《計(jì)算機(jī)網(wǎng)絡(luò)實(shí)驗(yàn)報(bào)告》實(shí)驗(yàn)五預(yù)習(xí)

1、實(shí)驗(yàn)五acl配置configuration of access control list實(shí)驗(yàn)學(xué)時(shí)：2實(shí)驗(yàn)類型：設(shè)計(jì)型前修課程名稱：計(jì)算機(jī)網(wǎng)絡(luò)適用專業(yè)：計(jì)算機(jī)科學(xué)與技術(shù) 專業(yè)、實(shí)驗(yàn)?zāi)康囊?、學(xué)生掌握路由訪問控制列表配置方法；2、熟悉和掌握用訪問控制列表控制ip通信、擴(kuò)展ip訪問列表（協(xié)議、端口）配置的方法。二、實(shí)驗(yàn)知識1、防火墻技術(shù)由于路由器工作在網(wǎng)絡(luò)層，因此可以在網(wǎng)絡(luò)層針對單個(gè)數(shù)據(jù)包進(jìn)行訪問。這種對于數(shù)據(jù) 包的訪問控制技術(shù)一般被稱為防火墻技術(shù)。實(shí)施防火墻技術(shù)的目的是為了保護(hù)內(nèi)部網(wǎng)絡(luò)免遭 非法數(shù)據(jù)包的侵害。防火墻一般布置在一個(gè)網(wǎng)絡(luò)的邊緣，用于控制進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包的種 類。路由器的防火墻配置包扌

2、舌兩方面的內(nèi)容：一是定義對特定數(shù)據(jù)流的訪問控制規(guī)則，即定 義訪問控制列表（access control list, acl）；二是將特定的規(guī)則應(yīng)用到具體的接口上，從而 過濾特定方向的數(shù)據(jù)流。通過網(wǎng)絡(luò)層數(shù)據(jù)包過濾設(shè)置，可以限制網(wǎng)絡(luò)流量、增強(qiáng)安全性。2、訪問控制列表路由器為了過濾數(shù)據(jù)包，需要配置一系列的規(guī)則，以決定什么樣的數(shù)據(jù)包能夠通過，這 些規(guī)則就是通過訪問控制列表定義的。acl是tl permit i deny語句組成的一系列有順序的 規(guī)則列表，這些規(guī)則根據(jù)數(shù)據(jù)包的源地址、目的地址、端口號等來描述。acl通過這些規(guī) 則對數(shù)據(jù)包進(jìn)行分類，并將這些規(guī)則應(yīng)用到路由器的接口中。路由器根據(jù)這些規(guī)則來判斷

3、哪 些數(shù)據(jù)可以接收，哪些數(shù)據(jù)包需要拒絕。訪問列表分為兩類：標(biāo)準(zhǔn)訪問控制列表和擴(kuò)展訪問控制列表。3、標(biāo)準(zhǔn)訪問列表：只對數(shù)據(jù)包中的源地址進(jìn)行檢査，在全局配置模式下進(jìn)行設(shè)置。根據(jù)在 設(shè)備中定義列表的方式，可以將列表分為編號列表和命名列表兩類a）編號法標(biāo)準(zhǔn)訪問列表的格式為：access-list listnumber permit i deny address wildcard-mask此格式表示：允許或拒絕來自指定網(wǎng)絡(luò)的數(shù)據(jù)包，該網(wǎng)絡(luò)由ip地址（address）和掩碼（屏蔽 碼）指定。其屮listnumber為規(guī)則序號，標(biāo)準(zhǔn)訪問控制列表的規(guī)則序號范i韋i為1-99o permit 和deny表示允許

4、或禁止?jié)M足該規(guī)則的數(shù)據(jù)包通過。address wildcard-mask分別為ip地址和掩碼（屏蔽碼）,指定某個(gè)網(wǎng)絡(luò)。如果ip地址指定 為any,則表示所有ip地址，而且不需配置指定相應(yīng)的掩碼.注意：屏蔽碼的定義與掩碼不同，它也是一個(gè)點(diǎn)分十進(jìn)制數(shù)表示的一個(gè)32位的二進(jìn)制值， 其中為0的代表只有到來數(shù)據(jù)包的源地址對應(yīng)位與列表的對應(yīng)位一一匹配才認(rèn)為到來數(shù)據(jù) 包是列表數(shù)據(jù)，需要進(jìn)行控制；為1的位代表模糊處理，即不匹配也不影響列表對特征數(shù)據(jù) 的判斷。列表的形成完全依賴于寫入的先后順序，先寫入的自然在第一條，依次排列。列表對進(jìn) 入的數(shù)據(jù)進(jìn)行匹配查詢時(shí)也是按照從上到下的順序，一旦找到對應(yīng)的列表項(xiàng)即退出列表

