標(biāo)準(zhǔn)訪問控制列表配置

1、13. 標(biāo)準(zhǔn)訪問列表的實(shí)現(xiàn)一實(shí)訓(xùn)目的1.理解標(biāo)準(zhǔn)訪問控制列表的概念和工作原理。2.掌握標(biāo)準(zhǔn)訪問控制列表的配置方法。3.掌握對(duì)路由器的管理位置加以限制的方法。二實(shí)訓(xùn)器材及環(huán)境1安裝有packet tracer5.0模擬軟件的計(jì)算機(jī)。2搭建實(shí)驗(yàn)環(huán)境如下： 三實(shí)訓(xùn)理論基礎(chǔ)1訪問列表概述 訪問列表是由一系列語句組成的列表，這些語句主要包括匹配條件和采取的動(dòng)作（允許或禁止）兩個(gè)內(nèi)容。訪問列表應(yīng)用在路由器的接口上，通過匹配數(shù)據(jù)包信息與訪問表參數(shù)來決定允許數(shù)據(jù)包通過還是拒絕數(shù)據(jù)包通過某個(gè)接口。數(shù)據(jù)包是通過還是拒絕，主要通過數(shù)據(jù)包中的源地址、目的地址、源端口、目的端口、協(xié)議等信息來決定。訪問控制列表可以限制網(wǎng)

2、絡(luò)流量，提高網(wǎng)絡(luò)性能，控制網(wǎng)絡(luò)通信流量等，同時(shí)ACL也是網(wǎng)絡(luò)訪問控制的基本安全手段。2訪問列表類型 訪問列表可分為標(biāo)準(zhǔn)IP訪問列表和擴(kuò)展IP訪問列表。標(biāo)準(zhǔn)訪問列表：其只檢查數(shù)據(jù)包的源地址，從而允許或拒絕基于網(wǎng)絡(luò)、子網(wǎng)或主機(jī)的IP地址的所有通信流量通過路由器的出口。擴(kuò)展IP訪問列表：它不僅檢查數(shù)據(jù)包的源地址，還要檢查數(shù)據(jù)包的目的地址、特定協(xié)議類型、源端口號(hào)、目的端口號(hào)等。3ACL的相關(guān)特性 每一個(gè)接口可以在進(jìn)入（inbound）和離開（outbound）兩個(gè)方向上分別應(yīng)用一個(gè)ACL，且每個(gè)方向上只能應(yīng)用一個(gè)ACL。ACL語句包括兩個(gè)動(dòng)作，一個(gè)是拒絕（deny）即拒絕數(shù)據(jù)包通過，過濾掉數(shù)據(jù)包，一個(gè)

3、是允許(permit)即允許數(shù)據(jù)包通過，不過濾數(shù)據(jù)包。在路由選擇進(jìn)行以前，應(yīng)用在接口進(jìn)入方向的ACL起作用。在路由選擇決定以后，應(yīng)用在接口離開方向的ACL起作用。每個(gè)ACL的結(jié)尾有一個(gè)隱含的“拒絕的所有數(shù)據(jù)包(deny all)”的語句。4ACL轉(zhuǎn)發(fā)的過程5IP地址與通配符掩碼的作用規(guī) 32位的IP地址與32位的通配符掩碼逐位進(jìn)行比較，通配符掩碼為0的位要求IP地址的對(duì)應(yīng)位必須匹配，通配符掩碼為1的位所對(duì)應(yīng)的IP地址位不必匹配。通配符掩碼掩碼的兩種特殊形式：一個(gè)是host表示一種精確匹配，是通配符掩碼掩碼0.0.0.0的簡(jiǎn)寫形式；一個(gè)是any表示全部不進(jìn)行匹配，是通配符掩碼掩碼255.255.

4、255.255的簡(jiǎn)寫形式。6訪問列表配置步驟第一步是配置訪問列表語句；第二步是把配置好的訪問列表應(yīng)用到某個(gè)端口上。7訪問列表注意事項(xiàng) 注意訪問列表中語句的次序，盡量把作用范圍小的語句放在前面。新的表項(xiàng)只能被添加到訪問表的末尾，這意味著不可能改變已有訪問表的功能。如果必須要改變，只有先刪除已存在的訪問列表，然后創(chuàng)建一個(gè)新訪問列表、然后將新訪問列表用到相應(yīng)的接口上。標(biāo)準(zhǔn)的IP訪問列表只匹配源地址，一般都使用擴(kuò)展的IP訪問列表以達(dá)到精確的要求。標(biāo)準(zhǔn)的訪問列表盡量靠近目的，由于標(biāo)準(zhǔn)訪問表只使用源地址，因此將其靠近源會(huì)阻止報(bào)文流向其他端口。擴(kuò)展的訪問列表盡量靠近過濾源的位置上，以免訪問列表影響其他接口上

