任務(wù)11 用訪問(wèn)控制列表(ACL)限制計(jì)算機(jī)訪問(wèn)

1、任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 了解訪問(wèn)控制列表（1） 訪問(wèn)控制列表（Access List,ACL）是Cisco IOS所提供的一種訪問(wèn)控制技術(shù)，是應(yīng)用到路由器接口的一組指令列表，路由器根據(jù)這些指令列表來(lái)決定是接收數(shù)據(jù)包還是拒絕數(shù)據(jù)包。 ACL使用包過(guò)濾技術(shù)，在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等，根據(jù)預(yù)先定義好的規(guī)則對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾，從而達(dá)到訪問(wèn)控制的目的。 ACL是使用包過(guò)濾技術(shù)來(lái)實(shí)現(xiàn)的，過(guò)濾的依據(jù)又僅僅只是第三層和第四層包頭中的部分信息，這種技術(shù)具有一些固有的局限性，如無(wú)法識(shí)別到具體的人，無(wú)法識(shí)

2、別到應(yīng)用內(nèi)部的權(quán)限級(jí)別等。因此，要達(dá)到end to end的權(quán)限控制目的，還需要和系統(tǒng)級(jí)以及應(yīng)用級(jí)的訪問(wèn)權(quán)限控制結(jié)合使用。 任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 了解訪問(wèn)控制列表（2） 1 1、了解訪問(wèn)控制列表（、了解訪問(wèn)控制列表（ACLACL）的分類的分類 標(biāo)準(zhǔn)訪問(wèn)控制列表利用源IP地址來(lái)做過(guò)濾決定，配置簡(jiǎn)單，但應(yīng)用場(chǎng)合有限，不能夠進(jìn)行復(fù)雜條件的過(guò)濾；而擴(kuò)展訪問(wèn)控制列表則可以利用多個(gè)條件來(lái)做過(guò)濾：源IP地址、目標(biāo)IP地址、網(wǎng)絡(luò)層的協(xié)議字段和傳輸層的端口號(hào)。 號(hào)碼式命名式標(biāo)準(zhǔn)號(hào)碼式訪問(wèn)控制列表標(biāo)準(zhǔn)命名訪問(wèn)控制列表擴(kuò)展號(hào)碼式訪問(wèn)控制列表擴(kuò)展命名訪問(wèn)控

3、制列表 標(biāo)準(zhǔn)號(hào)碼式訪問(wèn)控制列表的表號(hào)范圍為199，而擴(kuò)展號(hào)碼式訪問(wèn)控制列表的表號(hào)范圍為100199。任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 了解訪問(wèn)控制列表（3） 2 2、了解訪問(wèn)控制列表（、了解訪問(wèn)控制列表（ACLACL）設(shè)置規(guī)則設(shè)置規(guī)則 設(shè)置ACL的目的一方面是保護(hù)資源結(jié)點(diǎn)，阻止非法用戶對(duì)資源結(jié)點(diǎn)的訪問(wèn)；另一方面是限制特定的用戶結(jié)點(diǎn)所能具備的訪問(wèn)權(quán)限。 任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 了解訪問(wèn)控制列表（4） 3 3、了解訪問(wèn)控制列表中的協(xié)議、了解訪問(wèn)控制列表中的協(xié)議 從圖中可以看出Telnet、

4、FTP、SMTP協(xié)議依賴于TCP協(xié)議，而TCP協(xié)議又依賴于IP協(xié)議。 因此，如果我們?cè)谠L問(wèn)控制列表中只禁止FTP報(bào)文通過(guò)路由器，那么，其他的報(bào)文，如Telnet、SMTP的報(bào)文仍然可以通過(guò)路由器。 下面的擴(kuò)展訪問(wèn)控制列表就是只禁止依賴于TCP協(xié)議的FTP報(bào)文通過(guò)路由器，其他報(bào)文都可以通過(guò)路由器。 如果沒(méi)有后面的eq ftp，所有依賴于TCP協(xié)議的報(bào)文都不能通過(guò)路由器，那么Telnet、SMTP和FTP的報(bào)文也就都不能通過(guò)路由器。任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 了解訪問(wèn)控制列表（5） 4 4、理解訪問(wèn)控制列表中的端口號(hào)、理解訪問(wèn)控制列表中的端口

