ACL怎么允许单个IP访问外网

dawangcat 2017-06-13 10:22:02
比如限制网内所有IP不能上网,只允许IP192.168.12.50上网,其它IP只允许网段内互相访问。
ACL写成这样:
rule 5 permit ip source 192.168.12.50 0 destination 0.0.0.0 0
rule 10 permit ip source 0.0.0.0 0 destination 192.168.12.50 0
rule 15 permit 192.168.12.0 0.0.0.255 destination 192.168.12.0 0.0.0.255
rule 20 deny ip

这个ACL配置了应用了后,怎么只有rule15,20生效?

...全文
3901 6 打赏 收藏 转发到动态 举报
写回复
用AI写文章
6 条回复
切换为时间正序
请发表友善的回复…
发表回复
Zh丨an 2019-06-14
  • 打赏
  • 举报
回复
如果只是限制指定网段上外网的需求在防火墙上做就行 路由器是负责数据的高速转发的 路由策略太多还影响他的数据转发 第一天目的地址应该是any 第一第二条是重复的 tcp协议是可以双向互访的 源地址访问目的地址 同样 目的地址也可以访问源地址了
Asiprin_ 2019-05-21
  • 打赏
  • 举报
回复
连接外网的路由出接口做限制就可以了
麻麻兔 2019-05-15
  • 打赏
  • 举报
回复
做了实验目的地址要填写any,不能填写0.0.0.0 0这样地址,0.0.0.0 0是用于缺省路由条目
麻麻兔 2019-05-15
  • 打赏
  • 举报
回复
目的地址0.0.0.0 0.0.0.0
麻麻兔 2019-05-15
  • 打赏
  • 举报
回复
第四条没有用,当acl启用permit,剩下默认是deny,而且这个规则调用在这个私网网关的接口上,
pgyidc02 2017-07-07
  • 打赏
  • 举报
回复
第一条允许192.168.12.50访问所有地址 第二条允许所有ip访问192.168.12.50 第三条写的这条没意义啊 第四条拒绝所有ip 这三条你要应用在什么位置 你也把拓扑发一下 而且要想达到只有192.168.12.50可以上网 其他的只能内网互联的话只须在连接外网的路由出口处 允许192.168.12.50这个ip 其他的拒绝就可以了
计算机网络基础 单项选择题 1、 发送给一组特定主机的消息属于哪种类型?(3 分) A.静态 B.单播 C.动态 D.组播 E.广播 参考答案:D 2、 TCP/IP模型的哪一层最接近最终用户?(3 分) A.应用层 B.互联网层 C.网络接入层 D.传输层 参考答案:A 3、 SSH与Telnet有何不同?(3 分) A.SSH通过网络实现连接,而Telnet用于带外访问 B.SSH通过加密消息和使用用户身份验证提供远程会话安全。Telnet被认为是不安全的 ,它以明文形式发送消息 C.SSH需要使用PuTTY终端仿真程序。使用Telnet时,必须使用Tera Term连接设备 D.SSH必须通过有效网络连接配置,而Telnet用于通过控制台连接连接设备 参考答案:B 4、 BYOD如何改变企业实施网络的方式?(3 分) A.BYOD需要组织购买笔记本电脑而非台式电脑 B.每位BYOD用户负责其自己的网络安全,因此减少了对组织安全策略的需求 C.BYOD设备比组织购买的设备更昂贵 D.BYOD在用户访问网络资源的地点和方式方面提供灵活性 参考答案:D 5、 下列有关客户端-服务器网络的陈述哪项是正确的(3 分) A.该网络包含专用服务器。 B.每台设备都可以充当服务器和客户端。 C.工作站使用SAMBA或Gnutella访问网络资源。 D.每台对等设备通过访问索引服务器获取存储在被视为混合网络系统的另一对等设备中 的资源位置。 参考答案:A 6、 在数据通信行业中,开放标准为什么重要?(3 分) A.它们是设备获取Internet访问所必需的。 B.它们消除了安全漏洞的威胁 C.它们实现了来自不同供应商的软件和硬件之间的互操作性 D.它们鼓励网络组织开发专有软件来维护其竞争优势 参考答案:C 7、 哪项陈述描述了融合网络的特征?(3 分) A.将语音、视频和数据传输给各种设备的单个网络。 B.网络服务通过各种不同的网络平台传输 C.网络为每个网络服务建立不同的通信通道 D.网络为语音、视频和数据使用不同的技术 参考答案:A 8、 哪种类型的流量通过网络时最可能拥有最高优先级?(3 分) A.FTP B.即时消息 C.语音 D.SNMP 参考答案:C 9、 物理地址在OSI模型的哪一层进行封装?(3 分) A.物理层 B.数据链路层 C.网络层 D.传输层 参考答案:B 10、Windows 7计算机上的一个特定网站似乎没有响应。技术人员可以使用什么命令来显示此网页的任 何缓存DNS条目?