Packet Tracer - IPv4 ACL 的实施挑战(完美解析)

 

目标

·         在路由器上配置命名的标准ACL。

·         在路由器上配置命名的扩展ACL。

·         在路由器上配置扩展ACL来满足特定的 通信需求。

·         配置ACL来控制对网络设备终端线路的 访问。

·         在适当的路由器接口上,在适当的方向上 配置ACL。

·         验证已配置 ACL 的运行。

背景/场景

在这个Packet Tracer练习中,您要配置扩展IPv4 ACL、 命名的标准IPv4 ACL和命名的扩展IPv4 ACL,来满足特定的通信需求。

说明

步骤1: 验证新公司网络的连通性。

首先,在配置ACL之前 测试网络的连通性。所有主机都应该可以ping通所有其他主机。

步骤2:按照需求配置 标准和扩展 ACL。

配置ACL以满足以下要求:

重要指南:

o    请 在 ACL 末尾明确配置 deny any 语句。

o    尽可能 使用简便参数 (host 和 any)。

o    按照这里指定的顺序, 编写ACL语句来满足要求。

o    在最有效的位置和方向上应用ACL。

ACL 1 的要求

o    创建 ACL 101

o    明确禁止从互联网向企业的 Web 服务器发起 FTP 访问。

o    不允许来自互联网的 ICMP 流量去往 HQ LAN 1 中的任何主机。

o    放行所有其他流量。

ACL 2 的要求

o    使用 ACL 编号 111

o    HQ LAN 1 中的主机都不能访问分支机构服务器。

o    放行所有其他流量。

ACL 3 的要求

o    创建命名的标准 ACL。使用名称 vty_block。您必须使用这个 名称来配置ACL。

o    只有 HQ LAN 2 网络中的地址才能访问 HQ 路由器的 VTY 线路。

ACL 4 的要求

o    创建一个名为 branch_to_hq 的命名扩展 ACL。您必须使用这个 名称来配置ACL。

o    分支机构所有 LAN 中的所有主机都不能访问 HQ LAN 1。 针对每个分支机构的LAN配置一条访问列表语句。

o    放行所有其他流量。

步骤3:验证 ACL 的操作。

a.     按照拓扑,测试下列设备之间的连通性。 注意测试结果是否成功。

注意:使用 show ip access-lists 命令 来验证 ACL 的操作。使用 clear access list counters 命令 来重置匹配计数器。

问题1:

从分支 PC 向企业 Web 服务器 发起 ping 测试。是否会成功?说明原因。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?列出访问列表的名称或编号、所应用的路由器, 以及流量匹配的那条语句。

从 HQ LAN 1 中的 PC-1 ping 分支机构服务器。 是否会成功?说明原因。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?

在外部服务器上打开 Web 浏览器, 尝试访问企业 Web 服务器上的网页。测试成功了吗?说明原因。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?

b.     从互联网向内部服务器发起测试连接。

问题2:

从互联网用户 PC 上的命令行中, 尝试向分支机构服务器发起 FTP 连接。 FTP 连接成功了吗?

要想阻止互联网用户与分支机构服务器之间建立 FTP 连接, 应该对访问列表做什么修改?

要想拒绝这个流量,应该在访问列表中 添加哪些语句?

根据上述内容我们来进行相关的配置:

