CCNA课堂练习三:标准访问控制列表和扩展访问控制列表的区别

本文涉及的产品
访问控制,不限时长
简介:



访问控制列表有两种:一种是标准的访问控制列表,另一种是扩展的访问控制列表。访问控制列表(ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

扩展访问控制列表其中重要的一种是IP访问控制列表。为什么要使用访问列表?
1、管理网络中逐步增长的 IP 数据
2、当数据通过路由器时进行过滤
 
访问控制列表的应用:
1允许、拒绝数据包通过路由器
2、允许、拒绝Telnet会话的建立
3、没有设置访问列表时,所有的数据包都会在网络上传输
4基于数据包检测的特殊数据通讯应用
 
标准访问控制列表应注意以下几点:
1、检查源地址
2、通常允许、拒绝的是完整的协议
扩展访问控制列表应注意以下几点:
1、检查源地址和目的地址
2、通常允许、拒绝的是某个特定的协议  
扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项,包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100199的访问控制列表是扩展IP访问控制列表。
标准访问列表和扩展访问列表相比,标准的比扩展的简单。下面我们来做一个关于标准访问控制列表的实验。经过在路由上配置访问控制命令后,阻止PC3 ping PC2PC1,但是PC3pingPC12的网关192.168.1.1.实验的拓扑连接图如下:
Router1 E0/0 <----> VPCS V0/1
Router1 E0/1 <----> VPCS V0/2
Router1 E0/2 <----> VPCS V0/3
标准访问控制列表配置时候很简单,要用的设备也很简单,一台路由器,三个PC机就行,下面我们开始来做实验,首先这是在路由器中的配置
en
conf t
host r1
int e0/0
ip addr 192.168.1.2 255.255.255.0
no shut
exit
int e0/1
ip addr 192.168.2.1 255.255.255.0
no shut
exit
int e0/2
ip addr 192.168.3.1 255.255.255.0
no shut
exit
access-list 1 deny 192.168.3.0  0.0.0.255----------访问控制列表号+许可的IP网段
access-list 1 permit any
int e0/0
ip access-group 1 out------------在接口上应用配置
exit
int e0/1
ip access-group 1 out
exit
配置完成后如下图所示,端口全部打开了
接下来配置PC机,配置pc机很简单,只需配置ip和网关就可以配置如下  :PC1IP192.168.1.1 网关为192.168.1.2 
                   PC2IP192.168.2.2 网关为192.168.2.1
                   PC3IP192.168.3.2 网关为192.168.3.1
Ok配置完成后我们在pc机上测试一下,最后结果是pc3ping不通pc1pc2,但是能ping通它们的网关
如下所示,配置标准访问控制列表成功达到了目的。
标准访问控制列表的配置就这样的完成了,大家是不是旧的很简单呢?呵呵…..
下面我们来做一个关于扩展访问控制列表的实验。经过在路由二上配置访问控制命令后,阻止Router1 telnet192.168.2.1 连接Router2上面,但是telnet连接其他的路由却能连通,其他的路由之间也都能通过telnet连通192.168.1.1.实验的拓扑连接图如下:
Router1 S0/0 <----> Router2 S0/0
Router2 S0/1 <----> Router3 S0/1
一、下面我们来配置第一个路由。第一个路由器配置很简单,全是最基本的命令配置,其具体的命令如下:
en
conf t
enable password cisco――――――定义特权模式的明文密码
host r1――――――――――――定义路由器一的名称
line vty 0 4-------------------------------开启虚拟终端Telnet服务
pass cisco--------------------------------定义Telnet口令(其他路由连接的时候口令必须与本口令一致)
login--------------------------------------登陆
int s0/0―――――――――――--进入Router1int s0/0端口
