标准访问控制列表配置.doc

1、 13。标准访问列表的实现 一．实训目的 1.理解标准访问控制列表的概念和工作原理。 2.掌握标准访问控制列表的配置方法。 3.掌握对路由器的管理位置加以限制的方法。 二．实训器材及环境 1．安装有packet tracer5。0模拟软件的计算机。 2．搭建实验环境如下： 三．实训理论基础 1．访问列表概述 访问列表是由一系列语句组成的列表,这些语句主要包括匹配条件和采取的动作（允许或禁止）两个内容。 访问列表应用在路由器的接口上，通过匹配数据包信息与访问表参数来决定允许数据包通过还是拒绝数据包通过某个接口。 数据包是通过还是拒绝，主要通过数据包中的源地址、目的地

2、址、源端口、目的端口、协议等信息来决定。 访问控制列表可以限制网络流量，提高网络性能,控制网络通信流量等,同时ACL也是网络访问控制的基本安全手段. 2．访问列表类型 访问列表可分为标准IP访问列表和扩展IP访问列表. 标准访问列表：其只检查数据包的源地址，从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口. 扩展IP访问列表：它不仅检查数据包的源地址,还要检查数据包的目的地址、特定协议类型、源端口号、目的端口号等. 3．ACL的相关特性 每一个接口可以在进入（inbound）和离开（outbound）两个方向上分别应用一个ACL，且每个方向上只能应用

3、一个ACL. ACL语句包括两个动作，一个是拒绝（deny)即拒绝数据包通过，过滤掉数据包，一个是允许(permit)即允许数据包通过,不过滤数据包。 在路由选择进行以前，应用在接口进入方向的ACL起作用. 在路由选择决定以后,应用在接口离开方向的ACL起作用. 每个ACL的结尾有一个隐含的“拒绝的所有数据包（deny all）”的语句. 4．ACL转发的过程 5．IP地址与通配符掩码的作用规 32位的IP地址与32位的通配符掩码逐位进行比较，通配符掩码为0的位要求IP地址的对应位必须匹配，通配符掩码为1的位所对应的IP地址位不必匹配。 通配符掩码掩码的两种特殊形式： 一个

4、是host表示一种精确匹配，是通配符掩码掩码0。0。0。0的简写形式; 一个是any表示全部不进行匹配,是通配符掩码掩码255。255。255。255的简写形式. 6．访问列表配置步骤 第一步是配置访问列表语句；第二步是把配置好的访问列表应用到某个端口上。 7．访问列表注意事项 注意访问列表中语句的次序,尽量把作用范围小的语句放在前面。 新的表项只能被添加到访问表的末尾，这意味着不可能改变已有访问表的功能。如果必须要改变，只有先删除已存在的访问列表，然后创建一个新访问列表、然后将新访问列表用到相应的接口上。 标准的IP访问列表只匹配源地址，一般都使用扩展的IP访问列表以达到精确

5、的要求. 标准的访问列表尽量靠近目的，由于标准访问表只使用源地址,因此将其靠近源会阻止报文流向其他端口.扩展的访问列表尽量靠近过滤源的位置上，以免访问列表影响其他接口上的数据流。 在应用访问列表时,要特别注意过滤的方向。 8．标准IP访问列表的配置命令 access—list(access—list—number）(deny｜permit)（source—address） （source—wildcard) ［log］ access—list—number：标准访问列表编号只能是1～99之间的一个数字，同时只要访问列表编号在1~99之间，它即可以定义访问控制列表操作的协议，也可以定

6、义访问控制列表的类型; deny｜permit:deny表示匹配的数据包将被过滤；permit表示允许匹配的数据包通过； source—address：表示单台或一个网段内的主机的IP地址； source—wildcard：通配符掩码； Log：访问列表日志,如果该关键字用于访问列表中，则对匹配访问列表中条件的报文作日志. 9．标准IP访问列表的配置命令续 （1)应用访问列表到接口 ip access—group access—list-number in|out In:通过接口进入路由器的报文; Out：通过接口离开路由器的报文。 （2)显示所有协议的访问列表配置细节