ACL 1 的要求

o    创建 ACL 101

o    明确禁止从互联网向企业的 Web 服务器发起 FTP 访问。

HQ(config)#access-list 101 deny tcp any host 192.168.1.70 eq ftp

o    不允许来自互联网的 ICMP 流量去往 HQ LAN 1 中的任何主机。

HQ(config)#access-list 101 deny icmp any 192.168.1.0 0.0.0.63

o    放行所有其他流量。

HQ(config)#access-list 101 permit ip any any

ACL 2 的要求

o    使用 ACL 编号 111

o    HQ LAN 1 中的主机都不能访问分支机构服务器。

HQ(config-std-nacl)#access-list 111 deny ip any host 192.168.2.45

o    放行所有其他流量。

HQ(config)#access-list 111 permit ip any any

ACL 3 的要求

o    创建命名的标准 ACL。使用名称 vty_block。您必须使用这个 名称来配置ACL。

HQ(config)#ip access-list standard vty_block

o    只有 HQ LAN 2 网络中的地址才能访问 HQ 路由器的 VTY 线路。

HQ(config-std-nacl)# permit 192.168.1.64 0.0.0.7

HQ(config)#interface GigabitEthernet0/0/0

HQ(config-if)# ip access-group 111 in

HQ(config-if)#interface Serial0/1/0

HQ(config-if)# ip access-group 101 in

HQ(config-if)#line vty 0 4

HQ(config-line)# access-class vty_block i

ACL 4 的要求

o    创建一个名为 branch_to_hq 的命名扩展 ACL。您必须使用这个 名称来配置ACL。

Branch(config)#ip access-list extended branch_to_hq

o    分支机构所有 LAN 中的所有主机都不能访问 HQ LAN 1。 针对每个分支机构的LAN配置一条访问列表语句。

Branch(config-ext-nacl)# deny ip 192.168.2.0 0.0.0.31 192.168.1.0 0.0.0.63

Branch(config-ext-nacl)# deny ip 192.168.2.32 0.0.0.15 192.168.1.0 0.0.0.63

o    放行所有其他流量。

Branch(config-ext-nacl)# permit ip any any

Branch(config-ext-nacl)#interface Serial0/1/1

Branch(config-if)# ip access-group branch_to_hq out

回答一下问题1:

从分支 PC 向企业 Web 服务器 发起 ping 测试。是否会成功?说明原因。

答:可以ping 成功,因为 ACL 允许分支 PC 向企业 Web 服务器 发起。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?列出访问列表的名称或编号、所应用的路由器, 以及流量匹配的那条语句。

答:分支路由器上 branch_to_hq ACL 的最后一行是 permit ip any。

从 HQ LAN 1 中的 PC-1 ping 分支机构服务器。 是否会成功?说明原因。

答:ping 未成功,因为流量被访问列表阻止。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?

答:HQ 路由器上访问列表 111 中的语句 10 拒绝到分支服务器的所有流量。

HQ(config-std-nacl)#access-list 111 deny ip any host 192.168.2.45

在外部服务器上打开 Web 浏览器, 尝试访问企业 Web 服务器上的网页。测试成功了吗?说明原因。

答:外部服务器可以访问 Enterprise Web Server 上的网页。 不会阻止到 Enterprise Web Server 的 HTTP 流量。所以是可以ping成功的。

哪条ACL语句放行或拒绝了 这两台设备之间的ping流量?

答:HQ 路由器上访问列表 101 中的第 20 行允许此流量。

HQ(config)#access-list 101 permit ip any any

回答一下问题2:

从互联网用户 PC 上的命令行中, 尝试向分支机构服务器发起 FTP 连接。 FTP 连接成功了吗?

答:从 Internet 用户 PC 到 Branch Server 的 FTP 连接成功。

要想阻止互联网用户与分支机构服务器之间建立 FTP 连接, 应该对访问列表做什么修改?

 答:需要修改 HQ 路由器上的访问列表 101 以拒绝此流量

要想拒绝这个流量,应该在d访问列表中 添加哪些语句?

 答:需要将语句“deny tcp any host 192.168.2.45 eq 21”或“deny tcp any host 192.168.2.45 range 20 21”添加到访问列表 101 中。

 完成截图如下:

附录一键完成脚本如下:

Router HQ

enable

conf t

access-list 101 deny tcp any host 192.168.1.70 eq ftp

access-list 101 deny icmp any 192.168.1.0 0.0.0.63

access-list 101 permit ip any any

ip access-list standard vty_block

permit 192.168.1.64 0.0.0.7

access-list 111 deny ip any host 192.168.2.45

access-list 111 permit ip any any

int g0/0/0

ip access-group 111 in

int s0/1/0

ip access-group 101 in

line vty 0 4

access-class vty_block in

end


Router Branch

enable

conf t

ip access-list extended branch_to_hq

deny ip 192.168.2.0 0.0.0.31 192.168.1.0 0.0.0.63

deny ip 192.168.2.32 0.0.0.15 192.168.1.0 0.0.0.63

permit ip any any

int s0/1/1

ip access-group branch_to_hq out

end

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/428443.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Python编码系列—Python外观模式:简化复杂系统的快捷方式