ip addr 192.168.1.1 255.255.255.0-----定义路由器一的IP地址
no shut-----------------------------关闭端口
exit----------------退出
router ospf 100-----------------------配置路由协议以及管理距离
network 192.168.1.1 0.0.0.0 area 0----------宣告192.168.1.1 IP地址 反码为0.0.0.0 ospf区域为骨干区域area0
exit
二、接着我们来配置路由器二。我们要在路由器二上设置访问列表的参数来拒绝192.168.1.1 telnet 连接到192.168.2.1。具体的配置如下:
en
conf t
enable password cisco――――定义特权模式的明文密码
host r2――――――――――定义路由器二的名称
line vty 0 4------------------------开启虚拟终端Telnet服务
password cisco-----------------定义Telnet口令(其他路由连接的时候口令必须与本口令一致)
login------------------------------登陆
int s0/0―――――――――――-进入Router1int s0/0端口
ip addr 192.168.1.2 255.255.255.0-----连接路由器一的IP地址
clock rate 64000--------------配置时钟频率
no shut
exit
int s0/1----------------进入Router2int s0/1端口
ip addr 192.168.2.1 255.255.255.0-----定义路由器二的IP地址
no shut
exit
router ospf 100-----------------------配置路由协议以及管理距离
network 192.168.1.2 0.0.0.0 area 0
network 192.168.2.1 0.0.0.0 area 0
exit
access-list 100 deny tcp 192.168.1.1 0.0.0.0 192.168.2.1 0.0.0.0 eq 23---------------拒绝子网192.168.1.1使用路由器s0口与子网192.168.2.1  telnet会话
access-list 100 permit ip any any--------------允许其它数据
int s0/0
ip access-group 100 in---------------------------在端口上应用访问列表
-exit
三、路由器三上的配置命令。和第一个路由器的配置几乎一样,全是最基本的命令配置,在配置时候只须改一下IP地址和端口号即可。其具体的命令如下:
en
conf t
host r3
enable password cisco――――――定义特权模式的明文密码
line vty 0 4----------------------------开启虚拟终端Telnet服务
password cisco-------定义Telnet口令(其他路由连接的时候口令必须与本口令一致)
login----------------------登陆
int s0/1-------------------------------进入路由器三的int s0/1端口
ip addr 192.168.2.2 255.255.255.0--------定义路由器三的IP地址
clock rate 64000------------------------配置时钟频率
no shut--------------------关闭端口
exit----------------退出
router ospf 100--------------------定义路由器的协议类型与管理距离
network 192.168.2.2 0.0.0.0 area 0
exit
四、路由器都配置完成后,我们接下来我们在路由器上测试一下。如下图我们在路由一上进行的测试,测试成功了,路由器一Telnet连接不上192.168.2.1,但是却能Telnet连接到192.168.1.2,和 192.168.2.2,输入特权密码后即可进入理由器中进行配置
我们在Router2中可以Telnet连接到192.168.1.1192.168.2.2,输入特权密码后即可进入路由一或路由三中进行配置了。
如下图所示在Router3中也Telnet连接到了192.168.1.1192.168.2.1输入密码进入路由后可对路由进行配置
 
