Packet Tracer - 配置扩展 ACL - 场景 1

news2024/11/18 7:44:33

Packet Tracer - 配置扩展 ACL - 场景 1

拓扑图

 

地址分配表

设备

接口

IP 地址

子网掩码

默认网关

R1

G0/0

172.22.34.65

255.255.255.224

不适用

G0/1

172.22.34.97

255.255.255.240

不适用

G0/2

172.22.34.1

255.255.255.192

不适用

服务器

NIC

172.22.34.62

255.255.255.192

172.22.34.1

PC1

NIC

172.22.34.66

255.255.255.224

172.22.34.65

PC2

NIC

172.22.34.98

255.255.255.240

172.22.34.97

目标

第 1 部分:配置、应用并验证扩展 编号 ACL

第 2 部分:配置、应用并验证扩展命名 ACL

背景/场景

两名员工需要访问 服务器提供的服务。PC1 只需要访问 FTP,而 PC2 只需要访问 Web。这两台计算机都能够对服务器执行 ping 操作,但不能互相执行 ping 操作。

第 1 部分:    配置、应用并验证扩展编号 ACL

步骤 1:     配置 ACL 以允许 FTP 和 ICMP。

a.     在 R1 的全局配置模式下,输入以下命令 来确定扩展访问列表的首个有效编号。

R1(config)# access-list ?

<1-99> 标准 IP 访问列表

<100-199> 扩展 IP 访问列表

b.     将 100 添加到命令,后跟问号。

R1(config)# access-list 100 ?

deny 指定要拒绝的数据包

permit 指定要转发的数据包

remark 访问列表条目注释

c.     允许 FTP 流量,请输入 permit,后跟问号。

R1(config)# access-list 100 permit ?

ahp 认证报头协议

eigrp 思科 EIGRP 路由协议

esp 封装安全负载

gre 思科 GRE 隧道

icmp Internet 控制消息协议

ip 任意 Internet 协议

ospf OSPF 路由协议

tcp 传输控制协议

udp 用户数据报协议

d.     此 ACL 允许 FTP 和 ICMP 访问。上面列出了 ICMP,但没有列出 FTP, 因为 FTP 使用的是 TCP。因此,输入 tcp 可进一步细化 ACL 帮助。

R1(config)# access-list 100 permit tcp ?

A.B.C.D 源地址

any 任意源主机

host 单个源主机

e.     请注意,我们可以通过使用 host 关键字 仅筛选 PC1,也可以允许 any 主机。在这种情况下,地址属于 172.22.34.64/27 网络的任何设备 均获准访问。输入网络 地址,后跟一个问号。

R1(config)# access-list 100 permit tcp 172.22.34.64 ?

A.B.C.D 源通配符位

f.      计算子网 掩码对应的通配符掩码。

11111111.11111111.11111111.11100000 = 255.255.255.224

00000000.00000000.00000000.00011111 = 0.0.0.31

g.     输入通配符掩码,后跟问号。

R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 ?

A.B.C.D 目的地址

any 任意目的主机

eq 仅匹配给定端口号上的数据包

gt 仅匹配具有较大端口号的数据包

host 单个目的主机

lt 仅匹配具有较小端口号的数据包

neq 仅匹配非给定端口号上的数据包

range 仅匹配端口号范围内的数据包

h.     配置目的地址。在这个场景中,我们要为单个目的地,也就是为服务器过滤 流量。输入 host 关键字 ,后跟服务器的 IP 地址。

R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 ?

dscp 匹配具有给定 dscp 值的数据包

eq 仅匹配给定端口号上的数据包

established  已建立

gt 仅匹配有更大端口号的数据包

lt 仅匹配有更小端口号的数据包

neq 仅匹配不具有给定端口号的数据包

precedence 匹配具有给定优先级值的数据包

range 仅匹配端口号范围内的数据包

i.      注意,一种选择是 (回车)。 换句话说,您可以按 Enter 键,该语句将允许所有 TCP 流量。但是,我们希望只允许 FTP 流量;因此,输入 eq 关键字,后跟一个问号来显示可用选项。然后, 输入ftp 并按 Enter 键。

R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ?