5、號(hào) 端口分為硬件領(lǐng)域的端口和軟件領(lǐng)域的端口。硬件領(lǐng)域的端口又稱接口，如計(jì)算機(jī)的COM口、USB口、路由器的局域網(wǎng)口等；軟件領(lǐng)域的端口一般指網(wǎng)絡(luò)中面向連接服務(wù)和無(wú)連接服務(wù)的通信協(xié)議接口，是一種抽象的軟件結(jié)構(gòu)，包括一些數(shù)據(jù)結(jié)構(gòu)和I/O（基本輸入輸出）緩沖區(qū)。 訪問(wèn)控制列表中的端口號(hào)指的是軟件領(lǐng)域的端口編號(hào)。按端口號(hào)可分為3大類： 公認(rèn)端口（WellKnown ports）。編號(hào)從0到1023，它們緊密綁定（binding）于一些服務(wù)，明確表明了某種服務(wù)的協(xié)議。例如：21端口總是FTP通訊，80端口總是HTTP通訊。 注冊(cè)端口（Registered ports）。編號(hào)從1024到49151，它們松散

6、地綁定于一些服務(wù)。也就是說(shuō)有許多服務(wù)綁定于這些端口，這些端口同樣用于許多其它目的。以下是計(jì)算機(jī)端口的介紹以及防止被黑客攻擊的簡(jiǎn)要辦法。 動(dòng)態(tài)/私有端口（Dynamic and/or private ports）。從49152到65535。理論上，不應(yīng)為服務(wù)分配這些端口。實(shí)際上，計(jì)算機(jī)通常從1024起分配動(dòng)態(tài)端口。 任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 了解訪問(wèn)控制列表（6） 一些端口常常會(huì)被黑客利用，還會(huì)被一些木馬病毒利用，對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行攻擊，了解這些端口可以幫助網(wǎng)絡(luò)管理員針對(duì)這些端口進(jìn)行限制。 l8080端口 8080端口同80端口，是被用于W

7、WW代理服務(wù)的，可以實(shí)現(xiàn)網(wǎng)頁(yè)瀏覽，經(jīng)常在訪問(wèn)某個(gè)網(wǎng)站或使用代理服務(wù)器的時(shí)候，會(huì)加上“:8080”端口號(hào)。 l21端口 FTP服務(wù)，F(xiàn)TP服務(wù)器所開放的端口。用于上傳、下載文件。 l23端口 Telnet遠(yuǎn)程登錄服務(wù)。 l25端口 SMTP簡(jiǎn)單郵件傳輸服務(wù)。SMTP服務(wù)器所開放的端口，用于發(fā)送郵件。 l80端口 HTTP服務(wù)，用于網(wǎng)頁(yè)瀏覽。 l110端口 POP3服務(wù)，POP3服務(wù)器開放此端口，用于接收郵件，客戶端訪問(wèn)服務(wù)器端的郵件服務(wù)。POP3服務(wù)有許多公認(rèn)的弱點(diǎn)。任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 了解訪問(wèn)控制列表（7） l119端口 NEWS

8、新聞組傳輸協(xié)議端口，承載USENET通信。這個(gè)端口的連接通常是人們?cè)趯ふ襏SENET服務(wù)器。多數(shù)ISP限制，只有他們的客戶才能訪問(wèn)他們的新聞組服務(wù)器。 l135端口 Location Service服務(wù)。 HACKER掃描計(jì)算機(jī)的這個(gè)端口是為了找到這個(gè)計(jì)算機(jī)上運(yùn)行Exchange Server嗎？什么版本？還有些Dos攻擊直接針對(duì)這個(gè)端口。 l137、138、139端口 NETbIOS Name Service服務(wù)。 l161端口 SNMP服務(wù),SNMP允許遠(yuǎn)程管理設(shè)備。所有配置和運(yùn)行的信息都儲(chǔ)存在數(shù)據(jù)庫(kù)中，通過(guò)SNMP可獲得這些信息。 任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限

