diff --git "a/30 \345\220\264\345\230\211\347\216\262/20250422 \344\270\211\344\270\252\347\275\221\347\273\234.md" "b/30 \345\220\264\345\230\211\347\216\262/20250422 \344\270\211\344\270\252\347\275\221\347\273\234.md" index 84d00930d8fdbd3c7936c52aa8a420415b0997c2..a430e80350d351663beac1c600cae0f7668c750e 100644 --- "a/30 \345\220\264\345\230\211\347\216\262/20250422 \344\270\211\344\270\252\347\275\221\347\273\234.md" +++ "b/30 \345\220\264\345\230\211\347\216\262/20250422 \344\270\211\344\270\252\347\275\221\347\273\234.md" @@ -11,7 +11,7 @@ // 1.先进入目标协议OSPF Router(config):router ospf 1 // 2.将来源RIP重分发 -Router(config-router)#redistribute rip subnets // 获取来自RIP子网络的路由进行分发 +Router(config-router)#redistribute rip subnets // 获取来自RIP子网络的路由进行分发 # 将OSPF转成RIP怎么办? // 1.先进入目标协议RIP diff --git "a/30 \345\220\264\345\230\211\347\216\262/20250424 ACL\350\256\277\351\227\256\346\216\247\345\210\266\345\210\227\350\241\250.md" "b/30 \345\220\264\345\230\211\347\216\262/20250424 ACL\350\256\277\351\227\256\346\216\247\345\210\266\345\210\227\350\241\250.md" new file mode 100644 index 0000000000000000000000000000000000000000..5c1463d7ecba9227d729dcb6193e1afe7dc65cf6 --- /dev/null +++ "b/30 \345\220\264\345\230\211\347\216\262/20250424 ACL\350\256\277\351\227\256\346\216\247\345\210\266\345\210\227\350\241\250.md" @@ -0,0 +1,211 @@ +# 笔记 + +## 思科ACL(访问控制表) + +1. 创建ACL: + + ```cmd + //第一种允许 + access-list <编号> permit 源IP + + //第二种拒绝 + access-list <编号> deny any + ``` + +2. 示例: + + ```cmd + access-list 10 permit 192.168.1.0 0.0.0.255 # 允许192.168.1.0/24g整个网络 + access-list 10 permit 192.168.10.2 # 允许192.168.10.2单个IP通过 + access-list 10 deny any # 拒绝其他所有流量 + ``` + +3. **设置上面第一步后,要应用:** + + **语法分两步骤** + + 步骤1:先选择要应用ACL的端口 如 interface g0/0 + + 步骤2:通过ACL编号及方向来应用ACL + + ```cmd + ip access-group <编号> <方向> //方向为in是进来 out是出去 + //示例: + interface GigabitEthernet0/0 # 第一步,进入G0/0端口 + ip access-group 10 in # 第二步,在G0/0端口的入口方向应用编号为10的ACL + ``` + +# 练习 + +## 练习1:各单元配置: + +1. 拓扑图: + + 1. ![image-20250424094107778](https://gitee.com/softwork-wjl/picture-warehouse/raw/master/img/upgit_20250424_1745458867.png) + +2. 步骤如下:三层交换机; + + **任务1:要求192.168.10.1 可访问外网 40.1不可以** + + 三层: + + ```cmd + Switch>en + Switch#conf t + + Switch(config)#access-list 10 permit 192.168.10.1 + Switch(config)#access-list 10 deny any + + Switch(config)#inter f0/2 + Switch(config-if)#ip access-group 10 out + Switch(config-if)#end + + + Switch#show running + //能看见下面的内容,设置成功 + ip flow-export version 9 + ! + ! + access-list 10 permit host 192.168.10.1 + access-list 10 deny any + + ``` + +3. ping 实验 + + ![image-20250424094328082](https://gitee.com/softwork-wjl/picture-warehouse/raw/master/img/upgit_20250424_1745459008.png) + +**任务2:只允许192.168.20.0 访问 