Chinaunix首页 | 论坛 | 博客

疯狂的仲夏

首页 |  博文目录 |  关于我

woodman886

  • 博客访问: 156805
  • 博文数量: 43
  • 博客积分: 10
  • 博客等级: 民兵
  • 技术积分: 440
  • 用 户 组: 普通用户
  • 注册时间: 2011-01-19 22:14
个人简介

三十功名尘与土、八千里路云和月

文章分类

全部博文(43)

文章存档

2017年(3)

2016年(2)

2015年(38)

推荐博文
相关博文
ACL配置测试实例

分类: 网络与安全

2015-09-15 11:17:19

ACL配置实例

(2009-11-18 14:45:43)
转载
标签:

杂谈

ACL配置实例

 

标准访问控制列表:
只允许网段1和网段2之间互相访问
扩展访问控制列表:
只允许网段1(10.10.1.0/24)访问R2路由器内部的WWW服务和PING服务,拒绝访问该服务器上的其他服务;
只允许网段2(10.10.2.0/24)访问R3路由器内部的TFTP服务和PING服务,拒绝访问该服务器上的其他服务。
做访问控制列表实验之前我已经在各个路由器上配置了动态路由协议,使整个网
络拓扑是连通的。所以,大家在做访问控制列表实验之前,先配置好路由(动态/
静态),网络运行正常后再配置访问控制列表
标准访问控制列表配置:
只允许网段1和网段2之间互相访问
R1配置:
R1#conf t
R1(config)#access-list 1 deny 10.10.1.0 0.0.0.255
R1(config)#access-list 1 deny 10.10.2.0 0.0.0.255
R1(config)#access-list 1 permit any
R1(config)#int f0/0
R1(config-if)#ip access-group 1 out
测试:
在PC1上ping PC2(10.10.2.1)
PC1#ping 10.10.2.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 108/227/312
ms
测试结果为可以访问
在PC1上PING R2路由器的内部网络(172.16.1.1)
PC1#ping 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
测试结果是不能访问
在PC2上PING PC1(10.10.1.1)
PC2#ping 10.10.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 72/176/216
ms
测试结果为可以访问
在PC2上PING R3路由器的内部网络(172.16.5.1)
PC2#ping 172.16.5.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.5.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
测试结果为不能访问
扩展访问控制列表配置:
只允许网段1(10.10.1.0/24)访问R2路由器内部的WWW服务和PING服务,拒绝访问
该服务器上的其他服务;
只允许网段2(10.10.2.0/24)访问R3路由器内部的TFTP服务和PING服务,拒绝访问
该服务器上的其他服务。
因为先前我们已经配置了一个标准访问控制列表,为了不影响下一步的实验,现
在我们先将其删除
R1#show access-lists
Standard IP access list 1
    10 deny   10.10.1.0, wildcard bits 0.0.0.255 (8 matches)
    20 deny   10.10.2.0, wildcard bits 0.0.0.255 (16 matches)
    30 permit any
R1#conf t
R1(config)#int f0/0
R1(config-if)#no ip access-group 1 out
R1(config-if)#exit   
R1(config)#no access-list 1
R1(config)#end
R1#show access-lists
R1#
好了,现在我们开始配置扩展的访问控制列表了,根据上面的要求来做
R1配置:
R1#conf t
R1(config)#access-list 101 permit tcp 10.10.1.0 0.0.0.255 host         
           172.16.1.1 eq 80       
R1(config)#access-list 101 permit icmp 10.10.1.0 0.0.0.255 host        
       172.16.1.1      
R1(config)#access-list 101 permit udp 10.10.2.0 0.0.0.255 host         
172.16.5.1 eq 69
R1(config)#access-list 101 permit icmp 10.10.2.0 0.0.0.255 host        
   172.16.5.1 echo       
R1(config)#access-list 101 permit icmp 10.10.2.0 0.0.0.255 host        
   172.16.5.1 echo-reply
R1(config)#int f0/0
R1(config-if)#ip access-group 101 out
R1(config-if)#end
R1#show access-lists
Extended IP access list 101
    10 permit tcp 10.10.1.0 0.0.0.255 host 172.16.1.1 eq www
    20 permit icmp 10.10.1.0 0.0.0.255 host 172.16.1.1
    30 permit udp 10.10.2.0 0.0.0.255 host 172.16.5.1 eq tftp
    40 permit icmp 10.10.2.0 0.0.0.255 host 172.16.5.1 echo
    50 permit icmp 10.10.2.0 0.0.0.255 host 172.16.5.1 echo-reply
测试:
PC1:
在PC1上PING R2路由器内部网段的WEB服务器(172.16.1.1)
PC1#ping 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 148/268/420
ms
测试结果为可以PING
在PC1上PING R3路由器内部网段的TFTP服务器(172.16.5.1)
PC1#ping 172.16.5.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.5.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
测试结果为不可以PING
PC2:
在PC2上PING R2路由器内部网段的WEB服务器(172.16.1.1)
PC2#ping 172.16.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
测试结果为不可以PING
在PC2上PING R3路由器内部网段的TFTP服务器(172.16.5.1)
PC2#ping 172.16.5.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.5.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 288/317/384

