实验十一:标准访问控制列表配置
标准IP访问控制列表的配置及应用
标准IP访问控制列表的配置及应用一、拓扑结构图;二、访问控制列表的概念;1.访问控制列表(Access Control List,ACL)是应用在路由器(或三层交换机)端口上的控制列表。
ACL可以允许(permit)或拒绝(deny)进入或离开路由器的数据包(分组),通过设置可以允许或拒绝网络用户使用路由器的某些端口,对网络系统起到安全保护作用。
访问控制列表(ACL)实际上是一系列允许和拒绝匹配准则的集合。
2.IP访问控制列表可以分为两大类:标准IP访问控制列表,只对数据包的源IP地址进行检查。
其列表号为1~99或者1300~1999。
扩展IP访问控制列表,对数据包的源和目标IP地址、源和目标端口号等进行检查,可以允许或拒绝部分协议。
其列表号为100~199或2000~2699。
3.访问控制列表对每个数据包都以自上向下的顺序进行匹配。
如果数据包满足第一个匹配条件,那么路由器就按照该条语句所规定的动作决定是拒绝还是允许;如果数据包不满足第一个匹配条件,则继续检测列表的下一条语句,以此类推。
数据包在访问控制列表中一旦出现了匹配,那么相应的操作就会被执行,并且对此数据包的检测到此为止。
后面的语句不可能推翻前面的语句,因此访问控制列表的过滤规则的放置顺序是很讲究的,不同的放置顺序会带来不同的效果。
三、技术原理;假设某公司的经理部,销售部和财务部分别属于不同的网段,出于安全考虑,公司要求经理部的网络可以访问财务部,而销售部无法访问财务部的网络,其他网络之间都可以实现互访。
访问控制列表一般是布局于需要保护的网络与其他网络联接的路由器中,即为距离被保护网络最接近的路由器上。
配置标准IP访问控制列表:1.定义标准IP访问控制列表;Router (config)#access-list access-list-number deny/permit source-address source-wildcard/*source-wildcard为数据包源地址的通配符掩码。
实验十一:标准访问控制列表配置
《网络互联技术》课程实验指导书实验十一:标准访问控制列表配置当网络管理员想要阻止某一网络的所有通信流量时,或者允许来自某一特定网络的所有通信流量时,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表实现这一目标。
标准ACL检查可以过滤被路由的数据包的源地址、从而允许或拒绝基于网络、子网或主机IP地址的某一协议簇通过路由器出口。
一、网络拓朴二、实验内容1、在路由器的E 0/0口添加“ACL 访问控制列表6”并对转出(从路由器端口出来转向交换机或主机)的数据包进行过滤,实现功能:禁止将HostC、HostD的数据包通过路由器E 0/0 口转发到HostA、HostB。
其结果是:(对于TCP数据包来说,访问是双向的,只要A不能访问B,则B也将不能访问A)●HostA和HostB之间可以通信,但无法访问HostC、HostD。
●HostC和HostD之间可以通信,但无法访问HostA、HostB。
2、在路由器的E 0/1口添加“ACL 访问控制列表10”并对转出(从路由器端口出来转向交换机或主机)的数据包进行过滤,实现功能:禁止HostA、HostC访问Server E服务器。
由于标准ACL访问控制列表只能根据数据包的源地址来过滤通信流量,因此,应该将ACL 访问控制列表放置离目标地址最近的地方。
三、实验目的1、掌握标准访问控制列表的原理2、掌握标准访问控制列表的配置四、实验设备1、一台台思科(Cisco)3620路由器2、两台思科(Cisco)2950二层交换机3、思科(Cisco)专用控制端口连接电缆4、四台安装有windows 98/xp/2000操作系统的主机5、一台提供WWW服务的WEB服务器6、若干直通网线与交叉网线五、实验过程(需要将相关命令写入实验报告)1、根据上述图示进行交换机、路由器、主机的连接2、设置主机的IP地址、子网掩码和默认网关3、配置路由器接口Router> enableRouter# configure terminalRouter(config)# interface ethernet 0/0Router(config-if)# ip address 192.168.1.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)# exitRouter(config)# interface ethernet 0/1Router(config-if)# ip address 192.168.3.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)# exitRouter(config)# interface ethernet 0/2Router(config-if)# ip address 192.168.2.1 255.255.255.0Router(config-if)# no shutdownRouter(config-if)#exit4、配置访问控制列表6并将之添加到Ethernet 0/0接口的out方向上Router(config)# access-list 6 deny 192.168.2.0 0.0.0.255Router(config)# access-list 6 permit anyRouter(config)# interface ethernet 0/0Router(config-if)# ip access-group 6 outRouter(config-if)# exit5、配置访问控制列表10并将之添加到Ethernet 0/1接口的out方向上Router(config)# access-list 10 deny host 192.168.1.2Router(config)# access-list 10 deny host 192.168.2.2Router(config)# access-list 10 permit anyRouter(config)# interface ethernet 0/1Router(config-if)# ip access-group 10 outRouter(config-if)# exit6、查看设置的访问控制列表信息Router# show access-lists7、查看e 0/0 接口上设置的访问控制列表信息Router# show ip interface e 0/08、查看e 0/1 接口上设置的访问控制列表信息Router# show ip interface e 0/1六、思考问题1、请简述标准访问控制列表与扩展访问控制列表有何区别?2、请简述设置标准访问控制列表的操作过程。
