【实验名称】编号的标准IP访问列表。
【实验目的】掌握路由器上编号的标准IP访问列表规则及配置。
【背景描述】
你是一个公司的网络管理员,公司的经理部、财务部门和销售部门分属不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部门不能对财务部门进行访问,但经理部可以对财务部门进行访问。
PC1代表经理部的主机,PC2代表销售部门的主机、PC3代表财务部门的主机。
【技术原理】
IP ACL(IP访问控制列表或IP访问列表)是实现对流经路由器或交换机的数据包根据一定的规则进行过滤,从而提高网络可管理性和安全性。
IP ACL分为两种:标准IP访问列表和扩展IP访问列表。
标准IP访问列表可以根据数据包的源IP地址定义规则,进行数据包的过滤。
扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。
IP ACL基于接口进行规则的应用,分为:入栈应用和出栈应用。
入栈应用是指由外部经该接口进行路由器的数据包进行过滤。
出栈应用是指路由器从该接口向外转发数据时进行数据包的过滤。
IP ACL的配置有两种方式:按照编号的访问列表,按照命名的访问列表。
标准IP访问列表编号范围是1~99、1300~1999,扩展IP访问列表编号范围是100~199、2000~2699。
【实现功能】
实现网段间互相访问的安全控制。
【实验设备】
R1762路由器(两台)、V.35线缆(1条)、直连线或交叉线(3条)
【实验拓扑】

0012.JPG (17.36 KB)

