㈠ 思科配置路由器扩展访问控制列表 acl
在路由右侧的接口做ACL方向为OUT,限制UDP协议,源网络学员,目标网络老师,端口号用服务器FTP端口号,默认是21,然后第二条写permit
any
any
就可以了
㈡ 思科路由器设置访问控制列表
在路由上建若干个访问控制列表(ACL),然后配置好后把它们应用到相应端口,就能实现你的要求。
扩展型的ACL可以实现限制某些IP地址的某些服务或端口的拦截,比如电子邮件,FTP之类都是可以限制的,只能访问某一站点也是可以实现的,只允许它们访问限定的IP就行了。
具体的就是TELNET到你路由的接口,然后打命令去。具体命令想解释清楚就太长了。。。也不知道你什么情况没法细说。
限制改IP也很容易实现,如果你用的WINDOWS的话,只要设置权限就行了。具体的到“本地安全策略”里设,点 开始-运行-输入“gpedit.msc” 在“本地策略”的“用户权利指派”里有各用户组的权利分配。如果对用户组做调整,用“组策略”-开始-运行-“gpedit.msc” 可以把用户划分到不同的组以分配权限。
㈢ 思科配置路由器扩展访问控制列表 acl
access-list 101 deny ip 172.16.3.0 0.0.0.255 172.16.1.0 0.0.0.255 eq 21
access-list 101 permit ip 172.16.3.0 0.0.0.255 172.16.1.0 0.0.0.255 any
应该是这样写
㈣ 思科模拟中ACL怎么配置
访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定 义好的规则对包进行过滤,从而达到访问控制的目的。该技术初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机也开始提供ACL的 支持了。
访问控制列表的原理:
1、对路由器接口来说有两个方向:
入:已经到达路由器接口的数据包,但是还没有被路由器处理。
出:已经 经过路由器的处理,正要离开路由器接口的数据包
2、匹配顺序为:"自上而下,依次匹配"。默认为拒绝
3、访问控制列表的类型:
标准访问控制列表:一般应用在out出站接口。建议配置在离目标端最近的路由上
扩展访问控制列表:配置在离源端最近的路由上,一般应用在入站in方向
命名访问控制列表:允许在标准和扩展访问列表中使用名称代替表号
4、访问控制列表使用原则
(1)、最小特权原则
只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
(2)、默认丢弃原则
在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视。
(3)、最靠近受控对象原则
所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。
由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法 识别到应用内部的权限级别等。因此,要达到端到端的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。
㈤ cisco 访问控制列表 配置命令及注释理解
配置访问控制列表的步骤:
第一步:创建访问控制列表:
access-list access-list-number {deny|permit} {test conditions}
//access-list-number:序列号,这个地方也可以写命名的名称;
//deny:拒绝;
//permit:允许;
//test conditions:过滤条件语句
第二步:应用访问控制列表:
A、首先要进入接口模式;
B、ip access-group access-list-number {in|out}
7、标准访问控制列表的格式:
access-list [list number| word] [permit|deny] [source address] [wildcard mask]
//[list number|word]列表序列号或者命名
//[permit|deny]允许或者拒绝
//[source address]源IP地址
//[wildcard mask]掩码,如果不使用掩码,则使用关键字Host ,例:host 192.168.2.4
8、扩展访问控制列表的格式:
access-list [list number| word] [permit | deny] [protocol | protocol key word] [source address] [source-swidcard mask] [source port] [destination address] [destination-wildceard mask] [destination port]
//[list number| word]访问控制列表的序列号或者命名
//[permit | deny]允许或者拒绝
//[protocol | protocol key word]协议或者协议号
//[source address] 源IP地址
//[source-swidcard mask]源地址掩码,如果使用关键字host,则不用掩码
//[source port]源端口
//[destination address]目的地IP地址
//[destination-wildceard mask]目的地地址掩码,如果使用host关键字,则不用掩码
//[destination port]目的端口
㈥ 在思科试验中做《标准访问控制列表》,《扩展访问控制列表》 这两个怎么做呢
首先我想说的是,你是知道思科上面
标准ACL和扩展ACL的区别吧??
1~99 是标准的编号
100~199 是扩展的编号
--------------------------------------------------------------------------
这个就简单了啊
实际上只要实现销售不能访问财务不就行了,一条ACL就可以实现了。
但我感觉是不是你还有一些需求没写完呢?
