acl访问控制列表实验

acl访问控制列表实验

acl访问控制列表实验

实验拓扑图如上 www.2cto.com

1.配置IP地址R1与R3

Loopback0=x.x.x.x/24

IP=192.168.yx.x/24

2.用rip宣告,测通信

3. R1与R3配置VTY与特权口令cisco,测试能否TELNET

配置R1

R1(config)#int s0/3/0

R1(config-if)#clo rat 64000

R1(config-if)#ip add 192.168.21.1 255.255.255.0

R1(config-if)#no sh

R1(config-if)#exit

R1(config)#int l 0

R1(config-if)#ip add 1.1.1.1 255.255.255.0

R1(config-if)#exit

R1(config)#router rip

R1(config-router)#net 1.0.0.0

R1(config-router)#net 192.168.21.0

R1(config-router)#exit

R1(config)#ena pass cisco

R1(config)#line vty 0 4

R1(config-line)#pass cisco

R1#tel 3.3.3.3

Trying 3.3.3.3 ...

User Access Verification

Password:

R3>en(R1telnetR3成功)

Password:

R3#

配置R2

R2(config)#int s0/3/1

R2(config-if)#cl ra 64000

R2(config-if)#no sh

R2(config-if)#ip add 192.168.32.2 255.255.255.0

R2(config-if)#int s0/3/0

R2(config-if)#no sh

R2(config-if)#ip add 192.168.21.2 255.255.255.0

R2(config-if)#exit

R2(config)#router rip

R2(config-router)#net 192.168.21.0

R2(config-router)#net 192.168.32.0

配置R3

R3(config)#int s0/3/0

R3(config-if)#no sh

%LINK-5-CHANGED: Interface Serial0/3/0, changed state to up

R3(config-if)#

R3(config-if)#

%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/3/0, changed state to up

R3(config-if)#ip add 192.168.32.3 255.255.255.0

R3(config-if)#int l 0

%LINK-5-CHANGED: Interface Loopback0, changed state to up

%LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0, changed state to up

R3(config-if)#

R3(config-if)# ip add 3.3.3.3 255.255.255.0

R3(config-if)#exit

R3(config)#router rip

R3(config-router)#net 192.168.32.0

R3(config-router)#net 3.0.0.0

R3(config)#ena pass cisco

R3(config)#line vty 0 4

R3(config-line)#pass cisco

R3(config-line)#

4.禁止R2访问R1:(R3能否PING通R1的s0//3/0.反之)

  查看通信

  清除路由表信息或邻居

  R1--pingR2/R3,查看连通,为什么PIng不通(刚开始能够ping通,因为路由表没有更新,清理路由表之后ping不通因为acl)

在R1上面配置

R1(config)#access-list 1 deny 192.168.21.2

R1(config)#access-list 1 deny 192.168.32.2

R1(config)#access-list 1 per any

R1(config)#int s0/3/0

R1(config-if)#ip acc

R1(config-if)#ip access-group 1 in

R1(config-if)#exi

R1(config)#exi

R1#sh ip route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP

i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area

* - candidate default, U - per-user static route, o - ODR

P - periodic downloaded static route

Gateway of last resort is not set

1.0.0.0/24 is subnetted, 1 subnets

C 1.1.1.0 is directly connected, Loopback0

R 3.0.0.0/8 [120/2] via 192.168.21.2, 00:00:35, Serial0/3/0

C 192.168.21.0/24 is directly connected, Serial0/3/0

R 192.168.32.0/24 [120/1] via 192.168.21.2, 00:00:35, Serial0/3/0

R1#clear ip route *

R1#sh ip route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP

i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area

* - candidate default, U - per-user static route, o - ODR

P - periodic downloaded static route

Gateway of last resort is not set

1.0.0.0/24 is subnetted, 1 subnets

C 1.1.1.0 is directly connected, Loopback0

C 192.168.21.0/24 is directly connected, Serial0/3/0

R3#ping 1.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 62/62/63 ms

R3#ping 1.1.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2 seconds:

.....

Success rate is 0 percent (0/5

5.(删除前ACL配置)禁止R1 telnet R3使用扩展, R3配置

R1#conf t

Enter configuration commands, one per line. End with CNTL/Z.

R1(config)#no acc

R1(config)#no access-list 1

R3(config)#access-list 101 deny tcp host 1.1.1.1 host 192.168.32.3 eq 23

R3(config)#acc 101 deny tcp ho 192.168.21.1 ho 192.168.32.3 ea 23

^

% Invalid input detected at '^' marker.

R3(config)#acc 101 deny tcp ho 192.168.21.1 ho 192.168.32.3 eq 23

R3(config)#acc 101 per ip any any

R3(config)#int s0/3/0

R3(config-if)#ip acc

R3(config-if)#ip access-group 101 in

R1#tel 192.168.32.3

Trying 192.168.32.3 ...