9、制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 配置號(hào)碼式訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn) （1） 號(hào)碼式ACL分為標(biāo)準(zhǔn)號(hào)碼式ACL和擴(kuò)展號(hào)碼式ACL兩種。前者基于源地址過(guò)濾，后者可以基于源地址、目標(biāo)地址、第三層協(xié)議和第四層端口進(jìn)行復(fù)雜的組合過(guò)濾。 當(dāng)網(wǎng)絡(luò)管理員想要阻止來(lái)自某一網(wǎng)絡(luò)的所有通信流量，或者允許某一特定網(wǎng)絡(luò)的所有流量通過(guò)某個(gè)路由器的出口時(shí)可以使用標(biāo)準(zhǔn)號(hào)碼式ACL。 由于標(biāo)準(zhǔn)號(hào)碼式ACL只基于源地址來(lái)過(guò)濾數(shù)據(jù)包，所以一些復(fù)雜的過(guò)濾要求就不能實(shí)現(xiàn)，這時(shí)就需要使用擴(kuò)展號(hào)碼式ACL來(lái)進(jìn)行過(guò)濾。1、配置標(biāo)準(zhǔn)號(hào)碼式、配置標(biāo)準(zhǔn)號(hào)碼式ACL 限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) （1）了解標(biāo)準(zhǔn)號(hào)碼式）了解標(biāo)準(zhǔn)號(hào)碼式ACL的

10、設(shè)置命令的設(shè)置命令 標(biāo)準(zhǔn)號(hào)碼式ACL的配置是使用全局配置命令access-list來(lái)定義訪問(wèn)控制列表。 任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 配置號(hào)碼式訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn) （2） 可以在全局配置模式下通過(guò)執(zhí)行access-list命令前面加no的形式，來(lái)移去一個(gè)已經(jīng)遍歷的標(biāo)準(zhǔn)ACL 。 任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 配置號(hào)碼式訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn) （3） 為了說(shuō)明對(duì)通配符掩碼的操作，假設(shè)企業(yè)擁有一個(gè)C類網(wǎng)絡(luò)。如果不使用子網(wǎng)，當(dāng)配置網(wǎng)絡(luò)中的工

11、作站時(shí)，使用的子網(wǎng)掩碼為。在這種情況下，TCP/IP協(xié)議棧只匹配報(bào)文中的網(wǎng)絡(luò)地址，而不匹配主機(jī)地址。而標(biāo)準(zhǔn)訪問(wèn)列表中，如果是 55，則表示匹配源網(wǎng)絡(luò)地址中的所有報(bào)文。 任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 配置號(hào)碼式訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn) （4） （2）了解在路由器接口上應(yīng)用標(biāo)準(zhǔn)號(hào)碼式）了解在路由器接口上應(yīng)用標(biāo)準(zhǔn)號(hào)碼式ACL的命令的命令將一個(gè)訪問(wèn)控制列表應(yīng)用于接口分為三步：首先要定義一個(gè)訪問(wèn)控制列表，然后指定應(yīng)用的接口，最后用ip access-group命令定義數(shù)據(jù)流的方

12、向。 要將訪問(wèn)列表1應(yīng)用于快速以太網(wǎng)接口0/1的出口方向需要使用如下命令定義接口： 要將訪問(wèn)列表50應(yīng)用于串行接口0/1的入口方向需要使用如下命令定義接口： 在接口上應(yīng)用訪問(wèn)列表時(shí)需要指定方向，用ip access-group命令來(lái)定義。 任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 配置號(hào)碼式訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn) （5） （2）了解在路由器接口上應(yīng)用標(biāo)準(zhǔn)號(hào)碼式）了解在路由器接口上應(yīng)用標(biāo)準(zhǔn)號(hào)碼式ACL的命令的命令如果是在VTY線路上使用訪問(wèn)控制列表則使用access-class list-numberin|out格式的命令。而不是使用ip

