f0/14 - 15
SW1(config-if-range)#switchport
trunk encapsulation dot1qSW1(config-if-range)#switchport mode
trunkSW1(config-if-range)#no shut
SW1(config-if-range)#exit
SW1(config)#int vlan 2
SW1(config-if)#ip addr 192.168.2.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#int vlan 3
SW1(config-if)#ip addr 192.168.3.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#int vlan 4
SW1(config-if)#ip addr 192.168.4.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#int vlan 100
SW1(config-if)#ip addr 192.168.100.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#ip routing
SW1(config)#int vlan 1
SW1(config-if)#ip addr 192.168.0.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#username benet password testSW1(config)#line vty 0 4
SW1(config-line)#login local
SW2的配置:
复制代码
代码如下:
SW2>en
SW2#vlan data
SW2(vlan)#vlan 2
SW2(vlan)#vlan 3
SW2(vlan)#vlan 4
SW2(vlan)#exit
SW2#conf t
SW2(config)#int f0/15
SW2(config-if)#switchport mode trunk
SW2(config-if)#no shut
SW2(config-if)#exit
SW2(config)#int f0/1
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 2SW2(config-if)#no shut
SW2(config-if)#int f0/2
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 3SW2(config-if)#no shut
SW2(config-if)#int f0/3
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 4SW2(config-if)#no shut
SW2(config-if)#int vlan 1
SW2(config-if)#ip addr 192.168.0.2 255.255.255.0SW2(config-if)#no shut
SW2(config-if)#exit
SW2(config)#ip default-gateway 192.168.0.1SW2(config)#no ip routing
SW2(config)#username benet password testSW2(config)#line vty 0 4
SW2(config-line)#login local
SW3的配置:
复制代码
代码如下:
SW3>en
SW3#vlan data
SW3(vlan)#vlan 100
SW3(vlan)#exit
SW3#conf t
SW3(config)#int f0/15
SW3(config-if)#switchport mode trunk
SW3(config-if)#no shut
SW3(config-if)#int f0/1
SW3(config-if)#switchport mode access
SW3(config-if)#switchport access vlan 100SW3(config-if)#no shut
SW3(config-if)#int vlan 1
SW3(config-if)#ip addr 192.168.0.3 255.255.255.0SW3(config-if)#no shut
SW3(config-if)#exit
SW3(config)#ip default-gateway 192.168.0.1SW3(config)#no ip routing
SW3(config)#username benet password testSW3(config)#line vty 0 4
SW3(config-line)#login local
网络管理区主机PC1(这里用路由器模拟)
复制代码
代码如下:
R5>en
R5#conf t
R5(config)#int f0/0
R5(config-if)#ip addr 192.168.2.2 255.255.255.0R5(config-if)#no shut
R5(config-if)#exit
R5(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1
财务部主机PC2配置IP:
IP地址:192.168.3.2 网关:192.168.3.1
信息安全员主机PC3配置IP:
IP地址:192.168.4.2 网关:192.168.4.1
服务器主机配置IP:
IP地址:192.168.100.2 网关:192.168.100.1第一阶段实验验证测试:
所有部门之间的主机均能互相通信并能访问服务器和外网(测试方法:用PING命令)
在所有主机上均能远程管理路由器和所有交换机。(在PC主机上用telnet命令)
第二阶段实验:配置ACL实现公司要求
1、只有网络管理区的主机才能远程管理路由器和交换机R1的配置:
复制代码
代码如下:
R1#conf t
R1(config)#access-list 1 permit 192.168.2.0 0.0.0.255R1(config)#line vty 0 4
R1(config-line)#access-class 1 in
SW1的配置
复制代码
代码如下:
SW1#conf t
SW1(config)#access-list 1 permit 192.168.2.0 0.0.0.255SW1(config)#line vty 0 4
SW1(config-line)#access-class 1 in
SW2的配置
复制代码
代码如下:
SW2#conf t
SW2(config)#access-list 1 permit 192.168.2.0 0.0.0.255SW2(config)#line vty 0 4
SW2(config-line)#access-class 1 in
SW3的配置
复制代码
代码如下:
SW3#conf t
SW3(config)#access-list 1 permit 192.168.2.0 0.0.0.255SW3(config)#line vty 0 4
SW3(config-line)#access-class 1 in
验证:在PC1可以远程TELNET管理路由器和交换机,但在其他主机则被拒绝telnet
2、内网主机都可以访问服务器,但是只有网络管理员才能通过telnet、ssh和远程桌面登录服务器,外网只能访问服务器80端口。
在SW1三层交换机上配置扩展ACL
3、192.168.3.0/24网段主机可以访问服务器,可以访问网络管理员网段,但不能访问其他部门网段,也不能访问外网。
在SW1三层交换机上配置扩展ACL
4、192.168.4.0/24网段主机可以访问服务器,可以访问管理员网段,但不能访问其他部门网段,可以访问外网。
在SW1三层交换机上配置扩展ACL
以上就是通过实际案例来告诉大家如何配置Cisco路由器ACL访问控制列
❸ cisco路由器如何配置标准访问控制列表 ACL
标准ACL配置
提问:如何只允许端口下的用户只能访问特定的服务器网段?
