思科网络中如何配置标准ACL协议

一、什么是标准ACL协议?有什么作用及配置方法?

(1)标准ACL(Access Control List)协议是一种用于控制网络设备上数据流进出的协议。标准ACL基于源IP地址来过滤数据流,可以允许或拒绝特定IP地址范围的数据包通过。
(2)标准ACL的作用包括:
  1. 控制流量:可以限制特定的IP地址或IP地址范围的数据流进出网络设备,提高网络安全性。
  2. 管理网络资源:可以根据需求对网络资源进行有效的分配和管理。
(3)标准ACL的配置方法如下:
  1. 进入特定网络设备的全局配置模式(conf t)。
  2. 使用命令行配置ACL规则,例如:
    • 允许特定IP地址范围通过:access-list <ACL号> permit <源IP地址>
    • 拒绝特定IP地址范围通过:access-list <ACL号> deny <源IP地址>
  3. 将ACL应用到特定接口的进出方向,例如:
    • 应用到入方向:ip access-group <ACL号> in
    • 应用到出方向:ip access-group <ACL号> out

需要注意的是,ACL规则的顺序很重要,应该按照从最具体到最宽泛的顺序配置规则,以避免规则冲突或意外的数据流限制

二、下面我们通过一个简单的拓扑图来让大家更好的理解标准ACL的配置

第一步:根据图中提供的网段地址,为每台PC机以及路由器填上对应的IP地址 

根据每台PC机所处的位置配置地址,这里可以统一给他们的地址为.1 / .2(每个IP网段共有254个地址是可以分配给PC机的,分别是第1~254,IP地址中的第一个地址.0是网络地址(保留地址),IP网段的最后一个地址.255是广播地址(保留地址)

由图可知,上述4台PC机以及2台服务器分别处在三个不同的网段中,因此题目中拓扑的PC机及服务器的IP规划我将这样规划:

PC0:192.168.1.1(IP地址),255.255.255.0(子网掩码)

PC1:192.168.1.2(IP地址),255.255.255.0(子网掩码)

PC2:192.168.2.1(IP地址),255.255.255.0(子网掩码)

PC3:192.168.2.2(IP地址),255.255.255.0(子网掩码)

Server1:192.168.3.1(IP地址),255.255.255.0(子网掩码)

Server2:192.168.3.2(IP地址),255.255.255.0(子网掩码)

第二步,规划路由器对应接口的IP地址
1. 通常情况下,连接交换机及PC机处的fa0/0接口要配的是254(表示允许这个网段的的所有PC机通过);但是这里题目要求路由器Router0要配置单臂路由,所以其fa0/0接口下我将不做任何配置,只需要打开fa0/0接口即可,ip地址的配置将在下面提到;Router1则照常完成其物理端口的配置(Router0的se0/0接口也正常配置)。

命令:
(1)路由器Router0上的配置

Router(config)#interface FastEthernet0/0
Router(config-if)#no shutdown
(开启接口)
Router(config)#interface Serial0/0
Router(config-if)#ip address 10.1.1.1 255.255.255.0
Router(config-if)#no shutdown

(2)路由器Router1上的配置

Router>enable
Router#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#interface FastEthernet0/0
Router(config-if)#ip address 192.168.3.254 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit

Router(config)#interface Serial0/0
Router(config-if)#ip address 10.1.1.2 255.255.255.0
Router(config-if)#no shutdown

三、LAN1的PC划分到两个VLAN:VLAN 10、VLAN 20,配置单臂路由使得VLAN之间互通

(1)在交换机Switch0上创建两个VLAN ,按图示将PC划分到VLAN10、VLAN20中:

Switch>en
Switch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#vlan 10
(创建一个vlan编号为10的虚拟局域网)
Switch(config-vlan)#name vlan10(为VLAN10命名,可以用来标识VLAN的用途或名称;这一步也可以不配置)
Switch(config-vlan)#vlan 20
Switch(config-vlan)#name vlan20
Switch(config-vlan)#int fa0/1
Switch(config-if)#switchport mode access
(设置接口fa0/1为访问模式,即用于连接终端设备)
Switch(config-if)#switchport access vlan 10(将接口fa0/1划分到VLAN10中,表示该接口连接的设备属于VLAN10)
Switch(config-if)#int fa0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 10
Switch(config-if)#int fa0/3
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20
Switch(config-if)#int fa0/4
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20

(2)将交换机Switch0与路由器Router0互联链路配置成TRUNK链路,并允许相应VLAN通过

Switch(config)#int fa0/24
Switch(config-if)#switchport mode trunk
(将该接口配置为trunk模式,表示该接口将用于传输多个VLAN的数据)
Switch(config-if)#switchport trunk allowed vlan all(允许该trunk链路通过所有VLAN的数据传输,不对VLAN进行限制)