(3 分) A.ipconfig /all B.arp -a C.ipconfig /displaydns D.nslookup 参考答案:C 11、管理员想要将路由器配置文件备份到与路由器连接的USB驱动器上。管理员应当使用 哪个命令来验证路由器是否识别了USB驱动器?(3 分) A.pwd B.cd USB C.dir flash0: D.show file systems 参考答案:D 12、一位员工希望以尽可能最安全的方式远程访问公司网络。 下列哪种网络特征将允许员工获得对公司网络的安全远程访问?(3 分) A.ACL B.IPS C.VPN D.BYOD 参考答案:C 13、小型公司只有一台路由器作为其ISP的出口点。如果路由器自身或其与ISP的连接发 生故障,应该采用哪种解决方案来维持连接?(3 分) A.激活与ISP连接的另一个路由器接口,以便流量由此通过。 B.使用第二台路由器连接到另一个ISP。 C.从另一个ISP购买第二个成本最低链路来连接到该路由器。 D.在与内部网络连接的路由器上增加更多接口。 参考答案:B 14、下列哪种方法被认为是缓解蠕虫攻击的最有效方法?(3 分) A.每30天更改一次系统密码。 B.确保所有系统都有最新的病毒定义。 C.确保在网络中配置AAA。 D.从操作系统供应商处下载安全更新,并为所有存在漏洞的系统应用补丁。 参考答案:D 15、下列哪种协议可用于将邮件从电子邮件服务器传输到电子邮件客户端?(3 分) A.SMTP B.POP3 C.SNMP D.HTTP 参考答案:B 16、主机地址2001:DB8:BC15:A:12AB::1/64的前缀是什么?(3 分) A.2001:DB8:BC15 B. 2001:DB8:BC15:A C.2001:DB8:BC15:A:1 D.A. 2001:DB8:BC15:A:12 参考答案:B 17、在路由器的特权EXEC模式发出cd nvram:命令,然后发出dir命令有什么作用?(3 分) A.清除NVRAM的内容 B.将所有新文件指向NVRAM C.列出NVRAM的内容 D.复制NVRAM的目录 参考答案:C 18、下列有关Cisco IOS pin
课程设计报告 课程设计题目: 组建大型网吧局域网 专 业: 软件工程 班 级: 1121818 姓 名: 高金玺 指导教师: 游胜玉 2013年 6月 14日 目 录 课程设计的目的及要求…………………………………1 课程设计的内容…………………………………………1 绘制拓扑结构图…………………………………………2 详细步骤…………………………………………………3 路由器或交换机配置的代码……………………………4 显示最终的结果…………………………………………7 课程设计总结……………………………………………9 大型网吧组网设计方案 课程设计的目的及要求 设计目的: 通过一周的课程设计,培养进一步理解和掌握网络组网的过程及方案设计,为今后从事实际工作打下基础;熟练掌握子网划分及vlan配置,熟练掌握路由器和交换机的配置。 设计要求: 要求能根据实际问题绘制拓扑结构图,拓扑结构图可以是树形、星形、网状形、环状形及混合形结构的之一,清晰的描述接口,进行路由器或交换机的代码配置实现,并且每个方案的需有以下几部分的内容: 需求特点描述; 设计原则; 解决方案设计,其中必须包含:(1)设备选型;(2)拓扑图;(3)VLAN划分;(4)IP地址规划;(5)综合布线设计。 课程设计的内容 实验内容: 设计一个具有500个用户节点的大型网吧的网络,其拓扑结构为树形,pc通过交换机连接起来,网络之间通过路由器或交换机连接起来,配置路由,实现局域网之间能够互相连通,在网络内部联网的分布使用的是私有IP地址,通过路由器进行NAT转换,连接到互联网,并且设计其安全性。 需求分析: 数字信息时代飞速发展,人们对电脑的需求越来越多,对各种软件、游戏、媒体等对网络的要求也非常的高,所以为了满足消费者,网吧必须是建立一个以网络技术、计算机技术与现代信息技术为支撑的娱乐、管理平台,将现行以游戏网为主的活动发展到多功能娱乐这个平台上来,即以大幅度提高网吧竞争和盈利能力,建设成为一流的娱乐游戏网吧,以吸引各种消费群体打下强有力的基础。这是我们要达到的商业目标。 设计方案: 采用树形结构,为了节约成本,各台电脑之间用交换机连接。路由器之间用带时钟的串口线连接,交换机与路由器、路由器和服务器之间用直通线连接。网络遵循实用性、经济性、实用性、可靠性和安全性的原则。要求要有500个用户节点,无法使用单个网络,故采用单臂路由,划分Vlan的方法突破255台电脑数量限制。而且还应使用vtp域划分网络。 绘制拓扑结构图 说明: PC-PT: PC主机 Switch-PT: 交换机 Router-PT: 路由器 Server-PT: 服务器 黑实线: 直通线 黑虚线: 交叉线 红闪电状线:带时钟的DCE线 详细步骤 设备选型: 设备选用于Cisco Pocket Tracer 5.3 素材库。 