1、ACl组网测试实验技术文档 ACl组网测试实验组网一:ACL流量访问控制1 拓朴:2.Ip地址分配表:3.实验组网需求:实现192.168.1.192-192.168.1.255不能访问192.168.2.128-192.168.2.2554.配置步骤:在RT1上的E3/1口的入方向使用标准ACl实现 (方法一)RT1(config)#access-list 2 deny 192.168.1.192 0.0.0.63 /创建access-list 2,拒绝192.168.1.192192.168.1.255的流量RT1(config)#access-list 2 permit 192.168.
2、1.0 0.0.0.255 /允许192.168.1.0/24的流量通过RT1(config)#interface e3/1RT1(config-if)#ip access-group 2 in/将access-list 2应用在接口E3/1的入方向在RT1的E3/1口的入方向使用扩展ACL实现(方法二)RT1(config)#access-list 101 deny ip 192.168.1.192 0.0.0.63 192.168.2.128 0.0.0.127/创建access-list 101,拒绝192.168.1.192192.168.1.255访问192.168.2.128192
3、.168.2.255RT1(config)#access-list 101 permit ip any any/允许其它主机之间的访问RT1(config)#interface e3/1RT1(config-if)#ip access-group 101 in /将access-list 101应用在接口E3/1的入方向在RT1上的E3/2的入方向使用标准ACl实现 (方法三)RT1(config)#access-list 4 deny 192.168.1.192 0.0.0.63 /创建access-list 4,拒绝192.168.1.192192.168.1.255的流量通过RT1(co
4、nfig)#access-list 4 permit any/允许任何网段的流量通过RT1(config)#interface ethernet 3/2RT1(config-if)#ip access-group 4 out/将access-list 4应用在接口E3/2的出方向在RT1的E3/2口的入方向使用扩展ACL实现(方法四)RT1(config)#access-list 102 deny ip 192.168.1.192 0.0.0.63 192.168.2.128 0.0.0.127/创建access-list 102,拒绝192.168.1.192192.168.1.255访问1
5、92.168.2.128192.168.2.255RT1(config)#access-list 102 permit ip any any/允许其它主机之间的访问RT1(config)#interface ethernet 3/2RT1(config-if)#ip access-group 102 out/将access-list 102应用在接口E3/2的出方向实验总结标准ACL扩展ACL基于特征来区分数据源IP地址源目地址,源目端口号,传输层协议访问控制列表号1-99. 1300-1999100-199. 2000-2699末尾隐藏denyanydenyipanyany每个条件都必须匹配
6、,才会施加允许或拒绝条件组网二:ACL设备访问控制1. 拓朴:2. Ip地址分配表:3. 实现组网需求:实现只有192.168.3.0/24网段能够Telnet到RT1RT1(config)#access-list 1 permit 192.168.3.0 0.0.0.255 /允许192.168.3.0/24的流量通过RT1(config)#line vty 0 4 /进入vty接口模式RT1(config-line)#access-class 1 in /应用acl组网三:放通路由协议数据包1 拓朴:2.Ip地址分配表3. 实现组网需求实现192.168.3.0/24 网段只能被192.1
7、68.1.0/24网段访问4. 配置步骤:PC1(RT5)上的配置RT5(config)#interface e3/1RT5(config-if)#ip address 192.168.1.100 255.255.255.0RT5(config-if)#no shutdownRT5(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1RT1上的配置RT1(config)#interface loopback 0RT1(config-if)#ip address 192.168.0.1 255.255.255.255RT1(config)#interface
8、e3/0RT1(config-if)#ip address 192.168.0.5 255.255.255.252RT1(config-if)#no shutdownRT1(config)#interface e3/1RT1(config-if)#ip address 192.168.1.1 255.255.255.0RT1(config-if)#no shutdownRT1(config)#interface e3/2RT1(config-if)#ip address 192.168.2.1 255.255.255.0RT1(config-if)#no shutdownRT1(config)
9、#router ospf 1RT1(config-router)#router-id 192.168.0.1RT1(config-router)#network 192.168.0.4 0.0.0.3 area 0RT1(config-router)#network 192.168.1.0 0.0.0.255 area 0RT1(config-router)#network 192.168.2.0 0.0.0.255 area 0RT1(config-router)#passive-interface e1/0RT3上的配置RT3(config)#interface loopback 0RT3
10、(config-if)#ip address 192.168.0.2 255.255.255.255RT3(config)#interface e3/0RT3(config-if)#ip address 192.168.0.6 255.255.255.252RT3(config-if)#no shutdownRT3(config)#interface e3/3RT3(config-if)#ip address 192.168.3.1 255.255.255.0RT3(config-if)#no shutdownRT3(config)#router ospf 1RT3(config-router