标准IP访问控制列表配置
查看ACL。
R2#show access-lists1
关于配置标准IP访问控制列表,采用命名的标准ACL
R2(config)#ip access-list standard aa
R2(config-std-nacl)#permit192.168.1.00.0.0.255
R1(config-router)#network192.168.1.0
R1(config-router)#network192.168.2.0
R1(config-router)#network192.168.12.0
R1(config-router)#no auto-summary
在路由器R2上开启RIP协议
验证:
在PC上测试网络的连通性。
C:\>ping 192.168.3.10
!从PC1 Ping PC3,可以ping通
C:\>ping 192.168.3.10
!从PC2 Ping PC3,可以ping通
关于配置标准IP访问控制列表,采用编号的标准ACL
R2(config)#access-list1 deny192.168.2.00.0.0.255
C:\>ping 192.168.3.10
!从PC2 Ping PC3,不能ping通
!允许来自192.168.1.0网段的流量通过
R2(config-std-nacl)#deny192.168.2.00.0.0.255
!拒绝来自192.168.2.0网段的流量通过
R2(config-std-nacl)#exit
R2(config)#interface fa1/0
访问控制列表(ACL)配置
ACL(访问控制列表)一、基本:1、基本ACL表2、扩展ACL表3、基于时间的ACL表4、动态ACL表二、ACL工作过程1、自上而下处理1)、如果有一个匹配的ACL,后面的ACL表不再检查2)、如果所有的ACL都不匹配,禁止所有的操作(隐含)特例,创建一个空的ACL表,然后应用这个空的ACL表,产生禁止所有的操作。
3)、后添加的ACL表,放在尾部4)、ALC表放置的原则:如果是基本ACL表,尽量放在目的端,如果是扩展ACL表,尽量放在源端5)、语句的位置:一般具体ACL表放在模糊的ACL表前6)、3P原则:每一个协议每一个接口每一个方向只有一个ACL表。
(多个ACL表会引起干扰)7)、应用ACL的方向,入站和出站,应用在接口上三、基本ACL表(不具体)1、定义命令:access-list <</span>编号> permit/denny 源IP地址 [子网掩码反码]应用命令:ip access-group <</span>编号> in/out 查看命令:sh access-lists1)、编号:1-99和1300-19992)、可以控制一台计算机或控制一段网络3)、host:表示一台计算机4)、any:表示任何计算机四、ACL配置步骤:1、定义ACL表2、应用ACL表五、路由器在默认的情况下,对所有数据都是开放,而防火墙在默认情况下,对所有数据都禁止。
六:判断是流入还是流出,看路由器的数据流向七:注意:如果在写禁止,小心默认禁止所有1.控制一台计算机(禁止)Access-list 1 deny 172.16.2.100Access-list 1 permit anyInterface f0/0Ip access-group 1 out (应用到端口)2、控制一段网络(禁止)Access-list 1 deny 172.16.2.0 0.0.0.255Access-list 1 permit anyInterface f0/0Ip access-group 1 out(应用到端口)3、控制一台计算机(允许)Access-list 1 permit 172.16.1.1004、控制一个网段(允许)Access-list 1 permit 172.16.1.0 0.0.0.255telnet服务配置:1)、使能密码2)、登录密码控制telnet服务应用端口命令:access-class <</span>编号> in/out 实例:只允许172.16.1.100能够使用telnet服务access-list 1 permit 172.16.1.100 Line vty 0 4Access-class 1 in实例:。
访问控制列表(ACL)总结配置与应用
三、 命名访问控制列表
命名访问控制列表允许在标准和扩展访问控制列表中使用名称代替表号。 1、 命名访问控制列表的配置 Router(config)#ip access-list {standard | extended} access-list-name
扩展 ACL 配置实例
如图:配置允许主机 PC 访问 WEB 服务的 WWW 服务,而禁止主机 PC 访问 WEB 的其他 服务。
1、 分析哪个接口应用标准 ACL
应用在入站还是出站接口。 与标准 ACL 一样,应该尽量把 ACl 应用到入站方向
应用在哪台路由器上。 由于扩展 ACL 可以根据源 IP 地址。目的 IP 地址、指定协议、端口等过滤数据包,
3、 将 ACL 应用于接口
