Packet Tracer - 配置编号的标准 IPv4 ACL(两篇)

news2024/11/13 19:00:59

Packet Tracer - 配置编号的标准 IPv4 ACL(第一篇)

目标

第 1 部分:计划 ACL 实施

第 2 部分:配置、应用和验证标准 ACL

背景/场景
标准访问控制列表 (ACL) 为路由器 配置脚本,基于源地址控制路由器 是允许还是拒绝数据包。本练习的主要内容是定义过滤标准、 配置标准 ACL、将 ACL 应用于路由器接口并 验证和测试 ACL 实施。路由器已经配置完成, 包括 IP 地址以及增强型内部网关路由 协议 (EIGRP) 路由。

说明
第 1 部分:规划 ACL 实施

步骤 1:调查当前的 网络配置。
在将 ACL 应用于网络中之前, 都必须确保网络中的连通性没有问题。通过选择一个 PC, 然后 ping 网络上的其他设备,验证网络具有全面连接。您 应该能够成功 ping 通每台设备。

步骤 2:评估两个网络 策略,计划 ACL 实施。
a.     在R2上实施了以下网络策略:

        192.168.11.0/24 网络不允许访问 192.168.20.0/24 网络上的 Web服务器 。

         允许所有其他访问。

要限制从 192.168.11.0/24 网络访问 192.168.20.254 网络上的 Web服务器,而不干扰其他流量,则必须在 R2上创建 ACL。该访问列表必须放置在连接 Web服务器的出站接口上。必须在R2 上创建另一个规则以允许所有其他流量。

b.     在R3上实施了以下网络策略:

        不允许 192.168.10.0/24 网络与 192.168.30.0/24 网络通信。

       允许所有其他访问。

要限制从 192.168.10.0/24 网络访问 192.168.30/24 网络,而不干扰其他流量,则需要在 R3上创建访问列表。该访问列表必须放置在连接 PC3的出站接口上。必须在R3上创建另一个规则以允许 所有其他流量。

第 2 部分:配置、应用和 验证标准 ACL
步骤 1:在 R2 上配置和应用 编号的标准 ACL。
a.     在R2上创建编号为1的ACL, 拒绝192.168.11.0/24网络访问192.168.20.0/24网络。

打开配置窗口

R2(config)# access-list 1 deny 192.168.11.0 0.0.0.255

b.     默认情况下,访问列表会拒绝与列表中的所有规则均不匹配的流量。 要允许所有其他流量,则需要配置下面这条语句:

R2(config)# access-list 1 permit any

c. 在把访问列表应用在接口上过滤流量 之前 ,最好首先检查访问列表的内容, 以确认它会按照预期过滤流量。

R2# show access-lists

Standard IP access list 1

10 deny 192.168.11.0 0.0.0.255

20 permit any

d.     为了让这个 ACL 真的能够过滤流量,必须应用 这个 ACL。在千兆以太网 G0/0 接口上应用 ACL 来过滤出站流量。 注意:在实际运行的网络中,把未经测试的访问列表应用在活跃接口上 可不是一个好主意。

R2(config)# interface GigabitEthernet0/0

R2(config-if)# ip access-group 1 out

步骤 2:在R3上配置和应用 编号的标准 ACL。

a.     在R3 创建一个 ACL,在其中拒绝PC1 的网络 (192.168.10.0/24) 访问192.168.30.0/24网络。

R3(config)# access-list 1 deny 192.168.10.0 0.0.0.255

b.     默认情况下,ACL 会拒绝与列表中的所有规则均不匹配的流量。 要允许所有其他流量,需要为 ACL 1 创建另一个规则。

R3(config)# access-list 1 permit any

c.     验证访问列表的配置是正确的。

R3# show access-lists

Standard IP access list 1

10 deny 192.168.10.0 0.0.0.255

20 permit any

d.     在千兆以太网 G0/0 接口上应用 ACL 来过滤出站流量。

R3(config)# interface GigabitEthernet0/0

R3(config-if)# ip access-group 1 out

步骤 3:验证 ACL 的配置 和功能。
a.     使用 show run 或 show ip interface gigabitethernet 0/0 命令 来验证 ACL 的应用。

