首页 理论教育配置标准ACL-网络设备配置与实训

配置标准ACL-网络设备配置与实训

2023-11-17 理论教育 版权反馈
【摘要】:实训目的通过以下案例的配置,掌握路由器上编号的标准IP访问列表规则及配置,实现不同网段间互相访问的安全控制。公司的经理部、财务部门和销售部门分属不同的3个网段,三部门之间用路由器进行信息传递。实训步骤首先按实训拓扑图连接各设备,然后按以下步骤进行功能配置。

实训目的

通过以下案例的配置,掌握路由器上编号的标准IP访问列表规则及配置,实现不同网段间互相访问的安全控制。

公司的经理部、财务部门和销售部门分属不同的3个网段,三部门之间用路由器进行信息传递。为了安全起见,公司领导要求销售部门不能对财务部门进行访问,但经理部可以对财务部门进行访问。PC 1代表经理部的主机,PC 2代表销售部门的主机,PC 3代表财务部门的主机,如图5-6所示。

图5-6 配置标准ACL

拓扑图中各设备和接口地址为:

PC 1:192.168.1.2/24

PC 2:192.168.2.2/24

PC 3:192.168.4.2/24

Router 1 S 1/2:192.168.3.1/24

F 1/0:192.168.1.1/24

F 1/1:192.168.2.1/24

Router 2 S 1/2:192.168.3.2/24

F 1/0:192.168.4.1/24

实训设备

R1762路由器2台,V.35线缆2条(一条DCE,一条DTE),直连线或交叉线3条。

实训步骤

首先按实训拓扑图连接各设备,然后按以下步骤进行功能配置。

1.Router 1基本配置

Red-Giant>enable

Red-Giant#configure terminal

Red-Giant(config)#hostname Router1

Router1(config)# interface fastEthernet1/0

Router1(config-if)#ip add 192.168.1.1 255.255.255.0

Router1(config-if)#no shutdown

Router1(config-if)#exit

Router1(config)# interface fastEthernet1/1

Router1(config-if)#ip add 192.168.2.1 255.255.255.0

Router1(config-if)#no shutdown

Router1(config-if)#exit

Router1(config)#interface serial 1/2

Router1(config-if)#ip add 192.168.3.1 255.255.255.0

Router1(config-if)#clock rate 64000

Router1(config-if)#no shutdown

Router1(config-if)#end

2.测试接口状态

Router1#show ip int brief

!观察接口状态

Interface IP-Address(Pri)OK?Status

serial 1/2 192.168.3.1/24 YES UP

serial 1/3 no address YES DOWN

FastEthernet1/0 192.168.1.1/24 YES UP

FastEthernet1/1 192.168.2.1/24 YES UP

Null 0 no address YES UP

3.Router 2基本配置

Red-Giant>enable

Red-Giant#configure terminal

Red-Giant(config)#hostname Router2

Router2(config)# interface fastEthernet1/0

Router2(config-if)#ip add 192.168.4.1 255.255.255.0

Router2(config-if)#no shutdown

Router2(config-if)#exit

Router2(config)#interface serial 1/2

Router2(config-if)#ip add 192.168.3.2 255.255.255.0

Router2(config-if)#no shutdown

Router2(config-if)#end

4.测试接口状态

Router2#show ip int brief

!观察接口状态

Interface IP-Address(Pri)OK?Status

serial 1/2 192.168.3.2/24 YES UP

serial 1/3 no address YES DOWN

FastEthernet1/0 192.168.4.1/24 YES UP

FastEthernet1/1 no address YES DOWN

Null 0 no address YES UP

5.配置静态路由

Router1(config)#ip route 192.168.4.0 255.255.255.0 192.168.3.2

Router2(config)#ip route 192.168.1.0 255.255.255.0 192.168.3.1

Router2(config)#ip route 192.168.2.0 255.255.255.0 192.168.3.1

6.测试路由信息(www.chuimin.cn)

Router1#show ip route

!查看路由表信息

Codes:C-connected,S-static,R-RIP

O-OSPF,IA-OSPF inter area

N1-OSPF NSSA external type 1,N2-OSPF NSSA external type 2

E1-OSPF external type 1,E2-OSPF external type 2

*-candidate default

Gateway of last resort is no set

C 192.168.1.0/24 is directly connected,FastEthernet1/0

C 192.168.1.1/32 is local host.

C 192.168.2.0/24 is directly connected,FastEthernet1/1

C 192.168.2.1/32 is local host.

C 192.168.3.0/24 is directly connected,serial 1/2

C 192.168.3.1/32 is local host.