% Connection timed out; remote host not responding

分类:默认分类 时间:2012-01-03 人气:2
本文关键词:
分享到:

相关文章

  • oracle11g之ACL拙见 2012-01-02

      错误样例(使用UTL_HTTP发送http请求时,报出如下错误):   原因:   1、Oracle允许使用几个PL/SQL API(UTL_TCP, UTL_SMTP, UTL_MAIL, UTL_HTTP和 UTL_INADDR)访问外部网络服务,这些API都使用TCP协议。   2、在Oracle 10g是通过一个基于用户是否被授予执行某个包的许可的 on/off开关来实现的,Oracle 11g引入了细粒度访问网络服务.   3、通过在XML DB 数据库中使用访问控制列表(ACL)

  • Cisco交换机端口聚合.VTP.ACL配置实例 2012-02-02

    Cisco交换机端口聚合、VTP、ACL配置实例 网络拓扑: **************** 基本配置 **************** SW1> en ;进入特权模式 SW1# conf t ;进入全局配置模式 SW1(config)# hostname SW1 ;设置交换机的主机名 SW1(config)# enable secret cisco ;设置特权加密口令 SW1(config)# enable password cisco ;设置特权非密口令 SW1(config)# l

  • Cisco交换机的ACL怎么设置-过滤经典配置 2012-02-17

    在交换机上创建 ACL 时, 可以用字符串也可以用数字来命名 ACL,一般可采用 字符串+数字的方式加以命名,以便于识别;至于是标准 ACL 还是扩展ACL,是通过字段来识 别的,如标准 ACL 用standard 识别,扩展 ACL 用extended 识别。 下例的配置显示如何在交换机上创建一条扩展 ACL,名字为 anti-virus,并将这条 ACL 应用 到 fastEthernet 0/1 端口的 in 方向: Switch#configure terminal www.2cto.c

  • ACL过滤奇数或者偶数路由 2012-03-29

    ACL过滤奇数或者偶数路由 一个多协议网络中,客户地址分配很细,很多: www.2cto.com 192.168.1.0/24 192.168.2.0/24 192.168.3.0/24 192.168.4.0/24 192.168.5.0/24 …………………….. 某些网络需要将所有的偶数位的网段进行过滤 分析: 由于要求R1仅能够学习到R3的奇数位的网络号或是偶数号的网络号.将各个子 网拆成二进制观察规律 192.168.1.0/24192.168.00000001.0/24 192.16

  • Zookeeper ACL(使用node-zookeeper-client) 2012-03-30

    再分布式系统中,ACL(Access Control)十分重要;Zookeeper也提供了十分好用的ACL接口,下面我记录一下在nodejs下如何实现zookeeper的访问控制。 Zookeeper的ACL通常表示为:Scheme:Id:Permission,即Scheme,Id,Permission三个部分。其中,Scheme表示使用何种方式来进行访问控制,Id代表用户,Permission表示有什么权限。 ZooKeeeper has the following built in sche

  • 奇偶ACL的网络号匹配 2012-04-03

    奇偶ACL的网络号匹配 实验TOPO: www.2cto.com 实验要求:使用ACL,route-map配合重发布,R1仅能够学习到奇数位的网络号或是偶数位的网络号,即192.168.x.0的x为奇或为偶. 实验步骤一:配置各路由器的IP,并且确认直接接口可以PING通. 实验步骤二:配置RIP和OSPF的协议,同时network正确的网络接口,并且注意passive-interface的使用 实验步骤三:在R2上配置重发布,确认网络是可以通过重发布学习到所有的网络. 题目要求分析: www.

  • 使用三层交换机的ACL实现不同vlan间的隔离 2012-04-05

    使用三层交换机的ACL实现不同vlan间的隔离 建立三个vlan vlan10 vlan20 vlan30 www.2cto.com PC1 PC3属于vlan10 PC2 PC4属于vlan20 PC5属于vlan30 Vlan10 vlan20 vlan30不能互访 但是能上外网 Pc1 :172.16.10.2 pc2: 172.16.20.2 pc3:172.16.10.3 pc4:172.16.20.3 pc5: 172.16.30.2 配置R1 Int f0/0 Ip add 192

  • cisco ACL的类型 2012-04-25

    cisco ACL的类型 Cisco ACL 有两种类型:标准 ACL 和扩展 ACL。 www.2cto.com 标准 ACL 标准 ACL 根据源 IP 地址允许或拒绝流量。数据包中包含的目的地址和端口无关紧要。右侧的示例允许来自网络 192.168.30.0/24 的所有流量。因为 ACL 末尾隐含了 “deny any”,所以它将阻止所有其它流量。标准 ACL 在全局配置模式中创建。 扩展 ACL 扩展 ACL 根据多种属性(例如,协议类型、源和 IP 地址、目的 IP 地址、源 TCP

  • 学习笔记:ACL详解 2012-12-25

    ACL详解 Linux权限非常的一重要,正常情况下一个文件或目录有三种角色,分别为:目录或文件拥有者(User)、所属群组(Group)、其他用户(Other),每个角色对应:读、写、可执行(rwx)。这也是我们最常见的权限,#ls -l 所看到第一列内容。第一位是文件类型,如 d 是目录、-是普通文件、l 是链接文件、c 是字符文件、b 是块文件等。 剩下9位即是文件对应三种角色的权限。如下图: 还会有其它一些特殊权限,如SUID、SGID、 Sticky bit,还有一些需要通过命令lsat

Copyright (C) quwantang.com, All Rights Reserved.

趣玩堂 版权所有 京ICP备15002868号

processed in 0.070 (s). 10 q(s)