 

b.     通过使用两个 ACL,将根据第 1 部分 详述的策略来限制网络流量。使用以下测试来验证 ACL 的实施:

·         从192.168.10.10到192.168.11.10 的ping成功。

·         从192.168.10.10到192.168.20.254的ping成功。

·         从192.168.11.10到192.168.20.254的ping失败。

·         从192.168.10.10到192.168.30.10的ping失败。

·         从192.168.11.10到192.168.30.10的ping成功。

·         从192.168.30.10到192.168.20.254的ping成功。

c.     再次在路由器R2 和 R3上使用命令 show access-lists。在输出中您应该会看到访问列表中 每条语句的数据包匹配数量。注意:根据发送和接收 ping 的数量, 在您的实验中, 路由器显示的匹配数量可能会有所不同。

R2# show access-lists

Standard IP access list 1

10 deny 192.168.11.0 0.0.0.255 (4 match(es))

20 permit any (8 match(es))

R3# show access-lists

Standard IP access list 1

10 deny 192.168.10.0 0.0.0.255 (4 match(es))

20 permit any (8 match(es))

配置脚本如下: 

R2

enable

conf t

access-list 1 deny 192.168.11.0 0.0.0.255

ccess-list 1 permit any

interface GigabitEthernet0/0

ip access-group 1 out

end

R3

enable

conf

access-list 1 deny 192.168.10.0 0.0.0.255

access-list 1 permit any

interface GigabitEthernet0/0

ip access-group 1 out

end

完成结果如下: 

 

Packet Tracer - 配置编号的标准 IPv4 ACL(第二篇) 

 

 

目标

第 1 部分:配置和应用命名的标准 ACL

第 2 部分:验证 ACL 实施

背景/场景
资深网络 管理员指派您创建一个命名的标准ACL,来过滤去往 文件服务器的访问。文件服务器中包含Web应用所使用的数据库。 只有Web管理工作站PC1和Web服务器需要访问文件 服务器。其他所有去往文件服务器的流量都应该被拒绝。

说明
第 1 部分:配置和应用命名的 标准 ACL

步骤 1:在配置和应用 ACL 之前 验证连通性。
三个工作站都应该可以ping通 Web 服务器和文件服务器。

步骤 2:配置命名的标准 ACL。
打开配置窗口

a.     在R1上配置命名的ACL。

R1(config)# ip access-list standard File_Server_Restrictions

R1(config-std-nacl)# permit host 192.168.20.4

R1(config-std-nacl)# permit host 192.168.100.100

R1(config-std-nacl)# deny any

注意:出于评分的目的,ACL的名称 要区分大小写,语句的顺序必须与上述显示相同。

b.     在接口上应用访问列表之前,要使用 show access-lists 命令来确认访问列表的内容。 确保您没有误输入IP地址, 并且命令的顺序也是正确的。

R1# show access-lists

Standard IP access list File_Server_Restrictions

10 permit host 192.168.20.4

20 permit host 192.168.100.100

30 deny any

步骤 3:应用命名的ACL
a.     在Fa0/1接口的出站方向上应用ACL。

R1(config-if)#interface f0/1

注意:在实际运行的网络中, 把未经测试的访问列表应用在活跃接口上 可不是一个好主意。

R1(config-if)# ip access-group File_Server_Restrictions out

b.     保存配置。

关闭配置窗口

第 2 部分:验证ACL的部署

步骤 1:验证ACL 配置以及在接口上的应用。
打开配置窗口

使用 show access-lists 命令 验证 ACL 配置。使用 show run 或 show ip interface fastethernet 0/1 命令验证 ACL 是否已 应用于正确接口。

