如何设置ACL来保护路由器？思科数据包追踪器

Question

我对ACL知之甚少。如何为“UTAR-ROUTER”设置 ACL？

我知道这些是步骤，但我不知道我应该输入什么 IP。

Create ACL100
--------------

a) Deny all PING requests from external network

access-list 100 deny ____?____ ____?_____ _____?_____


b) Allow any host on the Internet to access WBLE-SgLong

access-list 100 permit ___?___ any any eq 80


c) Allow host with the IP 192.168.55.1 and 192.168.55.3 to access FTP service on WBLE-SgLong using the smallest wildcard mask

access-list 100 permit tcp ___?____ ____?_____ host 192.168.19.89 eq ftp


d) Deny all other services not stated in the policy

Answer 1

请检查下面的答案。

a) 拒绝所有来自外部网络的 PING 请求

access-list 100 deny icmp any any

b) 允许互联网上的任何主机访问WBLE-SgLong

access-list 100 permit tcp any any eq 80

c) 允许 IP 为 192.168.55.1 和 192.168.55.3 的主机使用最小的通配符掩码

访问 WBLE-SgLong 上的 FTP 服务

access-list 100 permit tcp 192.168.55.0 0.0.0.7 host 192.168.19.89 eq ftp

d) 拒绝政策中未说明的所有其他服务

access-list 100 deny ip any any

您应该注意，每个访问列表的末尾都有隐式 deny ip any any ，因此最后一个有点多余。但是，如果它不在 ACL 的末尾，或者如果您想使用日志记录并查看有多少数据包被拒绝，您可以使用它。

至于 ACL，Cisco 有关于该主题的非常好的文档。您可以在 https://www.cisco.com/c/en/us/support/docs/ip/access-lists/26448-ACLsamples.html

上查看最常用的 ACL