CCNA课堂练习三:标准访问控制列表和扩展访问控制列表的区别
生活随笔
收集整理的這篇文章主要介紹了
CCNA课堂练习三:标准访问控制列表和扩展访问控制列表的区别
小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
訪問(wèn)控制列表有兩種:一種是標(biāo)準(zhǔn)的訪問(wèn)控制列表,另一種是擴(kuò)展的訪問(wèn)控制列表。訪問(wèn)控制列表(ACL)是應(yīng)用在路由器接口的指令列表。這些指令列表用來(lái)告訴路由器哪能些數(shù)據(jù)包可以收、哪能數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕,可以由類似于源地址、目的地址、端口號(hào)等的特定指示條件來(lái)決定。 擴(kuò)展訪問(wèn)控制列表其中重要的一種是IP訪問(wèn)控制列表。為什么要使用訪問(wèn)列表? 1、管理網(wǎng)絡(luò)中逐步增長(zhǎng)的 IP 數(shù)據(jù) 2、當(dāng)數(shù)據(jù)通過(guò)路由器時(shí)進(jìn)行過(guò)濾 ? 訪問(wèn)控制列表的應(yīng)用: 1、允許、拒絕數(shù)據(jù)包通過(guò)路由器 2、允許、拒絕Telnet會(huì)話的建立 3、沒(méi)有設(shè)置訪問(wèn)列表時(shí),所有的數(shù)據(jù)包都會(huì)在網(wǎng)絡(luò)上傳輸 4、基于數(shù)據(jù)包檢測(cè)的特殊數(shù)據(jù)通訊應(yīng)用 ? 標(biāo)準(zhǔn)訪問(wèn)控制列表應(yīng)注意以下幾點(diǎn): 1、檢查源地址 2、通常允許、拒絕的是完整的協(xié)議 擴(kuò)展訪問(wèn)控制列表應(yīng)注意以下幾點(diǎn): 1、檢查源地址和目的地址 2、通常允許、拒絕的是某個(gè)特定的協(xié)議? 擴(kuò)展IP訪問(wèn)控制列表比標(biāo)準(zhǔn)IP訪問(wèn)控制列表具有更多的匹配項(xiàng),包括協(xié)議類型、源地址、目的地址、源端口、目的端口、建立連接的和IP優(yōu)先級(jí)等。編號(hào)范圍是從100到199的訪問(wèn)控制列表是擴(kuò)展IP訪問(wèn)控制列表。 標(biāo)準(zhǔn)訪問(wèn)列表和擴(kuò)展訪問(wèn)列表相比,標(biāo)準(zhǔn)的比擴(kuò)展的簡(jiǎn)單。下面我們來(lái)做一個(gè)關(guān)于標(biāo)準(zhǔn)訪問(wèn)控制列表的實(shí)驗(yàn)。經(jīng)過(guò)在路由上配置訪問(wèn)控制命令后,阻止PC機(jī)3 ping PC機(jī)2和PC機(jī)1,但是PC機(jī)3能ping通PC機(jī)1和2的網(wǎng)關(guān)192.168.1.1.實(shí)驗(yàn)的拓?fù)溥B接圖如下: Router1 E0/0 <----> VPCS V0/1 Router1 E0/1 <----> VPCS V0/2 Router1 E0/2 <----> VPCS V0/3 標(biāo)準(zhǔn)訪問(wèn)控制列表配置時(shí)候很簡(jiǎn)單,要用的設(shè)備也很簡(jiǎn)單,一臺(tái)路由器,三個(gè)PC機(jī)就行,下面我們開(kāi)始來(lái)做實(shí)驗(yàn),首先這是在路由器中的配置 en conf t host r1 int e0/0 ip addr 192.168.1.2 255.255.255.0 no shut exit int e0/1 ip addr 192.168.2.1 255.255.255.0 no shut exit int e0/2 ip addr 192.168.3.1 255.255.255.0 no shut exit access-list 1 deny 192.168.3.0 0.0.0.255----------訪問(wèn)控制列表號(hào)+許可的IP網(wǎng)段 access-list 1 permit any int e0/0 ip access-group 1 out------------在接口上應(yīng)用配置 exit int e0/1 ip access-group 1 out exit 配置完成后如下圖所示,端口全部打開(kāi)了 接下來(lái)配置PC機(jī),配置pc機(jī)很簡(jiǎn)單,只需配置ip和網(wǎng)關(guān)就可以配置如下??:PC1的IP是192.168.1.1 網(wǎng)關(guān)為192.168.1.2? ????????????????? ?PC2的IP是192.168.2.2 網(wǎng)關(guān)為192.168.2.1 ?????????????????? PC3的IP是192.168.3.2 網(wǎng)關(guān)為192.168.3.1 Ok配置完成后我們?cè)?