上篇文章讲解了思科模拟器中标准访问控制列表的配置(标准ACL),本篇文章将详细讲解思科模拟器中扩展访问控制列表的配置(扩展ACL)。

标准ACL指的是 ACL1-99

扩展ACL指的是 ACL100-199

目的是使用100-199以及2000-2699之间的数字作为访问控制列表编号,可通过IP数据包中的源IP地址、目的IP地址、协议类型、源端口、目的端口等元素进行过滤,常用于高级的、精确的访问控制。

扩展访问控制列表功能很强大,不过他存在一个缺点,那就是在没有硬件ACL加速的情况下,扩展ACL会消耗大量的路由器CPU资源。所以当使用中低档路由器时应尽量减少扩展ACL的条目数,将其简化为标准ACL或将多条扩展ACL合一是最有效的方法。

工作原理:

当路由器收到一个数据包时,路由器根据数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口等从访问控制列表中自上而下检查控制语句。如果检查到与一条permit语句匹配,则允许该数据包通过,如果报文与一条deny语句匹配,则该数据包被丢弃;如果检查到最后一条条件语句后还没有找到匹配的,则该数据包也将被丢弃。一旦控制列表允许数据包通过,路由器将数据包的目标网络地址与路由器上的内部路由器表相比较,就可以把数据包路由到它的目的地。扩展访问控制列表的工作过程如图5-2-16所示。

模拟实验:

图5-2-8  扩展访问控制列表配置

交换机和PC的IP地址及端口信息,如表5-2-2所示。

表5-2-2  交换机和PC的IP地址及端口信息表

设备

接口

IP地址

子网掩码

默认网关

Switch-A的Vlan10

Fa0/1

192.168.1.254

255.255.255.0

Switch-A的Vlan20

Fa0/2

192.168.2.254

255.255.255.0

Switch-A的Vlan30

G0/1

192.168.3.254

255.255.255.0

PC1

Vlan10

192.168.1.1

255.255.255.0

192.168.1.254

PC2

Vlan20

192.168.2.1

255.255.255.0

192.168.2.254

Server

Vlan30

192.168.3.1

255.255.255.0

192.168.3.254

步骤实现

步骤1:按照如图5-2-8所示,连接网络拓扑结构图。

步骤2:按照如表5-2-2所示,配置计算机和服务器的IP地址、子网掩码和网关。

步骤3:配置交换机Switch-A的主机名称,创建Vlan10、20和30,并将fa0/1划入Vlan10,fa0/2划入Vlan20,g0/1划入Vlan30。

(ftp通的前提是:PC有自己的IP和GW,三层交换机开启路由功能,服务器也有自己的IP和GW,同时,交换机连接服务器的线路IP 要和服务器IP 在同一个子网段上)Switch(config)#hostname Switch-A  修改主机名Switch-A(config)#vlan 10  创建vlanSwitch-A(config-vlan)#exitSwitch-A(config)#vlan 20Switch-A(config-vlan)#exitSwitch-A(config)#vlan 30Switch-A(config-vlan)#exitSwitch-A(config)#int fa0/1Switch-A(config-if)#switchport mode access  端口开启访问模式Switch-A(config-if)#switchport access vlan 10  把vlan10 划分进端口中Switch-A(config)#int fa0/2  进入端口Switch-A(config-if)#switchport mode accessSwitch-A(config-if)#switchport access vlan 20Switch-A(config)#int g0/1Switch-A(config-if)#switchport mode accessSwitch-A(config-if)#switchport access vlan 30Switch-A(config-if)#exitSwitch-A(config)#

步骤4:在交换机Switch-A上为Vlan10、Vlan20和Vlan30的SVI接口配置IP地址,并启用交换机的路由功能。

Switch-A(config)#int vlan 10  进入vlan10Switch-A(config-if)#ip address 192.168.1.1 255.255.255.0  给vlan10 配置一个网段Switch-A(config-if)#no shutdown  打开vlanSwitch-A(config)#int vlan 20Switch-A(config-if)#ip address 192.168.2.1 255.255.255.0 Switch-A(config-if)#no shutdownSwitch-A(config)#int vlan 30Switch-A(config-if)#ip address 192.168.3.1 255.255.255.0Switch-A(config-if)#no shutdownSwitch-A(config-if)#exitSwitch-A(config)#ip routing  开启路由通信功能

