思科网络中如何配置扩展ACL协议

news2024/12/29 8:58:22

一、什么是扩展ACL协议?有什么作用及配置方法?

(1)扩展ACL(Extended Access Control List)协议是一种网络安全协议,用于在路由器或防火墙上实现对数据包的细粒度访问控制。与标准ACL相比,扩展ACL提供更多的匹配条件和更精细的控制选项,可以根据源IP地址、目标IP地址、协议类型、端口号等多个因素来过滤数据包。(2)扩展ACL的主要作用包括:
  1. 提高网络安全性:可以根据具体的网络需求设置更加细致的访问控制策略,有效防止未经授权的数据包访问网络资源。
  2. 网络流量控制:可以根据流量特征对数据包进行过滤和控制,优化网络性能,提高网络的可用性和稳定性。
(3)配置扩展ACL的方法通常包括以下步骤:
  1. 进入路由器或防火墙的配置模式。
  2. 创建扩展ACL条目,并指定要匹配的条件,如源IP地址、目标IP地址、协议类型、端口号等。
  3. 根据需要,为每个ACL条目指定允许或拒绝数据包的动作。
  4. 将ACL应用到特定的接口或流量路径上,以实现访问控制策略。
(4)以下是一个示例扩展ACL的配置命令(以Cisco路由器为例):
常见端口号对应的IP协议:

Router(config)# access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 80(扩展ACL的number范围是100-199;标准ACLnumber范围是1-99;eq后面接的是协议号)
Router(config)# access-list 101 deny ip any any
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip access-group 101 in
解析:

在这个示例中,创建了一个扩展ACL条目,允许源IP地址为192.168.1.0/24的主机访问任意目标IP地址的TCP端口80,同时拒绝了其他所有IP地址的数据包访问。最后,将ACL应用到接口GigabitEthernet0/0的入方向

二、扩展ACL协议与标准ACL协议的区别是什么?

扩展ACL(Extended Access Control List)和标准ACL(Standard Access Control List)是两种不同类型的访问控制列表,它们在功能和应用范围上的区别如下:

(1)标准ACL:
  1. 标准ACL仅基于源IP地址来匹配数据包,并且只能对数据包进行简单的允许或拒绝操作
  2. 标准ACL通常用于限制特定IP地址段的访问,适用于简单的访问控制需求。
(2)扩展ACL:
  1. 扩展ACL可以基于源IP地址、目标IP地址、协议类型、端口号等多种条件来匹配数据包,并且可以对数据包进行更加灵活的操作,如允许、拒绝、重定向等。
  2. 扩展ACL适用于更复杂的网络环境,可以实现更精细的访问控制策略
(3)以下是一个示例,展示了标准ACL和扩展ACL的配置命令(以Cisco路由器为例):
01. 标准ACL示例:
Router(config)# access-list 10 permit 192.168.1.0 0.0.0.255
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip access-group 10 in

在这个标准ACL示例中,创建了一个标准ACL条目,允许源IP地址为192.168.1.0/24的主机访问接口GigabitEthernet0/0。

02. 扩展ACL示例:
Router(config)# access-list 101 permit tcp 192.168.1.0 0.0.0.255 any eq 80
Router(config)# access-list 101 deny ip any any
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip access-group 101 in

在这个扩展ACL示例中,创建了一个扩展ACL条目,允许源IP地址为192.168.1.0/24的主机访问任意目标IP地址的TCP端口80,同时拒绝了其他所有IP地址的数据包访问。最后,将ACL应用到接口GigabitEthernet0/0的入方向上。

三、下面我们通过一个简单的拓扑图来让大家更好的理解扩展ACL的配置

第一步:根据图中提供的网段地址,为每台PC机以及路由器填上对应的IP地址 

根据每台PC机所处的位置配置地址,这里可以统一给他们的地址为.1 / .2(每个IP网段共有254个地址是可以分配给PC机的,分别是第1~254,IP地址中的第一个地址.0是网络地址(保留地址),IP网段的最后一个地址.255是广播地址(保留地址)

由图可知,上述4台PC机以及2台服务器分别处在三个不同的网段中,因此题目中拓扑的PC机及服务器的IP规划我将这样规划:

PC0:192.168.1.1(IP地址),255.255.255.0(子网掩码)

PC1:192.168.1.2(IP地址),255.255.255.0(子网掩码)

PC2:192.168.2.1(IP地址),255.255.255.0(子网掩码)

PC3:192.168.2.2(IP地址),255.255.255.0(子网掩码)

Server1:192.168.3.1(IP地址),255.255.255.0(子网掩码)