🌟🌟 欢迎来到我的技术小筑,一个专为技术探索者打造的交流空间。在这里,我们不仅分享代码的智慧,还探讨技术的深度与广度。无论您是资深开发者还是技术新手,这里都有一片属于您的天空。让我们在知识的海洋中…

ZYNQ FPGA自学笔记~操作PLL

一 时钟缓冲器、管理和路由 垂直时钟中心(clock backbone)将设备分为相邻的左侧和右侧区域,水平中心线将设备分为顶部和底部两侧。clock backbone中的资源镜像到水平相邻区域的两侧,从而将某些时钟资源扩展到水平相邻区域。BUFG不…

windows下编译MicroRTS-Py

1.microRTS(java) microRTS是java写的跨平台的小型即时战略模拟器。 Farama-Foundation/MicroRTS: A simple and highly efficient RTS-game-inspired environment for reinforcement learning (github.com)https://github.com/Farama-Foundation/Micr…

Kubeadm快速安装 Kubernetes集群

1. Kubernetes简介 Kubernetes(k8s)是谷歌开源的容器编排平台,用于自动化部署、扩展和管理容器化应用程序。它具有以下特点: 开源容器化自动部署扩展高可用 2. Kubernetes架构 Kubernetes遵循主从式架构设计,主要分…

Python用TOPSIS熵权法重构粮食系统及期刊指标权重多属性决策MCDM研究|附数据代码...

原文链接:https://tecdat.cn/?p37724 在当今世界,粮食系统的稳定性至关重要。尽管现有的全球粮食系统在生产和分配方面表现出较高的效率,但仍存在大量人口遭受饥饿以及诸多粮食安全隐患。与此同时,在学术领域,准确评估…

OpenAI GPT o1技术报告阅读(3)-英文阅读及理解

✨继续阅读报告:使用大模型来学习推理(Reason) 原文链接:https://openai.com/index/learning-to-reason-with-llms/ 这次我们继续看一个英文阅读理解的案例。 原问题: The following passage is the draft of an excerpt from a contempora…

基于OpenCV的YOLOv5图片检测

利用OpenCV的DNN模块加载onnx模型文件进行图片检测。 1、使用的yolov5工程代码,调用export.py导出onnx模型。 2、下载opencv版本,https://opencv.org/releases/ 使用opencv版本4.5.3或以上,本文使用的opencv4.6.0 3、使用vc20…

css设置overflow:hiden行内元素会发生偏移的现象

父级元素包含几个行内元素 <div id"box"><p><span>按钮</span><span>测试文字文字文字测试文字文字文字</span><span>看这里</span></p></div>#box p{width: 800px;font-size: 30px;}#box p span{disp…

VMware启动时报错: “另一个程序已锁定文件的一部分,进程无法访问” 分析记录

项目场景&#xff1a; VMware启动时报错: “另一个程序已锁定文件的一部分,进程无法访问” 问题描述 VMware启动时报错: “另一个程序已锁定文件的一部分,进程无法访问” 原因分析&#xff1a; 虚拟机开启后会对部分文件继续加密&#xff0c;关闭时虚拟机会自动对其解密&…

css设置动态数组渲染及中间线平均分开显示

效果图&#xff1a; <template><div class"container"><div v-for"(item, index) in items" :key"index" class"item-container"><span class"item">{{ item }}</span><span v-if"in…

二级C语言2023-9易错题

1 二叉树结点数计算&#xff1a; 一棵二叉树有10个度为1的结点&#xff0c;7个度为2的结点&#xff0c;则该二叉树共有____个结点。 解&#xff1a; 2 指针&#xff1a; 有以下程序 #inctude<stdio.h> #include<stdlib.h> main() { int *a&#xff0c;*b&…

