返回
标准、扩展、名称访问控制列表配置

标准、扩展、名称访问控制列表配置

ID:14210783

大小:98.50 KB

页数:3页

时间:2018-07-26

标准、扩展、名称访问控制列表配置_第1页
标准、扩展、名称访问控制列表配置_第2页
标准、扩展、名称访问控制列表配置_第3页
资源描述:

《标准、扩展、名称访问控制列表配置》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、标准、扩展、名称访问控制列表配置2008-09-0616:45:41

2、分类:网络试验

3、标签:acl访问控制列表

4、字号大中小订阅试验目的:熟悉标准访问控制列表的应用。试验设备:r1、r2、r3、sw1、sw2、vpcs。说明:在全网均能连通的情况下完成试验,注意:标准访问控制列表放置原则是,尽可能离目标地址近。试验内容:由于基本访问控制列表的放置原则,所以我们知道应该在r3上设置ACL,并且将其放置在r3的e1/0接口上。1、只允许192.168.1.0网络的主机访问PC6。命令如下:r3(config)#access-list1permi

5、t192.168.1.00.0.0.255/定义一个ACL名字为1,只允许192.168.1.0的网络内的主机信息通过,注意:这里的通配符掩码中0表示必须符合,1表示可以不同,所以0.0.0.255(0.0.0.11111111)就表示192.168.1这三位必须相同,而第四位可以任意。r3(config)#inte1/0/进入端口E1/0r3(config-if)#ipaccess-group1out/将ACL1应用在该接口上,控制出站数据流。这时可以试验,从不同的网络PINGPC6的IP地址,并且还可以PINGR3的E1/0地址,除了

6、192.168.1.0网络的信息外,都只能到达192.168.13.100而终止。2、只允许PC1:192.168.1.1访问PC6。首先执行r3(config)#noaccess-list1删除掉刚才建立的内容以便后续试验。r3(config)#access-list1permithost192.168.1.1/只允许192.168.1.1主机的数据通过,host192.168.1.1效果等同于192.168.1.10.0.0.0这时就只有pc1能ping通pc6了,请读者在pc1和pc3上pingpc6。3、只拒绝192.168.2.

7、0网络的主机访问PC6。r3(config)#noaccess-list1/删除前面建立的列表r3(config)#access-list1deny192.168.2.00.0.0.255/只拒绝192.168.2.0网络的数据r3(config)#access-list1permitany/允许通过所有数据,any表示所有网络,因为所有的ACL末尾都有条隐藏denyany(拒绝所有)的语句,所以在这条语句之前必须加一条允许所有的语句来让所有其他的网络的数据通过。请读者自行测试。4、只拒绝PC2:192.168.2.1主机访问PC6。r3

8、(config)#noaccess-list1r3(config)#access-list1denyhost192.168.2.1r3(config)#access-list1permitany请读者自信测试。注意:因为在第一步的试验的时候已经将ACL1应用到E1/0接口,并且后续试验中依然有效,所以后续的试验中就没有再次使用ipaccess-group1out命令了。**************************************************************************************

9、***************************扩展访问列表。其实扩展访问列表相对于标准访问列表的不同就在于,它可以更加细化的控制访问,与标准访问列表不同,扩展访问列表需要放在距离控制源尽可能近的地方,因为这个原则所以以上的标准访问控制列表的试验中,在用扩展访问控制列表做的时候就因该放在R1的F2/0.10和F2/0.20口上,做入站数据流的控制。比如:1、只允许192.168.1.0网络的主机访问PC6的FTP服务。r1(config)#access-list101permittcp192.168.1.00.0.0.255host

10、192.168.13.1eq21/扩展列表101只允许从192.168.1.0网络到192.168.13.1的tcp数据通过,端口为21(这是FTP服务的段口之一21、20)r1(config)#access-list101permittcp192.168.1.00.0.0.255host192.168.13.1eq20r1(config)#intf2/0.10/进入端口f2/0.10r1(config-if)#ipaccess-group101in/将ACL101应用在该接口上,控制入站数据流。其他的以此类推,另外还有名称访问控制列表也

11、只是可以用非数字的字符来定义列表名称比如将101替换为NOTCP之类的字符,还可以用no的形式删除一条访问列表再加入,不过加入的新条目将会放在最末端,这一点需要特别注意,其他的与扩展访问控制列

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。