1、基礎工作(配置各個路由器介面的ip位址)
r1路由器
router>enable
router#configure terminal
router(config)#hostname r1 將路由器改名為r1
r1(config)#inte***ce fastethernet 0/0
r1(config-if)#ip address 10.1.1.1 255.255.255.0
r1(config-if)#no shutdown
r2(config)#inte***ce serial 2/0
r2(config-if)#ip address 20.1.1.1 255.255.255.0
r2(config-if)#clock rate 64000
r2(config-if)#no shutdown
在r1上設定enable口令和vty口令,用於telnet測試
r1(config)#enable secret cisco1
r1(config)#line vty 0 4
r1(config-line)#password cisco2
r1(config-line)#login
r1(config-line)#end
r2路由器
router#configure terminal
router(config)#hostname r2
r2(config)#inte***ce serial 2/0
r2(config-if)#ip address 20.1.1.2 255.255.255.0
r2(config-if)#no shutdown
r2(config)#inte***ce fastethernet 0/0
r2(config-if)#ip address 30.1.1.1 255.255.255.0
r2(config-if)#no shutdown
r2(config)#inte***ce fastethernet 1/0
r2(config-if)#ip address 40.1.1.1 255.255.255.0
r2(config-if)#no shutdown
二、配置ospf路由協議
r1(config)#router ospf 1
r1(config-router)#network 10.1.1.0 0.0.0.255 area 0
r1(config-router)#network 20.1.1.0 0.0.0.255 area 0
r2(config)#router ospf 1
r2(config-router)#network 20.1.1.0 0.0.0.255 area 0
r2(config-router)#network 30.1.1.0 0.0.0.255 area 0
r2(config-router)#network 40.1.1.0 0.0.0.255 area 0
三、測試連通性
檢視r1和r2的路由表,測試pc機之間的連通性
四、配置和引用標準ip訪問控制列表,實現市場部和財務部不能互相訪問
r2(config)#access-list 1 deny 10.1.1.0 0.0.0.255
r2(config)#access-list 1 permit any
r2(config)#inte***ce fastethernet 0/0
r2(config-if)#ip access-group 1 out
市場部的pc3訪問財務部的pc1,看能否訪問。
市場部的pc3訪問技術部的pc2,看能否訪問。
r2#show ip access-lists 1 檢視訪問控制列表語句的匹配情況
r2#show ip inte***ce fa0/0 重點了解 access list 相關資訊
r2#clear access-list counters
五、配置和引用擴充套件ip訪問控制列表
首先刪除r2的acl配置
r2(config)#no access-list 1
r2(config)#inte***ce fastethernet 0/0
r2(config-if)#no ip access-group 1 out
pc1和pc2 telnet到r1路由器。
現要求禁止財務部的pc1 telnet到r1路由器上,但pc1能ping通路由器r1,路由器r2不受影響。
r2路由器
r2(config)#access-list 101 deny tcp 30.1.1.0 0.0.0.255 20.1.1.0 0.0.0.255 eq 23
r2(config)#access-list 101 permit ip any any
r2(config)#inte***ce fastethernet 0/0
r2(config-if)#ip access-group 101 in
r2#show ip access-lists
pc1 telnet到r1,能否登入?
pc2 telnet到r1,能否登入?
六、配置和引用命名的ip訪問控制列表
首先刪除r2的acl配置
r2(config)#no access-list 101
r2(config)#inte***ce fastethernet 0/0
r2(config-if)#no ip access-group 101 in
r2(config)#ip access-list extended test1
r2(config-ext-nacl)#deny icmp 30.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255 echo
r2(config-ext-nacl)#permit ip any any
r2(config-ext-nacl)#exit
r2(config)#inte***ce fastethernet 0/0
r2(config-if)#ip access-group test1 in
r2#show ip access-lists
pc1 ping pc3,是否連通?
pc2 ping pc3,是否連通?
七、使用訪問控制列表限制telnet訪問
配置r1路由器,使它允許來自30.1.1.0/24網段的telnet,而不允許來自其他網段的telnet。
首先把r2路由器上引用訪問控制列表的配置清除,然後開始本部分實驗。
r2(config)#no ip access-list extended test1
r2(config)#inte***ce fastethernet 0/0
r2(config-if)#no ip access-group test1 in
r1(config)#access-list 2 permit 30.1.1.0 0.0.0.255
r1(config)#access-list 2 deny any
r1(config)#line vty 0 4
r1(config-line)#access-class 2 in
pc1 telnet到r1,能否登入?
pc2 telnet到r1,能否登入?
r1#show ip access-lists 2
訪問控制列表 基於IP
總結 在交換機1上劃分vlan然後把fa0 1介面設定為trunk周圍幾個介面都設定為access。在ra上劃分四個邏輯口 就是小數點的那些介面 然後ra和rb都做ospf就可以ping同。最後就是訪問控制列表的內容了。其實訪問控制列表就是在需要設定不允許或允許的目標的旁邊機器設定 router c...
CISCO ACL訪問控制列表配置
最近在弄網路互聯的課程設計,需要使用cisco的模擬器進行設計,在區域網設計時,要考慮到區域網的安全問題,最首先考慮到的是acl 訪問控制列表 的設定,因為這能很有效的控制不同網段的訪問,並且能在一定程度上阻止非法網段的訪問,acl必須要做能處理第三層的裝置上執行,所以一般會在路由器上進行配置,不過...
Consul ACL訪問控制列表配置
consul有多個元件,但是整體上,consul通常作為服務發現工具來使用。consul主要由以下特點 consul一般與zookeeper,serf,eureka等軟體做對比,具體差異可以參考文件 這裡我主要記錄下consul acl的配置與使用。acl是consul用來控制訪問api與data的...