四、路由器上配置相应路由,使得全网互通

1. 在路由器Router0上的配置

(1)在Router0上配置单臂路由,使得全网PC互通

Router(config-if)#int fa0/0.1(进入FastEthernet 0/0接口的子接口1配置模式,这里的子接口号可以使其他的,只要配置的时候能区分好VLAN区域就行)
Router(config-subif)#encapsulation dot1Q 10(配置子接口1的VLAN封装类型为802.1Q,并指定VLAN ID为10)
Router(config-subif)#ip add 192.168.1.254 255.255.255.0(为子接口1配置IP地址为192.168.1.254,子网掩码为255.255.255.0)

Router(config-subif)#int fa0/0.2
Router(config-subif)#encapsulation dot1Q 20
Router(config-subif)#ip add 192.168.2.254 255.255.255.0
Router(config-subif)#exit

(2)在Router0上完成环回接口、ospf协议及静态路由的配置

Router(config)#int loopback 0
Router(config-if)#ip add 1.1.1.1 255.255.255.0

Router(config-if)#router ospf 1
Router(config-router)#network 192.168.1.0 255.255.255.0 area 0
Router(config-router)#network 192.168.2.0 255.255.255.0 area 0
Router(config-router)#exit

Router(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.2(静态路由,8个0 + 下一跳地址)

2. 在路由器Router1上的配置

(1)在Router1上完成环回接口、ospf协议及静态路由的配置

Router>enable
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.

Router(config)#int loopback 0
Router(config-if)#ip add 2.2.2.2 255.255.255.0

Router(config-if)#router ospf 1
Router(config-router)#network 192.168.3.0 255.255.255.0 area 0

Router(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1(静态路由,8个0 + 下一跳地址)

3.全网互通,完成题目要求二

五、在Router0路由器上配置标准ACL,要求按下面要求配置即可:

(1)了解ACL的详细配置指南及原理

1. ACL配置流程:

2. 通配符掩码规则:

3. ACL出接口的配置选择:

(2)完成题目要求的标准ACL配置

1. VLAN 10中IP地址主机位为奇数的PC可以访问LAN2的服务器,其他PC不能访问;

Router>en

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#access-list 1 permit 192.168.1.1 0.0.0.254(创建了一个名为1【可以使1-99之间的任意数字】的访问控制列表(ACL),这条命令允许VLAN 10中IP地址主机位为奇数的PC(例如192.168.1.1、192.168.1.3、192.168.1.5等)访问LAN2的服务器。)

Router(config)#access-list 1 deny 192.168.1.0 0.0.0.255(添加拒绝规则,阻止其他PC访问LAN2的服务器)

Router(config)#exit

注意:

1. 上面的permit与deny两条命令顺序不能调换,因为ACL命令是顺序优先原则,由上到下匹配的;

2. 如果题目要求是只允许主机位为偶数的PC机通过,则可以这样配置:Router(config)#acces#-li#t 10 permit 192.168.1.0 0.0.0.254(也可以是192.168.1.2/192.168.1.4等等,只要最后一位是偶数即可)

补充:

在ACL中使用通配符时,通配符的作用是指定一个范围。在这种情况下,0.0.0.254的通配符表示只匹配IP地址的最后一个位为0或1的地址。这样做是为了确保只有主机位为奇数的IP地址(即最后一位为1的IP地址)被允许通过ACL,而主机位为偶数的IP地址(即最后一位为0的IP地址)被拒绝。

在IPv4地址中,每个IP地址由32位组成,分为网络位和主机位。在ACL中,我们可以使用通配符来匹配特定的IP地址范围。通配符中的1表示"匹配",0表示"不匹配"。因此,0.0.0.254的通配符会匹配最后一位为0或1的IP地址,即奇数位(偶数位)的IP地址。

2. VLAN20中除了第一台PC可以访问服务器,其他PC均不能访问LAN2的服务器。

Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#access-list 1 permit host 192.168.2.1
(创建一个标准ACL(ACL编号为1),表示只允许主机位为192.168.2.1的主机通过ACL)
Router(config)#access-list 1 deny 192.168.2.0 0.0.0.255(这条命令在ACL 1中追加创建了一个拒绝规则,拒绝IP地址范围为192.168.2.0 - 192.168.2.255的所有主机通过ACL,0.0.0.255表示匹配192.168.2.0/24网段中的所有IP地址)
Router(config)#int s0/0
Router(config-if)#ip access-group 1 out
(这条命令将ACL 1应用于Serial 0/0接口的出方向;

out关键字表示ACL应用于出方向,即从该接口发送出去的数据流会受到ACL的影响。)