/span>pc機(jī)上測(cè)試一下,最后結(jié)果是pc3ping不通pc1和pc2,但是能ping通它們的網(wǎng)關(guān) 如下所示,配置標(biāo)準(zhǔn)訪問(wèn)控制列表成功達(dá)到了目的。 標(biāo)準(zhǔn)訪問(wèn)控制列表的配置就這樣的完成了,大家是不是舊的很簡(jiǎn)單呢?呵呵….. 下面我們來(lái)做一個(gè)關(guān)于擴(kuò)展訪問(wèn)控制列表的實(shí)驗(yàn)。經(jīng)過(guò)在路由二上配置訪問(wèn)控制命令后,阻止Router1 telnet192.168.2.1 連接Router2上面,但是telnet連接其他的路由卻能連通,其他的路由之間也都能通過(guò)telnet連通192.168.1.1.實(shí)驗(yàn)的拓?fù)溥B接圖如下: Router1 S0/0 <----> Router2 S0/0 Router2 S0/1 <----> Router3 S0/1 一、下面我們來(lái)配置第一個(gè)路由。第一個(gè)路由器配置很簡(jiǎn)單,全是最基本的命令配置,其具體的命令如下: en conf t enable password cisco――――――定義特權(quán)模式的明文密碼 host r1――――――――――――定義路由器一的名稱 line vty 0 4-------------------------------開(kāi)啟虛擬終端Telnet服務(wù) pass cisco--------------------------------定義Telnet口令(其他路由連接的時(shí)候口令必須與本口令一致) login--------------------------------------登陸 int s0/0―――――――――――--進(jìn)入Router1的int s0/0端口 ip addr 192.168.1.1 255.255.255.0-----定義路由器一的IP地址 no shut-----------------------------關(guān)閉端口 exit----------------退出 router ospf 100-----------------------配置路由協(xié)議以及管理距離 network 192.168.1.1 0.0.0.0 area 0----------宣告192.168.1.1 IP地址 反碼為0.0.0.0 ospf區(qū)域?yàn)楣歉蓞^(qū)域area0 exit 二、接著我們來(lái)配置路由器二。我們要在路由器二上設(shè)置訪問(wèn)列表的參數(shù)來(lái)拒絕192.168.1.1 telnet 連接到192.168.2.1。具體的配置如下: en conf t enable password cisco――――定義特權(quán)模式的明文密碼 host r2――――――――――定義路由器二的名稱 line vty 0 4------------------------開(kāi)啟虛擬終端Telnet服務(wù) password cisco-----------------定義Telnet口令(其他路由連接的時(shí)候口令必須與本口令一致) login------------------------------登陸 int s0/0―――――――――――-進(jìn)入Router1的int s0/0端口 ip addr 192.168.1.2 255.255.255.0-----連接路由器一的IP地址 clock rate 64000--------------配置時(shí)鐘頻率 no shut exit int s0/1----------------進(jìn)入Router2的int s0/1端口 ip addr 192.168.2.1 255.255.255.0-----定義路由器二的IP地址 no shut exit router ospf 100-----------------------配置路由協(xié)議以及管理距離 network 192.168.1.2 0.0.0.0 area 0 network 192.168.2.1 0.0.0.0 area 0 exit access-list 100 deny tcp 192.168.1.1 0.0.0.0 192.168.2.1 0.0.0.0 eq 23---------------拒絕子網(wǎng)192.168.1.1使用路由器s0口與子網(wǎng)192.168.2.1? telnet會(huì)話 access-list 100 permit ip any any--------------允許其它數(shù)據(jù) int s0/0 ip access-group 100 in---------------------------在端口上應(yīng)用訪問(wèn)列表 -exit 三、路由器三上的配置命令。