怎么配置标准的ACL(访问控制列表)

ACL(访问控制列表)是一种路由器配置和控制网络访问的一种有力的工具,它可控制路由器应该允许或拒绝数据包通过,可监控流量,可自上向下检查网络的安全性,可检查和过滤数据和限制不必要的路由更新,因此让网络资源节约成本的ACL配置技术在生活中越来越广泛应用。

操作方法

  • 01

    首先打开思科模拟器软件,找出两台2811类的路由器,3台交换机和4台电脑,让它们有序的排列起来,如下图所示:

  • 02

    关闭电源给两台路由器加上“s0/0/0”接口,打开路由器,关闭电源,点击箭头的地方,从那里拉出四个这样类的接口,拖到右边四个“物理设备视图”下的四个黑色地带,脱完了四次后,给电源加上电,同理,另外一台路由器也做相同的做法,如下图所示:

  • 03

    将所有的设备用线缆连接起来,路由器与路由器之间用DCE串口线连接起来,路由器与交换机之间用直通线连接起来,交换机和电脑之间用直通线连接起来,并且进入路由器每个端口,用no shutdown命令开启每个路由器的接口,并且使灯成绿色,如下图所示:

  • 04

    在交换机s2上建立VLAN 2和VLAN 3,将接口定为的f0/2-f0/14范围并连接到access模式下的VLAN 2,将接口定为的f0/15-f0/18范围并连接到access模式下的VLAN 3,并启用“no shutdown”命令开启,命令如下: s2#enable s2#conf t Enter configuration commands, one per line.  End with CNTL/Z s2(config)#int range f0/2-f0/14 s2(config-if-range)#switchport mode access s2(config-if-range)#switchport access vlan 2 s2(config-if-range)#no sh s2(config-if-range)#exit s2(config)#int range f0/15-f0/18 s2(config-if-range)#switchport mode access s2(config-if-range)#switchport access vlan 3 s2(config-if-range)#no shut 如下图所示:

  • 05

    配置各台电脑的IP地址和网关,将PC0的IP地址设置为192.168.10.10 255.255.255.0  网关为 192.168.10.1 PC1的IP地址网关为 192.168.20.10 255.255.255.0 192.168.20.1, PC2的IP地址和网关设置为 192.168.30.10 255.255.255.0 192.168.30.1, PC3的IP地址和网关设置为 192.168.40.10 255.255.255.0 192.168.40.1,如下图所示:

  • 06

    配置路由器a,将所有的端口都配置上IP,并在端口f0/1划分出两个子接口,即为f0/1.1,和f0/1.2,并在上面配置单臂路由配置,并将它们分属到VLAN 2和VLAN 3,配置路由器的接口配置命令如下图所示: a#conf t Enter configuration commands, one per line.  End with CNTL/Z. a(config)#int s0/0/0 a(config-if)#description line to b-s0/0/0 a(config-if)#clock rate 64000 a(config-if)#ip add 192.168.100.1 255.255.255.0 a(config-if)#no shut a(config-if)#int f0/0 a(config-if)#description line to s1 a(config-if)#ip add 192.168.10.1 a(config-if)#description line to vlan 10 a(config-if)#ip add 192.168.10.1 255.255.255.0 a(config-if)#no shut a(config-if)#int f0/1 a(config-if)#no shut a(config-subif)#int f0/1.1 a(config-subif)#encapsulation dot1Q 1 native (这里也要指明该VLAN  1 就是native vlan ,即是vlan 1) a(config-subif)#ip add 192.168.20.1 255.255.255.0 a(config-subif)#no shut a(config-subif)#int f0/1.2 a(config-subif)#encapsulation dot1Q 2 a(config-subif)#ip add 192.168.30.1 255.255.255.0 a(config-subif)#no shut 如下图所示:

  • 07

    在交换机s2配置单臂路由设置,将VLAN 1和VLAN 2配置为中继器配置,并且开启端口设置,命令如下: s2(config-if)#int f0/1 s2(config-if)#switchport mode trunk 如下图所示:

  • 08

    配置路由器a的静态路由,配置命令如下: a#enable a#conf t Enter configuration commands, one per line.  End with CNTL/Z. a(config)#ip route 192.168.40.0 255.255.255.0 s0/0/0 如下图所示:

  • 09

    配置路由b,配置命令如下: b>enable b#conf t Enter configuration commands, one per line.  End with CNTL/Z. b(config)#int s0/0/0 b(config-if)#ip add 192.168.100.2 255.255.255.0 b(config-if)#no shut b(config-if)#int f0/1 b(config-if)#description line to lan20 b(config-if)#ip add 192.168.40.1 255.255.255.0 b(config-if)#no shut 如下图所示:

  • 10

    配置路由b的静态路由,并用“show IP route”查看路由信息,配置命令如下: b#enable b#conf t Enter configuration commands, one per line.  End with CNTL/Z. b(config)#ip route 192.168.10.0 255.255.255.0 s0/0/0 b(config)#ip route 192.168.20.0 255.255.255.0 s0/0/0 b(config)#ip route 192.168.30.0 255.255.255.0 s0/0/0 b(config)#end 如下图所示:

  • 11

    计算机互相ping一下,用PC2互相ping PC0,PC1,PC3,用PC3互相ping PC0,PC1,PC2,如下图所示表明是可以互相通信的。

  • 12

    现在可以做标准ACL设置了,配置PC0和PC3不可以互相通信,阻止数据的转发和接收,即是允许192.168.20.0,192.168.30.0的数据包可以通过,不允许192.168.40.0的数据包通过,打开路由器a,配置命令是: a#enable a#conf t Enter configuration commands, one per line.  End with CNTL/Z. a(config)#access-list 10 permit 192.168.20.0 0.0.0.255 a(config)#access-list 10 permit 192.168.30.0 0.0.0.255 a(config)#access-list 10 deny 192.168.40.0 0.0.0.255 如下图所示:

  • 13

    将标准ACL应用在路由器f0/0接口上,命令是: a#enable a#conf t Enter configuration commands, one per line.  End with CNTL/Z. a(config)#int f0/0 a(config-if)#ip access-group 10 out a(config-if)#end 如下图所示:

  • 14

    互相用ping命令ping一下PC3和PC0可不可以通信,如下图显示,配置ACL后的PC不能互相通信。

(0)

相关推荐

  • H3C交换机典型(ACL)访问控制列表配置实例

    一、组网需求: 1.通过配置基本访问控制列表,实现在每天8:00~18:00时间段内对源IP为10.1.1.2主机发出报文的过滤; www. 2.要求配置高级访问控制列表,禁止研发部门与技术支援部门之 ...

  • 如何配置Cisco路由器ACL访问控制列的实际案例

    什么是ACL? 访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制 ...

  • 访问控制列表ACL及配置教程

    访问控制列表: ACL: (accesscontrollist) 适用所有的路由协议:IP,IPX,AppleTalk 控制列表分为两种类型: 1.标准访问控制列表:检查被路由数据包的源地址、1~99 ...

  • Linux系统配置 Linux访问控制列表(ACL)的权限控制方法

    使用拥有权限控制的Liunx,工作是一件轻松的任务。它可以定义任何user,group和other的权限。无论是在桌面电脑或者不会有很多用户的虚拟Linux实例,或者当用户不愿意分享他们之间的文件时, ...

  • 如何在Linux下设置访问控制列表(ACL)来控制用户的权限

    Linux下的访问控制列表(ACL)主要用来控制用户的权限,可以做到不同用户对同一文件有不同的权限,那么具体要如何操作呢?下面小编就教你如何在Linux下设置访问控制列表(ACL)来控制用户的权限。 ...

  • 不同类别的访问控制列表即ACL怎么区分

    ACL即Access Control List,中文为"访问控制列表",今天就跟大家介绍一下不同类别的访问控制列表即ACL怎么区分的具体操作步骤.1. ACL事实上是"名 ...

  • 思科路由器反向访问控制列表配置

    在172.16.4.0/24网段中的计算机都是服务器,我们通过反向ACL设置保护这些服务器免受来自172.16.3.0这个网段的病毒攻击。 配置实例:禁止病毒从172.16.3.0/24这个网段传播到 ...

  • 思科Cisco路由器access-list访问控制列表命令详解

    标准型IP访问列表的格式 ---- 标准型IP访问列表的格式如下: ---- access-list[list number][permit|deny][source address][address ...

  • 迅捷路由器自反访问控制列表(Reflexive Access Lists)

    所谓的自反访问列表,英文名为Reflexive Access Lists,自反访问列表会根据一个方向的访问控制列表,自动创建出一个反方向的控制列表,是和原来的控制列表-IP的源地址和目的地址颠倒,并且 ...