路由器:Generic Router-PT 交换机:Generic Switch-PT PC机: Generic PC-PT 服务器:Generic Server-PT 直通线,交叉线,带时钟DCE串口 该网络内部共有三个块---网吧PC机块,总台块,服务器块三块。其中网吧PC机块的终端机最多,是用于网吧营业,给客户使用的电脑。总台块是用于网吧管理人员管理网吧的控制端。服务器块可以为网吧内网提供内网服务,如视频点播,音频点播,公共资料共享及局域网游戏等服务。 划分vtp域后由为与中心交换机连接的每台交换机配置一个vlan,以拓展网络的包容范围,实现大型网吧的PC机数量。 为各个模块设置好IP及掩码等信息后,设置路由器Router1和Router2,通过单臂路由及vlan来实现内网的通畅,使得网吧内的每台PC机都能访问内网服务器及外网(Internet),网吧内PC机之间也要实现互访。 需要注意的是,由于网吧管理及连通的必要性,本网吧内的所有主机都是互通的,所以未使用ACL进行访问控制。 VLAN划分; 本网络共划分了6个vlan,分别如下: Vlan 名字 对应交换机接口 对应设备 对应IP地址 Vlan 2 vlan002 Switch1 fastEthernet0-5/1 PC0-1 Vlan 3 vlan003 Switch2 fastEthernet0-5/1 PC2-3 Vlan 4 vlan004 Switch3 fastEthernet0-5/1 PC4-5 Vlan 5 vlan005 Switch4 fastEthernet0-5/1 PC6-7 Vlan 6 vlan006 Switch5 fastEthernet0-5/1 Server0-1 Vlan 7 vlan007 Switch6 fastEthernet0-5/1 PC8-9 路由器或交换机配置的代码 Rou
Re:CCNA_CCNP 思科网络认证 网络层安全(通过 ACL 访问控制列表实现)======================# 本章内容大纲        网络安全简介        标准访问控制列表        扩展访问控制列表        命名控制列表        基于时间的访问控制列表        使用ACL降低安全威胁        ACL的位置 # 从OSI参考模型来看网络安全 (1)物理层安全        举例: 整栋楼统一装修后部分楼层因故出租,导致物理层(布线)安全隐患...!解决之道:物理隔离        通过网络设备进行攻击: 例如:Hub集线器(广播到所有端口被捕获)和无线AP(可见AP发现)进行攻击。        物理层安全措施: 交换机替代Hub,给无线AP配置密码(或不可见)实现无线设备的接入保护和实现数据加密通信。 (2)数据链路层安全 ([第08章 交换和 VLAN]实现)        数据链路层攻击举例: 恶意获取数据或伪造mac地址,例如ARP欺骗、ARP广播等等。        数据链路层安全措施举例:        在交换机的端口上控制连接计算机的数量或绑定MAC地址        或在交换机上划分VLAN也属于数据链路层安全。        AxDSL拨号上网(使用PPPoE协议)的账号和密码实现的是数据链路层安全。 (3)网络层安全 (本章重点:通过路由器ACL[访问控制列表])        网络层攻击举例:        IP Spoofing          (IP欺骗)、        Fragmentation Attacks(碎片攻击)、        Reassembly attacks   (重组攻击)、        PING of death        (Ping死攻击)。        网络层安全措施举例:        在路由器上设置访问控制列表ACL        和IPSec [第13章 VPN虚拟专用网络]        在Windows上实现的Windows防火墙和IPSec (4)传输层安全        传输层攻击举例:        Port Scan (端口扫描)        TCP reset attack (TCP重置攻击)        SYN DoS floods (SYN拒绝服务攻击)        LAND attack (LAND攻击)        Session hijacking (会话劫持) (5)应用层安全        应用层攻击举例:        MS-SQL Slammer worm 缓冲区溢出、        IIS红色警报、Email 蠕虫、蠕虫,病毒,木马、垃圾邮件、IE漏洞。        安全措施:        安装杀毒软件,更新操作系统。        善用虚拟机 # 创建 ACL 访问控制列表的逻辑: (1) 哪个路由器 (2) 标准或扩展 (3) 哪个接口 (4) in或out方向 # 边界路由器常规 ACL 防御计划: IP地址入站或出站欺骗;  外部SYN攻击; Smurf攻击(广播地址); 过滤ICMP出站或入站------------------------------------------      