13、access-group命令。 例如，只允許指定的計(jì)算機(jī)telnet登錄到路由器，可以用以下方式： 任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 配置號(hào)碼式訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn) （6） （3）配置標(biāo)準(zhǔn)號(hào)碼式）配置標(biāo)準(zhǔn)號(hào)碼式ACL并應(yīng)用于路由器端口并應(yīng)用于路由器端口 企業(yè)的財(cái)務(wù)部、銷售部和其他部門分屬于三個(gè)不同的網(wǎng)段，部門之間的數(shù)據(jù)通過(guò)路由器，企業(yè)規(guī)定只有銷售部可以訪問(wèn)財(cái)務(wù)部，其他部門的計(jì)算機(jī)不允許訪問(wèn)財(cái)務(wù)部。 網(wǎng)絡(luò)管理員分配財(cái)務(wù)部地址/24，網(wǎng)絡(luò)接入路由器的F0/0接口；銷售部地址/24，銷售部網(wǎng)

14、絡(luò)接入路由器的F0/1接口；其他部門地址為/24，網(wǎng)絡(luò)接入路由器的F1/0接口。 任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 配置號(hào)碼式訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn) （7） 2、配置擴(kuò)展號(hào)碼式、配置擴(kuò)展號(hào)碼式ACL限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 標(biāo)準(zhǔn)號(hào)碼式ACL只是利用報(bào)文字段中源地址進(jìn)行過(guò)濾，而擴(kuò)展號(hào)碼式ACL則可以根據(jù)源和目的地址、協(xié)議、源和目的的端口號(hào)以及一些選項(xiàng)來(lái)進(jìn)行過(guò)濾，提供了更廣闊的控制范圍，應(yīng)用也更為廣泛。 （1）了解擴(kuò)展號(hào)碼式）了解擴(kuò)展號(hào)碼式ACL的設(shè)置命令的設(shè)置命令 擴(kuò)展號(hào)碼式ACL中的參數(shù)有些和標(biāo)準(zhǔn)號(hào)碼式A

15、CL中的參數(shù)一樣。 任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 配置號(hào)碼式訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn) （8） eq、gt、lt、neq、range等操作符的意思解釋如表所示。 任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 配置號(hào)碼式訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn) （9） （2）配置擴(kuò)展號(hào)碼式）配置擴(kuò)展號(hào)碼式ACL并應(yīng)用于路由器端口并應(yīng)用于路由器端口 某企業(yè)銷售部網(wǎng)絡(luò)地址/24，連接于路由器的F0/0口；研發(fā)部網(wǎng)絡(luò)地址/24，連接于路由器的F0/1口；服務(wù)器群

16、地址為/24，連接于路由器的F1/0口。銷售部禁止訪問(wèn)FTP服務(wù)器，允許其他訪問(wèn)。注意擴(kuò)展號(hào)碼式ACL盡量應(yīng)用在離源地址近的接口上。 任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 配置號(hào)碼式訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn) （10） （3）按要求完成擴(kuò)展號(hào)碼式）按要求完成擴(kuò)展號(hào)碼式ACL配置配置 路由器r1、r2、r3按下圖連接，r1的局域網(wǎng)口E1/0、E1/1、E1/2和E1/3分別連接A、B、C和D四臺(tái)計(jì)算機(jī)，地址分配如圖中所示，所有路由器運(yùn)行RIP協(xié)議。網(wǎng)絡(luò)已經(jīng)可以互聯(lián)互通。以下的幾個(gè)要求都是基于這個(gè)網(wǎng)絡(luò)環(huán)境，我們根據(jù)不同要