Server2:192.168.3.2(IP地址),255.255.255.0(子网掩码)

第二步:规划路由器对应接口的IP地址
通常情况下,连接交换机及PC机处的fa0/0接口要配的是254(表示允许这个网段的的所有PC机通过);但是这里题目要求路由器Router0要配置单臂路由,所以其fa0/0接口下我将不做任何配置,只需要打开fa0/0接口即可,ip地址的配置将在下面提到;Router1则照常完成其物理端口的配置(Router0的se0/0接口也正常配置)。
(1)路由器Router0上的配置

Router(config)#interface FastEthernet0/0
Router(config-if)#no shutdown
(开启接口)
Router(config)#interface Serial0/0
Router(config-if)#ip address 10.1.1.1 255.255.255.0
Router(config-if)#no shutdown

(2)路由器Router1上的配置

Router>enable
Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#interface FastEthernet0/0
Router(config-if)#ip address 192.168.3.254 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit

Router(config)#interface Serial0/0
Router(config-if)#ip address 10.1.1.2 255.255.255.0
Router(config-if)#no shutdown

四、LAN1的PC划分到两个VLAN:VLAN 10、VLAN 20,配置单臂路由使得VLAN之间互通

(1)在交换机Switch0上创建两个VLAN ,按图示将PC划分到VLAN10、VLAN20中:

Switch>en
Switch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#vlan 10
(创建一个vlan编号为10的虚拟局域网)
Switch(config-vlan)#name vlan10(为VLAN10命名,可以用来标识VLAN的用途或名称;这一步也可以不配置)
Switch(config-vlan)#vlan 20
Switch(config-vlan)#name vlan20
Switch(config-vlan)#int fa0/1
Switch(config-if)#switchport mode access
(设置接口fa0/1为访问模式,即用于连接终端设备)
Switch(config-if)#switchport access vlan 10(将接口fa0/1划分到VLAN10中,表示该接口连接的设备属于VLAN10)
Switch(config-if)#int fa0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#int fa0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
Switch(config-if)#int fa0/4
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20

(2)将交换机Switch0与路由器Router0互联链路配置成TRUNK链路,并允许相应VLAN通过

Switch(config)#int fa0/24
Switch(config-if)#switchport mode trunk
(将该接口配置为trunk模式,表示该接口将用于传输多个VLAN的数据)
Switch(config-if)#switchport trunk allowed vlan all(允许该trunk链路通过所有VLAN的数据传输,不对VLAN进行限制)

五、路由器上配置相应路由,使得全网互通

1. 在路由器Router0上的配置

(1)在Router0上配置单臂路由,使得全网PC互通

Router(config-if)#int fa0/0.1(进入FastEthernet 0/0接口的子接口1配置模式,这里的子接口号可以使其他的,只要配置的时候能区分好VLAN区域就行)
Router(config-subif)#encapsulation dot1Q 10(配置子接口1的VLAN封装类型为802.1Q,并指定VLAN ID为10)
Router(config-subif)#ip add 192.168.1.254 255.255.255.0(为子接口1配置IP地址为192.168.1.254,子网掩码为255.255.255.0)

Router(config-subif)#int fa0/0.2
Router(config-subif)#encapsulation dot1Q 20
Router(config-subif)#ip add 192.168.2.254 255.255.255.0
Router(config-subif)#exit

(2)在Router0上完成环回接口、ospf协议及静态路由的配置

Router(config)#int loopback 0
Router(config-if)#ip add 1.1.1.1 255.255.255.0

Router(config-if)#router ospf 1
Router(config-router)#network 192.168.1.0 255.255.255.0 area 0
Router(config-router)#network 192.168.2.0 255.255.255.0 area 0
Router(config-router)#exit

Router(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2(静态路由,8个0 + 下一跳地址)

2. 在路由器Router1上的配置

(1)在Router1上完成环回接口、ospf协议及静态路由的配置

Router>enable
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#int loopback 0
Router(config-if)#ip add 2.2.2.2 255.255.255.0

Router(config-if)#router ospf 1
Router(config-router)#network 192.168.3.0 255.255.255.0 area 0

Router(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1(静态路由,8个0 + 下一跳地址)

3.全网互通,完成题目要求二

六、在Router0路由器上配置标准ACL,要求按下面要求配置即可:

(1)了解ACL的详细配置指南及原理

1. ACL配置流程:

2. 通配符掩码规则:

3. ACL出接口的配置选择:

(2)完成题目要求的扩展ACL配置

1. VLAN 10中的PC只能以web方式访问LAN2的服务器S0,只能以FTP的方式访问服务器S1,其他方式都不允许访问;

Router>en
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.1 eq 80

(允许源IP地址为192.168.1.0/24网段中的任意主机访问目标IP地址为192.168.3.1的主机的TCP端口80,也可以将80替换成web,其中eq是等于的意思)

