1. Toy模板网首页
  2. > Toy博客

思科CiscoPT路由器ACL配置实现单向访问

7月前 作者:Veg_Ende 分类:Toy博客 阅读(26) 违法举报

这篇具有很好参考价值的文章主要介绍了思科CiscoPT路由器ACL配置实现单向访问。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

问题背景

思科CiscoPT路由器ACL配置实现单向访问
路由器及连接PC配置如下:

接口 接口IP 连接设备 设备IP
Fa0/0 192.168.0.2/24 PC0 192.168.0.1/24
Fa0/1 192.168.1.2/24 PC1 192.168.1.1/24
Fa1/0 192.168.2.2/24 PC2 192.168.2.1/24

此时PC1与PC2、PC3为连通状态:

C:\>ping 192.168.1.1

Pinging 192.168.1.1 with 32 bytes of data:

Reply from 192.168.1.1: bytes=32 time<1ms TTL=127
Reply from 192.168.1.1: bytes=32 time<1ms TTL=127
Reply from 192.168.1.1: bytes=32 time<1ms TTL=127
Reply from 192.168.1.1: bytes=32 time<1ms TTL=127

Ping statistics for 192.168.1.1:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

C:\>ping 192.168.2.1

Pinging 192.168.2.1 with 32 bytes of data:

Reply from 192.168.2.1: bytes=32 time<1ms TTL=127
Reply from 192.168.2.1: bytes=32 time<1ms TTL=127
Reply from 192.168.2.1: bytes=32 time<1ms TTL=127
Reply from 192.168.2.1: bytes=32 time<1ms TTL=127

Ping statistics for 192.168.2.1:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

问题:配置路由器ACL使PC0不能访问PC1,但可以访问PC2,同时PC1仍可正常访问PC0。

即实现PC1对PC0的单向访问。

ACL配置

由于Access-list的执行是按照条目顺序逐步检查的,所以要严格设置ACL条目顺序。

ACL条目:

  1. 允许转发从PC0到PC1的icmp报文反馈
  2. 拒绝转发从PC0到PC1的一切报文
  3. 允许转发任何报文

按照一般的配置规则,允许类的语句应放在靠后的位置以防止ACL放过应该过滤的流量;
但这里却放在第一条,是因为我们对PC0到PC1的流量阻断是绝对的,而要保证PC1仍能正常访问PC0,则需要先把PC0的反馈报文设置成“白名单”,允许它通过。

显而易见,这样的ACL应设置在路由器与PC0的接口上,并且是进入方向上的。

那么具体实现的配置命令就可以写出来了:

Router>en
Router#conf t
Router(config)#acc 101 per icmp 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 echo-reply
Router(config)#acc 101 den ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
Router(config)#acc 101 per ip any any
Router(config)#int f0/0
Router(config-if)#ip acc 101 in
Router(config-if)#exit

此时测试PC间的连通性:

C:\>ping 192.168.1.1

Pinging 192.168.1.1 with 32 bytes of data:

Reply from 192.168.0.2: Destination host unreachable.
Reply from 192.168.0.2: Destination host unreachable.
Reply from 192.168.0.2: Destination host unreachable.
Reply from 192.168.0.2: Destination host unreachable.

Ping statistics for 192.168.1.1:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

C:\>ping 192.168.2.1

Pinging 192.168.2.1 with 32 bytes of data:

Reply from 192.168.2.1: bytes=32 time<1ms TTL=127
Reply from 192.168.2.1: bytes=32 time<1ms TTL=127
Reply from 192.168.2.1: bytes=32 time<1ms TTL=127
Reply from 192.168.2.1: bytes=32 time<1ms TTL=127

Ping statistics for 192.168.2.1:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

可以看到PC0已经不能访问PC1,但仍能正常访问PC2;

C:\>ping 192.168.0.1

Pinging 192.168.0.1 with 32 bytes of data:

Reply from 192.168.0.1: bytes=32 time<1ms TTL=127
Reply from 192.168.0.1: bytes=32 time<1ms TTL=127
Reply from 192.168.0.1: bytes=32 time<1ms TTL=127
Reply from 192.168.0.1: bytes=32 time<1ms TTL=127

Ping statistics for 192.168.0.1:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 0ms, Average = 0ms

同时PC1仍能正常访问PC0,即实现了PC1到PC0的单向访问。文章来源地址https://www.toymoban.com/news/detail-488615.html

后记

  1. 其实可以用反射ACL实现,逻辑性更强,但尝试许久reflect语句均报错,可能是PT版本不支持。自反ACL的用法参见:Cisco 自反ACL真机配置实例
  2. 因为涉及到对目的地址的限制,本文章ACL必须用扩展型语句,各种ACL的配置语法详见:标准ACL、扩展ACL和命名ACL的配置详解
  3. 思路来源:思科设备实现单向ping通—GNS3、PT

到了这里,关于思科CiscoPT路由器ACL配置实现单向访问的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

