拓展acl主要解决的问题和华为acl应用到接口环境

solidworks | PHP | c4d | 细胞生物学 | HTML | 冬奥会 | 基因 | 营销策划 | 扫地机器人 | 武侠 | 大学生就业 | 电学 | 国航 | 电子技术研发 | 几何学 | 外星人 | 语言学 | 秦时明月之天行九歌 | 金融数学 | 三国人物 | 休学 | 小店区 | 杨紫 | 植保无人机 | CSS | 陶渊明 | 少数民族 | AutoCAD | 3d打印机 | 香港购物 | 日语语法 | 对联 | matlab | 按键精灵 | 粉丝（Fans） | 语言学习 | 总决赛 | 驾驶经验 | Spss数据分析 | 日本漫画 | 数学建模 | 道德 | 项目管理 | 背景音乐（bgm） | 云主机 | 3D Max | onenote | 游戏原画 | 科学 | 网站建设 | 热血传奇（游戏） | 身高 | 网站运营 | 道教 | 社会学 | 迅雷（软件） | 爬虫（计算机网络） | O2O | 运载火箭 | 遗传学 | 率土之滨 | 百度输入法 | 极限挑战(综艺节目) | 电梯 | 女性主义 | Adobe After Effects | mysql | 办公软件 | 法国 | ps3 | 化学实验 | QQ群 | 中国中央电视台 | 前女友 | 性格 | 免费软件 | 分子生物学 | 金庸小说 | 留学生 | Microsoft SQL Server | 龙珠 | 设计院 | C#编程 | 虚拟机 | 字幕 | 微信群 | 创业项目 | 祛痘 | 图形处理器（gpu） | Microsoft Visual Studio | 动物保护 | C/C++ | facebook | 秦岭 | 燕窝 | 人性 | 下载 | 驾驶技术 | 大学数学 | 封神演义 | 整容 | 西装 | 马克思主义哲学 | 计算机专业 | pdf | thinkpad | 代理 | 参考文献 | 江苏大学 | 游戏手柄 | 城市规划 | 黑洞 | 旅行 | CAD制图 | 风水 | 直播 | 快捷键 | 编辑器 | 机器学习 | 暴走大事件 | 球球大作战 | unity（游戏引擎） | 永恒之塔 | DJI大疆创新 | 传统文化 | wordpress | 仙剑奇侠传（游戏） | 国际物流 | 安徽 | 配音 | 猎头公司 | 在线教育 | 欧洲冠军联赛 | ios游戏 | 洛奇英雄传 | 暗恋 | 网盘 | 星座爱情 | 剧场版 | 面相 | 讯飞输入法 | 记忆力 | 超级战队 | stm32 | 亚马逊中国 | Apple ID | 服装设计 | 网络主播 | 品牌营销 | 情侣 | 新加坡 | 调酒 | 雷欧奥特曼 | 花样姐姐 | 物联网 | 任天堂3ds | 易经 | 户型 | 流氓软件 | 圣经 | 进化 | 垃圾分类 | 函数 | 星际穿越（电影） | 山东工艺美术学院 | 优酷视频 | github | 舰队 Collection | 流行音乐 | 进击的巨人 | playstation vita | 科学研究 | 欢乐麻将 | 史莱姆 | 海关 | Internet Explorer | 刑事案件 | 取名 | 江苏银行 | eDonkey网络 | 表情包 | mfc | 大学军训 | 诸葛亮 | Apple WATCH | 嵌入式系统 | 私募证券投资基金 | iOS应用 | 对外经贸大学 | 最强大脑（电视节目） | 青蛙 | 日本代购 | 巧克力 | 天涯明月刀ol（游戏） | 食用油 | 曹操 | SEO | 生命 | 乌贼 | 我的英雄学院 |