5、不再 往下繼續(xù)查詢。這時(shí)，如果定義列表時(shí)沒有將小范i韋i源地址放在列表的前兒項(xiàng)，而是把整個(gè) 大范圍的網(wǎng)絡(luò)采取的動作寫入了列表的前面，就會使設(shè)備形成錯(cuò)誤的判斷。例如，當(dāng)設(shè)備需 要對a網(wǎng)段的a主機(jī)特殊照顧允許其通過檢查，而對除a之外的主機(jī)進(jìn)行限行處理時(shí)，列 表1和列表2將會產(chǎn)生完全不同的結(jié)果。列表 1 定義：access-list 1 permit a 55.access-list 1 deny a a網(wǎng)段的網(wǎng)絡(luò)掩碼列表2定義：access-list 1 deny a a網(wǎng)段的網(wǎng)絡(luò)掩碼access-list 1 permit a 55這時(shí),由于a

6、包含了 a,所以當(dāng)a數(shù)據(jù)到達(dá)設(shè)備進(jìn)行 檢查時(shí)，如果在列表2的作用下，a會因?yàn)榧航?jīng)匹配了此列表的第一個(gè)列表項(xiàng)而退岀列表， 不再進(jìn)行下而的列表 項(xiàng)查詢，因此列表2將無法達(dá)到a主機(jī)的特權(quán)設(shè)置。列表1則可以實(shí) 現(xiàn)此目的?；谏裰輸?shù)碼dcr-2626路由器的標(biāo)準(zhǔn)訪問列表配置命令：router#c onflgrouter_config#ip access-list standard 1 定義標(biāo)準(zhǔn)的訪問控制列表router_config_std_nacl#deny / 基 于 源 地址router_config_std_nacl#permitany因?yàn)橛须[含的

7、 deny anyb）命名法由于數(shù)值表示的訪問控制列表在列表進(jìn)行改動吋無法將其中的某條刪除,這樣當(dāng)我們需 要對訪問列表的某條進(jìn)行更改時(shí)，只能先將整個(gè)列表一同刪除，再一條一條將修改后的寫入。 而且數(shù)值表示的列表很不直觀，一段時(shí)間之后，網(wǎng)管員也容易忘記當(dāng)時(shí)配置訪問列表的fi的 為何了，因此，在設(shè)備實(shí)現(xiàn)中可以采用另外一種方式配置這 就是命名的訪問控制列表。命名的列表配置分兩步驟進(jìn)行：一是創(chuàng)建一個(gè)列表并進(jìn)入到列表配置模式：二是在獨(dú) 立的模式中配置具體列表項(xiàng)。整個(gè)過程如下所示：router_congfig#ip access-list standard for test router_congfigas

8、td_nac 1 #/定義了一個(gè)標(biāo)準(zhǔn)的訪問控制列表，其名字為fojtest.并進(jìn)入到這個(gè)列表配置模式。router_congfig_std_nac 1 ttpermit 定義這個(gè)列表的第一個(gè)列表項(xiàng)允許了 為源地址的所有數(shù)據(jù)包通過。命名的列表與編號的列表本質(zhì)上是一致的，只是在具體的操作環(huán)節(jié)有一點(diǎn)差異。命名的 方法使得對列表的修改顯得稍微靈活一些。可以獨(dú)立刪除某一個(gè)列表項(xiàng)。不必刪除全部的。 但無論是編號的還是命名的訪問控制列表，都不能對列表項(xiàng)進(jìn)行修改覆蓋，而只能添加，并 且它們也只能將新的列表項(xiàng)添加在已有列表的最后（默認(rèn)隱含的deny所有的前

9、面），不能插 入，所以當(dāng)刪除了命名列表的某項(xiàng)z后，新添加的列表項(xiàng)是出于整個(gè)列表的最末位置的。4、擴(kuò)展訪問列表：需要對數(shù)據(jù)包的源地址、目的地址、協(xié)議和端口號都進(jìn)行檢查.擴(kuò)展標(biāo) 準(zhǔn)訪問列表的格式為：access-list istnumber permit i deny protocol source source-wildcard-mask destination desti natio n-wildcard-mask operator operand此格式表示允許或拒絕滿足如下條件的數(shù)據(jù)包通過：帶有指定的協(xié)議，如tcp、udp>icmp等;數(shù)據(jù)包來口 rtl source和source-w

10、ildcard-mask指定的網(wǎng)絡(luò)；數(shù)據(jù)包去往 destination 和 destination-wildcard-mask 指定的網(wǎng)絡(luò):該數(shù)據(jù)包的目的端口由operator operand規(guī)定的端口范圍之內(nèi)；其中：listnumber為規(guī)則序號，擴(kuò)展訪問控制列表的規(guī)則序號范圍為100-199%permit和deny表示允許或禁止?jié)M足該規(guī)則的數(shù)據(jù)包通過。protocol可以指定為0255之間的任一協(xié)議號（如1表示icmp協(xié)議），對于常見協(xié)議（如 ip、tcp和udp）,可以直觀地指定協(xié)議名，若指定為ip,則該規(guī)則對所有ip包均起作用。source 和 source-wildcard-mask