只要在R1上写 access-list 101 deny 销售IP网段 反掩码 财务IP网段 反掩码。
然后应用在销售IP网段的接口上 ,in的方向。
--------------------------------------------------------------------------
你这个题目太简单不能体现ACL的基础精髓。
再给你个题目。
实验要求:
1. 各部门之间不能互相通信,但各部门经理之间可以相互通信.
实验拓扑:
一个交换机下三个VLAN(三个部门),每个vlan里面至少两个PC,有一个是经理。
若是你想要详细的实验流程,把邮箱给我。
㈦ 思科路由器针对主机设扩展访问控制列表问题
这个语句的意思就是禁止0.1和0.2访问18.4,如果没生效,检查下你是不是哪里做错了什么。
㈧ 如何配置Cisco路由器ACL访问控制列的实际案例
第一阶段实验:配置实验环境,网络能正常通信
R1的配置:
复制代码
代码如下:
R1>en
R1#conf t
R1(config)#int f0/0
R1(config-if)#ip addr 10.0.0.1 255.255.255.252R1(config-if)#no shut
R1(config-if)#int loopback 0
R1(config-if)#ip addr 123.0.1.1 255.255.255.0R1(config-if)#int loopback 1
R1(config-if)#ip addr 1.1.1.1 255.255.255.255R1(config-if)#exit
R1(config)#ip route 192.168.0.0 255.255.0.0 10.0.0.2R1(config)#username benet password testR1(config)#line vty 0 4
R1(config-line)#login local
SW1的配置:
复制代码
代码如下:
SW1>en
SW1#vlan data
SW1(vlan)#vlan 2
SW1(vlan)#vlan 3
SW1(vlan)#vlan 4
SW1(vlan)#vlan 100
SW1(vlan)#exit
SW1#conf t
SW1(config)#int f0/1
SW1(config-if)#no switchport
SW1(config-if)#ip addr 10.0.0.2 255.255.255.252SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.1SW1(config)#int range f0/14 - 15
SW1(config-if-range)#switchport trunk encapsulation dot1qSW1(config-if-range)#switchport mode trunkSW1(config-if-range)#no shut
SW1(config-if-range)#exit
SW1(config)#int vlan 2
SW1(config-if)#ip addr 192.168.2.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#int vlan 3
SW1(config-if)#ip addr 192.168.3.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#int vlan 4
SW1(config-if)#ip addr 192.168.4.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#int vlan 100
SW1(config-if)#ip addr 192.168.100.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#ip routing
SW1(config)#int vlan 1
SW1(config-if)#ip addr 192.168.0.1 255.255.255.0SW1(config-if)#no shut
SW1(config-if)#exit
SW1(config)#username benet password testSW1(config)#line vty 0 4
SW1(config-line)#login local
SW2的配置:
复制代码
代码如下:
SW2>en
SW2#vlan data
SW2(vlan)#vlan 2
SW2(vlan)#vlan 3
SW2(vlan)#vlan 4
SW2(vlan)#exit
SW2#conf t
SW2(config)#int f0/15
SW2(config-if)#switchport mode trunk
SW2(config-if)#no shut
SW2(config-if)#exit
SW2(config)#int f0/1
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 2SW2(config-if)#no shut
SW2(config-if)#int f0/2
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 3SW2(config-if)#no shut
SW2(config-if)#int f0/3
SW2(config-if)#switchport mode access
SW2(config-if)#switchport access vlan 4SW2(config-if)#no shut
SW2(config-if)#int vlan 1
SW2(config-if)#ip addr 192.168.0.2 255.255.255.0SW2(config-if)#no shut
SW2(config-if)#exit
SW2(config)#ip default-gateway 192.168.0.1SW2(config)#no ip routing
SW2(config)#username benet password testSW2(config)#line vty 0 4
SW2(config-line)#login local
SW3的配置:
复制代码
代码如下:
SW3>en
SW3#vlan data
