ACL配置练习
任务
基础配置任务
plaintext
1 | (1)按图中所示配置各计算机、服务器、路由器对应端口的IP地址相关信息; |
ACL配置任务
plaintext
1 | (1)禁止PC0 ping通外网,允许PC2 ping通外网;(标准acl,序号1) |
实现步骤
plaintext
1 | 1、如图所示,全网由内网1、内网2及ISP(运营商网络:模拟互联网)组成,首先配置各计算机、服务器、路由器对应端口的IP地址相关信息,使用show ip route、ping命令测试网络并记录输出信息。 |
| 设备名称 | 接口 | IP地址 | 网关 |
|---|---|---|---|
| R0 | Fa0/0 | 192.168.22.254/24 | |
| R0 | Se0/3/0 | 58.1.1.1/30 | |
| R1 | Fa0/0 | 192.168.18.254/24 | |
| R1 | Se0/3/0 | 210.28.144.2/30 | |
| R2 | Se0/1/0 | 58.1.1.2/30 | |
| R2 | Se0/0/0 | 210.28.144.1/30 | |
| Server0 | 192.168.18.250/24 | 192.168.18.254/24 | |
| PC0 | 192.168.22.10/24 | 192.168.22.254/24 | |
| PC2 | 192.168.22.20/24 | 192.168.22.254/24 | |
| PC3 | 192.168.18.10/24 | 192.168.18.254/24 | |
| PC5 | 192.168.18.20/24 | 192.168.18.254/24 |
基础配置
Router0配置Fa0/0端口
plaintext
1 | R0> enable #进入特权模式 |
Router0配置Se0/3/0端口
plaintext
1 | R0(config)# interface serial 0/3/0 #配置se0/3/0端口 |
Router2配置Se0/1/0端口
plaintext
1 | R2> enable #进入特权模式 |
Router2配置Se0/0/0端口
plaintext
1 | R2(config)# interface serial 0/0/0 #进入se0/0/0端口 |
Router1配置Se0/3/0端口
plaintext
1 | R1> enable #进入特权模式 |
Router1配置Fa0/0端口
plaintext
1 | R1(config)# interface fastEthernet 0/0 #进入Fa0/0端口 |
Router0路由表
Router1路由表
Router2路由表
PC0 ping PC5
全网互通(RIP配置)
R0:RIP 2配置
plaintext
1 | R0(config)# router rip #启动rip协议 |
R1:RIP 2配置
plaintext
1 | R1(config)# router rip #启动rip协议 |
R2:RIP 2配置
plaintext
1 | R1(config)# router rip #启动rip协议 |
Router0路由表
Router1路由表
Router2路由表
PC0 ping PC5
R0配置标准ACL
plaintext
1 | 在R0上配置标准ACL,禁止PC0 ping PC5,允许PC2 ping PC5,请思考需采用几条ACL,应用于R0那个端口、什么方向;配置完毕后,PC0 ping PC5显示什么信息? |
配置ACL
plaintext
1 | R0(config)# access-list 1 permit host 192.168.22.20 #允许主机192.168.22.20的数据包 |
接口及方向
plaintext
1 | R0(config)# interface serial 0/3/0 #进入接口se0/3/0端口 |
PC0 ping PC5
PC0 PING PC3能通吗,为什么?
plaintext
1 | 解析:PC0 不能ping通PC3,因为我们配置了标准acl,在R0的进方向就已经将PC0发出的数据包拒绝了,我们设置了在192.168.22.0/24中只允许192.168.22.20发出的数据,其他主机无法向外网发送数据。 |
PC2 ping PC5 能通吗,为什么?
plaintext
1 | PC2可以ping通PC5.因为我们写的acl配置就是运行主机PC2访问外网,而且由于之前我们写了RIP,保证了全网互通,所以PC2可以ping通PC5。 |
R0配置拓展ACL
plaintext
1 | 在R0上配置扩展ACL,禁止PC2访问服务器WEB服务,但是可以ping通服务器,请思考需采用几条ACL,应用于R0那个端口、什么方向;配置完毕后,PC0访问服务器WEB服务显示什么信息? |
配置ACL
plaintext
1 | R0(config)# access-list 101 deny tcp host 192.168.22.20 0.0.0.0 192.168.18.250 eq www #拒绝主机192.168.22.20向主机192.168.18.250的www请求 |
端口及方向
plaintext
1 | R0(config)# interface fastEthernet 0/0 #进入Fa0/0端口 |
PC0访问服务器WEB服务
思考题
对于标准型ACL,应该放在网络什么位置;而对于扩展型ACL,又应该放在网络什么位置?
plaintext
1 | 标准ACL不指定目的地址,所以其位置应该尽可能靠近目的地。 |
在IP访问列表中,如果到最后也没有找到匹配,则传输数据包将如何处理?(以cisco为例)
plaintext
1 | 如果都不匹配,那么一定匹配最后的隐含拒绝条目,思科默认拒绝。 |
你该如何安排访问列表中条目顺序?
plaintext
1 | ①最小特权原则。只给受控对象完成任务所必需的最小的权限,因为总规则是各个规则的交集,只满足部分条件的是不容许通过的。 |
此文章版权归 覃浩 所有,如有转载,请注明来自原作者
wechat
alipay
相关推荐
2020-03-30
GRE over IPSec VPN配置练习
GRE over IPSec VPN配置练习 软件:Cisco Packet Tracer 实验网络拓扑图如图所示,在总公司和分公司的边界路由器上做GRE over IPSec VPN,实现两地内部网络私有地址之间可以安全通信。1、基础配置如下: (1)按图中所示配置总公司和分公司中各计算机、服务器、路由器对应端口的IP地址相关信息; (2)在Router0和Router1上配置一条默认路由,实现Internet间互通 (3) 测试Router0和Router1的公网地址间的互通性2、在总公司与分公司之间配置GRE隧道技术(1)在Router0和Router1上配置 GRE VPN (tunnel号为1,地址分别为10.1.1.1/30和10.1.1.2/30)(2)测试tunnel地址之间的互通性3、在总公司与分公司之间配置IPsec VPN,对GRE tunnel数据进行加密。(1) 配置 IKE(ISAKMP)策略:策略序号为1,加密算法为aes,Hash 算法为MD5,密钥算法(Diffie-Hellman)为group...