步骤5:测试PC2到服务器的应用访问。

(1)PC2(职工宿舍)到FTP的访问,结果是可以的,如图5-2-9所示。

(2)PC2 到web服务器的访问,结果也是可以的

小贴士

模拟器中的ftp和web服务器默认已经搭建好,访问地址为服务器的IP地址

模拟器中的ftp连接验证是在PC界面下的命题提示符里输入“>ftp  服务器IP地址”,并输入默认的用户名和密码(均为cisco)进入登录查看。

步骤6:配置扩展访问控制列表,针对服务器的访问流量进行控制。

Switch-A(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.1 eq 21   !定义扩展ACL,允许行政部对的ftp
[访问列表101允许tcp 192.168.1.0 0.0.255主机192.168.3.1 eq 21]               Switch-A(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.1 eq 20        !定义扩展ACL,允许行政部对ftp的访问
[访问列表101允许tcp 192.168.1.0 0.0.255主机192.168.3.1 eq 20]   Switch-A(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.1 gt 1024   !定义扩展ACL,允许行政部对服务器端口号在1024以上的tcp 协议流量,此规则主要针对在PASV模式下允许ftp数据传输Switch-A(config)#access-list 101 permit tcp 192.168.0.0 0.0.255.255 host 192.168.3.1 eq www   !定义扩展ACL,允许公司各部门对服务器的Web访问Switch-A(config)#access-list 101 deny ip any any         !禁止其它所有数据流量Switch-A(config)#int vlan 30                                  !进入服务器所在VLANSwitch-A(config-if)#ip access-group 101 out  !将ACL应用到VLAN30的出口方向Switch-A(config-if)#exit

 小贴士

ftp的连接一般是有两个连接的,一个是客户机和服务器传输命令的,即21端口。另一个是数据传送的连接,即20端口。FTP服务程序一般会支持两种不同的模式,一种是Port模式,一种是Passive模式。当ftp连接在端口模式下出现“建立数据 socket 失败 ”时,可利用在PASV模式下使用高于1024的任一个空闲端口传输数据。

针对VLAN的访问控制列表要在VLAN的SVI接口下应用。

为了减少被拒绝流量所占用的带宽,扩展访问控制列表要应用在尽量靠近源地址的接口。

步骤6:进行测试 看是不是全网互通

步骤7:测试公司各部门到PC3(服务器)的应用访问。

(1)PC1(行政部门)的FTP访问,结果是可以访问的

(2)PC1(行政部门)到PC3(服务器)的(ping)连通性,结果是不通的

(3)PC1(行政部门)到PC3(服务器)的web,结果是通的

(4)PC2(职工宿舍)对FTP的访问,结果是不能访问的

(5)PC2(职工宿舍)对WEB的访问,结果是可以访问的

学习小结

FTP通的前提是:PC有自己的IP和GW,三层交换机开启路由功能,服务器也有自己的IP和GW,同时,交换机连接服务器的线路IP 要和服务器IP 在同一个子网段上

FTP的连接一般是有两个连接的,

客户机和服务器传输命令的,即21端口

另一个是数据传送的连接,即20端口

ftp的连接一般是有两个连接的,一个是客户机和服务器传输命令的,即21端口。另一个是数据传送的连接,即20端口。FTP服务程序一般会支持两种不同的模式,一种是Port模式,一种是Passive模式。当ftp连接在端口模式下出现“建立数据 socket 失败 ”时,可利用在PASV模式下使用高于1024的任一个空闲端口传输数据。

permit tcp 192.168.1.0 0.0.0.255 host 192.168.3.1 gt 1024  用1024的空闲端口进行传输信息
相关命令Router-A(config)#ip access-list extended[扩展] Web-ftp-service
!定义基于命名的扩展ACL
Router-A(config-ext-nacl)#permit tcp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 eq 21
!定义扩展ACL规则:允许行政部门主机对网管中心的FTP访问控制流量
Router-A(config-ext-nacl)#permit tcp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 eq 20
!定义扩展ACL规则:允许行政部门主机对网管中心的FTP数据传输流量
Router-A(config-ext-nacl)#permit tcp 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 gt 1024
!定义扩展ACL规则:允许行政部门主机对网管中心端口号大于1024的tcp流量笔记:
1.192.168.1.0 是行政部门的IP网络号,192.168.3.0是两台服务器的网络号。2.如果说允许职工宿舍向FTP服务器传输流量、访问FTP的话,就用职工宿舍的网络号(2.0)
Router-A(config-ext-nacl)#permit tcp 192.168.0.0 0.0.255.255 192.168.3.0 0.0.0.255 eq 80
[80 是www的意思]
!定义扩展ACL规则:允许公司各部门主机对网管中心的WEB访问流量
Router-A(config-ext-nacl)#deny ip any any         !拒绝其它对网管中心的访问流量.
[拒绝其他网段访问]
Router-A(config-ext-nacl)#exit
Router-A(config)#int g0/0                             !进入端口
Router-A(config-if)#ip access-group Web-ftp-service out
!在Router-A的g0/0端口的出口方向应用命名扩展ACL

每日一言:

一个人的意义不在于他的成就,而在于他所企求成就的东西。

Cisco Packet Tracer思科模拟器中扩展访问控制列表的配置(扩展ACL)相关推荐

  1. Cisco Packet Tracer思科模拟器中EIGRP动态路由配置

    增强型内部网关路由协议 (EIGRP) 是 Cisco Systems 开发的高级距离矢量路由协议. 顾名思义,EIGRP 是另一种思科路由协议 IGRP(内部网关路由协议)的增强版. IGRP 是较 ...