标准化工作室编码[XX968T-XX89628-XJ668-XT689N] 标准化工作室编码[XX968T-XX89628-XJ668-XT689N] 计算机网络课程设计报告—组建大型网吧局域网 课程设计报告 课程设计题目: 组建大型网吧局域网 专 业: 软件工程 班 级: 1121818 姓 名: 高金玺 指导教师: 游胜玉 2013年 6月 14日 目 录 课程设计的目的及要求…………………………………1 课程设计的内容…………………………………………1 绘制拓扑结构图…………………………………………2 详细步骤…………………………………………………3 路由器或交换机配置的代码……………………………4 显示最终的结果…………………………………………7 课程设计总结……………………………………………9 大型网吧组网设计方案 课程设计的目的及要求 设计目的: 通过一周的课程设计,培养进一步理解和掌握网络组网的过程及方案设计,为今后从事实际工作打下基础;熟练掌握子网划分及vlan配置,熟练掌握路由器和交换机的配置。 设计要求: 要求能根据实际问题绘制拓扑结构图,拓扑结构图可以是树形、星形、网状形、环状形及混合形结构的之一,清晰的描述接口,进行路由器或交换机的代码配置实现,并且每个方案的需有以下几部分的内容: 需求特点描述; 设计原则; 解决方案设计,其中必须包含:(1)设备选型;(2)拓扑图;(3)VLAN划分;(4)IP地址规划;(5)综合布线设计。 课程设计的内容 实验内容: 设计一个具有500个用户节点的大型网吧的网络,其拓扑结构为树形,pc通过交换机连接起来,网络之间通过路由器或交换机连接起来,配置路由,实现局域网之间能够互相连通,在网络内部联网的分布使用的是私有IP地址,通过路由器进行NAT转换,连接到互联网,并且设计其安全性。 需求分析: 数字信息时代飞速发展,人们对电脑的需求越来越多,对各种软件、游戏、媒体等对网络的要求也非常的高,所以为了满足消费者,网吧必须是建立一个以网络技术、计算机技术与现代信息技术为支撑的娱乐、管理平台,将现行以游戏网为主的活动发展到多功能娱乐这个平台上来,即以大幅度提高网吧竞争和盈利能力,建设成为一流的娱乐游戏网吧,以吸引各种消费群体打下强有力的基础。这是我们要达到的商业目标。 设计方案: 采用树形结构,为了节约成本,各台电脑之间用交换机连接。路由器之间用带时钟的串口线连接,交换机与路由器、路由器和服务器之间用直通线连接。网络遵循实用性、经济性、实用性、可靠性和安全性的原则。要求要有500个用户节点,无法使用单个网络,故采用单臂路由,划分Vlan的方法突破255台电脑数量限制。而且还应使用vtp域划分网络。 绘制拓扑结构图 说明: PC-PT: PC主机 Switch-PT: 交换机 Router-PT: 路由器 Server-PT: 服务器 黑实线: 直通线 黑虚线: 交叉线 红闪电状线:带时钟的DCE线 详细步骤 设备选型: 设备选用于Cisco Pocket Tracer  素材库。 路由器:Generic Router-PT 交换机:Generic Switch-PT PC机: Generic PC-PT 服务器:Generic Server-PT 直通线,交叉线,带时钟DCE串口 该网络内部共有三个块---网吧PC机块,总台块,服务器块三块。其中网吧PC机块的终端机最多,是用于网吧营业,给客户使用的电脑。总台块是用于网吧管理人员管理网吧的控制端。服务器块可以为网吧内网提供内网服务,如视频点播,音频点播,公共资料共享及局域网游戏等服务。 划分vtp域后由为与中心交换机连接的每台交换机配置一个vlan,以拓展网络的包容范围,实现大型网吧的PC机数量。 为各个模块设置好IP及掩码等信息后,设置路由器Router1和Router2,通过单臂路由及vlan来实现内网的通畅,使得网吧内的每台PC机都能访问内网服务器及外网(Internet),网吧内PC机之间也要实现互访。 需要注意的是,由于网吧管理及连通的必要性,本网吧内的所有主机都是互通的,所以未使用ACL进行访问控制。 VLAN划分; 本网络共划分了6个vlan,分别如下: Vlan 名字 对应交换机接口 对应设备 对应IP地址 Vlan 2 vlan002 Switch1 fastEthernet0-5/1 PC0-1 Vlan 3 vlan003 Switch2 fastEthernet0-5/1 PC2-3 Vlan 4 vlan004 Switch3 fastEthernet0-5/1 PC4-5 Vlan 5 vlan005 Switch4 fastEthernet0-5/1 PC6-7 Vlan 6 vlan006 Swi

3,805

社区成员

发帖
与我相关
我的任务
社区描述
硬件使用 交换及路由技术相关问题讨论专区
社区管理员
  • 交换及路由技术社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