注意:ip access-group 1 out也可以在要求(1)中就配置,表示启动ACL 1上的配置)

六、此时已完成题目所有要求,可以分别在LAN1与LAN2区域各添加一台PC机测试更直观的效果,记得为PC机做对应配置,此处不做展示(测试可以用捉包的方式测试,也可以在路由器内sh ip route查看配置情况,使用sh running-config可以查看配置的命令)

好啦,到这里已经完成了本次配置的内容学习啦,觉得学到东西的各位朋友们可以关注博主点个赞 ~ 您的认可是我坚持创作的动力。小白会不定期更新,关注小白让你实时了解更多的思科路由配置知识!!!

注:本文章配置皆为个人学习理解,如有不同理解或有讲解错误的地方,欢迎评论区留言指出,谢谢!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/733837.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

离散数学例题——7.代数系统和群论

代数系统定义 二元运算律 特殊元素 逆元 子代数系统 同态同构 半群和独异点&#xff08;含幺半群&#xff09; 群和阿贝尔群 常见群和群的证明 群的性质 群的幂 群元素的阶 群的同态同构 子群 子群证明

修改简化docker命令

修改|简化docker命令 使用命令打开 .bashrc 文件&#xff1a; vim ~/.bashrc在文件中添加类似以下行来创建别名&#xff1a; # 查看所有容器 alias disdocker images # 查看运行容器 alias dpsdocker ps # 查看所有容器 alias dpsadocker ps -a # 停止容器 alias dsdocker s…

【Claude 3】一文谈谈Anthropic(Claude) 亚马逊云科技(Bedrock)的因缘际会

文章目录 前言1. Anthropic的诞生2. Anthropic的“代表作”——Claude 3的“三驾马车”3. 亚马逊云科技介绍4. 强大的全托管服务平台——Amazon Bedrock5. 亚马逊云科技(AWS)和Anthropic的联系6. Claude 3模型与Bedrock托管平台的关系7. Clude 3限时体验入口分享【⚠️截止3月1…

flask-sqlalchemy库

彩笔激流勇退。 1. 简介 ORM&#xff0c;对象关系映射。简单来说&#xff0c;ORM将数据库中的表与面向对象中的类建立了一种对应关系。这样&#xff0c;我们要操作数据库&#xff0c;表&#xff0c;记录就可以直接通过操作类或者类实例来完成。 SQLAlchemy 是目前python中最…

3.DOM-事件进阶(事件对象、事件委托)

环境对象this 环境对象本质上是一个关键字 this this所在的代码区域不同&#xff0c;代表的含义不同 全局作用域中的this 全局作用域中this代表window对象 局部作用域中的this 在局部作用域中(函数中)this代表window对象 原因是函数调用的时候简写了&#xff0c;函数完整写…

开发指南002-前后端信息交互规范-概述

前后端之间采用restful接口&#xff0c;服务和服务之间使用feign。信息交互遵循如下平台规范&#xff1a; 前端&#xff1a; 建立api目录&#xff0c;按照业务区分建立不同的.js文件&#xff0c;封装对后台的调用操作。其中qlm*.js为平台预制的接口文件&#xff0c;以qlm_user.…

MySQL--explain执行计划详解

什么是执行计划&#xff1f; SQL的执行计划&#xff0c;通俗来说就是SQL的执行情况&#xff0c;一条SQL语句扫描哪些表&#xff0c;那个子查询先执行&#xff0c;是否用到了索引等等&#xff0c;只有当我们知道了这些情况之后才知道&#xff0c;才可以更好的去优化SQL&#xf…

java 数据结构二叉树

目录 树 树的概念 树的表示形式 二叉树 两种特殊的二叉树 二叉树的性质 二叉树的存储 二叉树的基本操作 二叉树的遍历 二叉树的基本操作 二叉树oj题 树 树是一种 非线性 的数据结构&#xff0c;它是由 n &#xff08; n>0 &#xff09;个有限结点组成一个具有层次…

伪分布Hadoop的安装与部署

1.实训目标 &#xff08;1&#xff09;熟悉掌握使用在Linux下安装JDK。 &#xff08;2&#xff09;熟悉掌握使用在Linux下安装Hadoop。 &#xff08;3&#xff09;熟悉掌握使用配置SSH免密登录。 2.实训环境与软件 环境 版本 说明 Windows 10系统 64位 操作电脑配置 …

前端vite+vue3——可视化页面性能耗时指标(fmp、fp)