  2. Cisco Packet Tracer思科模拟器中路由器的广域网HDLC封装

    高级数据链路控制协议(HDLC)是一种标准的用于在同步网络传输数据的,面向比特的数据链路层协议.该协议具有无差错数据传输和流量控制两种功能.作为面向比特的同步通信协议,HDLC支持全双工点对点的透明传 ...

  3. Cisco.Packet.Tracer思科模拟器中路由交换基础命令

    一.基本命令 命令行模式 用户模式---->enable(特权模式)---->configure terminal(全局配置模式)---->interface FastEtherne ...

  4. Cisco Packet Tracer思科模拟器中静态路由和默认路由配置

    静态路由是指由网络管理员手工配置的路由信息.当网络的拓扑结构或链路状态发生变化时,网络管理员要手工修改路由表中的静态路由信息.静态路由信息在默认情况下不会传递给其它的路由器.静态路由一般适用于比较简单 ...

  5. 网络——Cisco Packet Tracer 思科模拟器组网实验

    Cisco Packet Tracer介绍 Cisco Packet Tracer是Cisco公司针对CCNA认证开发的一个用来设计.配置和故障排除网络的模拟软件,非常适合网络设备初学者使用. Cis ...

  6. Cisco Packet Tracer 思科模拟器利用NAT实现外网主机访问内网服务器

    前两篇讲解了动态NAT地址转换,以及静态NAT地址转换,本篇文章主要讲解如何理由NAT实现外网主机访问内网服务器,含有重分布教学 情境分析 公司只申请了一个公网IP地址,基于私有地址与公有地址不能直接 ...

  7. Cisco Packet Tracer思科模拟器交换机的VTP技术

    VTP即Vlan的中继协议.VTP是通过网络保持VLAN配置统一性.VTP实现了系统化管理,方便管理员增加.删除和调整的VLAN的操作.只要把交换机加入到同一个VTP域中,工作在服务器模式的交换机会自 ...

  8. Cisco Packet Tracer 思科模拟器 常用命令 含快捷键

    分享一些常用的命令 以及快捷键的命令 1.路由器的配置模式切换. Router> !用户模式Router>enable !进入特权模式Router#configure terminal ! ...

  9. Cisco Packet Tracer 思科模拟器SSH配置

    一.配置主机名 二.在路由器上创建网络IP域名(不创建域名的话ssh服务不能被启用) R1(config)#ip domain-name zym.com 三.创建RSA加密秘钥 R1(config)# ...

最新文章

  1. 1039 Course List for Student
  2. python使用ElementTree解析XML文件
  3. python发送文件给微信好友_Python定时自动给微信好友发送天气预报
  4. mysql 共享锁和排他锁 意向锁 记录锁 Gap Locks Next-Key Locks 插入意向锁介绍
  5. boost::contract模块没有宏实现base types的测试程序
  6. oracle语句加减,oracle时间加减的语句写法
  7. 扩大VMware虚拟机中linux硬盘空间
  8. VS Code Remote 发布!开启远程开发新时代
  9. html树状图右侧_treeview-树形菜单js组件编写及应用
  10. 讲讲 MySQL 中的 WAL 策略和 CheckPoint 技术
  11. C语言课后习题(69)
  12. AIX和LINUX主机 CPU 内存 磁盘使用率监控
  13. idea怎么提交到dev分支_idea中新建git分支,并提交到远程github
  14. hive sql教程
  15. 小学校计算机教室年度工作总结,小学计算机教师年度工作总结
  16. 参加AKM DSP芯片代理培训
  17. 如何查询windows的版本号?
  18. 论文翻译解读:Translating Embeddings for Modeling Multi-relational Data【TransE】
  19. 一寸照片电子版怎么弄?这两种方法要学会
  20. 基于python的相机标定(采用圆形标定板图片)

热门文章

  1. 对于JAVA的总结800字,java试用期转正工作总结500字
  2. python 爬取豆瓣电影排名
  3. Computational and Mathematical Methods in Medicine
  4. 为什么我的Windows 10家庭版具有远程桌面和BitLocker?
  5. Matlab中dec2bin函数使用
  6. Flying Saucer实现html转pdf(一些问题,持续更新)
  7. myCMS蚂蚁系统手机模板https,样式,JS加载无效
  8. Android 读shp属性字段
  9. office上下滑动滚轮特别卡_鼠标滚轮滚动慢/拖动Office出现滞后问题处理
  10. 如何使用SQL Server 2014 创建数据库