步骤 2:验证ACL 是否正常工作。
所有三个工作站都可以ping通Web 服务器,但只有PC1和Web服务器可以 ping通文件服务器。再次使用 show access-list 命令来查看 每条语句上匹配的数据包数量。

PC0 

 

PC1

 

PC2 

 

 配置脚本如下:

R1

enable

conf t

ip access-list standard File_Server_Restrictions

permit host 192.168.20.4

permit host 192.168.100.100

deny any

exit

int f0/1 

ip access-group File_Server_Restrictions out

end

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2144627.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

华为OD机试 - 最大子矩阵 - 卡德恩算法(动态规划)(Java 2024 E卷 200分)

华为OD机试 2024E卷题库疯狂收录中,刷题点这里 专栏导读 本专栏收录于《华为OD机试(JAVA)真题(E卷D卷A卷B卷C卷)》。 刷的越多,抽中的概率越大,私信哪吒,备注华为OD,加…

wav怎么转mp3格式?给你推荐几种音频格式转换方法

wav怎么转mp3格式?将wav文件转换为MP3格式是一个常见的操作,尤其适用于需要节省存储空间或确保文件兼容性的场景。wav文件保存了音频的所有原始数据,这使得它们的文件体积往往非常庞大。相比之下,MP3格式通过有损压缩技术显著减小…

费用管理系统如何优化企业年报台账归集流程?

随着企业规模的扩大和业务的复杂化,财务管理工作的重要性日益凸显。其中,年报台账归集作为财务管理的重要环节,不仅关乎企业财务数据的准确性和完整性,更直接影响到企业决策的科学性和合理性。面对海量的财务数据和复杂的归集要求…

算法训练——day15数组交集(是否去重)

349. 两个数组的交集 给定两个数组 nums1 和 nums2 ,返回 它们的 交集。输出结果中的每个元素一定是 唯一 的。我们可以 不考虑输出结果的顺序 示例 1: 输入:nums1 [1,2,2,1], nums2 [2,2] 输出:[2]示例 2: 输入…

AI逻辑推理入门

参考数据鲸 (linklearner.com) 1. 跑通baseline 报名 申领大模型API 模型服务灵积-API-KEY管理 (aliyun.com) 跑通代码 在anaconda新建名为“LLM”的环境,并安装好相应包后,在jupyter notebook上运行baseline01.ipynb 2. 赛题解读 一般情况下,拿到一个赛题之后,我们需…

Python酷库之旅-第三方库Pandas(121)

目录 一、用法精讲 536、pandas.DataFrame.set_axis方法 536-1、语法 536-2、参数 536-3、功能 536-4、返回值 536-5、说明 536-6、用法 536-6-1、数据准备 536-6-2、代码示例 536-6-3、结果输出 537、pandas.DataFrame.set_index方法 537-1、语法 537-2、参数 …

Games101图形学笔记——着色

Shading Z-buffering(深度缓冲) Shading(着色)画家算法Z-BufferShading(着色)Blinn-Phong Reflectance Model(布林冯反射模型)漫反射能量守恒 着色高光Blinn-Phong Reflection ModelShadingFreq…

Cpp输出多字符常量警告

Cpp输出多字符常量警告 Cpp中用单引号(single quotes)表示单个字符(single character),例如a,$,用双引号(double quotes)表示字符串文本(text),例如"Hello World! " 当在一个单引号里面存在多个字符时,Cpp…

怎么增加音频的音量?这几种方法可以轻松增加音频的音量!