7、show access—list ［access—list—number］ （3）显示IP访问列表 show ip access—list ［access-list-number］ 四．实训内容 1．设置简单路由，使Router4能够访问Router2； 2．在Router2上配置标准ACL，使Router4不能够访问Router2. 五．实训步骤（标号的点需要改吗?字体与前面不同，不是宋体） 1。 设置路由器Router1的Ethernet 0和Serial 0两个接口的IP属性，并予以激活。 Ethernet 0：24。17。2。1 255.255.255.240 Se

8、rial 0：24。17。2。17 255.255.255。240 命令如下： Router〉 Router＃ Router#config t Router（config）#hostname Router1 Router1（config)# Router1（config)#interface ethernet0 Router1（config—if）#ip address 24。17。2.1 255。255。255。240 Router1(config—if）＃no shutdown Router1(config-if)＃exit Router1（con

9、fig）#interface serial0 Router1(config—if）＃ip address 24。17.2.17 255。255。255。240 Router1（config—if）＃no shutdown Router1(config—if)＃exit Router1(config)#exit 2。 设置路由器Router2的Ethernet 0接口的IP属性，并予以激活。 Ethernet 0：24.17。2.2 255。255。255。240 命令如下: Router〉 Router〉enable Router＃ Router＃con

10、fig t Router(config)＃hostname Router2 Router2(config）# Router2(config）#interface ethernet0 Router2（config—if）#ip address 24。17。2。2 255。255。255。240 Router2（config-if）＃no shutdown Router2（config-if)＃exit Router1（config）＃exit 3。 在Router2上使用Ping命令查看和路由器Router1中Ethernet 0接口的连通性。 Router2＃

11、ping 24.17。2。1 4。 设置路由器Router4的Serial 0接口的IP属性，并予以激活. Serial 0:24。17。2.18 255。255.255.240 然后使用Ping命令查看和路由器Router1中Serial 0接口的连通性。 Router〉 Router>enable Router＃ Router#config t Router(config)＃hostname Router4 Router4（config）# Router4(config)＃interface serial0 Router4（config-if)#ip

12、 address 24.17.2。18 255.255.255.240 Router4(config—if）＃no shutdown Router4（config—if）#exit Router4（config）#exit Router4#ping 24。17.2.17 5.在路由器 1 上启用RIP动态路由协议，再使用network命令配置需要进行通告的网络号。 Router1#config t Router1(config)＃router rip Router1（config-router）#network 24。0。0.0 Router1（config—

13、router)＃exit Router1(config）#exit 6.在路由器 2上启用RIP动态路由协议，再使用network命令配置需要进行通告的网络号。 Router2＃conf t Router2(config）#router rip Router2（config-router)＃network 24。0。0。0 Router2（config—router）＃exit Router2（config)#exit 7。 最后在路由器 4上启用RIP动态路由协议，再使用network命令配置需要进行通告的网络号。 Router4＃conf t Route

14、r4(config)＃router rip Router4（config—router)＃network 24。0。0.0 Router4(config-router）＃exit Router4（config）＃exit 8。上述通道建立之后,我们从Router4上ping路由器 Router2的Ethernet 0接口。 Router4＃ping 24.17.2。2 9。为了能使路由器4和路由器 2之间能够相互Ping通,下面我们进入路由器2的全局配置模式。 Router2＃conf t Router2（config)# 10。下面我们可以使用三种方式在路由器

15、2上创建一条访问控制列表,如果拒绝,选择①、②、③语句中任意一条，则允许所有从24。17.2。18发来的数据包通过。 ①Router2（config）＃access—list 1 deny host 24。17。2。18 —-——- OR -—— ②Router2（config）＃access—list 1 deny 24。17。2。18 0.0。0。0 -—-—— OR ——- ③Router2(config)＃access—list 1 deny 24。17。2。18 ————- THEN --- Router2(config)＃access-list 1 permit any 11。使用下列命令将上述访问规则应用到路由器2的Ethernet0的接口上，方向是过滤从此接口接受到的报文. Router2（config)#interface ethernet0 Router2(config—if）#ip access—group 1 in Router2（config—if）＃exit 六．实训报告要求 1。写出标准ACL的特点。 2。写出标准ACL的访问表号范围。 七．课后思考 1．如何实现对数据包目的地址、协议类型、端口号的访问列表设置？ 2．实现标准ACL时需要注意那些细节？ - 4 -