附加:我们在做访问列表的路由器上输入“show access-list”来查看一下路由器上配置的所有访问列表。
show access-list:显示路由器上配置的所有访问列表
 
我们在Router2中输入命令后,看到了配置的访问列表的所有信息。
总结:
标准访问列表和扩展访问列表相较,标准的只能针对IP地址做限制 扩展的可以对协议对端口做限制。具体的格式如下:
1、扩展访问列表的格式:access-list ACL [permit|deny] [协议] [定义过滤源主机范围] [定义过滤源端口] [定义过滤目的主机访问] [定义过滤目的端口号]
2、标准访问列表的格式的具体格式如下:access-list ACL permit|deny host ip地址
 
标准访问列表是基于源地址,允许和拒绝完整的TCP/IP协议;编号范围 1-991300-1999
扩展访问列表是基于源地址和目标地址,指定TCP/IP的特定协议和端口;编号范围 100-1992000-2699
本篇文章到这里就算结束了!文章看上去有些杂乱,希望各位不要见怪啊!我也尽了自己最大努力,如有什么不明之处,还请各位高手多多指教。本人感激不尽………如需帮助,QQ联系 本人:458180854


http://blog.51cto.com/hongwei/133632
本文转自 张宏伟 51CTO博客,原文链接:http://blog.51cto.com/hongwei/133632
相关实践学习
消息队列+Serverless+Tablestore:实现高弹性的电商订单系统
基于消息队列以及函数计算,快速部署一个高弹性的商品订单系统,能够应对抢购场景下的高并发情况。
云安全基础课 - 访问控制概述
课程大纲 课程目标和内容介绍视频时长 访问控制概述视频时长 身份标识和认证技术视频时长 授权机制视频时长 访问控制的常见攻击视频时长
相关文章
ly~
|
7天前
|
消息中间件 搜索推荐 大数据
一般情况下在 RocketMQ 中添加 access key 的步骤: 一、确定配置文件位置 RocketMQ 的配置文件通常位于安装目录下的 conf 文件夹中。你需要找到 broker.conf 或相关的配置文件。 二、编辑配置文件 打开配置文件,查找与 ACL(访问控制列表)相关的配置部分。 在配置文件中添加以下内容:
大数据广泛应用于商业、金融、医疗和政府等多个领域。在商业上,它支持精准营销、客户细分及流失预测,并优化供应链管理;金融领域则利用大数据进行风险评估、市场预测及欺诈检测;医疗行业通过大数据预测疾病、提供个性化治疗;政府运用大数据进行城市规划和公共安全管理;工业领域则借助大数据进行设备维护、故障预测及质量控制。
ly~
7 2
|
5月前
|
安全 网络安全 数据安全/隐私保护
【专栏】IT 知识百科:访问控制列表(ACL)是网络安全的关键机制,用于定义和管理网络资源的访问权限
【4月更文挑战第28天】访问控制列表(ACL)是网络安全的关键机制,用于定义和管理网络资源的访问权限。ACL工作原理包括定义规则、匹配规则和执行操作。标准ACL基于源IP过滤,扩展ACL则提供更多筛选条件。时间及用户基础的ACL提供更细化的控制。优点在于增强安全性和精细管理,但管理复杂性和性能影响也是挑战。未来,ACL将趋向智能化和自动化,与更多安全技术结合,以提升网络安全。**
335 0
|
2月前
|
安全 Linux 数据库
|
2月前
|
网络安全 数据安全/隐私保护 网络架构
|
2月前
|
安全 网络安全 数据安全/隐私保护
|
4月前
|
网络协议 安全 数据安全/隐私保护
交换机访问控制列表(ACL)详解
交换机访问控制列表(ACL)详解
287 0
|
5月前
|
网络虚拟化 数据安全/隐私保护 数据中心
【专栏】对比了思科与华为网络设备的基本配置、接口、VLAN、路由、访问控制列表及其它关键命令
【4月更文挑战第28天】本文对比了思科与华为网络设备的基本配置、接口、VLAN、路由、访问控制列表及其它关键命令。尽管两者在很多操作上相似,如设备命名(思科:`hostname`,华为:`sysname`)、查看版本信息(思科:`show version`,华为:`display version`),但在某些方面存在差异,如接口速率设置(两者都使用`speed`和`duplex`,但命令结构略有不同)和VLAN配置(华为的`port hybrid`命令)。
417 0
|
5月前
|
网络协议 网络安全 网络性能优化
网络技术基础(14)——ACL访问控制列表
【3月更文挑战第3天】刚加完班又去南京出差了,实在是太忙了。。。。
|
安全 网络虚拟化 数据安全/隐私保护
华为ensp模拟器 配置ACL访问控制列表
华为ensp模拟器,模拟配置acl访问规则,配置acl访问规则的详细解释和操作。
华为ensp模拟器 配置ACL访问控制列表
|
网络安全 数据安全/隐私保护
访问控制列表与SSH结合使用,为网络设备保驾护航,提高安全性
访问控制列表与SSH结合使用,为网络设备保驾护航,提高安全性
134 0
访问控制列表与SSH结合使用,为网络设备保驾护航,提高安全性
下一篇
无影云桌面