Cisco中access-list的应用
1.access-list的含义和作用
access-list含义为访问控制列表,分为标准访问控制列表以及扩展访问控制列表。标准访问控制列表标号ID为0-99,1399-1900,扩展访问控制列表ID为100-199,2000-2699.在标准访问控制列表中只能够包含目的的地址,但是扩展访问控制列表能够进行地址、端口、协议进行访问的控制。
2.实验中应用
1).拓补图
)]
2)使用access-list命令配置路由器并首次实现Ping命令的阻止
2.1)配置命令
ping命令属于网络层的icmp协议
R1#show run
Building configuration…
Current configuration : 807 bytes
version 15.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
hostname R1
ip cef
no ipv6 cef
license udi pid CISCO1941/K9 sn FTX1524CKTE
spanning-tree mode pvst
interface Loopback0
ip address 1.1.1.1 255.255.255.0
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip access-group 100 in
duplex auto
speed auto
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
shutdown
interface Vlan1
no ip address
shutdown
ip classless
ip flow-export version 9
access-list 100 permit icmp host 192.168.1.10 host 192.168.1.1
access-list 100 deny icmp any host 192.168.1.10
line con 0
line aux 0
line vty 0 4
login
end
2.2)运行结果
2.2.1 P1 Ping R1(Ping 192.168.1.1)
)]
2.2.2 P1 ping 1.1.1.1
)]
2.2.3 p2 ping 192.168.1.1
2.2.4 p3 ping 192.168.1.1
通过Ping命令的显示,我们已经初步实现了我们想要的结果,但是当我们ping1.1.1.1时候ping不同,其原因是在进行控制访问列表的时候,会一次执行每一条访问控制列表中的语句,当执行deny any host 192.1.1.1的时候,下面就没有其他的访问控制列表的语句,所以一旦当我们的源Ip地址不满足路由器中访问列表语句的时候,就会出现主机不可达的运行结果。即在本实验中没有添加任何关于1.1.1.1的访问控制列表语句,也就不会执行。
3)改进实验实现Ping命令
3.1)配置命令
在路由器全局配置的模式下进行配置添加访问控制列表命令access-list permit icmp any host 1.1.1.1
然后在g0/0端口下进行ip access-group 100 in的配置,实现第100条访问控制命令的设置
3.2)运行结果
通过实验结果显示,我们达到了我们想要实现的结果
4)实现P1对路由器的telnet
4.1)配置命令
由于telnet属于应用层的tcp协议,所以将协议改为tcp。
access-list 101 permit tcp host 192.168.1.10 host 192.168.1.1 eq 28
access-list 101 deny tcp any host 192.168.1.1 eq 28
access-list 101 permit ip any host 1.1.1.1
在g0/0端口下将101号访问控制命令允许通过
int g0/0
ip access-group 101 in
由于进行telnet命令,所以需要在路由器中需要配置telnet
配置命令如下
line vty 0 4
password cisco
login
然后将路由器需要添加密码,配置命令如下
enable password cisco
4.2)运行结果
p1 telnet 192.168.1.1
p2 telnet 192.168.1.1
p3 telnet 192.168.1.1
p1 telnet 1.1.1.1
p2 telnet 1.1.1.1
p3 telnet 1.1.1.1
通过结果显示我们能够通过访问进行指定p1对路由器的远程登录
3.改进方案
1)取消命令
当我们在进行访问控制列表的时候一旦命令配置错误我们会使用no access-list xx 进行配置的取消,这样使得我们整个的配置命令将会被取消,所以可以使用ip access-list进行配置,而且能够实现任意的访问控制列表的删除以及更改
配置命令为ip access-list extened 101/standard
然后如果为可扩展的即可配置不同id号的控制访问命令。
4.遇到的问题
在配置完ping 命令的访问控制列表,然后配置完telnet的访问控制列表后,不能够实现ping命令的访问。当取消telnet的访问控制命令,可以执行ping命令。
更多推荐
Cisco中access-list的应用
发布评论