创建 ACL 后,只有将 ACL 应用于接口,ACL 才会生效。 Router(config)#ip access-group access-list-number {in | out }
参数 in|out 用来指示该 ACL 是应用到入站接口(in),还是初战接口(out)。 在接口上取消 ACL 的应用 Router(config)#no ip access-group acess-list-number (in | out)
access-llist-number:访问控制列表表号,对于扩展 ACL 来书是 100-199; permit | deny:如果满足条件,则允许|拒绝该流量; protocol:用于指定协议类型,如 IP、TCP、UDP、ICMP 等; source、destination:源和目的,分别用来表示源地址和目的地址; source-wildcard、destination-wildcard:反码。源地址和目标地址的反码; operator operan:lt(小于)、gt(大于)、eq(等于)、neq(不等于)和一个 端口。
标准访问控制列表ACL实验
R2(config)#ip route 172.16.1.0 255.255.255.0 serial 0/0/0 //为路由器R2配置 172.16.1.0子网掩码255.255.255.0网
段通过serial 0/0/0访问的路由
R2(config)#ip route 172.16.2.0 255.255.255.0 serial 0/0/0 //为路由器R2配置 172.16.2.0子网掩码255.255.255.0网
段通过serial 0/0/0访问的路由
为PC配置IP地址和网关 ຫໍສະໝຸດ C1:IP地址:172.16.1.2
子网掩码:255.255.255.0 网关:172.16.1.1 PC2:IP地址:172.16.2.2 子网掩码:255.255.255.0 网关:172.16.2.1 PC3:IP地址:172.16.4.2 子网掩码:255.255.255.0 网关:172.16.4.1
若需要关闭访问控制列表,使用命令: R(config)#no access-list 或进入接口配置模式关闭加载到接口的配置
R(config-if)#no ip access-group 1 out
Router (config)# hostname R1 //将路由器主机命名为R1 R1(config)#
2.为路由器R1各接口分配IP地址
R1 (config)#interface fastEthernet 0/0 //进入fastEthernet 0/0接口配置模式
R1 (config-if)#ip address 172.16.1.1 255.255.255.0 //为fastEthernet 0/0接口配置IP地址172.16.1.1,对应
标准、扩展、名称访问控制列表配置
标准、扩展、名称访问控制列表配置2008-09-06 16:45:41| 分类:网络试验| 标签:acl 访问控制列表|字号大中小订阅试验目的:熟悉标准访问控制列表的应用。
试验设备:r1、r2、r3、sw1、sw2、vpcs。
说明:在全网均能连通的情况下完成试验,注意:标准访问控制列表放置原则是,尽可能离目标地址近。
试验内容:由于基本访问控制列表的放置原则,所以我们知道应该在r3上设置ACL,并且将其放置在r3的e1/0接口上。
1、只允许命令如下:r3(config)#access-list 1 permit /定义一个ACL名字为1,只允许,注意:这里的通配符掩码中0表示必须符合,1表示可以不同,所以,而第四位可以任意。
r3(config)#int e1/0/进入端口E1/0r3(config-if)#ip access-group 1 out/将ACL 1应用在该接口上,控制出站数据流。
这时可以试验,从不同的网络PING PC6的IP地址,并且还可以PING R3的E1/0地址,除了,都只能到达2、只允许PC1:首先执行r3(config)#no access-list 1删除掉刚才建立的内容以便后续试验。
r3(config)#access-list 1 permit host /只允许,host 效果等同于这时就只有pc1能ping通pc6了,请读者在pc1和pc3上ping pc6。
3、只拒绝r3(config)#no access-list 1/删除前面建立的列表r3(config)#access-list 1 deny /只拒绝r3(config)#access-list 1 permit any/允许通过所有数据,any表示所有网络,因为所有的ACL末尾都有条隐藏deny any(拒绝所有)的语句,所以在这条语句之前必须加一条允许所有的语句来让所有其他的网络的数据通过。
请读者自行测试。
标准访问控制列表的配置
对于TCP,可以使用以下句法:
deny tcp source source-mask [operator port] destination destination-
mask [operator port ] [established] [precedence precedence] [tos tos] [log]
4. CR-V35FC 一条
5. 网线
两条
4、 实验拓扑
5、 实验要求
ROUTER-A
S1/1 (DCE) 192.168.1.1/24
F0/0
192.168.0.1/24
PC-A
IP 192.168.0.2/24
网关 192.168.0.1
Байду номын сангаас
ROUTER-B
S1/0 (DTE) 192.168.1.2/24
VRF ID: 0
S 192.168.0.0/24 C 192.168.1.0/24 C 192.168.2.0/24