11、)#router-id 192.168.0.2RT3(config-router)#network 192.168.0.4 0.0.0.3 area 0RT3(config-router)#network 192.168.3.1 0.0.0.255 area 0RT3(config-router)#passive-interface e3/3ACL配置:在RT3的E3/0口的入方向使用命名的扩展ACl实现(方法一)RT3(config)#ip access-list extended aa /新建一个命名为aa的AClRT3(config-ext-nacl)#permit ospf any a
12、ny/允许OSPF协议有关的流量放通RT3(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 /只允许192.168.1.0/24的网段访问192.168.3.0/24的流量通过RT3(config)#interface e3/0RT3(config-if)#ip access-group aa in /应用在E3/0的In方向Ping(通/不通)PC1(RT5)PC2RT1192.168.3.100YNN192.168.3.1YNN在RT3的E3/0口的入方向使用命名的扩展ACl实现(方法二):RT3
13、(config)#ip access-list extended aa/新建一个命名为flow1的AClRT3(config-ext-nacl)#permit ip 192.168.1.00.0.0.255 192.168.3.0 0.0.0.255/只允许192.168.1.0/24的网段访问192.168.3.0/24的流量通过RT3(config)#interface e3/0RT3(config-if)#ip access-group aa in /应用在E3/0的in方向Ping(通/不通)PC1(RT5)PC2RT1192.168.3.100NNN192.168.3.1NNN在RT
14、3的E3/3口的出方向使用命名的扩展ACl实现(方法三):RT3(config)#ip access-list extended aa/新建一个命名为aa的AClRT3(config-ext-nacl)#permit ip 192.168.1.00.0.0.255 192.168.3.0 0.0.0.255/只允许192.168.1.0/24的网段访问192.168.3.0/24的流量通过RT3(config-ext-nacl)#exitRT3(config)#interface e3/3RT3(config-if)#ip access-group aa out/应用在E3/3的out方向Pi
15、ng(通/不通)PC1(RT5)PC2RT1192.168.3.100YNN192.168.3.1YNN实验总结:部署ACl时要考虑协议数据流量访问需求最好在末端网段或网络边界实现,骨干链路尽量不要部署。方法二中,只允许192.168.1.0/24访问192.168.3.0/24,OSPF的Hello信息交互收到阻碍,因此是不能够实现需求的。组网四:动态ACL1. 拓朴:2. IP地址分配表:路由器名称Loopback口E1/0E1/1R11.1.1.1/32192.168.1.1/24NR22.2.2.2/32192.168.1.2/24192.168.2.2/24R33.3.3.3/321
16、92.168.2.1/24N3. 组网需求:实验一:基本的动态访问列表的应用(手动激活)实验说明:使用3台路由器,R1模拟一个内网用户;R2模拟网关;R3模拟外网的一台服务器。R2上已经做了策略禁止R1远程登陆到R3,它只允许R1远程登陆到R2上,然后激活一个动态访问列表。这个动态访问表是临时性的,它允许R1在一个特定的时间内可以登陆到R3上,现在进行配置4. 配置步骤:R1(config-if)#ip address 192.168.1.1 255.255.255.0R1(config-if)#no shutdownR1(config)#interface loopback 0R1(conf
17、ig-if)#ip address 1.1.1.1 255.255.255.255R1(config)#ip route 192.168.2.0 255.255.255.0 192.168.1.2R1(config)#ip route 3.3.3.3 255.255.255.255 192.168.1.2R2(config)#line vty 0 4R2(config-line)#privilege level 15R2(config-line)#logging synchronous R2(config-line)#password ciscoR2(config-line)#login R2
18、(config-line)#ZR2(config)#interface e1/0R2(config-if)#ip address 192.168.1.2 255.255.255.0R2(config-if)#no shutdownR2(config)#interface loopback 0R2(config-if)#ip address 2.2.2.2 255.255.255.255R2(config)#interface e1/1R2(config-if)#ip address 192.168.2.2 255.255.255.0R2(config-if)#no shutdownR3(con
19、fig)#line vty 0 4R3(config-line)#privilege level 15R3(config-line)#logging synchronous R3(config-line)#password ciscoR3(config-line)#login R3(config-line)#ZR3(config)#interface e1/0R3(config-if)#ip address 192.168.2.1 255.255.255.0R3(config-if)#no shutdownR3(config)#interface loopback 0R3(config-if)
20、#ip address 3.3.3.3 255.255.255.255R3(config)#ip route 192.168.1.0 255.255.255.0 192.168.2.2R3(config)#ip route 1.1.1.1 255.255.255.255 192.168.2.2R1#telnet 192.168.2.1Trying 192.168.2.1 .OpenUser Access VerificationPassword: R3#测试从RT1通过telnet 192.168.2.1输入密码cisco 是可以进入R3的命令行的R2(config)#ip access-li