回答:
步骤一:定义ACL
S5750#conf t ----进入全局配置模式
S5750(config)#ip access-list standard 1 ----定义标准ACL
S5750(config-std-nacl)#permit 192.168.1.0 0.0.0.255
----允许访问服务器资源
S5750(config-std-nacl)#deny any ----拒绝访问其他任何资源
S5750(config-std-nacl)#exit ----退出标准ACL配置模式
步骤二:将ACL应用到接口上
S5750(config)#interface GigabitEthernet 0/1 ----进入所需应用的端口
S5750(config-if)#ip access-group 1 in ----将标准ACL应用到端口in方向
注释:
1. S1900系列、S20系列交换机不支持基于硬件的ACL。
2. 实际配置时需注意,在交换机每个ACL末尾都隐含着一条“拒绝所有数据流”的语句。
3. 以上所有配置,均以锐捷网络S5750-24GT/12SFP 软件版本10.2(2)为例。
其他说明,其详见各产品的配置手册《访问控制列表配置》一节。
❹ 怎样配置思科路由器自反ACL 实现网段之间单向访问
1、配置路由器,并在R1、R3上配置默认路由确保IP连通性。
R1(config)#interface s0/0/0
R1(config)#ip address 192.168.12.1 255.255.255.0
R1(config)#no shutdown
R1(config)#interface g0/0
R1(config)#ip address 172.16.1.1 255.255.255.0
R1(config)#no shutdown
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.12.2
R2(config)#interface s0/0/0
R2(config)#ip address 192.168.12.2 255.255.255.0
R2(config)#no shutdown
R2(config)#interface s0/0/1
R2(config)#ip address 202.210.23.2 255.255.255.0
R2(config)#no shutdown
R3(config)#interface loopback 0
R3(config)#ip address 3.3.3.3 255.255.255.0
R3(config)#no shutdown
R3(config)#interface s0/0/1
R3(config)#ip address 202.210.23.3 255.255.255.0
R3(config)#no shutdown
R3(config)#ip route 0.0.0.0 0.0.0.0 202.210.23.2
2、在路由器R2上配置自反ACL
R2(config)#ip access-list extended ACLOUT
R2(config-ext-nacl)#permit tcp any any reflect REF //定义自反ACL
R2(config-ext-nacl)#permit udp any any reflect REF
R2(config)#ip access-list extended ACLIN
R2(config-ext-nacl)#evaluate REF //评估反射
R2(config)#int s0/0/1
R2(config-if)#ip access-group ACLOUT out
R2(config-if)#ip access-group ACLIN in
PS:(1)、自反ACL永远是permit的;
(2)、自反ACL允许高层Session信息的IP包过滤;
(3)、利用自反ACL可以只允许出去的流量,但是阻止从外部网络产生的向内部网络的流量,从而可以更好地保护内部网络;
(4)、自反ACL是在有流量产生时(如出方向的流量)临时自动产生的,并且当Session结束条目就删除;
(5)、自反ACL不是直接被应用到某个接口下的,而是嵌套在一个扩展命名访问列表下的。
3、调试
(1)同时在路由器R1和R3都打开TELNET服务,在R1(从内网到外网)TELNET路由器R3成功,同时在路由器R2上查看访问控制列表:
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
permit tcp host 202.210.23.3 eq telnet host 192.168.12.1 eq 11002 (48 matches) (time left 268)
//以上输出说明自反列表是在有内部到外部TELNET流量经过的时候,临时自动产生一条列表。