<0-65535> 端口号

ftp 文件传输协议 (21)

pop3 邮局协议 v3 (110)

smtp 简单邮件传输协议 (25)

telnet Telnet (23)

www 万维网(HTTP,80)

R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ftp

j.      创建第二个访问列表语句,以允许从 PC1 至服务器的 ICMP(ping 等) 流量。请注意,访问列表编号 保持不变,不需要 指定特定类型的 ICMP 流量。

R1(config)# access-list 100 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62

k.     默认情况下,所有其他流量都被拒绝。

步骤 2:     将 ACL 应用到正确的接口以过滤流量。

从 R1 角度来看,ACL 100 适用的流量从连接至千兆以太网 0/0 接口的网络入站。进入接口配置模式并应用 ACL。

R1(config)# interface gigabitEthernet 0/0

R1(config-if)# ip access-group 100 in

步骤 3:     检验 ACL 实施。

a.     从 PC1 对服务器执行 ping 操作。如果执行 ping 操作不成功,请在继续之前验证 IP 地址。

b.     从 PC1 对服务器进行 FTP 访问。用户名和密码均为 cisco

PC> ftp 172.22.34.62

c.     退出服务器的 FTP 服务。

ftp> quit

d.     从 PC1 对 PC2 执行 ping 操作。 因流量未明确获得允许,因此应该无法访问目的主机。

 

第 2 部分:    配置、应用并验证扩展命名 ACL

步骤 1:     配置 ACL 以允许 HTTP 访问和 ICMP。

a.     命名 ACL 以 ip 关键字开头。在 R1 的全局配置 模式下,输入以下命令,后跟一个问号。

R1(config)# ip access-list ?

extended 扩展访问列表

standard 标准访问列表

b.     您可以配置命名标准 ACL 和扩展 ACL。该访问列表会同时过滤 源 IP 地址和目的 IP 地址,因此必须对其进行扩展。输入 HTTP_ONLY 作为名称。(用于 Packet Tracer 得分时,名称 区分大小写。)

R1(config)# ip access-list extended HTTP_ONLY

c.     提示符更改。您现在已处于扩展命名 ACL 配置模式中。 PC2 LAN 上的所有设备都需要 TCP 访问。输入网络地址, 后跟一个问号。

R1(config-ext-nacl)# permit tcp 172.22.34.96 ?

A.B.C.D 源通配符位

d.     计算通配符的另一种方法是从 255.255.255.255 中减去子网 掩码。

255.255.255.255

- 255.255.255.240

-----------------

=   0.   0.   0. 15

R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 ?

e.     按照在第 1 部分中的做法,通过指定服务器地址和过滤 www 流量来完成语句。

R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www

f.      创建第二个访问列表语句,以允许从 PC2 至服务器的 ICMP(ping 等) 流量。注意:提示符保持不变,且 无需指定特定类型的 ICMP 流量。

R1(config-ext-nacl)# permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62

g.     默认情况下,所有其他流量都被拒绝。退出扩展命名 ACL 配置模式。

步骤 2:     将 ACL 应用到正确的接口以过滤流量。

从 R1 角度来看,访问 列表 HTTP_ONLY 适用的流量从连接至千兆 以太网 0/1 接口的网络入站。进入接口配置模式并应用 ACL。

R1(config)# interface gigabitEthernet 0/1

R1(config-if)# ip access-group HTTP_ONLY in

步骤 3:     检验 ACL 实施。

  1.      从 PC2 对服务器执行 ping 操作。Ping 操作应成功,如果执行 ping 操作不成功,请在继续之前验证 IP 地址。

 

  1.      从 PC2 对服务器进行 FTP 访问。应该无法成功连接。

 

c.     在 PC2 上打开 Web 浏览器,输入服务器 的 IP 地址作为 URL。连接应该会成功。

 

实验具体步骤:

R1:

R1>enable

R1#conf t

Enter configuration commands, one per line. End with CNTL/Z.

R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ftp

R1(config)#access-list 100 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62

R1(config)#interface g0/0

R1(config-if)#ip access-group 100 in

R1(config-if)#exit

R1(config)#ip access-list extended HTTP_ONLY

R1(config-ext-nacl)#permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www

R1(config-ext-nacl)#permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62

R1(config-ext-nacl)#exit

R1(config)#interface g0/1

R1(config-if)#ip access-group HTTP_ONLY in

R1(config-if)#end

R1#

%SYS-5-CONFIG_I: Configured from console by console



R1#wr

R1#write

Building configuration...

