Packet Tracer - IPv4 ACL 的实施挑战(完美解析)

news2024/11/15 9:53:28

 

目标

·         在路由器上配置命名的标准ACL。

·         在路由器上配置命名的扩展ACL。

·         在路由器上配置扩展ACL来满足特定的 通信需求。

·         配置ACL来控制对网络设备终端线路的 访问。

·         在适当的路由器接口上,在适当的方向上 配置ACL。

·         验证已配置 ACL 的运行。

背景/场景

在这个Packet Tracer练习中,您要配置扩展IPv4 ACL、 命名的标准IPv4 ACL和命名的扩展IPv4 ACL,来满足特定的通信需求。

说明

步骤1: 验证新公司网络的连通性。

首先,在配置ACL之前 测试网络的连通性。所有主机都应该可以ping通所有其他主机。

步骤2:按照需求配置 标准和扩展 ACL。

配置ACL以满足以下要求:

重要指南:

o    请 在 ACL 末尾明确配置 deny any 语句。

o    尽可能 使用简便参数 (host 和 any)。

o    按照这里指定的顺序, 编写ACL语句来满足要求。

o    在最有效的位置和方向上应用ACL。

ACL 1 的要求

o    创建 ACL 101

o    明确禁止从互联网向企业的 Web 服务器发起 FTP 访问。

o    不允许来自互联网的 ICMP 流量去往 HQ LAN 1 中的任何主机。

o    放行所有其他流量。

ACL 2 的要求

o    使用 ACL 编号 111

o    HQ LAN 1 中的主机都不能访问分支机构服务器。

o    放行所有其他流量。

ACL 3 的要求

o    创建命名的标准 ACL。使用名称 vty_block。您必须使用这个 名称来配置ACL。

o    只有 HQ LAN 2 网络中的地址才能访问 HQ 路由器的 VTY 线路。

ACL 4 的要求

o    创建一个名为 branch_to_hq 的命名扩展 ACL。您必须使用这个 名称来配置ACL。

o    分支机构所有 LAN 中的所有主机都不能访问 HQ LAN 1。 针对每个分支机构的LAN配置一条访问列表语句。

o    放行所有其他流量。

步骤3:验证 ACL 的操作。

a.     按照拓扑,测试下列设备之间的连通性。 注意测试结果是否成功。

注意:使用 show ip access-lists 命令 来验证 ACL 的操作。使用 clear access list counters 命令 来重置匹配计数器。

问题1:

从分支 PC 向企业 Web 服务器 发起 ping 测试。是否会成功?说明原因。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?列出访问列表的名称或编号、所应用的路由器, 以及流量匹配的那条语句。

从 HQ LAN 1 中的 PC-1 ping 分支机构服务器。 是否会成功?说明原因。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?

在外部服务器上打开 Web 浏览器, 尝试访问企业 Web 服务器上的网页。测试成功了吗?说明原因。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?

b.     从互联网向内部服务器发起测试连接。

问题2:

从互联网用户 PC 上的命令行中, 尝试向分支机构服务器发起 FTP 连接。 FTP 连接成功了吗?

要想阻止互联网用户与分支机构服务器之间建立 FTP 连接, 应该对访问列表做什么修改?

要想拒绝这个流量,应该在访问列表中 添加哪些语句?

根据上述内容我们来进行相关的配置:

