网络基础之访问控制列表——ACL配置

主宰稳场 提交于 2019-12-06 10:15:56

实验拓扑图:

  R1--f0/0-----f0/0--R2--f1/0(.1)-----f0/0--R3

IP地址规划:

    R1:f0/0-------202.100.10.1/24

    R2:f0/0-------202.100.10.2/24;  f1/0-------202.100.20.1/24

    R3:f0/0-------202.100.20.2/24

一、基本网络配置

1、R1路由器的基本网络配置

enable

configure terminal

interface f0/0

ip address 202.100.10.1 255.255.255.0

no shutdown

exit

 

 ip route 0.0.0.0 0.0.0.0 202.100.10.2

exit

write

 

2、R2路由器的基本网络配置

enable

configure terminal

interface f0/0

ip address 202.100.10.2 255.255.255.0

no shutdown

interface f1/0

ip address 202.100.20.1 255.255.255.0

no shutdown

exit

exit

write

 

3、R3路由器的基本网络配置

enable

configure terminal

interface f0/0

ip address 202.100.20.2 255.255.255.0

no shutdown

exit

ip route 0.0.0.0 0.0.0.0 202.100.20.1

line vty 0  

pass 123

login

exit

enable  pass  abc

exit

write

 

4、连通性测试:

R1#ping 202.100.20.2(能ping通R3路由器的f0/0接口)

R1#telnet 202.100.20.2(能远程登录R3路由器)

二、标准ACL配置(R3路由器上的全局模式下配置):

1、标准ACL

标准ACL的编号为1-99

标准ACL只能对IP报文的源地址做限制

permit:允许IP报文通过

deny:拒绝报文通过(丢弃)

通配符掩码:ACL条目中的IP地址后面跟的时:通配符掩码,不是子网掩码

通配符掩码的计算:(255.255.255.255)减(子网掩码)

例如:子网掩码为:255.255.255.0,通配符掩码为:0.0.0.255

通配符掩码的含义:

二进制0:表示检查

二进制1:表示忽略(不检查)

2、标准ACL语法:

access-list   编号(1-99)  permit|deny  源IP地址  通配符掩码

特殊关键字:

host :表示单个主机的IP地址

       (例如:host 192.168.10.1,也可表示为:192.168.10.1 0.0.0.0)

any:  表示任意IP地址,即:0.0.0.0 255.255.255.255

3、标准ACL配置(R3路由器上的全局模式下配置)

configure terminal

 access-list 1 deny 202.100.10.1 0.0.0.0(禁止R1路由器访问R3)

 或者:(access-list 1 deny host 202.100.10.1)

 access-list 1 permit any(允许任意主机访问R3路由器)

 或者:(access-list 1 permit 0.0.0.0 255.255.255.255)

4、在接口上应用ACL

 interface f0/0

  ip access-group 1 in

 方向:

in (IP报文从路由器接口进入时,应用ACL)

out(IP报文从路由器接口出去时,应用ACL)

5、连通性测试:

R1#ping 202.100.20.2(失败)

R2#ping 202.100.20.2(成功)

三、扩展ACL配置(R3路由器上的全局模式下配置)

1、扩展ACL语法:

access-list 扩展ACL编号(100-199) permit|deny 协议名(IP、ICMP、TCP、UDP) 源IP地址 通配符掩码 目的IP地址 通配符掩码   eq  服务名(或端口号)

2、扩展ACL

扩展ACL的编号为100-199

扩展ACL可以限制:

IP报文的源地址、目标地址

协议(IP、ICMP、TCP、UDP)

源端口(TCP、UDP)

目标端口(TCP、UDP) 

3、扩展ACL配置

exit

access-list 100 deny tcp host 202.100.10.1 host 202.100.20.2 eq telnet(禁止R1以Telnet方式访问R3)

 或者:(access-list 100 deny tcp 202.100.10.1 0.0.0.0 202.100.20.2 0.0.0.0 eq 23)

access-list 100 permit tcp any any

interface f1/0

ip access-group 100 in

exit

exit

show access-list

show access-list 1

show access-list 100

4、连通性测试

R3(config)#no access-list 1

R1#telnet  202.100.20.2(远程登录R3路由器失败)

R2#telnet 202.100.20.2(远程登录R3路由器成功)

 

 

 

易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!