Cisco Packet Tracer思科模拟器中扩展访问控制列表的配置(扩展ACL)
上篇文章讲解了思科模拟器中标准访问控制列表的配置(标准ACL),本篇文章将详细讲解思科模拟器中扩展访问控制列表的配置(扩展ACL)。
标准ACL指的是 ACL1-99
扩展ACL指的是 ACL100-199
目的是使用100-199以及2000-2699之间的数字作为访问控制列表编号,可通过IP数据包中的源IP地址、目的IP地址、协议类型、源端口、目的端口等元素进行过滤,常用于高级的、精确的访问控制。
扩展访问控制列表功能很强大,不过他存在一个缺点,那就是在没有硬件ACL加速的情况下,扩展ACL会消耗大量的路由器CPU资源。所以当使用中低档路由器时应尽量减少扩展ACL的条目数,将其简化为标准ACL或将多条扩展ACL合一是最有效的方法。
工作原理:
当路由器收到一个数据包时,路由器根据数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口等从访问控制列表中自上而下检查控制语句。如果检查到与一条permit语句匹配,则允许该数据包通过,如果报文与一条deny语句匹配,则该数据包被丢弃;如果检查到最后一条条件语句后还没有找到匹配的,则该数据包也将被丢弃。一旦控制列表允许数据包通过,路由器将数据包的目标网络地址与路由器上的内部路由器表相比较,就可以把数据包路由到它的目的地。扩展访问控制列表的工作过程如图5-2-16所示。
模拟实验:
图5-2-8 扩展访问控制列表配置
交换机和PC的IP地址及端口信息,如表5-2-2所示。
表5-2-2 交换机和PC的IP地址及端口信息表
设备 |
接口 |
IP地址 |
子网掩码 |
默认网关 |
Switch-A的Vlan10 |
Fa0/1 |
192.168.1.254 |
255.255.255.0 |
|
Switch-A的Vlan20 |
Fa0/2 |
192.168.2.254 |
255.255.255.0 |
|
Switch-A的Vlan30 |
G0/1 |
192.168.3.254 |
255.255.255.0 |
|
PC1 |
Vlan10 |
192.168.1.1 |
255.255.255.0 |
192.168.1.254 |
PC2 |
Vlan20 |
192.168.2.1 |
255.255.255.0 |
192.168.2.254 |
Server |
Vlan30 |
192.168.3.1 |
255.255.255.0 |
192.168.3.254 |
步骤实现
步骤1:按照如图5-2-8所示,连接网络拓扑结构图。
步骤2:按照如表5-2-2所示,配置计算机和服务器的IP地址、子网掩码和网关。
步骤3:配置交换机Switch-A的主机名称,创建Vlan10、20和30,并将fa0/1划入Vlan10,fa0/2划入Vlan20,g0/1划入Vlan30。
(ftp通的前提是:PC有自己的IP和GW,三层交换机开启路由功能,服务器也有自己的IP和GW,同时,交换机连接服务器的线路IP 要和服务器IP 在同一个子网段上)Switch(config)#hostname Switch-A 修改主机名Switch-A(config)#vlan 10 创建vlanSwitch-A(config-vlan)#exitSwitch-A(config)#vlan 20Switch-A(config-vlan)#exitSwitch-A(config)#vlan 30Switch-A(config-vlan)#exitSwitch-A(config)#int fa0/1Switch-A(config-if)#switchport mode access 端口开启访问模式Switch-A(config-if)#switchport access vlan 10 把vlan10 划分进端口中Switch-A(config)#int fa0/2 进入端口Switch-A(config-if)#switchport mode accessSwitch-A(config-if)#switchport access vlan 20Switch-A(config)#int g0/1Switch-A(config-if)#switchport mode accessSwitch-A(config-if)#switchport access vlan 30Switch-A(config-if)#exitSwitch-A(config)#
步骤4:在交换机Switch-A上为Vlan10、Vlan20和Vlan30的SVI接口配置IP地址,并启用交换机的路由功能。
Switch-A(config)#int vlan 10 进入vlan10Switch-A(config-if)#ip address 192.168.1.1 255.255.255.0 给vlan10 配置一个网段Switch-A(config-if)#no shutdown 打开vlanSwitch-A(config)#int vlan 20Switch-A(config-if)#ip address 192.168.2.1 255.255.255.0 Switch-A(config-if)#no shutdownSwitch-A(config)#int vlan 30Switch-A(config-if)#ip address 192.168.3.1 255.255.255.0Switch-A(config-if)#no shutdownSwitch-A(config-if)#exitSwitch-A(config)#ip routing 开启路由通信功能
步骤5:测试PC2到服务器的应用访问。
(1)PC2(职工宿舍)到FTP的访问,结果是可以的,如图5-2-9所示。