和第一個(gè)路由器的配置幾乎一樣,全是最基本的命令配置,在配置時(shí)候只須改一下IP地址和端口號(hào)即可。其具體的命令如下: en conf t host r3 enable password cisco――――――定義特權(quán)模式的明文密碼 line vty 0 4----------------------------開(kāi)啟虛擬終端Telnet服務(wù) password cisco-------定義Telnet口令(其他路由連接的時(shí)候口令必須與本口令一致) login----------------------登陸 int s0/1-------------------------------進(jìn)入路由器三的int s0/1端口 ip addr 192.168.2.2 255.255.255.0--------定義路由器三的IP地址 clock rate 64000------------------------配置時(shí)鐘頻率 no shut--------------------關(guān)閉端口 exit----------------退出 router ospf 100--------------------定義路由器的協(xié)議類型與管理距離 network 192.168.2.2 0.0.0.0 area 0 exit 四、路由器都配置完成后,我們接下來(lái)我們?cè)诼酚善魃蠝y(cè)試一下。如下圖我們?cè)诼酚梢簧线M(jìn)行的測(cè)試,測(cè)試成功了,路由器一Telnet連接不上192.168.2.1,但是卻能Telnet連接到192.168.1.2,和 192.168.2.2,輸入特權(quán)密碼后即可進(jìn)入理由器中進(jìn)行配置 我們?cè)?/span>Router2中可以Telnet連接到192.168.1.1和192.168.2.2,輸入特權(quán)密碼后即可進(jìn)入路由一或路由三中進(jìn)行配置了。 如下圖所示在Router3中也Telnet連接到了192.168.1.1和192.168.2.1輸入密碼進(jìn)入路由后可對(duì)路由進(jìn)行配置 ? 附加:我們?cè)谧?/span>訪問(wèn)列表的路由器上輸入“show access-list”來(lái)查看一下路由器上配置的所有訪問(wèn)列表。 show access-list:顯示路由器上配置的所有訪問(wèn)列表 ? 我們?cè)?/span>Router2中輸入命令后,看到了配置的訪問(wèn)列表的所有信息。 總結(jié): 標(biāo)準(zhǔn)訪問(wèn)列表和擴(kuò)展訪問(wèn)列表相較,標(biāo)準(zhǔn)的只能針對(duì)IP地址做限制 擴(kuò)展的可以對(duì)協(xié)議對(duì)端口做限制。具體的格式如下: 1、擴(kuò)展訪問(wèn)列表的格式:access-list ACL號(hào) [permit|deny] [協(xié)議] [定義過(guò)濾源主機(jī)范圍] [定義過(guò)濾源端口] [定義過(guò)濾目的主機(jī)訪問(wèn)] [定義過(guò)濾目的端口號(hào)] 2、標(biāo)準(zhǔn)訪問(wèn)列表的格式的具體格式如下:access-list ACL號(hào) permit|deny host ip地址 ? 標(biāo)準(zhǔn)訪問(wèn)列表是基于源地址,允許和拒絕完整的TCP/IP協(xié)議;編號(hào)范圍 1-99和1300-1999 擴(kuò)展訪問(wèn)列表是基于源地址和目標(biāo)地址,指定TCP/IP的特定協(xié)議和端口;編號(hào)范圍 100-199和2000-2699
轉(zhuǎn)載于:https://blog.51cto.com/idiot988/692028
總結(jié)
以上是生活随笔為你收集整理的CCNA课堂练习三:标准访问控制列表和扩展访问控制列表的区别的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: PowerDesigner 正向工程 和
- 下一篇: 明晰软件架构与数据结构