标准、扩展、名称访问控制列表配置.doc

标准、扩展、名称访问控制列表配置 2008-09-06 16:45:41| 分类： 网络试验 | 标签：acl 访问控制列表 |字号大中小 订阅 试验目的：熟悉标准访问控制列表的应用。 试验设备：r1、r2、r3、sw1、sw2、vpcs。 说明：在全网均能连通的情况下完成试验，注意：标准访问控制列表放置原则是，尽可能离目标地址近。 试验内容： 由于基本访问控制列表的放置原则，所以我们知道应该在r3上设置ACL，并且将其放置在r3的e1/0接口上。 1、只允许192.168.1.0网络的主机访问PC6。 命令如下： r3(config)#access-list 1 permit 192.168.1.0 0.0.0.255 /定义一个ACL名字为1，只允许192.168.1.0的网络内的主机信息通过，注意:这里的通配符掩码中0表示必须符合，1表示可以不同，所以0.0.0.255（0.0.0.11111111）就表示192.168.1这三位必须相同，而第四位可以任意。 r3(config)#int e1/0 /进入端口E1/0 r3(config-if)#ip access-group 1 out /将ACL 1应用在该接口上，控制出站数据流。 这时可以试验，从不同的网络PING PC6的IP地址，并且还可以PING R3的E1/0地址，除了192.168.1.0网络的信息外，都只能到达192.168.13.100而终止。 2、只允许PC1:192.168.1.1访问PC6。 首先执行r3(config)#no access-list 1 删除掉刚才建立的内容以便后续试验。 r3(config)#access-list 1 permit host 192.168.1.1 /只允许192.168.1.1主机的数据通过，host 192.168.1.1 效果等同于192.168.1.1 0.0.0.0 这时就只有pc1能ping通pc6了，请读者在pc1和pc3上ping pc6。 3、只拒绝192.168.2.0网络的主机访问PC6。 r3(config)#no access-list 1 /删除前面建立的列表 r3(config)#access-list 1 deny 192.168.2.0 0.0.0.255 /只拒绝192.168.2.0网络的数据 r3(config)#access-list 1 permit any /允许通过所有数据，any表示所有网络，因为所有的ACL末尾都有条隐藏deny any（拒绝所有）的语句，所以在这条语句之前必须加一条允许所有的语句来让所有其他的网络的数据通过。 请读者自行测试。 4、只拒绝PC2:192.168.2.1主机访问PC6。 r3(config)#no access-list 1 r3(config)#access-list 1 deny host 192.168.2.1 r3(config)#access-list 1 permit any 请读者自信测试。 注意：因为在第一步的试验的时候已经将ACL1应用到E1/0接口，并且后续试验中依然有效，所以后续的试验中就没有再次使用ip access-group 1 out命令了。 ***************************************************************************************************************** 扩展访问列表。 其实扩展访问列表相对于标准访问列表的不同就在于，它可以更加细化的控制访问，与标准访问列表不同，扩展访问列表需要放在距离控制源尽可能近的地方，因为这个原则所以以上的标准访问控制列表的试验中，在用扩展访问控制列表做的时候就因该放在R1的F2/0.10和F2/0.20口上，做入站数据流的控制。 比如： 1、只允许192.168.1.0网络的主机访问PC6的FTP服务。 r1(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 host 192.168.13.1 eq 21 /扩展列表101只允许从192.168.1.0网络到192.168.13.1的tcp数据通过，端口为21（这是FTP服务的段口之一21、20） r1(config)#access-list 101 permit tcp 192.168.1.0 0.0.0.255 host 192.168.13.1 eq 20 r1(config)#int f2/0.10 /进入端口f2/0.10 r1(config-if)#ip access-group 101 in /将ACL 101应用在该接口上，控制入站数据流。 其他的以此类推，另外还有名称访问控制列表也只是可以用非数字的字符来定义列表名称比如将101替换为NOTCP之类的字符，还可以用no的形式删除一条访问列表再加入，不过加入的新条目将会放在最末端，这一点需要特别注意，其他的与扩展访问控制列表没有太大区别。