Unity数据持久化4——2进制

概述 基础知识 各类型数据转字节数据 文件操作相关 文件相关 文件流相关 文件夹相关 练习题 using System; using System.Collections; using System.Collections.Generic; using System.IO; using System.Text; using UnityEngine;public class Exercises1 : MonoBehaviour {/…

6. Python 输出长方形,直角三角形,等腰三角形

使用Python输出长方形&#xff0c;直角三角形&#xff0c;等腰三角形 这里主要使用python语言里的循环知识&#xff0c;具体说是Python语言里的循环嵌套&#xff0c; 注意&#xff0c;在实际使用中&#xff0c;循环嵌套一般最多到达3层&#xff0c;嵌套太多会影响到程序执行。…

详解ChatBI Agent架构:打造高效数据统计系统

随着人工智能技术的迅猛发展&#xff0c;智能对话系统在各行各业中的应用越来越广泛。本文将介绍一种名为ChatBI Agent的架构设计&#xff0c;并以电信运营商系统的经分数据统计Agent为案例&#xff0c;结合具体的代码实现&#xff0c;帮助读者了解这一系统的设计理念和实现方式…

新产品,推出 MLX90372GVS 第三代 Triaxis® 位置传感器 IC,适用于汽车和工业系统(MLX90372GVS-ACE-308)

Triaxis 旋转和线性位置传感器IC&#xff1a; MLX90372GVS-ACE-103 MLX90372GVS-ACE-108 MLX90372GVS-ACE-301 MLX90372GVS-ACE-200 MLX90372GVS-ACE-208 MLX90372GVS-ACE-303 MLX90372GVS-ACE-300 MLX90372GVS-ACE-350 MLX90372GVS-ACE-100 MLX90372GVS-ACE-101 MLX90372GVS-…

6.C_数据结构_查询_哈希表

概述 哈希表的查询是通过计算的方式获取数据的地址&#xff0c;而不是依次比较。在哈希表中&#xff0c;有一个键值key&#xff0c;通过一些函数转换为哈希表的索引值。 其中&#xff1a;这个函数被称为哈希函数、散列函数、杂凑函数&#xff0c;记为&#xff1a;H(key) 哈希…

使用 nvm 管理 node 版本:如何在 macOS 和 Windows 上安装使用nvm

&#x1f525; 个人主页&#xff1a;空白诗 文章目录 一、引言二、nvm的安装与基本使用2.1 macOS安装nvm2.1.1 使用 curl 安装2.1.2 使用 Homebrew 安装 2.2 Windows安装nvm2.2.1 下载 nvm-windows2.2.2 安装 nvm-windows 2.3 安装node2.4 切换node版本 三、常见问题及解决方案…

STM32读写内部flash

一.简介 在 STM32 芯片内部有一个 FLASH 存储器&#xff0c;它主要用于存储代码&#xff0c;我们在电脑上编写好应用程序后&#xff0c;使用下载器把编译后的代码文件烧录到该内部 FLASH 中&#xff0c;由于 FLASH 存储器的内容在掉电后不会丢失&#xff0c;芯片重新上电复位后…

【redis-01】redis基本数据类型和使用场景

redis系列整体栏目 内容链接地址【一】redis基本数据类型和使用场景https://zhenghuisheng.blog.csdn.net/article/details/142406325 redis基本数据类型和使用场景 一&#xff0c;redis基本数据类型和使用场景1&#xff0c;String数据类型2&#xff0c;Hash数据类型3&#xff…

Linux top命令详解与重点内容说明

文章目录 重点说明基本信息进程(任务)信息cpu占用信息%Cpu(s)内存信息交换内存信息每列含义说明交互命令多窗口模式颜色配置命令参数 重点说明 top命令非常强大&#xff0c;也非常复杂&#xff0c;很难面面俱到&#xff0c;也没有必要&#xff0c;这篇文章的目的是介绍重点&am…