5、的數(shù)據(jù)流。在應(yīng)用訪問列表時(shí)，要特別注意過濾的方向。8標(biāo)準(zhǔn)IP訪問列表的配置命令 access-list（access-list-number）（deny|permit）（source-address） （source-wildcard） logaccess-list-number：標(biāo)準(zhǔn)訪問列表編號(hào)只能是199之間的一個(gè)數(shù)字，同時(shí)只要訪問列表編號(hào)在199之間，它即可以定義訪問控制列表操作的協(xié)議，也可以定義訪問控制列表的類型；deny|permit：deny表示匹配的數(shù)據(jù)包將被過濾；permit表示允許匹配的數(shù)據(jù)包通過；source-address：表示單臺(tái)或一個(gè)網(wǎng)段內(nèi)的主機(jī)的IP地址；sourc

6、e-wildcard：通配符掩碼；Log：訪問列表日志，如果該關(guān)鍵字用于訪問列表中，則對(duì)匹配訪問列表中條件的報(bào)文作日志。9標(biāo)準(zhǔn)IP訪問列表的配置命令續(xù)（1）應(yīng)用訪問列表到接口ip access-group access-list-number in|outIn：通過接口進(jìn)入路由器的報(bào)文；Out：通過接口離開路由器的報(bào)文。（2）顯示所有協(xié)議的訪問列表配置細(xì)節(jié)show access-list access-list-number（3）顯示IP訪問列表show ip access-list access-list-number四實(shí)訓(xùn)內(nèi)容1設(shè)置簡(jiǎn)單路由，使Router4能夠訪問Router2；2在Ro

7、uter2上配置標(biāo)準(zhǔn)ACL，使Router4不能夠訪問Router2。五實(shí)訓(xùn)步驟(標(biāo)號(hào)的點(diǎn)需要改嗎？字體與前面不同，不是宋體)1. 設(shè)置路由器Router1的Ethernet 0和Serial 0兩個(gè)接口的IP屬性，并予以激活。Ethernet 0：24.1命令如下：Router> Router# Router#config t Router(config)#hostname Router1 Router1(config)# Router1(config)#interface ethernet0 Router1(config-if)#ip address 24.17.2.1 255.25

8、5.255.240 Router1(config-if)#no shutdown Router1(config-if)#exit Router1(config)#interface serial0 Router1(config-if)#ip address 24.17.2.17 255.255.255.240 Router1(config-if)#no shutdown Router1(config-if)#exit Router1(config)#exit2. 設(shè)置路由器Router2的Ethernet 0接口的IP屬性，并予以激活。命令如下： Router> Router>en

9、able Router# Router#config t Router(config)#hostname Router2 Router2(config)# Router2(config)#interface ethernet0 Router2(config-if)#ip address 24.17.2.2 255.255.255.240 Router2(config-if)#no shutdown Router2(config-if)#exit Router1(config)#exit 3. 在Router2上使用Ping命令查看和路由器Router1中Ethernet 0接口的連通性。Rou

10、ter2#ping 24.17.2.1 4. 設(shè)置路由器Router4的Serial 0接口的IP屬性，并予以激活。然后使用Ping命令查看和路由器Router1中Serial 0接口的連通性。Router> Router>enable Router# Router#config t Router(config)#hostname Router4 Router4(config)# Router4(config)#interface serial0 Router4(config-if)#ip address 24.17.2.18 255.255.255.240 Router4(con

11、fig-if)#no shutdown Router4(config-if)#exit Router4(config)#exit Router4#ping 24.17.2.17 5.在路由器 1 上啟用RIP動(dòng)態(tài)路由協(xié)議，再使用network命令配置需要進(jìn)行通告的網(wǎng)絡(luò)號(hào)。Router1#config t Router1(config)#router rip Router1(config-router)#network 24.0.0.0 Router1(config-router)#exit Router1(config)#exit 6. 在路由器 2上啟用RIP動(dòng)態(tài)路由協(xié)議，再使用networ

12、k命令配置需要進(jìn)行通告的網(wǎng)絡(luò)號(hào)。Router2#conf t Router2(config)#router rip Router2(config-router)#network 24.0.0.0 Router2(config-router)#exit Router2(config)#exit 7. 最后在路由器 4上啟用RIP動(dòng)態(tài)路由協(xié)議，再使用network命令配置需要進(jìn)行通告的網(wǎng)絡(luò)號(hào)。Router4#conf t Router4(config)#router rip Router4(config-router)#network 24.0.0.0 Router4(config-router)

13、#exit Router4(config)#exit 8.上述通道建立之后，我們從Router4上ping路由器 Router2的Ethernet 0接口。Router4#ping 24.17.2.2 9.為了能使路由器4和路由器 2之間能夠相互Ping通，下面我們進(jìn)入路由器2的全局配置模式。Router2#conf t Router2(config)# 10.下面我們可以使用三種方式在路由器2上創(chuàng)建一條訪問控制列表，如果拒絕，選擇、語句中任意一條，則允許所有從24.17.2.18發(fā)來的數(shù)據(jù)包通過。 Router2(config)#access-list 1 deny host 24.17.2.18 - OR - Router2(config)#access-list 1 deny 24.17.2.18 0.0.0.0 - OR - Router2(config)#access-list 1 deny 24.17.2.18 - THEN -Router2(config)#access-list 1 permit any 11.使用下列命令將上述訪問規(guī)則應(yīng)用到路由器2的Ether