S 192.168.4.0/24 is directly connected,serial 1/2

Router2#show ip route

Codes:C-connected,S-static,R-RIP

O-OSPF,IA-OSPF inter area

N1-OSPF NSSA external type 1,N2-OSPF NSSA external type 2

E1-OSPF external type 1,E2-OSPF external type 2

*-candidate default

Gateway of last resort is no set

S 192.168.1.0/24 is directly connected,serial 1/2

S 192.168.2.0/24 is directly connected,serial 1/2

C 192.168.3.0/24 is directly connected,serial 1/2

C 192.168.3.2/32 is local host.

C 192.168.4.0/24 is directly connected,FastEthernet1/0

C 192.168.4.1/32 is local host.

7.配置标准IP访问控制列表

Router2(config)#access-list1 deny 192.168.2.0 0.0.0.255

!拒绝来自192.168.2.0网段的流量通过

Router2(config)#access-list1 permit 192.168.1.0 0.0.0.255

!允许来自192.168.1.0网段的流量通过

8.验证ACL配置信息

Router2#show access-lists 1

Standard IP access list1 includes 2 items:

deny 192.168.2.0,wildcard bits 0.0.0.255

permit192.168.1.0,wildcard bits 0.0.0.255

9.在接口下应用访问控制列表

Router2(config)# interface fastEthernet1/0

Router2(config-if)#ip access-group 1 out

!在接口下访问控制列表出栈流量调用

10.查看访问列表在接口上的应用

Router2#show ip interface fastEthernet1/0

FastEthernet1/0

IP interface state is:UP

IP interface type is:BROADCAST

IP interface MTU is:1500

IP address is:

192.168.4.1/24(primary)

IP address negotiate is:OFF

Forward direct-boardcast is:ON

ICMPmask reply is:ON

Send ICMP redirect is:ON

Send ICMP unreachabled is:ON

DHCP relay is:OFF

Fast switch is:ON

Route horizontal-split is:ON

Help address is:0.0.0.0

Proxy ARP is:ON

Outgoing access list is 1.

Inbound access list is not set.

验证测试

ping 192.168.2.0网段的主机,不能ping通172.16.4.0网段的主机;172.16.1.0网段的主机能ping通192.168.4.0网段的主机。

知识拓展

通配符掩码

通配符掩码是一个32位的数字串,它被用点号分成4个8位组,每组包含8位。在通配符掩码中,0表示“检查相应的位”,1表示“不检查相应的位”。通配符掩码与IP地址是成对出现的,但通配符掩码和子网掩码工作原理不同。在子网掩码中,数字1和0用来决定是网络、子网,还是相应主机的IP地址。如172.16.0.0这个网段,使用的通配符掩码应为0.0.255.255。

在ACL的判别条件中,使用一个IP地址与通配符来指定匹配的范围。通配符中为“0”的位,代表被检测的数据包中的地址位必须与前面的IP地址相应位一致,才被认为满足了匹配条件。而通配符中为“1”的位,代表被检测的数据包中的地址位无论是否与前面的IP地址相应位一致,都认为满足了匹配条件。如果想指定匹配所有地址,可使用IP地址与通配符为0.0.0.0 255.255.255.255,其中IP地址0.0.0.0代表所有网络地址,而通配符255.255.255.255代表不管数据包中的IP地址是什么都满足匹配条件,所以0.0.0.0 255.255.255.255意为接受所有地址并且可简写为any。如果要对特定主机进行匹配,则需要匹配IP地址中所有位,所以通配符为0.0.0.0,代表必须匹配 所 有 位 才 满 足 匹 配 条 件。例 如172.30.16.29 0.0.0.0,可 表 示 为host172.30.16.29。

有关网络设备配置与实训的文章

  • 网络设备配置与实训:静态路由配置实践 网络设备配置与实训:静态路由配置实践

    实训目的理解路由器静态路由协议,实现两个局域网互相通信。图2-13静态路由配置2.在路由器R 1上配置接口的IP地址和串口上的时钟频率。验证R 2上的静态路由配置6.测试网络的互连互通性。通过子接口可以实现对不同VLAN的路由。......

    2023-11-17

    详细阅读
  • 静态路由配置实例-网络设备配置与实训 静态路由配置实例-网络设备配置与实训

    表2-2ip route命令参数说明通常使用该命令时只使用network、net-mask、ip-address三种参数,其他参数使用默认值,例如:router#ip route 192.168.2.0 255.255.255.0 192.168.3.2这时,该静态路由的管理距离为默认的“1”。图2-11静态路由表示例如果静态路由配置错误,重新配置之前必须将错误的路由删除,静态路由是不能被覆盖的。......