ACL 1 的要求

o    创建 ACL 101

o    明确禁止从互联网向企业的 Web 服务器发起 FTP 访问。

HQ(config)#access-list 101 deny tcp any host 192.168.1.70 eq ftp

o    不允许来自互联网的 ICMP 流量去往 HQ LAN 1 中的任何主机。

HQ(config)#access-list 101 deny icmp any 192.168.1.0 0.0.0.63

o    放行所有其他流量。

HQ(config)#access-list 101 permit ip any any

ACL 2 的要求

o    使用 ACL 编号 111

o    HQ LAN 1 中的主机都不能访问分支机构服务器。

HQ(config-std-nacl)#access-list 111 deny ip any host 192.168.2.45

o    放行所有其他流量。

HQ(config)#access-list 111 permit ip any any

ACL 3 的要求

o    创建命名的标准 ACL。使用名称 vty_block。您必须使用这个 名称来配置ACL。

HQ(config)#ip access-list standard vty_block

o    只有 HQ LAN 2 网络中的地址才能访问 HQ 路由器的 VTY 线路。

HQ(config-std-nacl)# permit 192.168.1.64 0.0.0.7

HQ(config)#interface GigabitEthernet0/0/0

HQ(config-if)# ip access-group 111 in

HQ(config-if)#interface Serial0/1/0

HQ(config-if)# ip access-group 101 in

HQ(config-if)#line vty 0 4

HQ(config-line)# access-class vty_block i

ACL 4 的要求

o    创建一个名为 branch_to_hq 的命名扩展 ACL。您必须使用这个 名称来配置ACL。

Branch(config)#ip access-list extended branch_to_hq

o    分支机构所有 LAN 中的所有主机都不能访问 HQ LAN 1。 针对每个分支机构的LAN配置一条访问列表语句。

Branch(config-ext-nacl)# deny ip 192.168.2.0 0.0.0.31 192.168.1.0 0.0.0.63

Branch(config-ext-nacl)# deny ip 192.168.2.32 0.0.0.15 192.168.1.0 0.0.0.63

o    放行所有其他流量。

Branch(config-ext-nacl)# permit ip any any

Branch(config-ext-nacl)#interface Serial0/1/1

Branch(config-if)# ip access-group branch_to_hq out

回答一下问题1:

从分支 PC 向企业 Web 服务器 发起 ping 测试。是否会成功?说明原因。

答:可以ping 成功,因为 ACL 允许分支 PC 向企业 Web 服务器 发起。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?列出访问列表的名称或编号、所应用的路由器, 以及流量匹配的那条语句。

答:分支路由器上 branch_to_hq ACL 的最后一行是 permit ip any。

从 HQ LAN 1 中的 PC-1 ping 分支机构服务器。 是否会成功?说明原因。

答:ping 未成功,因为流量被访问列表阻止。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?

答:HQ 路由器上访问列表 111 中的语句 10 拒绝到分支服务器的所有流量。

HQ(config-std-nacl)#access-list 111 deny ip any host 192.168.2.45

在外部服务器上打开 Web 浏览器, 尝试访问企业 Web 服务器上的网页。测试成功了吗?说明原因。

答:外部服务器可以访问 Enterprise Web Server 上的网页。 不会阻止到 Enterprise Web Server 的 HTTP 流量。所以是可以ping成功的。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?

答:HQ 路由器上访问列表 101 中的第 20 行允许此流量。

HQ(config)#access-list 101 permit ip any any

回答一下问题2:

从互联网用户 PC 上的命令行中, 尝试向分支机构服务器发起 FTP 连接。 FTP 连接成功了吗?

答:从 Internet 用户 PC 到 Branch Server 的 FTP 连接成功。

要想阻止互联网用户与分支机构服务器之间建立 FTP 连接, 应该对访问列表做什么修改?

 答:需要修改 HQ 路由器上的访问列表 101 以拒绝此流量

要想拒绝这个流量,应该在d访问列表中 添加哪些语句?