ms
测试结果为可以PIN

具体步骤

做访问控制列表实验之前我已经在各个路由器上配置了动态路由协议,使整个网络拓扑是连通的。所以,大家在做访问控制列表实验之前,先配置好路由(动态/静态),网络运行正常后再配置访问控制列表
标准访问控制列表配置:
只允许网段1和网段2之间互相访问
R1配置:
R1#conf t
R1(config)#access-list 1 deny 10.10.1.0 0.0.0.255
R1(config)#access-list 1 deny 10.10.2.0 0.0.0.255
R1(config)#access-list 1 permit any
R1(config)#int f0/0
R1(config-if)#ip access-group 1 out
测试:
在PC1上ping PC2(10.10.2.1)
PC1#ping 10.10.2.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 108/227/312 ms
测试结果为可以访问
在PC1上PING R2路由器的内部网络(172.16.1.1)
PC1#ping 172.16.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
测试结果是不能访问


在PC2上PING PC1(10.10.1.1)
PC2#ping 10.10.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 72/176/216 ms
测试结果为可以访问
在PC2上PING R3路由器的内部网络(172.16.5.1)
PC2#ping 172.16.5.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.5.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
测试结果为不能访问
扩展访问控制列表配置:
只允许网段1(10.10.1.0/24)访问R2路由器内部的WWW服务和PING服务,拒绝访问该服务器上的其他服务;
只允许网段2(10.10.2.0/24)访问R3路由器内部的TFTP服务和PING服务,拒绝访问该服务器上的其他服务。
因为先前我们已经配置了一个标准访问控制列表,为了不影响下一步的实验,现在我们先将其删除
R1#show access-lists
Standard IP access list 1
    10 deny   10.10.1.0, wildcard bits 0.0.0.255 (8 matches)
    20 deny   10.10.2.0, wildcard bits 0.0.0.255 (16 matches)
    30 permit any
R1#conf t
R1(config)#int f0/0
R1(config-if)#no ip access-group 1 out
R1(config-if)#exit   
R1(config)#no access-list 1
R1(config)#end
R1#show access-lists

R1#
好了,现在我们开始配置扩展的访问控制列表了,根据上面的要求来做
R1配置:
R1#conf t
R1(config)#access-list 101 permit tcp 10.10.1.0 0.0.0.255 host                     172.16.1.1 eq 80       
R1(config)#access-list 101 permit icmp 10.10.1.0 0.0.0.255 host                172.16.1.1      
R1(config)#access-list 101 permit udp 10.10.2.0 0.0.0.255 host            172.16.5.1 eq 69
R1(config)#access-list 101 permit icmp 10.10.2.0 0.0.0.255 host            172.16.5.1 echo       
R1(config)#access-list 101 permit icmp 10.10.2.0 0.0.0.255 host            172.16.5.1 echo-reply
R1(config)#int f0/0
R1(config-if)#ip access-group 101 out
R1(config-if)#end
R1#show access-lists
Extended IP access list 101
    10 permit tcp 10.10.1.0 0.0.0.255 host 172.16.1.1 eq www
    20 permit icmp 10.10.1.0 0.0.0.255 host 172.16.1.1
    30 permit udp 10.10.2.0 0.0.0.255 host 172.16.5.1 eq tftp
    40 permit icmp 10.10.2.0 0.0.0.255 host 172.16.5.1 echo
    50 permit icmp 10.10.2.0 0.0.0.255 host 172.16.5.1 echo-reply
测试:
PC1:
在PC1上PING R2路由器内部网段的WEB服务器(172.16.1.1)
PC1#ping 172.16.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 148/268/420 ms
测试结果为可以PING
在PC1上PING R3路由器内部网段的TFTP服务器(172.16.5.1)
PC1#ping 172.16.5.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.5.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
测试结果为不可以PING
PC2:
在PC2上PING R2路由器内部网段的WEB服务器(172.16.1.1)
PC2#ping 172.16.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:
U.U.U
Success rate is 0 percent (0/5)
测试结果为不可以PING
在PC2上PING R3路由器内部网段的TFTP服务器(172.16.5.1)
PC2#ping 172.16.5.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.5.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 288/317/384 ms
测试结果为可以PING

阅读(952) | 评论(0) | 转发(0) |
0

上一篇:用Linux防火墙构建DMZ

下一篇:Python在自动化运维时经常会用到的方法

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6