17、求來(lái)配置擴(kuò)展號(hào)碼式訪問(wèn)控制列表。任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 配置號(hào)碼式訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn) （11） 任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 配置號(hào)碼式訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn) （12） 任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 配置命名式訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn) （1） 號(hào)碼式ACL不能從列表中刪除某一條控制條目，刪除一條相當(dāng)于去除整個(gè)訪問(wèn)控制列表。而命名式訪問(wèn)控制列表可以刪除某一特定的條目，有助于網(wǎng)絡(luò)管理員修改

18、ACL。 命名式訪問(wèn)控制列表分為標(biāo)準(zhǔn)命名式訪問(wèn)控制列表和擴(kuò)展命名式訪問(wèn)控制列表。 命名式訪問(wèn)控制列表是在標(biāo)準(zhǔn)ACL和擴(kuò)展ACL中，使用一個(gè)名稱來(lái)代替列表號(hào)。這個(gè)名稱是字母和數(shù)字的組合字符串。這個(gè)字符串可以用一個(gè)有意義的名字來(lái)幫助網(wǎng)絡(luò)管理員記憶所設(shè)置的訪問(wèn)控制列表的用途。 1、配置標(biāo)準(zhǔn)命名式、配置標(biāo)準(zhǔn)命名式ACL限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 命名式訪問(wèn)控制列表分為標(biāo)準(zhǔn)命名式訪問(wèn)控制列表和擴(kuò)展命名式訪問(wèn)控制列表。 List-name是標(biāo)準(zhǔn)命名式訪問(wèn)控制列表的表名，可以是199的數(shù)字或是字母和數(shù)字的任意組合。 任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 配置命

19、名式訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn) （2） 還是拿前面標(biāo)準(zhǔn)號(hào)碼式的例子來(lái)做對(duì)比，標(biāo)準(zhǔn)號(hào)碼式配置如下： 而如果采用標(biāo)準(zhǔn)命名式，配置就變?yōu)槿缦拢?列表號(hào)20被名稱denyqtbm代替了。 任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 配置命名式訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn) （3） 2、配置擴(kuò)展命名式、配置擴(kuò)展命名式ACL限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) list-name是擴(kuò)展命名式訪問(wèn)控制列表的表名，可以是100199的數(shù)字，也可以是字母和數(shù)字的任意組合。 擴(kuò)展命名式訪問(wèn)控制列表分兩步來(lái)定義： 下面將擴(kuò)展命名式訪問(wèn)控制列表的配置與擴(kuò)展號(hào)碼式做一個(gè)比

20、較。還是利用前面的例子，擴(kuò)展號(hào)碼式配置如下： 而采用擴(kuò)展命名式訪問(wèn)控制列表，利用名稱denyftp來(lái)代替列表號(hào)101，配置變成如下： 任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 訪問(wèn)控制列表（ACL）配置實(shí)訓(xùn) （1） 一、實(shí)訓(xùn)名稱一、實(shí)訓(xùn)名稱 用訪問(wèn)控制列表實(shí)現(xiàn)企業(yè)網(wǎng)中部分計(jì)算機(jī)訪問(wèn)互聯(lián)網(wǎng)二、實(shí)訓(xùn)目的二、實(shí)訓(xùn)目的1、了解號(hào)碼式訪問(wèn)控制列表和命名式訪問(wèn)控制列表。2、掌握標(biāo)準(zhǔn)號(hào)碼式訪問(wèn)列表的配置方法。3、掌握訪問(wèn)控制列表的查看方法。三、實(shí)訓(xùn)內(nèi)容三、實(shí)訓(xùn)內(nèi)容 企業(yè)內(nèi)部部門和部門之間的訪問(wèn)經(jīng)常需要加以限制，如銷售部經(jīng)理可以訪問(wèn)財(cái)務(wù)部，而銷售部其他成員不允許訪問(wèn)財(cái)

