思科Cisco路由器的ACL控制列表设置

请各位高手帮帮我的忙:1.假设局域网内所有网络都互通,现在想设PC3不能访问SERVER服务器192.168.3.32.PC0不能上外网,PC2不能访问192.168.1... 请各位高手帮帮我的忙:
1.假设局域网内所有网络都互通,现在想设PC3不能访问SERVER服务器192.168.3.3
2.PC0不能上外网,PC2 不能访问192.168.1.0网段,但PC0和PC1能访问PC2
3.路由器 ACL控制列表最多能设几个?比如:Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255
Router(config)#access-list 2 permit 192.168.2.0 0.0.0.255
4.控制列表permit 192.168.1.0 0.0.0.255可以设permit 192.168.0.0 0.0.0.255吗,是否就可以让192.168. 后 面 二 位随便什么数都可以上外网了,
5.回答最好能命令加上解文字解释,因为我是初学者。 展开
 我来答
4个回答
#热议# 海关有哪些禁运商品?查到后怎么办?
滟丽00
高粉答主

2019-07-23 · 繁杂信息太多,你要学会辨别
知道答主
回答量:1487
采纳率:0%
帮助的人:22.1万
我也去答题访问个人页
展开全部

1、首先在电脑上点击打开Cisco软件。准备两个PC,一个server和三个路由器,并连接。

2、然后在点击电脑的Destop窗口,配置PC和server的IP地址和网关。

3、然后在三个路由器的CLI窗口,配置路由器的IP地址。

4、然后根据路由器的端口和线路方向,用ip route命令配置路由器的下一跳。

5、然后点击进入到PC和server的run窗口,用ping命令检查PC和server的连通性,要保证连通成功。

6、然后进入到server中进行ACL查询。

7、再进入到连接路由器的端口,配置ACL。测试效果就是不能连通server,说明ACL的配置成功。

已赞过 已踩过<
你对这个回答的评价是?
评论 收起
Storm代理
2023-07-25 广告
StormProxies是一家国内优质海外HTTP代理商,拥有一个庞大的IP资源池,覆盖200多个地区,IP数量大且匿名度高。其优点还包括超高并发、稳定高效、技术服务等特点,同时提供HTTP、HTTPS以及SOCKS5协议支持。此外,Sto... 点击进入详情页
本回答由Storm代理提供
 电脑小白two
2020-02-13 · TA获得超过7171个赞
知道答主
回答量:112
采纳率:0%
帮助的人:7.4万
我也去答题访问个人页
展开全部

1、根据问题1,需在在switch3上做acl,其PC3不能访问服务器192.168.3.3,命令如下:

switch3(config)#access-list 100 deny host 192.168.4.4 host 192.168.3.3  //拒绝网络192.168.4.4访问服务器192.168.3.3。 

switch3(config)#access-list 100 peimit ip any any   //允许其他主机访问。

switch3(config) #interface f0/5    

switch3(config-if) #ip access-group 100 in     //在路由器f0/5接口入方向下调用此ACL 100。

2、根据问题2,PC0、PC1、PC2之间访问关系,如下命令:

switch3(config) #access-list 101 deny host 192.168.1.2 host 202.135.147.33  //PC0禁止访问外网

switch3(config) #access-list 101 peimit host 192.168.1.2 host 192.168.2.2   //PC0允许访问PC2

switch3(config) #access-list 101 peimit host 192.168.1.3 host 192.168.2.2   //PC1允许访问PC2

switch3(config) #access-list 102 deny 192.168.2.2 0.0.0.0.0 192.168.1.0 0.0.0.255  //PC2禁止访问192.168.1.0网段

switch3(config) #interface f0/2

switch3(config-if) #ip access-group 101 in

switch3(config) #interface f0/3

switch3(config-if) #ip access-group 102 in   //分别在switch3上调用acl 101和102。

3、根据问题3,acl分为标准acl和扩展acl,其标准acl访问控制列表号为1-99,扩展acl访问控制列表号为100-199,每条acl下又能创建多条规则,但一个接口下只能调用一条acl。

4、根据问题4,其192.168.1.0 0.0.0.255匹配的是192.168.1.0/24,表示的是192.168.1.0~192.168.1.255地址范围,命令为:

switch3(config) #access-list 103 peimit ip 192.168.0.0 0.0.255.255 any   //允许192.168.0.0/16地址访问任何网络。

扩展资料:

ACL可以应用于多种场合,其中最为常见的应用情形如下:

1、过滤邻居设备间传递的路由信息。 

2、控制交换访问,以此阻止非法访问设备的行为,如对 Console接口、 Telnet或SSH访问实施控制。 

3、控制穿越网络设备的流量和网络访问。

4、通过限制对路由器上某些服务的访问来保护路由器,如HTP、SNMP和NIP等。 

5、为DDR和 IPSeC VPN定义感兴趣流。

6、能够以多种方式在IOS中实现QoS(服务质量)特性。

7、在其他安全技术中的扩展应用,如TCP拦截和IOS防火墙。


本回答被网友采纳
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
Chinchillafly
推荐于2017-10-07 · 知道合伙人体育行家
Chinchillafly
知道合伙人体育行家
采纳数:84 获赞数:4947
绥化学院体育系