[OK]

实验链接:https://pan.baidu.com/s/19gm0SgSG_QyEtlgBX_n-2Q?pwd=4110

提取码:4110

--来自百度网盘超级会员V2的分享

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/496433.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

戴尔Alienware x15R1 x15R2原厂win11系统带F12 Support Assist OS Recovery恢复功能

戴尔Alienware x15R1 x15R2原厂win11系统带F12 Support Assist OS Recovery恢复功能 恢复各机型预装系统&#xff0c;带所有dell主题壁纸、dell软件驱动、带戴尔SupportAssist OS Recovery恢复功能&#xff0c;一次性恢复成新机状态&#xff0c;并且以后不用重装系统&#xff…

pyinstaller打包Mediapipe时遇到的问题

使用pyinstaller对python文件打包 打包流程 安装pyinstaller pip install pyinstaller打包文件 pyinstaller test.py 打包完成后会生成一个dist文件夹,打包的文件会在里面,找到test.exe。 pyinstaller -F test.py 加上-F会把所有的文件打包成一个exe,也是在dist文件夹下…

Docker File

DockerFile 是用来构建Docker镜像的构建文件&#xff0c;是由一些列命令和参数构成的脚本。 一、DockerFile 一、在home目录下创建docker-test-volume目录 cd /home mkdir docker-test-volume 二、在home目录下的docker-test-volume目录创建dockerfile1文件 vim dockerfile1…

运营-8.内容分发

内容分发本质要解决的问题包含两点&#xff1a; 1.高效的连接人与信息 2.过滤出有价值的信息&#xff0c;让合适的人看到合适的信息。 常见的内容分发方式 1.编辑分发 2.订阅分发 3.社交分发 4.算法分发 TIPS&#xff1a;根据产品性质、技术实力等因素&#xff0c;不同…

长尾学习(一):Long-Tail Learning via Logit Adjustment

一、背景 这是一篇从损失函数入手解决长尾问题的一种新思路&#xff0c;借鉴基于标签频次的logit adjustment方法&#xff0c;鼓励模型在高频类别与低频类别之间的Margin较大&#xff0c;提出了两种校准方法&#xff1a; 事后校准&#xff08;post-hoc adjustment&#xff09;…

tiechui_lesson03_缓冲读写与自定义控制

学习了与应用层通过缓冲区方式的交互&#xff0c;包括读写&#xff0c;自定义控制等。小坑比较多&#xff0c;大部分是是头文件和设置上的错误&#xff0c;跟着视频敲想快进就跳过了一些细节。包括&#xff1a; <windef.h> 头文件的引用 //使用DWORD等类型switch语句…

iOS开发多target

场景 背景:设想一下有一个场景,一个业务分为多种身份,他们大部分功能是相同的,但是也有自己的差异性。这种情况,想要构建出不同身份的APP。你会怎么做??? 当然,你可以拷贝一份代码出来,给项目重新命名。这样做的好处是,他们互相不会冲突,不用去关心是否有逻辑的冲…

Python中变量赋值过程的理解

Python中变量赋值过程的理解 在Python中对变量赋值过程的理解&#xff0c;有助于学习者对Python的变量和所指向的对象之间的指向关系深刻理解&#xff0c;避免编程中多个变量赋值后&#xff0c;对变量结果的不确定&#xff0c;减少赋值过程中疑问和困惑。 1.赋值过程基本过程 …

全文检索-Elasticsearch-进阶检索

文章目录 前言一、SearchAPI1.1 URL 后接参数检索1.2 URL 加请求体检索 二、Query DSL2.1 基本语法格式2.2 匹配查询 match2.3 短语匹配 match_phase2.4 多字段匹配 multi_match2.5 复合查询 bool2.6 过滤 filter2.7 查询 term2.8 聚合 aggregations 三、Mapping3.1 待完成3.2 …

Mybatis动态SQL用法

动态SQL是Mybatis的一大重要特性&#xff0c;它可以完成不同条件下的SQL拼接&#xff0c;降低了因为SQL语句书写中的小错误而造成程序报错的概率&#xff0c;例如拼接时要确保不能忘记添加必要的空格&#xff0c;还要注意去掉列表最后一个列名的逗号&#xff0c;利用动态SQL就可…