    2023-11-17

    详细阅读
  • 网络设备配置与实训实践 网络设备配置与实训实践

    实训目的通过单核心网络的配置,理解、掌握交换机、路由器的常用功能及Windows2003 server网络服务的配置方法。图6-1单核心网络拓扑图例某企业网络的拓扑图如图6-1所示,接入层采用二层交换机S2126,汇聚和核心层使用两台三层交换机S3760 A和S3760 B,网络边缘采用一台路由器R1762,用于连接到外部网络。为实现链路的冗余备份,S2126与S3760 A之间使用两条链路相连。实训设备RG-R1762路由器1台,RG-S3760交换机2台,RG-S2126交换机1台,PC 4台,打印机1台,直通网线若干。......

    2023-11-17

    详细阅读
  • 网络设备配置与实训:交换机基本配置 网络设备配置与实训:交换机基本配置

    实训目的通过以下案例的配置,练习交换机的常用管理方式和基本配置命令。同时为了方便管理,交换机允许远程Telnet登录配置。实训步骤1.按实验拓扑图1-12正确连接网线并进行配置。交换机Office的配置:switch#configswitch#hostname officeoffice#enable secret level 1 0 1234567!知识拓展神州数码交换机启用Telnet远程管理的配置方法不同厂家的交换机可能使用不同的操作系统或不同的命令格式,与锐捷产品相比,神州数码的交换机在启用Telnet远程管理服务时,必须为远程用户设置用户名和密码。......

    2023-11-17

    详细阅读
  • 路由器配置扩展ACL-网络设备实训 路由器配置扩展ACL-网络设备实训

    实训目的通过本实训,掌握扩展访问列表的配置,理解扩展访问列表丰富的过滤条件。如图5-8所示,各设备IP地址设计如下,通过扩展ACL技术禁止192.168.0.0/24到PC-B的远程登入,但能ping通。Router-A:S1/2192.168.1.1/24;F1/0 192.168.0.1/24Router-B:S1/2192.168.1.2/24;F1/0 192.168.2.1/24PC-A:192.168.0.2/24 网关192.168.0.1PC-B:192.168.2.2/24 网关192.168.2.1图5-8扩展ACL配置实训图例实训设备路由器RG-R1762 2台,PC 2台,V.35线缆2条,网线2条。实训步骤首先按实训拓扑图连接各设备,然后按以下步骤进行功能配置。图5-10PC-A对PC-B能ping通但不能Telnet知识拓展常见网络......

    2023-11-17

    详细阅读
  • 网络设备安全配置实训 网络设备安全配置实训

    实训目的熟悉交换机端口安全的配制方法。还是实训4中的公司,为了保证公司服务器和财务部门计算机的安全性,除了对不同部门的计算机加以隔离外,网管员决定对服务器和财务部门的机器进行端口安全的相关配置,将合法机器的MAC地址和IP地址进行静态的绑定。......

    2023-11-17

    详细阅读
  • 网络设备配置实训:路由器基本配置 网络设备配置实训:路由器基本配置

    实训目的通过以下配置,练习路由器的常用管理方式和基本配置命令。图2-9实验拓扑如图2-9所示,要求:配置路由器R 1的主机名、端口IP,并将R 1的特权密码设置为12345。同时为路由器设置Telnet参数,实现PC 1对R 1的Telnet访问。实训设备锐捷RG-R1762 1台,主机1台,交叉双绞线1条,控制线1条。路由器R 1的配置:Router#configRouter#hostname R1R1#enable secret 12345!进入路由器线路配置模式R1#loginR1#password 12345R1#exitR1#interface fastethernet1/0R1#no shutdown!结果表明,可以成功ping通和登录路由器。......

    2023-11-17

    详细阅读
  • 生成树协议简介-网络设备配置与实训 生成树协议简介-网络设备配置与实训

    生成树协议中定义了根桥、根端口、指定端口等概念,目的就在于通过构造一棵自然树的方法达到裁剪冗余环路的目的,同时实现链路备份和路径最优化。总之,生成树协议的根本目的是将一个存在物理环路的交换网络变成一个没有环路的逻辑树形网络。而当这个链路出现故障无法使用时,IEEE 802.1d协议会重新计算网络链路,将处于“阻断状态”的端口重新打开,从而保障网络正常运转,如图4-6所示。......

    2023-11-17

    详细阅读