2020-03-25
IPSec VPN配置练习
IPSec VPN配置 软件:Cisco Packet Tracer 题目要求实验网络拓扑图如图所示 1、基础配置如下: (1)按图中所示配置总公司和分公司中各计算机、服务器、路由器对应端口的IP地址相关信息; (2)在Router0和Router1上配置一条默认路由,实现Internet间互通 (3) 测试Router0和Router1的公网地址间的互通性2、在总公司与分公司之间配置IPsec VPN,实现两地私有地址的内部网络之间可以实现相互通信。(1) 配置 IKE(ISAKMP)策略:策略序号为1,加密算法为aes,Hash 算法为MD5,密钥算法(Diffie-Hellman)为group 2,认证方式(Authentication)为pre-share。(2)定义认证标识:预共享密码为tx18(3)配置 IPsec transform:定义transform set命名为tx18set,加密算法为esp-3des, HMAC 算法为esp-MD5-HMAC(4)定义感兴趣流量:用扩展acl 180来定义通过 VPN 传输的流量(5)创建...
2020-11-01
《网络设备安全配置与管理》综合实训任务书
网络搭建 根据所给定的拓扑要求,将给定的网络设备互连,搭建物理网络。 2. IP 地址规划 根据要求确定所需子网的数量,每个子网的主机数量,设计适当的编址方案,填写网络地址规划表和设备地址表。 3. 网络设备的安全配置 根据任务书中指出的安全需求,完成数据网络安全配置。 4 数据网络安全测试 安全配置后进行完全效果测试,并分析对应的数据包,理解背后的原理。 一、综合实训内容描述《网络设备安全配置与管理》综合实训目的在于通过实际案例需求分析完成设备的仿真配置,同时根据需求完成网络安全配置与管理,保证数据网络安全正常运行。从而能在实际工程中理解网络安全通信的含义。 二、实施中需要完成的工作任务**1. ** 网络搭建 根据所给定的拓扑要求,将给定的网络设备互连,搭建物理网络。 2. IP 地址规划 根据要求确定所需子网的数量,每个子网的主机数量,设计适当的编址方案,填写网络地址规划表和设备地址表。 3. 网络设备的安全配置 根据任务书中指出的安全需求,完成数据网络安全配置。 4...
2020-02-24
思科交换机开启ssh远程
配置IPSwitch> enable #进入管理员模式 Switch# config terminal #进入全局模式 Switch(config)# interface vlan 1 #进入vlan1接口 Switch(config)# ip address 192.168.0.1 255.255.255.0 #配置IP地址和子网掩码 Switch(config)# no shutdown #启用vlan 1接口 修改主机名Switch(config)# hostname MS1 #修改交换机的主机名,后期配置域名的主机名 配置域名MS1(config)# ip domain-name imqinhao.cn #配置域名 生成rsa秘钥MS1(config)# crypto key generate rsa #生成rsa秘钥,默认长度为512,建议修改为1024 定义ssh远程的线路MS1(config)# line vty 0 15 #进入vty端口模式 MS1(config)# transport input...
2020-03-21
GRE VPN练习
GRE VPN配置练习 软件:Cisco Packet Tracer 题目要求 1234567891、基础配置如下: 按图中所示配置总公司和分公司中各计算机、服务器、路由器对应端口的IP地址相关信息;2、在总公司与分公司之间配置GRE隧道技术,实现两地私有地址的内部网络之间可以实现相互通信。 (1)在Router0和Router1上配置一条默认路由,实现Internet间互通总公司和分公司 测试Router0和Router1的公网地址间的互通性 (2)在Router0和Router1上配置 GRE VPN (tunnel号为1,地址分别为10.1.1.1/30和10.1.1.2/30) (3)在Router0和Router1上配置动态路由rip协议,实现总公司和分公司私网路由3、测试PC0能否ping通PC5,为什么?4、分析GRE数据包,了解GRE数据封装格式 Router 0配置IP地址123456789R0> enableR0# config terminalR0(config)# interface fastEthernet...
2020-02-27
OLT基础命令
1、基础命令模式功能及特性列表 命令模式 功能 模式提示符实例 命令 普通用户模式 查看系统基本信息 huawei> 登录后进入 特权模式 进行系统基本配置 huawei# enable 全局配置模式 配置系统设备及全局性参数 huawei(config)# config 2、基础命令 查看ONU相关信息 123命令语法:display onu nat information命令功能:用于查询通过OLT代理管理的ONU设备相关信息,包括ONU的公网IP地址,管理通道的VLAN ID以及ONU上行SNMP报文的优先级;以及ONU私网IP地址池的起始IP地址和范围。 配置ONU管理通道的VLAN 123456命令语法:onu nat vlan vlanid命令功能:配置VLAN ID的前提是OLT通过NAT代理管理ONU功能为使能状态。配置的目的是用于xPON单板根据此VLAN ID抓取ONU报文。参数说明:vlanid:设置ONU所属的代理管理通道的VLAN...
评论