Vue项目dialog组件数据项清空

目录 一、重置myParams 二、this.$refs["name"].resetFields() 1、使用v-if 然后渲染, 无效 2、使用nextTick, 数据显示慢一拍, 重新打开dialog才会显示上次输入的内容 三、复盘-最终方法 一、重置myParams <el-form:model"myParams":rules&quo…

ssh登录出现Permission denied, please try again可能的解决方案

问题描述 环境&#xff1a;ubuntu 20.04问题描述&#xff1a;在已经设置免密登录后&#xff0c;ssh登录时&#xff08;例如ssh localhost&#xff09;还需要输入密码&#xff0c;并且输入密码后出现下面一系列的报错&#xff1a; xxx(用户名)localhosts password: Permissio…

Makefile教程(入门介绍)

文章目录 前言一、Makefile介绍二、make和Makefile的关系三、编写一个简单的Makefile总结 前言 本篇文章将带大家学习Makefile&#xff0c;Makefile在文件的编译中起到重要作用&#xff0c;在Linux中我们也是经常使用到Makefile&#xff0c;下面我将会带大家学习什么是Makefil…

GNSS定位原理--理解笔记

1、利用“后方交会”原理进行定位。 由已知3个点的坐标以及3个已知点到未知点的距离&#xff0c;就可以计算出未知点的坐标。测量出3个已知点到位置点的距离后&#xff0c;根据三球交会定位&#xff0c;利用方程计算出未知点坐标。 两球交会得到一个圆&#xff0c;三球交会得…

【自学网络安全】从零开始学习网络渗透的核心知识点,助你入门宝典

前言 上周旁听了一个大学学长组织的线上网络安全交流会&#xff0c;里边不乏充斥着各位行业大牛&#xff0c;讲的内容确实精彩&#xff0c;可能对于网络安全经验5年的人来说&#xff0c;是受益匪浅&#xff0c;欢迎程度极高&#xff0c;恨不得跳出屏幕来表示赞同&#xff0c;毕…

初识Spring:如何在Maven工程上搭建Spring框架?

编译软件&#xff1a;IntelliJ IDEA 2019.2.4 x64 操作系统&#xff1a;win10 x64 位 家庭版 Maven版本&#xff1a;apache-maven-3.6.3 Mybatis版本&#xff1a;3.5.6 spring版本&#xff1a;5.3.1 文章目录 Spring系列专栏文章目录一. 什么是Spring&#xff1f;二. 如何搭建S…

基于海鸥算法改进的随机森林分类算法-附代码

基于海鸥算法改进的随机森林分类算法 文章目录 基于海鸥算法改进的随机森林分类算法1.数据集2.RF模型3.基于海鸥算法优化的RF4.测试结果5.Matlab代码6.Python代码 摘要&#xff1a;为了提高随机森林数据的分类预测准确率&#xff0c;对随机森林中的树木个数和最小叶子点数参数利…

Java阶段二Day13

Java阶段二Day13 文章目录 Java阶段二Day13网站SpringSpringFramework核心模块特点使用Spring创建项目对象存储创建对象的方式 IoC容器控制反转依赖注入IoC容器的实现 基于XML管理bean获取bean方式xml配置文件中的标签特殊值处理注入 今天开始是学习后端框架SSM&#xff08;Spr…

元气森林讲出新的“可乐味”故事?

这个五一&#xff0c;一场接一场的音乐节不断拔高假日的声浪。仅成都一市&#xff0c;就开展了298场演出&#xff0c;累计吸引10万余游客市民观看。人潮涌动之间&#xff0c;节日的氛围被拉满。 值得一提的是&#xff0c;音乐节不仅是游客的狂欢&#xff0c;也是消费品牌的盛宴…

【Java|golang】1419. 数青蛙

给你一个字符串 croakOfFrogs&#xff0c;它表示不同青蛙发出的蛙鸣声&#xff08;字符串 “croak” &#xff09;的组合。由于同一时间可以有多只青蛙呱呱作响&#xff0c;所以 croakOfFrogs 中会混合多个 “croak” 。 请你返回模拟字符串中所有蛙鸣所需不同青蛙的最少数目。…