向TA提问 私信TA
展开全部
  1.创建访问控制列表
access-list1deny172.16.4.130.0.0.0(标准的访问控制列表)
access-list1permit172.16.0.00.0.255.255(允许网络172.16.0.0)的所有流量通过
access-list1permit0.0.0.0255.255.255.255(允许任何流量通过,如过没有只允许172.16.0.0
的流量通过)
2.应用到接口E0的出口方向上:
interfacefastehernet0/0
ipaccess-group1out(把ACL绑定到接口)
删除一个访问控制列表,首先在接口模式下输入命令:

noipaccess-group
然后在全局模式下输入命令
noaccess-list
并带上它的全部参数
〖访问控制列表的通配符〗

0.0.0.0255.255.255.255=====any

Router(config)#access-list1permit172.30.16.290.0.0.0
======Router(config)#access-list1permithost172.30.16.29
+++++++++++++++++++++++++++++==
访问控制列表的种类
+++++++++++++++++++++++++++
标准IP访问列表只对源IP地址进行过滤。
扩展访问控制列表不仅过滤源IP地址,还可以对目的IP地址、源端口、目的端口进行过滤

尽量把扩展ACL应用在距离要拒绝通信流量的来源最近的地方,以减少不必要的通信流量。
最好把标准的ACL应用在离目的地最近的地方 。
标准的ACL根据数据包的源IP地址来允许或拒绝数据包。
当配置访问控制列表时,顺序很重要。
标准访问控制列表的应用与配置
扩展ACL中,命令access-list的完全语法格式如下:
Router(config)#access-listaccess-list-number{permit|deny}protocol[sourcesource-
wildcarddestinationdestination-wildcard] 。
[operatoroperan][established][log] 。
access-list-number访问控制列表表号100~199 。
permit|deny表示在满足测试条件的情况下,该入口是允许还是拒绝后面指定地址的通信流量
protocol用来指定协议类型,如IP\TCP\UDP\ICMP\GRE\IGRP 。
sourcedestination源和目的,分别用来标识源地址和目的地址 。
source-wildcard、destination-wildcard---反码 。
operatoroperan---lt(小于)、gt(大于)、eq(等于)、neq(不等于)、和一个端口号 。
esablished------如果数据包使用一个已建立连接。便可以允许Tcp信息量通过 。
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
情感恋爱杂货铺
推荐于2017-09-11 · TA获得超过150个赞
知道答主
回答量:58
采纳率:100%
帮助的人:17.7万
我也去答题访问个人页
展开全部
首先,选个中心节点的路由器做ACL,看上图可以先中间那台三层交换机,(初学就开始用三层交换机,比我厉害多了)
问题一:
Switch(config)#access-list 100 deny ip host 192.168.4.4 host 192.168.3.3 // 100是表示扩展ACL的编号,主机PC3就是"host192.168.4.4"不能连通SERVER就是"host 192.168.3.3"的IP流量
问题二:
对于PC2不能上外网我不知道你这个上外网用的什么技术,那就直接吧这个用在F0/1的out接口上。Switch(config)#access-list 1 deny host 192.168.1.2 这个是标准ACL。PC 2不能访问192.168.1.0,Switch(config)#access-list 100 deny ip host 192.168.2.2 192.168.1.0 0.0.0.255
问题三:
可以随便设置控制列表,理论无数个,就算编号用完了可以用名字,关键问题是,一个接口只能应用一个ACL用了编号1的就不能用2
问题四:
这个是通配符的,比如你的上面通配符就是0.0.0.255,想随便什么就能上网就这样permit 192.168.0.0 0.0.255.255,这个表示0的对应位置就是匹配.255表示随意什么数。就是说前面的192.168一定要一样,后面的两个就不管了对应0.0
问题五:
我也是初学者知识有限,我回答有问题欢迎指出
追问
大哥还想问一个问题:比如说路由器有两个接口,一个接外网一个接内网,I建立一个上外网的ACL,好像要用到一个端口ip nat inside,另一个端口用ip nat outside ,如果这二个端口都用完了,我想再建立一个用于内网的访问内网的ACL,不是不够端口用吗?
追答
ip nat inside 和ip nat outside只是做NAT时指定的数据流向,并不算是ACL在接口的应用。不过做NAT的时候用到了ACL只定义了源地址。实际情况是先执行接口上的ACL再执行NAT的。
本回答被提问者采纳
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
收起 更多回答(2)
推荐律师服务: 若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询

为你推荐:

下载百度知道APP,抢鲜体验
使用百度知道APP,立即抢鲜体验。你的手机镜头里或许有别人想知道的答案。
扫描二维码下载
×

类别

我们会通过消息、邮箱等方式尽快将举报结果通知您。

说明

0/200

提交
取消

京ICP证030173号-1   京网文【2023】1034-029号     ©2024Baidu  使用百度前必读 | 知道协议 | 企业推广

辅 助

模 式