[1,0] via 192.168.1.1 is directly connected, Serial1/0 is directly connected, FastEthernet0/0
制数。
使用关键字any作为0.0.0.0 0.0.0.0的目标和目
标掩码的缩写。
destination- 目标地址网络掩码。使用关键字any作为
mask
0.0.0.0 0.0.0.0的目标地址和目标地址掩码缩
写。
precedence (可选)包可以由优先级过滤,用0到7的数字
precedence 指定。
Router-B#sh ip route Codes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connected
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《网络互联技术》课程实验指导书
实验十一:标准访问控制列表配置
当网络管理员想要阻止某一网络的所有通信流量时,或者允许来自某一特定网络的所有通信流量时,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表实现这一目标。
标准ACL检查可以过滤被路由的数据包的源地址、从而允许或拒绝基于网络、子网或主机IP地址的某一协议簇通过路由器出口。
一、网络拓朴
二、实验内容
1、在路由器的E 0/0口添加“ACL 访问控制列表6”并对转出(从路由器端口出来转向交换机或主机)的数据包进行过滤,实现功能:禁止将HostC、HostD的数据包通过路由器E 0/0 口转发到HostA、HostB。
其结果是:(对于TCP数据包来说,访问是双向的,只要A不能访问B,则B也将不能访问A)
●HostA和HostB之间可以通信,但无法访问HostC、HostD。
●HostC和HostD之间可以通信,但无法访问HostA、HostB。
2、在路由器的E 0/1口添加“ACL 访问控制列表10”并对转出(从路由器端口出来转向
交换机或主机)的数据包进行过滤,实现功能:禁止HostA、HostC访问Server E服务器。
由于标准ACL访问控制列表只能根据数据包的源地址来过滤通信流量,因此,应该将ACL 访问控制列表放置离目标地址最近的地方。
三、实验目的
1、掌握标准访问控制列表的原理
2、掌握标准访问控制列表的配置
四、实验设备
1、一台台思科(Cisco)3620路由器
2、两台思科(Cisco)2950二层交换机
3、思科(Cisco)专用控制端口连接电缆
4、四台安装有windows 98/xp/2000操作系统的主机
5、一台提供WWW服务的WEB服务器
6、若干直通网线与交叉网线
五、实验过程(需要将相关命令写入实验报告)
1、根据上述图示进行交换机、路由器、主机的连接
2、设置主机的IP地址、子网掩码和默认网关
3、配置路由器接口
Router> enable
Router# configure terminal
Router(config)# interface ethernet 0/0
Router(config-if)# ip address 192.168.1.1 255.255.255.0
Router(config-if)# no shutdown
Router(config-if)# exit
Router(config)# interface ethernet 0/1
Router(config-if)# ip address 192.168.3.1 255.255.255.0
Router(config-if)# no shutdown
Router(config-if)# exit
Router(config)# interface ethernet 0/2
Router(config-if)# ip address 192.168.2.1 255.255.255.0
Router(config-if)# no shutdown
Router(config-if)#exit
4、配置访问控制列表6并将之添加到Ethernet 0/0接口的out方向上
Router(config)# access-list 6 deny 192.168.2.0 0.0.0.255
Router(config)# access-list 6 permit any
Router(config)# interface ethernet 0/0
Router(config-if)# ip access-group 6 out
Router(config-if)# exit
5、配置访问控制列表10并将之添加到Ethernet 0/1接口的out方向上
Router(config)# access-list 10 deny host 192.168.1.2
Router(config)# access-list 10 deny host 192.168.2.2
Router(config)# access-list 10 permit any
Router(config)# interface ethernet 0/1
Router(config-if)# ip access-group 10 out
Router(config-if)# exit
6、查看设置的访问控制列表信息
Router# show access-lists
7、查看e 0/0 接口上设置的访问控制列表信息
Router# show ip interface e 0/0
8、查看e 0/1 接口上设置的访问控制列表信息
Router# show ip interface e 0/1
六、思考问题
1、请简述标准访问控制列表与扩展访问控制列表有何区别?
2、请简述设置标准访问控制列表的操作过程。
七、实验报告要求:
按学院实验报告要求完成实验报告的书写。
1、在实验名称的下方写明当前实验的时间(年月日)
2、在实验报告中必须回答当前实验的思考问题
3、实验报告中要求划分当前实验的网络拓朴结构图并书写各步的操作命令。