文章目录 ⭐前言&#x1f496;vue3系列文章 ⭐可视化fmp、fp指标&#x1f496; MutationObserver 计算 dom的变化&#x1f496; 使用条形图展示 fmp、fp时间 ⭐项目代码⭐结束 ⭐前言 大家好&#xff0c;我是yma16&#xff0c;本文分享关于 前端vitevue3——可视化页面性能耗时…

图像处理与图像分析—图像的读入(C语言)

学习将会依据教材图像处理与图像分析基础&#xff08;C/C&#xff09;版内容展开 什么是数字图像处理 一副图像可以定义为一个二维函数 f(x&#xff0c;y) &#xff0c;其中 x 和 y 是空间&#xff08;平面&#xff09;坐标&#xff0c;任意一对空间坐标 (x,y) 处的幅度值 &am…

微信私信短剧机器人源码

本源码仅提供参考&#xff0c;有能力的继续开发 接口为api调用 云端同步 https://ys.110t.cn/api/ajax.php?actyingshilist 影视搜索 https://ys.110t.cn/api/ajax.php?actsearch&name剧名 每日更新 https://ys.110t.cn/api/ajax.php?actDaily 反馈接口 https://ys.11…

R语言复现:中国Charls数据库一篇现况调查论文的缺失数据填补方法

编者 在临床研究中&#xff0c;数据缺失是不可避免的&#xff0c;甚至没有缺失&#xff0c;数据的真实性都会受到质疑。 那我们该如何应对缺失的数据&#xff1f;放着不管&#xff1f;还是重新开始?不妨试着对缺失值进行填补&#xff0c;简单又高效。毕竟对于统计师来说&#…

NUC980开发板CAN开发笔记

一、内核开启CAN CAN 设置 NUC980 系列带有2个CAN(Controller Area Network), 可以分别独立设置。 请按以下的说明来使能CAN功能. 每个CAN可以单独的开关. CAN0有多组管脚可以选择, 需要一并设置。 使用者也可以设置CAN的唤醒功能。步骤如下&#xff1a; 进入 NUC980-linux-4.…

使用Tokeniser估算GPT和LLM服务的查询成本

将LLM集成到项目所花费的成本主要是我们通过API获取LLM返回结果的成本&#xff0c;而这些成本通常是根据处理的令牌数量计算的。我们如何预估我们的令牌数量呢&#xff1f;Tokeniser包可以有效地计算文本输入中的令牌来估算这些成本。本文将介绍如何使用Tokeniser有效地预测和管…

异步编程实战:使用C#实现FTP文件下载及超时控制

博客标题: 异步编程实战&#xff1a;使用C#实现FTP文件下载及超时控制 如果你的函数不是async&#xff0c;你仍然可以实现相同的超时功能&#xff0c;但你将不得不依赖更多的同步代码或使用.Result或.GetAwaiter().GetResult()来阻塞等待任务完成&#xff0c;这可能导致死锁的风…

verilog中的函数和for循环

在Verilog中&#xff0c;clogb2 的英文全称是 “ceiling&#xff08;天花板&#xff09; log base 2”&#xff0c;表示对输入参数取对数&#xff08;以2为底&#xff09;&#xff0c;并向上取整到最接近的整数值。这个函数通常用于计算内存地址宽度或状态数所需的位数12。 fun…

STM32---通用定时器(二)相关实验

写在前面&#xff1a;前面我们学习了基本定时器、通用定时器的相关理论部分&#xff0c;了解到通用定时器的结构框图&#xff0c;总共包含六大模块&#xff1a;时钟源、控制器、时基单元、输入捕获、公共部分以及输出捕获。对相关模块的使用也做详细的讲解。本节我们主要是对上…

Day33-计算机基础3

Day33-计算机基础3 1.根据TCP/IP进行Linux内核参数优化1.1 例1&#xff1a;调整访问服务端的【客户端】的动态端口范围 &#xff0c;LVS&#xff08;10-50万并发&#xff09;&#xff0c;NGINX负载&#xff0c;SQUID缓存服务,1.2 企业案例&#xff1a;DOS攻击的案例&#xff1a…

[备赛笔记]——5G大唐杯(5G考试等级考考试基础试题)

个人名片&#xff1a; &#x1f981;作者简介&#xff1a;学生 &#x1f42f;个人主页&#xff1a;妄北y &#x1f427;个人QQ&#xff1a;2061314755 &#x1f43b;个人邮箱&#xff1a;2061314755qq.com &#x1f989;个人WeChat&#xff1a;Vir2021GKBS &#x1f43c;本文由…