你的位置：网站首页 >> 频道首页 >>装修 >>拓展acl主要解决的问题和华为acl应用到接口环境

拓展acl主要解决的问题和华为acl应用到接口环境

来源：蜘蛛抓取(WebSpider) 时间：2016-03-21 06:07 标签：拓展acl

||||||||||||||||||||||||||||||
您现在的位置：>>
>>正文内容
标准ACL和扩展ACL题目
标准ACL和扩展ACL的经典试题
ACL配置实例
拓扑图如下：
实验一：标准访问控制列表
1、设置访问控制列表1，禁止192.168.2.2这台主机访问192.168.1.0/24这个网段中的服务器，而192.168.2.0/24这个网段中的其它主机可以正常访问。
设置访问控制列表如下：
R1(config)#access-list 1 deny host 192.168.2.2
R1(config)#access-list 1 permit any
将访问控制列表应用到接口F0/0的出站方向上
R1(config)#int f0/0
R1(config-if)#ip access-group 1 out
2、设置访问控制列表2，只允许192.168.2.0/24这个网段中的主机可以访问外网，192.168.1.0/24这个网段的主机则不可以。
设置访问控制列表
R1(config)#access-list 2 permit 192.168.2.0 0.0.0.255
将访问控制列表应用到S0/0的出站方向上
R1(config)#int serial 0/0
R1(config-if)#ip access-group 2 out
3、设置访问控制列表3，只允许192.168.2.3这台主机可以使用telnet连接R1。
设置访问控制列表
R1(config)#access-list 3 permit host 192.168.2.3
设置VTY的登录密码
R1(config)#line vty 0 4
R1(config-line)#password cisco
R1(config-line)#login
R1(config-line)#access-class 3 in&&&&&&&&&& //在入站方向上应用访问控制列表3
R1(config-line)#exit
R1(config)#enable password wnt
4、查看访问控制列表
R1#show access-lists
Standard IP access list 1
&&& deny host 192.168.2.2 (4 match(es))
&&& permit any (15 match(es))
Standard IP access list 2
&&& permit 192.168.2.0 0.0.0.255 (4 match(es))
Standard IP access list 3
&&& permit host 192.168.2.3 (2 match(es))
&&&&&& 2 match(es)这些信息显示是过滤包的数据，可以使用clear access-list counters命令来清除。
5、查看配置在接口上的访问控制列表
R1#show ip interface f0/0
FastEthernet0/0 is up, line protocol is up (connected)
& Internet address is 192.168.1.1/24
&&Broadcast address is 255.255.255.255
& Outgoing access list is 1
& Inbound& access list is not set
6、删除访问控制列表
&&&&&& 删除访问控制列表要从两个方面入手，一是删除访问控制列表，二是取消访问控制列表有接口上的应用。
R1(config)#no access-list 1
R1(config)#int f0/0
R1(config-if)#no ip access-group 1 out
实验二：扩展访问控制列表
扩展访问控制列表的语法：
access-list [100-199] [permit/deny] 协议源IP 源IP反码目标IP 目标IP反码条件[eq] [具体协议/端口号]
1、在SERVER上搭建WWW、FTP、DNS服务如下：
2、测试从三台PC中是否可以正常访问各种服务。
如上表明，FTP、WWW、FTP服务都可以正常工作，且其余三台PC都可以正常访问。
3、在R1上设置扩展访问控制列表101，禁止192.168.2.2这台主机PING通服务器，禁止192.168.2.3这台主机访问FTP服务。
R1(config)#access-list 101 deny icmp host 192.168.2.2 host 192.168.1.2
R1(config)#access-list 101 deny tcp host 192.168.2.3 host 192.168.1.2 eq 20
R1(config)#access-list 101 deny tcp host 192.168.2.3 host 192.168.1.2 eq 21
R1(config)#access-list 101 permit ip any any
R1(config)#int f0/1
R1(config-if)#ip access-group 101 in
R1#show access-lists 101
Extended IP access list 101
&&& deny icmp host 192.168.2.2 host 192.168.1.2
&&& deny tcp host 192.168.2.3 host 192.168.1.2 eq 20
&&& deny tcp host 192.168.2.3 host 192.168.1.2 eq ftp
&&& permit ip any any
4、在R1上设置扩展访问控制列表102，允许外网中的用户只能访问WWW服务。
R1(config)#access-list 102 permit tcp any host 192.168.1.2 eq www
R1(config)#int serial 0/0
R1(config-if)#ip access-group 102 in
5、在R1上设置扩展访问控制列表103，只允许192.168.2.2这台主机可以进行TELNET远程管理。
R1(config)#access-list 103 permit tcp host 192.168.2.2 any eq telnet
R1(config)#line vty 0 4
R1(config-line)#password cisco
R1(config-line)#login
R1(config-line)#access-class 103 in
R1(config-line)#exit
R1(config)#enable password wnt
实验二：命名访问控制列表
命名的IP acl提供的两个主要优点是：
解决ACL号码不足的问题。
可以自由的删除ACL中的一条语句，而不必删除整个ACL。(原本需要先取消端口的规则应用，再用no+整个列表)。
基于名字的IP ACL还有一个很好的优点就是可以为每个ACL取一个有意义的名字，便于日后的管理与维护
命名的标准ACL
1、定义命名的标准ACL wnt1,只允许192.168.2.2这台PC可以上外网。
R1(config)#ip access-list standard wnt1
R1(config-std-nacl)#permit host 192.168.2.2
R1(config-std-nacl)#exit
R1(config)#int serial 0/0
R1(config-if)#ip access-group wnt1 out
2、向命令访问列表wnt1中新添加一条语句，允许192.168.1.0/24这个网段中的主机也可以访问外网。
R1(config)#ip access-list standard wnt1
R1(config-std-nacl)#permit 192.168.1.0 0.0.0.255
R1#show access-lists wnt1
Standard IP access list wnt1
&&& permit host 192.168.2.2
&&& permit 192.168.1.0 0.0.0.255
3、删除命令访问列表wnt1中的语句，即实现不允许192.168.2.2 这台主机访问外网。
R1(config)#ip access-list standard wnt1
R1(config-std-nacl)#no permit host 192.168.2.2
R1#show access-lists wnt1
Standard IP access list wnt1
permit 192.168.1.0 0.0.0.255&&
//删除成功，这也是命名访问控制列表的优点。
命名的扩展ACL
1、定义命名扩展ACL，禁止192.168.2.2这台主机PING通服务器，禁止192.168.2.3这台主机访问FTP服务。
R1(config)#ip access-list extended wnt2
R1(config-ext-nacl)#deny icmp host 192.168.2.2 host 192.168.1.2
R1(config-ext-nacl)#deny tcp host 192.168.2.3 host 192.168.1.2 eq 21
R1(config-ext-nacl)#deny tcp host 192.168.2.3 host 192.168.1.2 eq 20
R1(config-ext-nacl)#permit ip any any
R1(config)#int f0/1
R1(config-if)#ip access-group wnt2 in
最新图文
没有任何内容！

拓展acl主要解决的问题和华为acl应用到接口环境

我要回帖

更多关于拓展acl 的文章

随机推荐

拓展acl主要解决的问题和华为acl应用到接口环境

我要回帖

更多关于 拓展acl 的文章

随机推荐

更多关于拓展acl 的文章