(2)PC2 到web服务器的访问,结果也是可以的
小贴士
模拟器中的ftp和web服务器默认已经搭建好,访问地址为服务器的IP地址
模拟器中的ftp连接验证是在PC界面下的命题提示符里输入“>ftp 服务器IP地址”,并输入默认的用户名和密码(均为cisco)进入登录查看。
步骤6:配置扩展访问控制列表,针对服务器的访问流量进行控制。
Switch-A(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.1 eq 21 !定义扩展ACL,允许行政部对的ftp
[访问列表101允许tcp 192.168.1.0 0.0.255主机192.168.3.1 eq 21] Switch-A(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.1 eq 20 !定义扩展ACL,允许行政部对ftp的访问
[访问列表101允许tcp 192.168.1.0 0.0.255主机192.168.3.1 eq 20] Switch-A(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.1 gt 1024 !定义扩展ACL,允许行政部对服务器端口号在1024以上的tcp 协议流量,此规则主要针对在PASV模式下允许ftp数据传输Switch-A(config)#access-list 101 permit tcp 192.168.0.0 0.0.255.255 host 192.168.3.1 eq www !定义扩展ACL,允许公司各部门对服务器的Web访问Switch-A(config)#access-list 101 deny ip any any !禁止其它所有数据流量Switch-A(config)#int vlan 30 !进入服务器所在VLANSwitch-A(config-if)#ip access-group 101 out !将ACL应用到VLAN30的出口方向Switch-A(config-if)#exit
小贴士
ftp的连接一般是有两个连接的,一个是客户机和服务器传输命令的,即21端口。另一个是数据传送的连接,即20端口。FTP服务程序一般会支持两种不同的模式,一种是Port模式,一种是Passive模式。当ftp连接在端口模式下出现“建立数据 socket 失败 ”时,可利用在PASV模式下使用高于1024的任一个空闲端口传输数据。
针对VLAN的访问控制列表要在VLAN的SVI接口下应用。
为了减少被拒绝流量所占用的带宽,扩展访问控制列表要应用在尽量靠近源地址的接口。
步骤6:进行测试 看是不是全网互通
步骤7:测试公司各部门到PC3(服务器)的应用访问。
(1)PC1(行政部门)的FTP访问,结果是可以访问的
(2)PC1(行政部门)到PC3(服务器)的(ping)连通性,结果是不通的
(3)PC1(行政部门)到PC3(服务器)的web,结果是通的
(4)PC2(职工宿舍)对FTP的访问,结果是不能访问的
(5)PC2(职工宿舍)对WEB的访问,结果是可以访问的
学习小结
FTP通的前提是:PC有自己的IP和GW,三层交换机开启路由功能,服务器也有自己的IP和GW,同时,交换机连接服务器的线路IP 要和服务器IP 在同一个子网段上
FTP的连接一般是有两个连接的,
客户机和服务器传输命令的,即21端口。
另一个是数据传送的连接,即20端口
ftp的连接一般是有两个连接的,一个是客户机和服务器传输命令的,即21端口。另一个是数据传送的连接,即20端口。FTP服务程序一般会支持两种不同的模式,一种是Port模式,一种是Passive模式。当ftp连接在端口模式下出现“建立数据 socket 失败 ”时,可利用在PASV模式下使用高于1024的任一个空闲端口传输数据。
permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.1 gt 1024 用1024的空闲端口进行传输信息
相关命令Router-A(config)#ip access-list extended[扩展] Web-ftp-service
!定义基于命名的扩展ACL
Router-A(config-ext-nacl)#permit tcp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 eq 21
!定义扩展ACL规则:允许行政部门主机对网管中心的FTP访问控制流量
Router-A(config-ext-nacl)#permit tcp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 eq 20
!定义扩展ACL规则:允许行政部门主机对网管中心的FTP数据传输流量
Router-A(config-ext-nacl)#permit tcp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 gt 1024
!定义扩展ACL规则:允许行政部门主机对网管中心端口号大于1024的tcp流量笔记:
1.192.168.1.0 是行政部门的IP网络号,192.168.3.0是两台服务器的网络号。2.如果说允许职工宿舍向FTP服务器传输流量、访问FTP的话,就用职工宿舍的网络号(2.0)
Router-A(config-ext-nacl)#permit tcp 192.168.0.0 0.0.255.255 192.168.3.0 0.0.0.255 eq 80
[80 是www的意思]
!定义扩展ACL规则:允许公司各部门主机对网管中心的WEB访问流量
Router-A(config-ext-nacl)#deny ip any any !拒绝其它对网管中心的访问流量.