SW3(vlan)#vlan 100
SW3(vlan)#exit
SW3#conf t
SW3(config)#int f0/15
SW3(config-if)#switchport mode trunk
SW3(config-if)#no shut
SW3(config-if)#int f0/1
SW3(config-if)#switchport mode access
SW3(config-if)#switchport access vlan 100SW3(config-if)#no shut
SW3(config-if)#int vlan 1
SW3(config-if)#ip addr 192.168.0.3 255.255.255.0SW3(config-if)#no shut
SW3(config-if)#exit
SW3(config)#ip default-gateway 192.168.0.1SW3(config)#no ip routing
SW3(config)#username benet password testSW3(config)#line vty 0 4
SW3(config-line)#login local
网络管理区主机PC1(这里用路由器模拟)
复制代码
代码如下:
R5>en
R5#conf t
R5(config)#int f0/0
R5(config-if)#ip addr 192.168.2.2 255.255.255.0R5(config-if)#no shut
R5(config-if)#exit
R5(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1
财务部主机PC2配置IP:
IP地址:192.168.3.2 网关:192.168.3.1
信息安全员主机PC3配置IP:
IP地址:192.168.4.2 网关:192.168.4.1
服务器主机配置IP:
IP地址:192.168.100.2 网关:192.168.100.1第一阶段实验验证测试:
所有部门之间的主机均能互相通信并能访问服务器和外网(测试方法:用PING命令)
在所有主机上均能远程管理路由器和所有交换机。(在PC主机上用telnet命令)
第二阶段实验:配置ACL实现公司要求
1、只有网络管理区的主机才能远程管理路由器和交换机R1的配置:
复制代码
代码如下:
R1#conf t
R1(config)#access-list 1 permit 192.168.2.0 0.0.0.255R1(config)#line vty 0 4
R1(config-line)#access-class 1 in
SW1的配置
复制代码
代码如下:
SW1#conf t
SW1(config)#access-list 1 permit 192.168.2.0 0.0.0.255SW1(config)#line vty 0 4
SW1(config-line)#access-class 1 in
SW2的配置
复制代码
代码如下:
SW2#conf t
SW2(config)#access-list 1 permit 192.168.2.0 0.0.0.255SW2(config)#line vty 0 4
SW2(config-line)#access-class 1 in
SW3的配置
复制代码
代码如下:
SW3#conf t
SW3(config)#access-list 1 permit 192.168.2.0 0.0.0.255SW3(config)#line vty 0 4
SW3(config-line)#access-class 1 in
验证:在PC1可以远程TELNET管理路由器和交换机,但在其他主机则被拒绝telnet
2、内网主机都可以访问服务器,但是只有网络管理员才能通过telnet、ssh和远程桌面登录服务器,外网只能访问服务器80端口。
在SW1三层交换机上配置扩展ACL
3、192.168.3.0/24网段主机可以访问服务器,可以访问网络管理员网段,但不能访问其他部门网段,也不能访问外网。
在SW1三层交换机上配置扩展ACL
4、192.168.4.0/24网段主机可以访问服务器,可以访问管理员网段,但不能访问其他部门网段,可以访问外网。
在SW1三层交换机上配置扩展ACL
以上就是通过实际案例来告诉大家如何配置Cisco路由器ACL访问控制列
㈨ cisco扩展访问控制列表设置只允许部分网段使用www形式访问一外网服务器
由于你没有说清楚是哪个网段,示例如下,可以满足你说的需求,只允许访问外网80服务,拒绝其他TCP数据包,最后一条是允许其他流量通过:
access-list 101 permit tcp 192.168.10.0 0.0.0.255 host 200.1.1.2 eq 80
access-list 101 deny tcp 192.168.10.0 0.0.0.255 any
access-list 101 permit ip any any
最后将ACL应用至接口。
提示:每ACL列表最后都有一条隐含拒绝所有:deny ip any any
㈩ 思科模拟器的命名扩展访问控制列表,求教
首先Ping使用的协议是ICMP协议,访问网页使用的时TCP协议,那么我想让它不也能访问这个服务只需要禁止就可以了。
假设你得IP为192.168.1.1 服务器地址为10.1.1.1
Access-list <name> deny icmp 192.168.1.1 0.0.0.0 10.1.1.1 0.0.0.0
阻止ICMP协议在二者之间沟通
Access-list<name> deny tcp 192.168.1.1 0.0.0.0 10.1.1.1 0.0.0.0
阻止TCP协议在二者间沟通
Access-list<name> ip any any
其他协议选择放行。
选中后,我们需要用route-map来包含它们(策略路由法)
route-map <name>
ma ip add <ACL name>
最后,我们要应用它(出接口和入接口都可以,建议在出接口上应用)
int g0/0/0
ip policy route-map <route-map name>
或者用ACL引用的方法,不需要建立route-map(ACL法)
int g0/0/0
ip access-group <ACL name> out
最后效果,不能ping通、不能上访网页,但是仅限于这台主机和这台服务器之间。