21、務(wù)部；有些企業(yè)只允許部分計(jì)算機(jī)訪問(wèn)互聯(lián)網(wǎng)；學(xué)校里教師辦公室的計(jì)算機(jī)允許訪問(wèn)FTP服務(wù)器，而學(xué)生宿舍計(jì)算機(jī)不允許訪問(wèn)FTP服務(wù)器。學(xué)生可以根據(jù)自己的實(shí)訓(xùn)條件模擬各種情況。本實(shí)訓(xùn)就是模擬一個(gè)企業(yè)的部分計(jì)算機(jī)可以訪問(wèn)互聯(lián)網(wǎng)的情境。任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 訪問(wèn)控制列表（ACL）配置實(shí)訓(xùn) （2） 四、實(shí)訓(xùn)環(huán)境四、實(shí)訓(xùn)環(huán)境1、用兩臺(tái)CISCO2621路由器、一臺(tái)二層交換機(jī)和兩臺(tái)計(jì)算機(jī)按如圖所示的方式連接，組成實(shí)驗(yàn)環(huán)境。其中，一臺(tái)路由器模擬互聯(lián)網(wǎng)環(huán)境，打開一個(gè)環(huán)回接口loopback 0，供計(jì)算機(jī)訪問(wèn)；另一臺(tái)路由器作為企業(yè)網(wǎng)絡(luò)的接入路由器。2、交換

22、機(jī)上有沒(méi)有劃分VLAN，如果有劃分，刪除劃分的VLAN。3、配置路由器主機(jī)名、接口和路由表，配置計(jì)算機(jī)的IP地址、網(wǎng)關(guān)等，在兩臺(tái)計(jì)算機(jī)上可以ping通ISP路由器的loopback 0口。4、RouterB上配置訪問(wèn)列表,禁止PC1訪問(wèn)RouterA上的loopback 0口(模擬互聯(lián)網(wǎng)),而允許/24網(wǎng)絡(luò)上的其他計(jì)算機(jī)訪問(wèn)RouterA上的loopback 0口。任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 訪問(wèn)控制列表（ACL）配置實(shí)訓(xùn) （3） 五、實(shí)訓(xùn)要求分析和設(shè)備準(zhǔn)備五、實(shí)訓(xùn)要求分析和設(shè)備準(zhǔn)備1、分析實(shí)訓(xùn)要求。2、要完成這個(gè)實(shí)

23、訓(xùn)任務(wù)，就需要首先找到滿足實(shí)訓(xùn)要求的路由器2臺(tái)，每個(gè)路由器至少要有一個(gè)廣域網(wǎng)接口，需要準(zhǔn)備一根公頭的連接廣域網(wǎng)口的電纜，和一根母頭的連接廣域網(wǎng)口的電纜，把兩個(gè)路由器連接起來(lái)。3、需要一臺(tái)沒(méi)有劃分VLAN的交換機(jī)。由于學(xué)校實(shí)訓(xùn)室的交換機(jī)經(jīng)常被使用的學(xué)生劃分VLAN,可能導(dǎo)致實(shí)訓(xùn)無(wú)法完成，所以，學(xué)生要注意查看有沒(méi)有劃分VLAN。4、至少需要兩臺(tái)計(jì)算機(jī)。因?yàn)橐獙?shí)現(xiàn)部分計(jì)算機(jī)能訪問(wèn)互聯(lián)網(wǎng)，其他計(jì)算機(jī)不能訪問(wèn)互聯(lián)網(wǎng)。5、要根據(jù)實(shí)驗(yàn)環(huán)境考慮使用直通雙絞線還是交叉雙絞線、需要幾根。 6、需要預(yù)先規(guī)劃好每個(gè)網(wǎng)絡(luò)的IP地址。以表格的形式填寫路由器每個(gè)接口需要配置的信息，并對(duì)照要求檢查配置是否完整。 分析工作要有