Router(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.2 eq 21
(允许源IP地址为192.168.1.0/24网段中的任意主机访问目标IP地址为192.168.3.2的主机的TCP端口21,也可以将21替换成ftp)

Router(config)#access-list 101 deny ip 192.168.1.0 0.0.0.255 any
(拒绝源IP地址为192.168.1.0/24网段中的任意主机访问任意目标IP地址的所有协议的数据包)

2. VLAN20中第一台PC只能访问服务器S0,其他PC除了不能PING,其它方式都可以访问LAN2的服务器

Router(config)#access-list 101 permit ip 192.168.2.1 0.0.0.0 host 192.168.3.1
(允许源IP地址为192.168.2.1的主机访问目标IP地址为192.168.3.1的主机的所有协议的数据包)

Router(config)#access-list 101 deny icmp 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255 echo
(拒绝源IP地址为192.168.2.0/24网段中的任意主机向目标IP地址为192.168.4.0/24网段中的任意主机发送ICMP Echo请求(ping,因为ping属于icmp协议)

Router(config)#access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
(允许源IP地址为192.168.2.0/24网段中的任意主机访问目标IP地址为192.168.3.0/24网段中的任意主机的所有协议的数据包)

3. 启用ACL 101上的协议

Router(config)#int s0/0
Router(config-if)#ip access-group 101 out
(这条命令将ACL 101应用于Serial 0/0接口的出方向;

out关键字表示ACL应用于出方向,即从该接口发送出去的数据流会受到ACL的影响。)

七、此时已完成题目所有要求,可以分别在LAN1与LAN2区域各添加一台PC机测试更直观的效果,记得为PC机做对应配置,此处不做展示(测试可以用捉包的方式测试,也可以在路由器内sh ip route查看配置情况,使用sh running-config可以查看配置的命令)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1509594.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【Python】牛客网—软件开发-Python专项练习

专栏文章索引:Python 1.(单选)下面哪个是Python中不可变的数据结构? A.set B.list C.tuple D.dict 可变数据类型:列表list[ ]、字典dict{ }、集合set{ }(能查询,也可更改)数据发生改…

对象注入的几种方式

⭐ 作者:小胡_不糊涂 🌱 作者主页:小胡_不糊涂的个人主页 📀 收录专栏:JavaEE 💖 持续更文,关注博主少走弯路,谢谢大家支持 💖 注入对象 1. 属性注入2. 构造方法注入3. S…

RabbitMQ详解与常见问题解决方案

文章目录 什么是 RabbitMQ?RabbitMQ 和 AMQP 是什么关系?RabbitMQ 的核心组件有哪些?RabbitMQ 中有哪几种交换机类型?Direct Exchange(直连交换机)Topic Exchange(主题交换机)Headers Exchange(头部交换机)Fanout Exchange(广播交…

(黑马出品_07)SpringCloud+RabbitMQ+Docker+Redis+搜索+分布式

(黑马出品_07)SpringCloudRabbitMQDockerRedis搜索分布式 微服务技术分布式搜索 今日目标1.数据聚合1.1.聚合的种类1.2.DSL实现聚合1.2.1.Bucket聚合语法1.2.2.聚合结果排序1.2.3.限定聚合范围1.2.4.Metric聚合语法1.2.5.小…

01_04_JavaWEB03_XML、Tomcat、http

XML_Tomcat10_HTTP 参考尚硅谷再总结复习 一 XML XML是EXtensible Markup Language的缩写,翻译过来就是可扩展标记语言。所以很明显,XML和HTML一样都是标记语言,也就是说它们的基本语法都是标签。 可扩展 三个字表面上的意思是XML允许自定义…

云服务器2核4G配置,阿里云和腾讯云哪个便宜?性能更好?