[拒绝其他网段访问]
Router-A(config-ext-nacl)#exit
Router-A(config)#int g0/0 !进入端口
Router-A(config-if)#ip access-group Web-ftp-service out
!在Router-A的g0/0端口的出口方向应用命名扩展ACL
每日一言:
一个人的意义不在于他的成就,而在于他所企求成就的东西。
Cisco Packet Tracer思科模拟器中扩展访问控制列表的配置(扩展ACL)相关推荐
- Cisco Packet Tracer思科模拟器中EIGRP动态路由配置
增强型内部网关路由协议 (EIGRP) 是 Cisco Systems 开发的高级距离矢量路由协议. 顾名思义,EIGRP 是另一种思科路由协议 IGRP(内部网关路由协议)的增强版. IGRP 是较 ...
- Cisco Packet Tracer思科模拟器中路由器的广域网HDLC封装
高级数据链路控制协议(HDLC)是一种标准的用于在同步网络传输数据的,面向比特的数据链路层协议.该协议具有无差错数据传输和流量控制两种功能.作为面向比特的同步通信协议,HDLC支持全双工点对点的透明传 ...
- Cisco.Packet.Tracer思科模拟器中路由交换基础命令
一.基本命令 命令行模式 用户模式---->enable(特权模式)---->configure terminal(全局配置模式)---->interface FastEtherne ...
- Cisco Packet Tracer思科模拟器中静态路由和默认路由配置
静态路由是指由网络管理员手工配置的路由信息.当网络的拓扑结构或链路状态发生变化时,网络管理员要手工修改路由表中的静态路由信息.静态路由信息在默认情况下不会传递给其它的路由器.静态路由一般适用于比较简单 ...
- 网络——Cisco Packet Tracer 思科模拟器组网实验
Cisco Packet Tracer介绍 Cisco Packet Tracer是Cisco公司针对CCNA认证开发的一个用来设计.配置和故障排除网络的模拟软件,非常适合网络设备初学者使用. Cis ...
- Cisco Packet Tracer 思科模拟器利用NAT实现外网主机访问内网服务器
前两篇讲解了动态NAT地址转换,以及静态NAT地址转换,本篇文章主要讲解如何理由NAT实现外网主机访问内网服务器,含有重分布教学 情境分析 公司只申请了一个公网IP地址,基于私有地址与公有地址不能直接 ...
- Cisco Packet Tracer思科模拟器交换机的VTP技术
VTP即Vlan的中继协议.VTP是通过网络保持VLAN配置统一性.VTP实现了系统化管理,方便管理员增加.删除和调整的VLAN的操作.只要把交换机加入到同一个VTP域中,工作在服务器模式的交换机会自 ...
- Cisco Packet Tracer 思科模拟器 常用命令 含快捷键
分享一些常用的命令 以及快捷键的命令 1.路由器的配置模式切换. Router> !用户模式Router>enable !进入特权模式Router#configure terminal ! ...
- Cisco Packet Tracer 思科模拟器SSH配置
一.配置主机名 二.在路由器上创建网络IP域名(不创建域名的话ssh服务不能被启用) R1(config)#ip domain-name zym.com 三.创建RSA加密秘钥 R1(config)# ...
最新文章
- 1039 Course List for Student
- python使用ElementTree解析XML文件
- python发送文件给微信好友_Python定时自动给微信好友发送天气预报
- mysql 共享锁和排他锁 意向锁 记录锁 Gap Locks Next-Key Locks 插入意向锁介绍
- boost::contract模块没有宏实现base types的测试程序
- oracle语句加减,oracle时间加减的语句写法
- 扩大VMware虚拟机中linux硬盘空间
- VS Code Remote 发布!开启远程开发新时代
- html树状图右侧_treeview-树形菜单js组件编写及应用
- 讲讲 MySQL 中的 WAL 策略和 CheckPoint 技术
- C语言课后习题(69)
- AIX和LINUX主机 CPU 内存 磁盘使用率监控
- idea怎么提交到dev分支_idea中新建git分支,并提交到远程github
- hive sql教程
- 小学校计算机教室年度工作总结,小学计算机教师年度工作总结
- 参加AKM DSP芯片代理培训
- 如何查询windows的版本号?
- 论文翻译解读:Translating Embeddings for Modeling Multi-relational Data【TransE】
- 一寸照片电子版怎么弄?这两种方法要学会
- 基于python的相机标定(采用圆形标定板图片)
热门文章
- 对于JAVA的总结800字,java试用期转正工作总结500字
- python 爬取豆瓣电影排名
- Computational and Mathematical Methods in Medicine
- 为什么我的Windows 10家庭版具有远程桌面和BitLocker?
- Matlab中dec2bin函数使用
- Flying Saucer实现html转pdf(一些问题,持续更新)
- myCMS蚂蚁系统手机模板https,样式,JS加载无效
- Android 读shp属性字段
- office上下滑动滚轮特别卡_鼠标滚轮滚动慢/拖动Office出现滞后问题处理
- 如何使用SQL Server 2014 创建数据库