24、一個(gè)組織者，要統(tǒng)一大家的意見(jiàn)。這個(gè)組織者最終也是這個(gè)實(shí)訓(xùn)任務(wù)的決策、計(jì)劃、實(shí)施、檢查的組織者和調(diào)度者。 任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 訪問(wèn)控制列表（ACL）配置實(shí)訓(xùn) （4） 六、決策和計(jì)劃六、決策和計(jì)劃 1、準(zhǔn)備網(wǎng)絡(luò)拓?fù)鋱D。 2、規(guī)劃IP地址。必須在規(guī)劃好IP地址后能夠完成后續(xù)的工作。 3、準(zhǔn)備各種表格。這一點(diǎn)是很重要的，因?yàn)闆](méi)有預(yù)先準(zhǔn)備好各種表格，大家就無(wú)法協(xié)同完成任務(wù)。4、進(jìn)行任務(wù)分配。誰(shuí)來(lái)完成線纜的準(zhǔn)備、誰(shuí)來(lái)完成設(shè)備的連接、誰(shuí)來(lái)完成設(shè)備的配置。 任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 訪問(wèn)控

25、制列表（ACL）配置實(shí)訓(xùn) （5） 七、實(shí)施與檢查步驟七、實(shí)施與檢查步驟1、路由器A的參考配置（模擬互聯(lián)網(wǎng)） 2、路由器B的參考配置 任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 訪問(wèn)控制列表（ACL）配置實(shí)訓(xùn) （6） 3、配置訪問(wèn)列表 這里定義了一個(gè)標(biāo)準(zhǔn)號(hào)碼式訪問(wèn)控制列表，表號(hào)50，這個(gè)訪問(wèn)列表被應(yīng)用于快速以太網(wǎng)口F0/0，并指定了數(shù)據(jù)流進(jìn)入的訪問(wèn)為in。該訪問(wèn)控制列表禁止主機(jī)的IP數(shù)據(jù)包進(jìn)入路由器的F0/0端口，而允許網(wǎng)絡(luò)/24內(nèi)的其他主機(jī)的IP數(shù)據(jù)包流入。 可以用如下命令查看某個(gè)指定的訪問(wèn)控制列表。Show

26、access-list list-number|list-name也可以用Show access-list命令查看所有的訪問(wèn)控制列表。如果只想顯示IP的訪問(wèn)控制列表，也可以用show ip access-list命令。 任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 訪問(wèn)控制列表（ACL）配置實(shí)訓(xùn) （7） 4、驗(yàn)證訪問(wèn)控制列表 此時(shí)，從PC1(IP地址為)上已經(jīng)不能ping通ISP路由器的loopback 0口，而PC2（IP地址為）可以ping通ISP路由器的loopback 0口。說(shuō)明訪問(wèn)控制列表已經(jīng)生效。 到

27、這里，我們的任務(wù)就已經(jīng)完成了。下面開始我們來(lái)進(jìn)行一些探究性的研究，有助于我們更好地掌握訪問(wèn)控制列表知識(shí)。 任務(wù)任務(wù)11：用訪問(wèn)控制列表（用訪問(wèn)控制列表（ACL）限制計(jì)算機(jī)訪問(wèn)限制計(jì)算機(jī)訪問(wèn) 訪問(wèn)控制列表（ACL）配置實(shí)訓(xùn) （8） 5、刪除訪問(wèn)列表，看看從PC1上能不能ping通ISP路由器的loopback 0口?應(yīng)該是可以ping通的。RouterB(config)#no access-list 50執(zhí)行上述命令后，50號(hào)訪問(wèn)控制列表就被去除了。 6、如果在路由器B上再做如下配置，又重新加上了50號(hào)訪問(wèn)控制列表，只是這次50號(hào)訪問(wèn)控制列表中只有一條語(yǔ)句。這樣配置后，PC1和PC2都不能ping通，因?yàn)樵谠L問(wèn)列表中沒(méi)有peimi