怎么增加音频的音量?在日常生活的纷繁场景中,音频音量偏低的问题往往悄然成为我们不可忽视的困扰,它虽非重大难题,却能在关键时刻带来诸多不便与挑战,设想一下,在喧嚣的街头或拥挤的咖啡馆里,微…

ES分词导致查询结果不准确

问题现象 索引里面有数据,而没有查询出来。 如下图所示,术语库(索引)中里面有一条数据的原文是“层”,而根据完整的原文来查询该原文中的术语,并未将该术语查询出来。 根据原文查询该原文中的术语&#x…

FreeRTOS学习——接口宏portmacro.h

FreeRTOS学习——接口宏portmacro.h,仅用于记录自己阅读与学习源码 FreeRTOS Kernel V10.5.1 portmacro版本:GCC/ARM_CM7 portmacro.h是什么 portmacro.h头文件,用于定义与特定硬件平台相关的数据类型和常量。 在移植过程中,…

VulhubDC-4靶机详解

项目地址 https://download.vulnhub.com/dc/DC-4.zip实验过程 将下载好的靶机导入到VMware中,设置网络模式为NAT模式,然后开启靶机虚拟机 使用nmap进行主机发现,获取靶机IP地址 nmap 192.168.47.1-254根据对比可知DC-4的一个ip地址为192.1…

无人机光电吊舱的技术!!

1. 成像技术 可见光成像:通过高分辨率相机捕捉地面或空中目标的清晰图像,提供直观的视觉信息。 红外热成像:利用红外辐射探测目标的温度分布,实现夜间或恶劣天气条件下的隐蔽目标发现。 多光谱成像:通过不同波段的光…

日用百货小程序如何渠道经营开店

将货更多的卖出去是每位商家的心声,日用百货商家手中的货具备多样性,挑选的用户也多,由于货单价较低,因此不断获客并其多买/复购/留存/裂变等是长期发展的关键点。 如何获得更多经营渠道,线上找寻出路是方法之一&…

ROS和ROS2借助智能大模型的学习和研究方法

机器人相关知识的本身和价值-CSDN博客 知识本身在智能时代毫无价值,需要基于知识应用和创新才有价值。 学历报废并非来自扩招,而是智能模型的快速发展。-CSDN blink-领先的开发者技术社区 2024年中秋,智能模型实力已经如此,但还…

智算筑基,九章云极DataCanvas公司闪耀2024年服贸会

9月12日,2024年中国国际服务贸易交易会(以下简称“服贸会”)在北京隆重开幕,九章云极DataCanvas公司携AI智算产品系列深度参展本届服贸会,为观众奉上技术与应用深度融合的参展盛宴。 本届服贸会由中华人民共和国商务部…

文心一言 VS 讯飞星火 VS chatgpt (349)-- 算法导论23.2 8题

八、Borden教授提出了一个新的分治算法来计算最小生成树。该算法的原理如下:给定图 G ( V , E ) G(V,E) G(V,E),将 V V V划分为两个集合 V 1 V_1 V1​和 V 2 V_2 V2​,使得 ∣ V 1 ∣ |V_1| ∣V1​∣和 ∣ V 2 ∣ |V_2| ∣V2​∣的差最多为1。设 E 1 E_…

2.使用 VSCode 过程中的英语积累 - Edit 菜单(每一次重点积累 5 个单词)

前言 学习可以不局限于传统的书籍和课堂,各种生活的元素也都可以做为我们的学习对象,本文将利用 VSCode 页面上的各种英文元素来做英语的积累,如此做有 3 大利 这些软件在我们工作中是时时刻刻接触的,借此做英语积累再合适不过&a…

【每日刷题】Day124

【每日刷题】Day124 🥕个人主页:开敲🍉 🔥所属专栏:每日刷题🍍 🌼文章目录🌼 1. LCR 079. 子集 - 力扣(LeetCode) 2. 1863. 找出所有子集的异或总和再求和 …

超详细超实用!!!零基础java开发之云风笔记接口开发之删除笔记(十一)

云风网 云风笔记 云风知识库 一、service/NoteApi新增delNode接口定义 public interface NoteApi {...int deleteNote(NoteManage noteManage); }二、service/impl/NoteServiceImpl接口实现逻辑 public class NoteServiceImpl implements NoteApi {AutowiredNoteMapper note…