2008-11-5 17:22

【实验步骤】
步骤31.        基本配置。
Router1基本配置
Red-Giant>enable
Red-Giant#configure terminal
Red-Giant(config)#hostname Router1
Router1(config)# interface fastEthernet 1/0
Router1(config-if)#ip add 172.16.1.1 255.255.255.0
Router1(config-if)#no shutdown
Router1(config-if)# interface fastEthernet 1/1
Router1(config-if)#ip add 172.16.2.1 255.255.255.0
Router1(config-if)#no shutdown
Router1(config-if)#interface serial 1/2
Router1(config-if)#ip add 172.16.3.1 255.255.255.0
Router1(config-if)#clock rate 64000
Router1(config-if)#no shutdown
Router1(config-if)#end
测试命令:show ip interface brief。
Router1#show ip int brief                             !观察接口状态
Interface                        IP-Address(Pri)      OK?       Status
serial 1/2                       172.16.3.1/24        YES       UP
serial 1/3                        no address           YES       DOWN
FastEthernet 1/0                172.16.1.1/24        YES       UP
FastEthernet 1/1                172.16.2.1/24        YES       UP
Null 0                             no address           YES       UP
Router2基本配置
Red-Giant>enable
Red-Giant#configure terminal
Red-Giant(config)#hostname Router2
Router2(config)# interface fastEthernet 1/0
Router2(config-if)#ip add 172.16.4.1 255.255.255.0
Router2(config-if)#no shutdown
Router2(config-if)#exit
Router2(config-if)#interface serial 1/2
Router2(config-if)#ip add 172.16.3.1 255.255.255.0
Router2(config-if)#no shutdown
Router2(config-if)#end
测试命令:show ip interface brief。
Router2#show ip int brief                                   !观察接口状态
Interface                        IP-Address(Pri)      OK?       Status
serial 1/2                       172.16.3.2/24        YES       UP
serial 1/3                        no address           YES       DOWN
FastEthernet 1/0                172.16.4.1/24        YES       UP
FastEthernet 1/1                 no address           YES       DOWN
Null 0                             no address           YES       UP
配置静态路由
Router1(config)#ip route 172.16.4.0 255.255.255.0 serial 1/2
Router2(config)#ip route 172.16.1.0 255.255.255.0 serial 1/2
Router2(config)#ip route 172.16.2.0 255.255.255.0 serial 1/2
测试命令:show ip route。
Router1#show ip route                                      !查看路由表信息
Codes:  C - connected, S - static,  R - RIP
        O - OSPF, IA - OSPF inter area
        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
        E1 - OSPF external type 1, E2 - OSPF external type 2
        * - candidate default
Gateway of last resort is no set
C    172.16.1.0/24 is directly connected, FastEthernet 1/0
C    172.16.1.1/32 is local host.
C    172.16.2.0/24 is directly connected, FastEthernet 1/1
C    172.16.2.1/32 is local host.
C    172.16.3.0/24 is directly connected, serial 1/2
C    172.16.3.1/32 is local host.
S    172.16.4.0/24 is directly connected, serial 1/2
Router2#show ip route
Codes:  C - connected, S - static,  R - RIP
        O - OSPF, IA - OSPF inter area
        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
        E1 - OSPF external type 1, E2 - OSPF external type 2
        * - candidate default
Gateway of last resort is no set
S    172.16.1.0/24 is directly connected, serial 1/2
S    172.16.2.0/24 is directly connected, serial 1/2
C    172.16.3.0/24 is directly connected, serial 1/2
C    172.16.3.2/32 is local host.
C    172.16.4.0/24 is directly connected, FastEthernet 1/0
C    172.16.4.1/32 is local host.
步骤32.        配置标准IP访问控制列表。
Router2(config)#access-list 1 deny 172.16.2.0 0.0.0.255
   ! 拒绝来自172.16.2.0网段的流量通过
Router2(config)#access-list 1 permit 172.16.1.0 0.0.0.255
   ! 允许来自172.16.1.0网段的流量通过
验证测试:
Router2#show access-lists 1
Standard IP access list 1 includes 2 items:
    deny   172.16.2.0, wildcard bits 0.0.0.255
    permit 172.16.1.0, wildcard bits 0.0.0.255
步骤33.        把访问控制列表在接口下应用。
Router2(config)# interface fastEthernet 1/0
Router2(config-if)#ip access-group 1 out   ! 在接口下访问控制列表出栈流量调用
验证测试:
Router2#show ip interface fastEthernet 1/0
FastEthernet 1/0
  IP interface state is: UP
  IP interface type is: BROADCAST
  IP interface MTU is: 1500
  IP address is:
    172.16.4.1/24 (primary)
  IP address negotiate is: OFF
  Forward direct-boardcast is: ON
  ICMP mask reply is: ON
  Send ICMP redirect is: ON
  Send ICMP unreachabled is: ON
  DHCP relay is: OFF
  Fast switch is: ON
  Route horizontal-split is: ON
  Help address is: 0.0.0.0
  Proxy ARP is: ON
  Outgoing access list is 1.                          !查看访问列表在接口上的应用
  Inbound access list is not set.
步骤34.        验证测试。
ping(172.16.2.0网段的主机不能ping通172.16.4.0网段的主机;172.16.1.0网段的主机能ping通172.16.4.0网段的主机)。
【注意事项】
*        1、注意在访问控制列表的网络掩码是反掩码。
*        2、标准控制列表要应用在尽量靠近目的地址的接口。
【参考配置】
Router1#show running-config                         !查看路由器1的全部配置
Building configuration...
Current configuration : 544 bytes
!
version 8.32(building 53)
hostname Router1
!
!
interface serial 1/2
ip address 172.16.3.1 255.255.255.0
clock rate 64000
!
interface serial 1/3
clock rate 64000
!
interface FastEthernet 1/0
ip address 172.16.1.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet 1/1
ip address 172.16.2.1 255.255.255.0
duplex auto
speed auto
!
interface Null 0
!
ip route 172.16.4.0 255.255.255.0 serial 1/2
!
line con 0
line aux 0
line vty 0 4
login
!
end
Router2#show running-config                          !查看路由器2的全部配置
Building configuration...
Current configuration : 641 bytes
!
version 8.32(building 53)
hostname Router2
!
access-list 1 deny 172.16.2.0 0.0.0.255
access-list 1 permit 172.16.1.0 0.0.0.255
!
interface serial 1/2
ip address 172.16.3.2 255.255.255.0
!
interface serial 1/3
clock rate 64000
!
interface FastEthernet 1/0
ip access-group 1 out
ip address 172.16.4.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet 1/1
duplex auto
speed auto
!
interface Null 0
!
ip route 172.16.1.0 255.255.255.0 serial 1/2
ip route 172.16.2.0 255.255.255.0 serial 1/2
!
line con 0
line aux 0
line vty 0 4
login
!
end

转载于:https://blog.51cto.com/lidai/244658

利用IP标准访问列表进行网络流量的控制相关推荐

  1. 利用 IP 扩展访问列表实现应用服务的访问限制

    [实训目的] 掌握在交换机上编号的扩展IP访问列表规则及配置. [背景描述] 你是学校的网络管理员,在3560-24交换机上连着学校提供 Telnet的服务器,另外还连接着学生宿舍楼和教工宿舍楼,学校 ...

  2. python—简单数据抓取七(采取蘑菇API代理设置scrapy的代理IP池并利用redis形成队列依次使用,利用ip池访问网页并将scrapy爬取转移到items的数据存入到数据库)

    学习目标: Python学习二十七-简单数据抓取七 学习内容: 1.采取蘑菇API代理设置scrapy的代理IP池并利用redis形成队列依次使用 2.利用ip池访问网页并将scrapy爬取转移到it ...