 答:需要将语句“deny tcp any host 192.168.2.45 eq 21”或“deny tcp any host 192.168.2.45 range 20 21”添加到访问列表 101 中。

 完成截图如下:

附录一键完成脚本如下:

Router HQ

enable

conf t

access-list 101 deny tcp any host 192.168.1.70 eq ftp

access-list 101 deny icmp any 192.168.1.0 0.0.0.63

access-list 101 permit ip any any

ip access-list standard vty_block

permit 192.168.1.64 0.0.0.7

access-list 111 deny ip any host 192.168.2.45

access-list 111 permit ip any any

int g0/0/0

ip access-group 111 in

int s0/1/0

ip access-group 101 in

line vty 0 4

access-class vty_block in

end


Router Branch

enable

conf t

ip access-list extended branch_to_hq

deny ip 192.168.2.0 0.0.0.31 192.168.1.0 0.0.0.63

deny ip 192.168.2.32 0.0.0.15 192.168.1.0 0.0.0.63

permit ip any any

int s0/1/1

ip access-group branch_to_hq out

end

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2151988.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【深入理解SpringCloud微服务】深入理解nacos配置中心(六)——spring-cloud-context关于配置刷新的公共逻辑

【深入理解SpringCloud微服务】深入理解nacos配置中心(六)——spring-cloud-context关于配置刷新的公共逻辑 原理分析源码解析RefreshEventListener#onApplicationEvent(ApplicationEvent)ContextRefresher#refresh()ContextRefresher#refreshEnvironmen…

记录一次显卡驱动安装

1. 驱动安装 1.1. 查看适合的版本 apt-get update ubuntu-drivers devices输出结果: 1.2. 安装合适的驱动版本 根据上面输出的内容 apt-get install nvidia-driver-545完成后重启 reboot查看新的驱动 nvidia-smi2. 安装/升级cuda 在nvidia-smi中显示的CUDA…

伊犁云计算22-1 apache 安装rhel8

1 局域网网络必须通 2 yum 必须搭建成功 3 apache 必须安装 开干 要用su 用户来访问 一看httpd 组件安装完毕 到这里就是测试成功了 如何修改主页的目录 网站目录默认保存在/var/WWW/HTML 我希望改变/home/www 122 127 167 行要改

AI 基础设施:构建AI时代全栈云计算体系

生成式AI 新时代下催生新的基础设施需求 随着企业在数字化转型之路上越走越远,期间一场新的技术革命正在发生,近几年涌现的生成式AI技术正在迅速改变科技、商业和整个社会的格局。这种强大的技术能够从数据中学习并生成预测性输出,生成式 AI …

Listener经典案例-在线用户统计

前言 要完成在线用户统计功能的监听器,需要实现如下3个接口。 ServletContextListener接口 使用此接口的作用是:在应用初始化的时候向application中添加一个空的Set集合用来保存在线用户。HttpSessionAttributeListener接口 使用此接口的作用是&#xff…

【经验技巧】IBIS AMI模型眼图仿真问题探讨

最近,有同事问我:“拿到供应商的IBIS AMI模型,怎么判断是否可以进行应力(统计)眼图的仿真呀?如果不能进行,又怎么判断结果是瞬态仿真呢?” 不得不说,这的确是一个不错的话…

VMware虚拟机密码忘记了怎么办

1.首先,启动系统,进入开机界面,在界面中按“e”进入编辑界面 2.进入编辑界面,使用键盘上的上下键把光标往下移动,找到以““Linux16”开头内容所在的行数”,在行的最后面输入(最好把前面的语言改…

JVM 调优篇8 调优案例6- 计算合理设置内存大小

一 jmap查看堆结构配置 1.1 逻辑流程 # 查看进程ID jps -l # 查看对应的进程ID的堆内存分配 jmap -heap 3725 1.2 案例演示 1.代码 public class AdaptiveSizePolicyTest {public static void main(String[] args) {try {Thread.sleep(1000000);} catch (Interrupted…

MFC-基础架构

前言 各位师傅大家好,我是qmx_07,今天讲解MFC的基础架构 概述 介绍:MFC(Microsoft Foundation Classes)是微软公司提供的一个类库,用于在 Windows 操作系统下进行 C 应用程序开发MFC把Windows SDK API函…