(2)在路由器R1打开TELNET 服务,在R3(从外网到内网)TELNET路由器R1不能成功,同时在路由器R2上查看访问控制列表:
R2#show access-lists
Extended IP access list ACLIN
10 evaluate REF
Extended IP access list ACLOUT
10 permit tcp any any reflect REF
20 permit udp any any reflect REF
Reflexive IP access list REF
❺ cisco路由器命名ACL配置
Router(config)#ip access-list extended HQINBOUND
Router(config-ext-nacl)#permit tcp any any eq www
Router(config-ext-nacl)#permit tcp any any established
Router(config-ext-nacl)#permit icmp any any echo
Router(config-ext-nacl)#deny ip any any
Router(config-ext-nacl)#exit
Router(config-ext-nacl)#int f0/0
Router(config-ext-nacl)#ip access-group HQINBOUND in
Router(config-ext-nacl)#end
❻ 思科模拟中ACL怎么配置
访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定 义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的 支持了。
访问控制列表的原理:
1、对路由器接口来说有两个方向:
入:已经到达路由器接口的数据包,但是还没有被路由器处理。
出:已经 经过路由器的处理,正要离开路由器接口的数据包
2、匹配顺序为:"自上而下,依次匹配"。默认为拒绝
3、访问控制列表的类型:
标准访问控制列表:一般应用在out出站接口。建议配置在离目标端最近的路由上
扩展访问控制列表:配置在离源端最近的路由上,一般应用在入站in方向
命名访问控制列表:允许在标准和扩展访问列表中使用名称代替表号
4、访问控制列表使用原则
(1)、最小特权原则
只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
(2)、默认丢弃原则
在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
(3)、最靠近受控对象原则
所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法 识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
❼ 一个管理员需要在一台思科路由器上配置acl允许网络1192.168146.0192.168点147
摘要 您好,很高兴为你解答疑问,这是我为您搜索的结果:路由器配置命令
❽ 思科ACL在路由器上如何配置 最好弄个图,我是菜鸟,先谢啦
cisco的具体命令我想不起来了。。你在路由器连b网络的接口配置acl。。拒绝a网络访问,接口设置为in
什么什么的。。。若是真需要具体命令我就只能查查资料再告诉你了
❾ 在CISCO路由上如何做ACL
反向访问列表 有5个VLAN,分别为 管理(63)、办公(48)、业务(49)、财务(50)、家庭(51)。 要求: 管理可以访问其它,而其它不能访问管理,并且其它VLAN之间不能互相访问! 其它的应用不受影响,例如通过上连进行INTERNET的访问 方法一: 只在管理VLAN的接口上配置,其它VLAN接口不用配置。 在入方向放置reflect ip access-list extended infilter permit ip any any reflect cciepass ! 在出方向放置evaluate ip access-list extended outfilter evaluate cciepass deny ip 10.54.48.0 0.0.0.255 any deny ip 10.54.49.0 0.0.0.255 any deny ip 10.54.50.0 0.0.0.255 any deny ip 10.54.51.0 0.0.0.255 any permit ip any any !应用到管理接口 int vlan 63 ip access-group infilter in ip access-group outfilter out
记得采纳啊
❿ 思科路由如何添加一条ACL 麻烦详细点,重登录开始一步一步的,谢谢了。
说的太少了,ACL有很多种,不同场景下应用的通常不一样。ACL不需要进入多个VLAN配置