  3. LINUX网络流量限速控制

    一.TC原理介绍 Linux操作系统中的流量控制器TC(Traffic Control)用于Linux内核的流量控制,主要是通过在输出端口处建立一个队列来实现流量控制. Linux流量控制的基本原理如 ...

  4. 网络流量分析详解(包含OSI七层模型、TCP协议及Wireshark工具用法)

    网络流量分析 Network Traffic Analysis(NTA) 这个系列讲的是整个网络流量分析流程,其中包含TCP协议.HTTP协议详解和Wireshark.Tcpdump的详细用法,现在只 ...

  5. 概念介绍:POE供电交换机、tcpip模型、OSI七层模型、路由协议、网关、访问列表(待整理)...

    PoE供电交换机 是指能够通过网线为远端受电终端提供网络供电的交换机,包含网络交换机和PoE供电两个功能,是PoE供电系统中比较常见的供电设备,端口支持输出功率达15.4W,符合IEEE802.3af ...

  6. 使用 Web 高速缓存减少网络流量 / Reducing network traffic with Web caching

    使用 Web 高速缓存减少网络流量 / Reducing network traffic with Web caching English Version Reducing network traff ...

  7. 运用Ntop监控网络流量

    2019独角兽企业重金招聘Python工程师标准>>> 运用Ntop监控网络流量 ____网络流量反映了网络的运行状态,是判别网络运行是否正常的关键数据,在实际的网络中,如果对网络流 ...

  8. CCNA课堂练习三:标准访问控制列表和扩展访问控制列表的区别

    访问控制列表有两种:一种是标准的访问控制列表,另一种是扩展的访问控制列表.访问控制列表(ACL)是应用在路由器接口的指令列表.这些指令列表用来告诉路由器哪能些数据包可以收.哪能数据包需要拒绝.至于数据 ...

  9. 【虹科】5个步骤有效监控网络流量

    监控大型企业级组织的网络流量与家庭办公室的网络流量是完全不同的.大多数大公司都有各种域,如WAN.SD-WAN.数据中心.AWS.Azure等.随着大型企业的网络环境的扩大,监控网络流量变得越来越困难 ...

  10. 基于KMeans聚类算法的网络流量分类预测

    温馨提示:文末有 CSDN 平台官方提供的学长 Wechat / QQ 名片 :) 1. 项目简介 网络流量分类或网络流量异常检测,采用基于聚类的机器学习算法,实现异常检测与分类,即划分为正常流量和异 ...

最新文章

  1. centos 7 lvs 负载均衡搭建部署
  2. 黑客使用合法工具接管 Docker 和 Kubernetes 平台
  3. SAP Fiori 的 UI 新主题 Horizon
  4. 好久没到这个地方来.
  5. 在win8下安装使用java及在win8下部署java环境变量-图文
  6. micropython是什么意思_MicroPython到底是啥-百度经验
  7. Chrome即将封杀Google Earth、Google Talk等插件
  8. 【汇编语言与计算机系统结构笔记20】补充内容:可定制处理器指令集
  9. Front: 电子邮件通讯创业新模式
  10. 赶快拿走!分享4款实用的软件,一般人我都不告诉他!
  11. java class文件比较_java class文件查看工具
  12. php实现邀请好友,新版php获取MSN好友列表,邀请MSN好友
  13. Windows及应用学习笔记
  14. 计算机组策略怎么显示音量图标,win7系统电源、网络、音量图标不见的解决方法...
  15. Java第五章 常用API
  16. java生成图章到word_JAVA不使用POI给Word文档添加水印
  17. re_mysql_20221210
  18. Java word转pdf Linux/windows跨平台 格式完美(利用命令行调用libreoffice)
  19. 写好 JavaScript 异步代码的几个技巧
  20. UR机器人(二):Path and Time Scaling

热门文章

  1. linux: tee日志记入文件
  2. (转)因巨亏而著名的10大魔鬼交易员
  3. 金融行业灾备压力大?看中和农信如何从容应对
  4. canvas节点无法导出图片_html页面、canvas导出图片
  5. 【声学检测】基于matlab MFCC+GMM安全事件声学检测系统【含Matlab源码 1699期】
  6. 【缺陷识别】基于matlab GUI SVM金属表面缺陷分类与测量(带面板)【含Matlab源码 1652期】
  7. 【边缘检测】基于matlab蚁群算法图像边缘检测【含Matlab源码 1189期】
  8. html让一行文字在两行,css单行两行文本自适应问题
  9. mysql资源估算_关于数据库查询要耗费的服务器资源估算!高手进~
  10. 什么是AsHelper