21、st extended aa /命名ACL为aaR2(config-ext-nacl)#permit icmp any any /允许icmp的流量R2(config-ext-nacl)#permit tcp host 192.168.1.1 host 192.168.1.2 eq telnet /允许主机192.168.1.1通过telnet 访问R2R2(config)#interface e1/0R2(config-if)#ip access-group aa in /应用在接口上R1telnet 192.168.1.2Trying 192.168.1.2 .OpenUser Acces
22、s VerificationPassword: R2#测试从RT1是可以telnet 进入RT2的R1telnet 192.168.2.1Trying 192.168.2.1 .R1#telnet 192.168.2.1Trying 192.168.2.1 . % Destination unreachable; gateway or host down /目标不可达;网关或者主机是关闭的测试从R1通过telnet 是进入不了R3的在R2上建立动态访问列表允许R1可以动态的暂时的登陆到R3R2(config)#ip access-list extended aa /建立ACL 叫aaR2(co
23、nfig-ext-nacl)dynamic bb timeout 5 permit tcp host 192.168.1.1 host 192.168.2.1 eq telnet/在命名ACL aa中建立一条名为bb的动态列表项, timeout值表示动态列表项被激活后只能存在5分钟,之后将消失。R2(config)#interface e1/0R2(config-if)#ip access-group aa in /应用到接口R1#telnet 192.168.2.1Trying 192.168.2.1 . % Destination unreachable; gateway or host
24、 down结果还是远程不上去,因为刚刚建立的动态ACL还需要激活的R1telnet 192.168.1.2Trying 192.168.1.2 . OpenUser Access VerificationPassword: R2#access-enable/ 进入R2中激活 注意此命令只能在VTY线程下输入激活完成后,再登录R3R1telnet 192.168.2.1Trying 192.168.2.1 . OpenUser Access VerificationPassword: R3#在R2上查看访问列表R2#show ip access-lists Extended IP access
25、list aa 10 Dynamic bb permit tcp host 192.168.1.1 host 192.168.2.1 eq telnet permit tcp host 192.168.1.1 host 192.168.2.1 eq telnet (21 matches) 20 permit icmp any any30 permit tcp host 192.168.1.1 host 192.168.1.2 eq telnet (117 matches)可以看到访问列表中出现一动态列表项,允许R1通过telnet 访问R3但是过5分钟后再查看列表R2#sho access-l
26、istExtended IP access list aa 10 Dynamic bb permit tcp host 192.168.1.1 host 192.168.2.1 eq telnet 20 permit icmp any any 30 permit tcp host 192.168.1.1 host 192.168.1.2 eq telnet (117 matches) 这里再查看发现这条动态列表项已经不在了。现在再进一步的研究一下命令的几个参数R2#access-enable ? host Enable a specific host only timeout Maximum
27、idle time to expire this entry 先做host参数,先更改动态列表 R2(config)#ip access-list extended aaR2(config-ext-nacl)#no Dynamic bb permit tcp host 192.168.1.1 host 192.168.2.1 eq telnet /删除原先动态列表R2(config-ext-nacl)#dynamic cc permit tcp any host 192.168.2.1 eq telnet /建立动态列表R1#telnet 192.168.1.2Trying 192.168.1
28、.2 . OpenUser Access VerificationPassword: R2#access-enable /激活动态列表查看访问控制列表R2#sho ip accessExtended IP access list aa 20 permit icmp any any 30 permit tcp host 192.168.1.1 host 192.168.1.2 eq telnet (228 matches) 40 Dynamic cc permit tcp any host 192.168.2.1 eq telnet permit tcp any host 192.168.2.1
29、 eq telnetR1#telnet 192.168.2.1 /source-interface loopback 0Trying 192.168.2.1 . OpenR1#telnet 192.168.1.2Trying 192.168.1.2 . OpenUser Access VerificationPassword: R2#access-enable host /激活用host查看R2的访问列表R2#show ip access-lists Extended IP access list aa 20 permit icmp any any (16 matches) 30 permit
30、 tcp host 192.168.1.1 host 192.168.1.2 eq telnet (528 matches) 40 Dynamic cc permit tcp any host 192.168.2.1 eq telnet permit tcp host 192.168.1.1 host 192.168.2.1 eq telnet注意这次生成的动态列表项的源只有192.168.12.1;而不是刚才的ANYR1#telnet 192.168.2.1 /source-interface loopback 0Trying 192.168.2.1 . % Destination unreachable; gateway or host down这次以loopback 0为源无法登录到R3 这就是host的作用再通过timeout来激活R2#access-enable timeout 1激活后,不进行
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1