11、 以及 destination 和 destinationwhdcard-mask 之間的關(guān) 系參見標(biāo)準(zhǔn)訪問列表屮相關(guān)內(nèi)容。如果ip地址指定為any,則表示所有ip地址.而且不需配 置指定相應(yīng)的掩碼。掩碼缺省為55o operand用于指定端口范圍，缺省為全部 端口號0-65535,只有tcp和udp協(xié)議需要指定端口范圍。支持的操作符及其語法如下： eq protnumber： 等于端口號 protnumber gt portnumber：大于 protnumberit portnumber：小于 protnumber neq portnumber：不等于 protn

12、umber range portnumberl portnuinber2：介于端口號 portnumbcrl 和 portnumbef2 之間在扌旨定 portnumber時(shí)，對于用相應(yīng)的助記符來代替其實(shí)際數(shù)字。擴(kuò)展訪問列表的例子：access-list 100 deny udp any any eq rip表示禁止接收和發(fā)送rip 報(bào)文。acccss-list loopcrmil tcp eq www 表示 規(guī)則序號為100.允許從129.8.0.網(wǎng)段的主機(jī)向網(wǎng)段的主機(jī)發(fā)

13、送www報(bào)文。 accesjist 100 deny tcp eq www 表示規(guī)則序 號為100,禁止從網(wǎng)段的主機(jī)建立與網(wǎng)段內(nèi)的主機(jī)的www端口 (80) 的連接。access-list 101 deny tcp any 55 eq telnet 表示規(guī)則序號為 101, 禁止一切主機(jī)建立與ip地址為的主機(jī)的telnet(23)的連接。access-list 102 deny u

14、dp gt 128 表示規(guī)則 序號為10乙禁止從網(wǎng)段內(nèi)的主機(jī)建立與網(wǎng)段內(nèi)的主機(jī)的端口大于128 的udp (用戶數(shù)據(jù)報(bào)協(xié)議)的連接。用戶通過添加適當(dāng)?shù)脑L問規(guī)則，就可以利用包過濾來對通過路由器的ip包進(jìn)行 檢查, 從而過濾掉用戶不希望通過路由器的包，起到網(wǎng)絡(luò)安全的作用?；谏裰輸?shù)碼dcr-2626路由器的擴(kuò)展訪問列表配置router#c onfigrouter_config#ip access-list extended 101 定義擴(kuò)展訪問列表rout

15、er_config_ext_nac 1 #deny icmp 292.168八.2 55 eq 23 設(shè)置擴(kuò)展訪問列表，拒絕telnetrouter_config_ext_nac 1 #permit icmp any any /允許 ping5、刪除訪問列表no ip access-list extend/standard listnumber6、在接口上應(yīng)用訪問列表ip access-group listnumber in/指定接口上過濾接收報(bào)文 no ip access-group listnumber in 取

16、消接口上過濾接收報(bào)文 ip access-group listnumber out 指定接口上過濾發(fā)送報(bào)文 no ip access-group listnumber out /取消指定接口上過濾發(fā)送報(bào)文若對進(jìn)入該接口的數(shù)據(jù)包進(jìn)行檢查，選擇in,若對該接口送出的數(shù)據(jù)包進(jìn)行檢查，選 擇out.當(dāng)使用標(biāo)準(zhǔn)訪問控制列表實(shí)施安全策略時(shí)，為了滿足靈活應(yīng)用的需要'往往將標(biāo)準(zhǔn)訪 問控制列表應(yīng)用在距離特征數(shù)據(jù)目的較近的端口處進(jìn)行出口檢測。實(shí)施擴(kuò)展訪問控制列表的時(shí)候，在所有應(yīng)用選杼都可以滿足基本要求的前提選抒距離 源地址較近的端口進(jìn)行入口控制。對于標(biāo)準(zhǔn)訪問列表配置：routcr_config#inter

17、face ffo/1 進(jìn)入到離目標(biāo)最近的接口router_config0/l#ip access-group 1 out 綁定 acl1 在出的方向 對于擴(kuò)展訪問列表配置：router_config#inlerface （0/1 進(jìn)入到離源比較近的接口router config fd/1 #ip access-group 101 in /綁定 acl101 在 in 的方向7、顯示包過濾規(guī)則routera show ip acces»-list 101三、實(shí)驗(yàn)內(nèi)容一 i、簡單組網(wǎng)，配置各路由器的路由選擇協(xié)議，實(shí)現(xiàn)整個(gè)拓?fù)涞膇p連通性，在此基礎(chǔ)上進(jìn)行標(biāo)準(zhǔn)、擴(kuò)展1p訪問控制列表的配置和監(jiān)測；2、測試訪問控制功能。預(yù)習(xí)要求：預(yù)習(xí)訪問控制列表的概念和分類-四、實(shí)驗(yàn)設(shè)備pc機(jī)、路由器，console專用電纜線（或反序電纜），用于pc機(jī)串口的rj45到db-9的接口