第13课-标准IP访问控制列表配置.doc

第13课：标准IP访问控制列表配置 注意：入栈端口和出栈端口 实验目标 。 理解标准IP访问控制列表的原理及功能; . 掌握编号的标准IP访问控制列表的配置方法； 实验背景 。 你是公司的网络管理员，公司的经理部、财务 部门和销售部分别属于不同的3个网段，三部门 之间用路由器进行信息传递,为了安全起见，公 司领导要求销售部门不能对财务部进行访问，但 经理部可以对财务部进行访问。 。 PC1代表经理部的主机、PC2代表销售部的主 机、PC3代表财务部的主机。 技术原理 。 ACLs 的全称为接入控制列表(Access Control Lists），也称为访问列表（Access Lists)，俗称为防火墙，在有的文档中还称之为包过滤.ACLs 通过定义一些规则对网络设备接口上的数据报文进行控制：允许通过或丢弃，从而提高网络可管理性和安全性； . IP ACL分为两种：标准IP访问列表和扩展IP访问列表，编号范围分别为1～99、1300~1999；100~199、2000~2699； . 标准IP访问列表可以根据数据包的源IP地址定义规则，进行数据包的过滤； 。 扩展IP访问列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤; 。 IP ACL 基于接口进行规则的应用，分为：入栈应用和出栈应用; 实验步骤 。 新建packet tracer 拓扑图（如图） （1)路由器之间通过V.35电缆通过串口连接，DCE端连接在R1上，配置其时钟频率64000 ；主机与路由器通过交叉线连接。 (2)配置路由器接口IP地址。 (3）在路由器上配置静态路由协议，让三台pc能相互ping通，因为只有在互通的前提下才能涉及到访问控制列表。 （4)在R1上配置编号的IP标准访问控制列表。 （5)将标准IP访问列表应用到接口上. (6）验证主机之间的互通性。 配置过程： 第一步： 首先配置三台PC的IP： 主机0的IP为172。16。1.2 255。255.255.0 172.16.1.1 主机1的IP为172。16。2.2 255.255.255.0 172。16。2.1 主机2的IP为172.16。4.2 255。255.255。0 172。16。4。1 ↓ ↓ 路由器R1设置： Router〉enable Router#configure terminal Router(config)#hostname R1 R0（config）＃int fa 0/0 R0(config-if）＃ip add 172.16。1。1 255.255.255。0 R0(config—if)#no shutdown R0（config—if）＃int fa 1/0 R0（config-if)＃ip add 172。16。2.1 255。255.255。0 R0（config—if)#no shutdown R0(config—if)#int s 2/0 R0（config-if)＃ip add 172。16.3。1 255.255。255。0 R0(config—if)#no shutdown R0(config—if)＃clock rate 64000 ↓ ↓ 路由器R2设置： Router〉enable Router#configure terminal Router（config)#hostname R2 R1(config）#int s 2/0 R1（config—if）#ip address 172.16。3。2 255.255。255.0 R1(config—if）#no shutdown R1(config—if）#int fa 0/0 R1（config—if）#ip address 172.16.4。1 255.255。255.0 R1（config-if）＃no shutdown 第二步：接下来配置路由表，通过静态路由实现 继续路由器R1设置： R0（config-if)#exit R0（config）#ip route 172。16.4。0 255.255.255。0 172.16.3.2 设置静态路由 ↓ 继续路由器R2设置： R1（config—if）#exit R1(config)＃ip route 0.0.0.0 0。0.0.0 172。16.3。1 设置缺省路由，下一跳的那个路由器上接了两个网段，因都要到达不好设置目标网络。 R1(config）#end ↓ 测试： 三台PC互通现在 ↓ ↓ 第三步：在R1上配置基本访问控制列表 （要求配置，主机1能访问主机3；主机2不能访问主机3）创建基本访问控制列表有两种方式，一种通过命名的方式来创建,另一种通过编号的方式来创建。在这里采用命名的方式来创建. R1>en R1#configure terminal R1（config）#ip access-list standard mm (创建基本访问控制列表standard,名字为mm） R1(config-std—nacl)＃ 进入访问控制列表模式 //R1(config—std-nacl)#permit ? 允许 //A。B。C。D Address to match 允许某一个网段? // any Any source host 允许任何的地址？ // host A single host address 允许某一个主机？ R1（config-std—nacl）＃permit 172。16。1。0 0。0。0。255 (允许172。16。1.0网段) R1(config-std—nacl)#deny 172.16.2.0 0.0.0。255 (在这里这条可以不写，默认写完上面那一条以后，默认只让上面那条通过） R1（config-std—nacl）#end 注释：1、访问控制列表的网络掩码是反掩码； R1＃configure terminal 2、标准控制列表应用要尽量靠近目的地址的接口 R1（config)＃int serial 2/0 （配置完访问控制列表后,需要在某个端口上应用一下。这里在出口端口上应用） R1(config-if)＃ip access-group mm out （应用指令，也是可以） R1(config—if)＃end (说明：in:是互联网数据进入路由器） out:是路由器的数据经过此端口进入互联网） ===================================================== ACL：防火墙功能 可以限制某一款软件,某一个端口等等 白名单：允许访问 黑名单：禁止访问