一堆让你眼界大开的实用工具网站——搜嗖工具箱

和图书 https://www.hetushu.com/ 一个好用的免费看小说网站。和图书是一个提供各种热门电子书,书籍,小说免费在线阅读的网站,涵盖网游、玄幻、穿越、科幻、仙侠、都市、武侠、历史、竞技、军事灵异等多个种类的小说。在这个网站看小说最大的感触简单干净&#xff…

数据标注——AI智能时代的关键之钥

洞见AI+专题 篇首语 在这个充满无限可能的时代,人工智能正以前所未有的速度改变着我们的世界。从日常生活的便利到行业效率的飞跃,AI技术的应用几乎无处不在。在银行业务中,同样可以看到AI带来的巨大潜力。本专题旨在展示农业银行科技部门在AI技术应用上的最新探索与实践成…

力扣之178.分数排名

1. 178.分数排名 1.1 题干 表: Scores -------------------- | Column Name | Type | -------------------- | id | int | | score | decimal | -------------------- id 是该表的主键(有不同值的列)。 该表的每一行都包含了一场比赛的分数。Score 是…

Docker+PyCharm远程调试环境隔离解决方案

DockerPyCharmMiniconda实现深度学习代码远程调试和环境隔离 本文详细介绍了如何在局域网环境下,利用Docker、PyCharm和Miniconda构建一个高效的深度学习远程调试平台。首先在服务器(server)上,通过Docker构建包含不同CUDA环境的镜…

MCS-51汇编

伪指令: EQU: Equal,定义常量 COUNT EQU 10H ; 定义一个符号名COUNT,其值为10H DELAY EQU 500 ; 定义一个符号名DELAY,其值为500 数据传送: MOV: MOVE,传送数据 MOVC: 算术运算: 跳转…

详解npm源及其使用方法

详解npm源及其使用方法 npm源是一个用于存储和提供npm包的服务器地址,npm在安装包时会通过这个源地址下载对应的依赖包。默认情况下,npm使用官方的npm源(https://registry.npmjs.org/),该源存储了海量的Node.js开源包…

Android Studio 汉化教程,直接授人以渔,又菜又爱学英语还不好,不愧是我

Android Studio 汉化教程,直接授人以渔 查看使用的 Android Studio 版本号 当前版本号:241.18034.62.2412.12266719 打开官网插件地址 插件地址选择对应版本进行下载 版本怎么选? 我的版本号 241.18034.62.2412.12266719选择的版本号只有前三位对应的…

【JAVA开源】基于Vue和SpringBoot的网上超市系统

本文项目编号 T 037 ,文末自助获取源码 \color{red}{T037,文末自助获取源码} T037,文末自助获取源码 目录 一、系统介绍二、演示录屏三、启动教程四、功能截图五、文案资料5.1 选题背景5.2 国内外研究现状5.3 可行性分析 六、核心代码6.1 查…

全国31省对外开放程度、经济发展水平、政府干预程度指标数据(2000-2022年)

旨在分析2000-2022年间中国31个省份的对外开放程度、经济发展水平和政府干预程度,探讨其背后的动因与影响。 2000年-2022年 全国31省对外开放程度、经济发展水平、政府干预程度指标数据https://download.csdn.net/download/2401_84585615/89478612 数据概览 对外…

Hexo博客私有部署Twikoo评论系统并迁移评论记录(自定义邮件回复模板)

部署 之前一直使用的artalk,现在想改用Twikoo,采用私有部署的方式。 私有部署 (Docker) 端口可以根据实际情况进行修改 docker run --name twikoo -e TWIKOO_THROTTLE1000 -p 8100:8100 -v ${PWD}/data:/app/data -e TWIKOO_PORT8100 -d imaegoo/twi…

英集芯IP5912:集成开关充电功能的低功耗8位POWER MCU芯片

英集芯IP5912是一款功能丰富的、集成了降压充电管理功能的8位MCU芯片,它内置了一个5V输入的同步降压充电DC-DC,功率管也是内置的,同时提供最大1.5A的充电电流。封装方式采用SOP16,方案应用时只需要很少的外围器件,就可…