租用2核4G服务器费用多少?2核4G云服务器多少钱一年?1个月费用多少?阿里云2核4G服务器30元3个月、轻量应用服务器2核4G4M带宽165元一年、企业用户2核4G5M带宽199元一年;腾讯云轻量2核4G服务器5M带宽165元一年、252元15个月、540元三…

RNN实战

本主要是利用RNN做多分类任务,在熟悉RNN训练的过程中,我们可以理解 1)超参数 batch_size和pad_size对训练过程的影响。 2)文本处理过程中是如何将文本的文字表示转化为向量表示 3)RNN梯度消失和序列长度的关系 4&#…

企商在线CTO楼炜:论云计算与产业互联网

024年全国两会召开之际,3月4日,全国政协委员、京东集团技术委员会主席曹鹏提交了《发挥产业互联网平台作用 打造实体产业数字化转型直效通道》提案,提出了产业互联网平台在整合供应链、资金、技术、资讯、培训、人才等各类资源的重要作用。云…

python实现生成树

生成树 生成树(Spanning Tree)是一个连通图的生成树是图的极小连通子图,它包含图中的所有顶点,并且只含尽可能少的边。这意味着对于生成树来说,若砍去它的一条边,则会使生成树变成非连通图;若给…

ChatGpt只能看,但无法发送消息的解决办法

这几天发现chatgpt没法发送消息了,我以为是网络问题,又过了几天还是不能发,我以为是梯子的问题,可给我急坏了,于是我用无痕模式发现可以访问额. 但是无痕模式毕竟不是长久之计,于是找到了一个方法 1.首先把电脑缓存全清除了 第一种方法: 快捷键是 : ctrlshiftdel (这会吧浏览…

电脑切屏卡顿,尤其是打游戏时切屏卡顿问题解决方法

博主在打游戏时喜欢切后台但是最近发现切屏尤其慢,异常卡顿,但是是新换的电脑,所以苦恼了半天,上网搜也没有结果,说的都是些配置低,系统文件损坏等问题,所以再检查分辨率时发现问题所在 屏幕分辨…

Visual Studio 2022 配置“Debug|x64”的 Designtime 生成失败。IntelliSense 可能不可用。

今天写代码,无缘无故就给我整个这个错误出来,我一头雾水。 经过我几个小时的奋战,终于解决问题 原因就是这个Q_INTERFACES()宏,我本想使用Q_DECLARE_INTERFACE Q_INTERFACES这两个Qt宏实现不继承QObject也能使用qobjec…

jmeter压测实战

1,设置HTTP请求默认值 2,设置全局变量 3,新建线程组 4,设置私钥 5,每个接口新建一个事务控制器 6,新建Java请求 对于有sign签名的需要将jar包放在apache-jmeter-5.4.1\apache-jmeter-5.4.1\lib\ext目录下,然后引入进来。 除此之外,还需要下载bouncycastle.jar包放在…

地表径流量分布数据/水文站点分布数据

天然河川径流资料对于认识水文自然规律、国家水资源可持续利用以及适应气候变化政策制定具有重要意义。我国现有的天然河川径流资料存在时间缺失率高、水文站点密度不足等问题,在年际和季节变化尺度上存在较大的流量偏差。 引言 大气降水落到地面后,一部…

【数据分析】数据分析介绍

专栏文章索引:【数据分析】专栏文章索引 目录 一、介绍 二、生活中的数据分析 1.无处不在的数据 2.为什么要进行数据分析? 三、数据挖掘案例 1.案例分析 一、介绍 数据采集:数据采集是指从不同来源收集原始数据的过程,包括…

golang学习随便记16-反射

为什么需要反射 下面的例子中编写一个 Sprint 函数,只有1个参数(类型不定),返回和 fmt.Fprintf 类似的格式化后的字符串。实现方法大致为:如果参数类型本身实现了 String() 方法,那调用 String() 方法即可…

web | http 的一些问题 | get/post的区别 | http版本 | http与https的区别 | session、cookie、token

怎么来说呢?这应该算一个大类了,基本上设计网络的应用层 当然重要的是从网络层----->应用层 (杠精勿杠,知道中间还有其他层) 先来讲一下http的结构 都知道http 有三部分,头部、请求头和body 头部&#x…

51单片机基础篇系列-点亮一个LED发光管基础知识搭建

🌈个人主页: 会编辑的果子君 💫个人格言:“成为自己未来的主人~” LED发光二极管 它是半导体二极管的一种,可以把电能转化成光能,常简写为LED,发光二极管与普通二极管一样是由一个PN结组成,也具有单向…

Jenkins Pipeline实现Golang项目的CI/CD

Jenkins Pipeline实现Golang项目的CI/CD 背景 最近新增了一个Golang实现的项目,需要接入到现有的流水线架构中。 流程图 这边流程和之前我写过的一篇《基于Jenkins实现的CI/CD方案》差不多,不一样的是构建现在是手动触发的,没有配置webho…

dolphin schedulerAPI调用(二)——创建任务

(作者:陈玓玏) API文档地址:http://192.168.3.100:21583/dolphinscheduler/swagger-ui/index.html?languagezh_CN&langcn#/task%20definition%20related%20operation/createTaskDefinitionUsingPOST_1 实际使用中&#x…