分享到:
领支付宝红包 赞助服务器费用

相关文章

  • 思科路由器 RIP 动态路由配置

    思科路由器 RIP 动态路由配置

    一、实验目的 掌握RIP 协议的配置方法: 掌握查看通过动态路由协议 RIP 学习产生的路由; 熟悉广域网线缆的链接方式; 二、实验原理 RIP(Routing Information Protocols,路由信息协议)是应用较早、使用较普遍的IGP内部网管协议,使用于小型同类网络,是距离矢量协议; RIP协议跳数

    2024年02月03日
    浏览(73)
  • 思科路由器配置笔记

    思科路由器配置笔记

      目录 思科路由器配置笔记 路由基本配置 配置静态路由 OSPF 动态路由 实战:配置RIP企业环境 路由器(Router),是连接因特网中各局域网、广域网的设备,它会根据信道的情况自动选择和设定路由,以最佳路径,按前后顺序发送信号,路由器工作在网络层,用来跨网段通信,路由器具有判

    2024年02月10日
    浏览(36)

  • 思科路由器配置

    1.路由表:show IP route 用户模式 特权模式 enable 全局配置模式 #configure terminal (config)# 配置主机名称 enable #configure terminal (config)#hostname test-router 配置系统时钟: enable #calendar set 12:00:00 30 may 2022 配置超级用户口令 enable #configure terminal (config)#enable secret 11111 配置用户明文密码

    2024年02月09日
    浏览(30)

  • 思科对路由器的配置

    ② 对路由器 R2 进行配置         对路由器 R2 进行配置,先对各接口配置基本 IP 地址,然后配置动态路由协议。(对实验步骤进行文字描述)         Routerenable                                                                   // 用户模

    2024年01月18日
    浏览(40)
  • 思科路由器基本配置

    思科路由器基本配置

    CSDN话题挑战赛第2期 https://marketing.csdn.net/p/7b6697fd9dd3795a268d1a6f2fe75012 参赛话题: 学习笔记 https://activity.csdn.net/creatActivity?id=10213 目录          一、用户模式 二、特权模式 三、全局模式 (global config mode) 四、子模式 (sub-mode) (1)接口模式(interface mode) (2)线路模式 (line

    2024年02月04日
    浏览(39)
  • 思科路由器的基本配置

    思科路由器的基本配置

    设备 端口IP 网关 R1 g0/0 10.1.1.254/24 R1 s0/0/0 20.1.1.1/24 R2 s0/0/0 20.1.1.2/24 S1 vlan1 10.1.1.200/24 10.1.1.254 PC1 10.1.1.1 10.1.1.254 修改主机名 关闭DNS解析 配置密码等级级别 配置以太网接口IP 修改主机名 配置vlan1的ip和网关信息 配置IP telnet 交换机 并未配置交换机的vty密码和特权密码 但pc和交

    2024年02月11日
    浏览(35)
  • 思科路由器-配置RIP协议

    思科路由器-配置RIP协议

    一、Cisco Packet Tracer构建如下拓扑结构网络信息图 配置过程中要用到的命令说明: 二、PC0和PC1网络配置 三、Router1配置: 配置完成后查看端口信息 四、Router0和Router2配置: Router0 Router1 查看ipv6路由表,发现路由器已经通过RIP协议更新路由表 五、PC0链接PC1测试,可以ping通说明

    2024年02月12日
    浏览(39)
  • 思科路由器IPv6各种路由协议配置

    思科路由器IPv6各种路由协议配置

      一、基础配置: R1 : Routerena Router#conf t Router(config)#host R1 R1(config)#int g0/0 R1(config-if)#ipv add 2001:3::1/64 R1(config-if)#no sh R1(config-if)#int g0/1 R1(config-if)#ipv6 add 2001:1::1/64 R1(config-if)#no sh R1(config-if)#exit R1(config)#ipv6 unicast-routing R1(config)# R2 : Routerena Router#conf t Router(config)#host R2 R2(config)

    2024年02月09日
    浏览(37)

  • 飞鱼星路由器命令行配置ACL的方法介绍

        一、ACL能够用来:提供网络访问的基本安全手段。访问控制列表可用于Qos(Quality of Service,服务质量)对数据流量进行控制。可指定某种类型的数据包的优先级,以对某些数据包优先处理 起到了限制网络流量,减少网络拥塞的作用。 二、访问控制列表对本身产生的的数据

    2024年02月05日
    浏览(28)
  • 路由器RIP动态路由配置——思科模拟器学习

    路由器RIP动态路由配置——思科模拟器学习

    假设校园网通过一台三层交换机连到校园网出口路由器上,路由器再和校园外的另一台路由器连接。现要做适当配置,实现校园网内部主机与校园网外部主机之间的相互通信。为了简化网管的管理维护工作,学校决定采用RIPV2协议实现互通。 RIP(Routing Information Protocols,路由信息

    2023年04月14日
    浏览(29)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包