192.168.30.0内的主机** + +步骤:链接30.0的路由器: + +```cmd +Router>en +Router#conf t +//设置只允许192.168.20.0 的网段 +Router(config)#access-list 10 permit 192.168.20.0 0.0.0.255 +//拒绝其他的 +Router(config)#access-list 10 deny any + +//应用access-list +Router(config)#inter g0/1 +Router(config-if)#ip access-group 10 in +``` + +ping链路通 + +![image-20250424095938384](https://gitee.com/softwork-wjl/picture-warehouse/raw/master/img/upgit_20250424_1745459978.png) + +## 练习2:集团大网权限管理 + +1. 拓扑图: + + ![image-20250424100422686](https://gitee.com/softwork-wjl/picture-warehouse/raw/master/img/upgit_20250424_1745460262.png) + +2. 实践任务: + + 1. 部门内部可以互通,但不能访问外网,除了经理 + + 2. 经理之间可以互通 + + 1. 例如:财务部(其他两个同理): + + 2. 财务部的路由器2 + + 3. ```cmd + Router>en + Router#conf t + //设置只允许192.168.10.1 出入 + Router(config)#access-list 10 permit 192.168.10.1 + Router(config)#access-list 10 deny any + + //应用于g0/2端口,允许192.168.10.1 出去 + Router(config)#inter g0/2 + Router(config-if)#ip access-group 10 out + ``` + + 4. ping 链路通;![image-20250424101121169](https://gitee.com/softwork-wjl/picture-warehouse/raw/master/img/upgit_20250424_1745460681.png) + + 5. 后勤部: + + ```cmd + Router>en + Router#conf t + //设置只允许192.168.20.2 通过 + Router(config)#access-list 10 permit 192.168.20.2 + //拒绝其他的 + Router(config)#access-list 10 deny any + Router(config)#ex + + //应用于g0/0接口 + Router(config)#inter g0/0 + Router(config-if)#ip access-group 10 out //out出去 + ``` + + 6. 业务经理: + + ```cmd + Router>en + Router#conf t + //设置只允许192.168.30.1 + Router(config)#access-list 10 permit 192.168.30.1 + //拒绝其他 + Router(config)#access-list 10 deny any + + //应用于g0/2接口 + Router(config)#inter g0/2 + Router(config-if)#ip access-group 10 out //out出去 + ``` + + + + 3. 业务经理只允许被财务经理访问 + + 1. ![image-20250424102438322](https://gitee.com/softwork-wjl/picture-warehouse/raw/master/img/upgit_20250424_1745461478.png) + + 2. 步骤: + + ```cmd + Router>en + Router#conf t + //只允许192.168.10.1和3.3.3.0的网段通过 + **注意:如果要允许进入in 则写的是允许什么网络、网段进入, + **如果是出去out 则写的是允许出去的网络、网段 + + + Router(config)#access-list 10 permit 192.168.10.1 + Router(config)#access-list 10 permit 3.3.3.0 0.0.0.255 + //拒绝其他的 + Router(config)#access-list 10 deny any + + //应用于g0/0接口 + Router(config)#inter g0/0 + Router(config-if)#ip access-group 10 in //in是进入 + ``` + + + + 3. ping链路通![image-20250424102358737](https://gitee.com/softwork-wjl/picture-warehouse/raw/master/img/upgit_20250424_1745461438.png) + +# 总结易混淆 + +#### 注意:取少去多(如果允许比拒绝多,则选择拒绝);就近原则(设置 距离要设置的区域近的路由器) + +1. **如果要允许进入in 则写的是允许什么网络、网段进入;** +2. **如果是出去out 则写的是允许出去的网络、网段;** +3. **写完允许和拒绝后要进入端口应用** + +语法: + +```cmd +//第一种允许 +access-list <编号> permit 源IP + +//第二种拒绝 +access-list <编号> deny any + +//应用 +Router(config)#inter <端口> +Router(config-if)#ip access-group <编号> out //out出去 in 进入 +``` +