ACL教案

实验六 ACL的配置实验目的：1、学习使用ACL（访问控制列表）来控制网络访问；2、熟练掌握标准ACL、扩展ACL、命名ACL的配置及调试。

3、使用标准 ACL 控制对 vty 线路的访问实验知识要点：一、ACL简介访问控制列表简称为ACL（ Access Control Lists ），它使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。

简而言之，访问控制列表是一系列运用到网络地址或者上层协议上的允许或拒绝指令的集合。

二、ACL实现的功能1、保护内部网络免受来自Internet的非法入侵；2、拒绝或允许流入（或流出）的数据流通过特定的接口；3、限制对虚拟终端端口的访问。

4、流量匹配NAT三、ACL工作流程五、ACL指令1、ACL的执行顺序。

当路由器在决定是否转发或者阻止数据包的时候，Cisco的IOS软件，按照ACL中指令从上至下的顺序依次检查数据包是否满足某一个指令条件。

直到找到一条可以匹配的语句，然后根据定义的规则做出相应的操作（拒绝或允许），如果所有的条件判断语句都检测完毕，仍没有匹配的条件语句，那么，该数据包将视为被拒绝或被丢弃（在ACL中，最后强加一条拒绝全部流量的暗含语句）。

所以，ACL中各语句的放置顺序很重要，相同的规则，顺序不同，将会出现不同的结果。

当检测到某个指令条件满足的时候，就不会再检测后面的指令条件。

2、ACL的作用方向在每一个路由器的每一个端口，可以为每一个支持的Routed Protocols创建一个 ACL。

对于某些协议，可以创建多个ACL：一个用于过滤进入端口的数据流inbound，一个用于过滤流出端口的数据流outbound。

每个端口每个协议（IP、IPX、APPLETALK）每个方向（outbound、inbound）只能创建一个ACL。

3、ACL的放置原则扩展ACL尽量靠近源端；标准ACL尽量靠近目的端。

ACL分类一、教学目标：了解ACL的分类；掌握什么是标准ACL；掌握什么是扩展ACL；二、教学重点、难点：重点掌握标准ACL、扩展ACL原理。

三、教学过程设计：1.ACL分类：通过前面课程的学习我们已经知道了什么是ACL以及ACL的作用。

ACL主要是对通过网络的数据包进行过滤，依据事先设定好的规则决定哪些数据包可以通过网络，哪些数据包是被丢弃的。

我们首先看一看在网络中如何标识标准的和扩展的访问控制列表，标识一个访问控制列表我们可以有2种方式：第一种是使用名称来标识，标准的ACL使用IP standard list来标识，扩展的ACL使用IP extended list来标识；第二种是使用数字来标识，标准的ACL使用数字1-99来标识，扩展的ACL使用100-199来标识。

2.标准ACL：标准的ACL仅仅以源IP地址作为过滤标准，比如禁止原IP地址为192.168.10.1的主机进入该网络，只能粗略的限制某一大类协议，不能做到更精确的限制，例如想限制网络中的某一用户只能访问Web服务器，不能访问网络中的其他业务标准的ACL就无法满足要求。

标准访问控制列表号的范围是从1到99，或1000~1499。

标准ACL在进行包过滤的时候，只检查数据包中的源IP地址，依据源IP 地址决定是否允许该数据包通过。

标准ACL工作的流程。

数据包到了路由器后，首先检查在路由器端口是否存在ACL，如果不存在则不需要进行包过滤，直接转发数据包；如果在路由器端口存在ACL，则检查数据包中的源地址是否和ACL条目中的源地址匹配，如果是匹配的，则根据ACL的应用条件决定对匹配的源地址进行转发或者拒绝。

如果是不匹配的，则检查是否存在更多条目。

需要说明是一般情况下，一个ACL 中存在多个条目，如果源地址和第一条目是匹配的，后面的条目就不再进行检查了。

如果第一个条目不匹配则继续往下检查其他的条目。

系统默认会在最后加一个拒绝所有的条目。

3.扩展ACL：扩展ACL可以过滤的内容就比较丰富了。

实训八标准ACL配置与调试1．实训目标在这个实训中，我们将在思科路由器上配置标准ACL。

通过该实训我们可以进一步了解ACL的定义和应用，并且掌握标准ACL的配置和调试。

2．实训拓扑实训的拓扑结构如图1所示。

图1 ACL实训拓扑结构3．实训要求根据图1，设计标准ACL，首先使得PC1所在的网络不能通过路由器R1访问PC2所在的网络，然后使得PC2所在的网络不能通过路由器R2访问PC1所在的网络。

本实训各设备的IP地址分配如下：⑴路由器R1：s0/0:192.168.100.1/24fa0/0:10.1.1.1/8⑵计算机PC1：IP：10.1.1.2/8网关：10.1.1.1⑶路由器R2：s0/0:192.168.100.2/24fa0/0:172.16.1.1/16⑷计算机PC2：IP：172.16.1.2/16网关：172.16.1.１4．实训步骤在开始本实训之前，建议在删除各路由器的初始配置后再重新启动路由器。

这样可以防止由残留的配置所带来的问题。

在准备好硬件以及线缆之后，我们按照下面的步骤开始进行实训。

⑴按照图1进行组建网络，经检查硬件连接没有问题之后，各设备上电。

⑵按照拓扑结构的要求，给路由器各端口配置IP地址、子网掩码、时钟（DCE端），并且用“no shutdown”命令启动各端口，可以用“show interface”命令查看各端口的状态，保证端口正常工作。

⑶设置主机A和主机B的 IP地址、子网掩码、网关，完成之后，分别ping自己的网关，应该是通的。

⑷为保证整个网络畅通，分别在路由器R1和R2上配置rip路由协议：在R1和R2上查看路由表分别如下：①R1#show ip routeGateway of last resort is not setR 172.16.0.0/16 [120/1] via 192.168.100.2, 00:00:08, Serial0/0C 192.168.100.0/24 is directly connected, Serial0/0C 10.0.0.0/8 is directly connected, FastEthernet0/0②R2#show ip routeGateway of last resort is not setC 192.168.100.0/24 is directly connected, Serial0/0R 10.0.0.0/8 [120/1] via 192.168.100.1, 00:00:08, Serial0/0C 172.16.0.0/16 is directly connected, FastEthernet0/0⑸ R1路由器上禁止PC2所在网段访问：①在路由器R1上配置如下：R1(config)#access-list 1 deny 172.16.0.0 0.0.255.255R1(config)# access-list 1 permit anyR1(config)#interface s0/0R1(config-if)#ip access-group 1 in【问题1】：为什么要配置“access-list 1 permit any”？②测试上述配置：此时在PC2上ping路由器R1，应该是不同的，因为访问控制列表“1”已经起了作用，结果如图2所示：图2 在PC2上ping路由器R1的结果【问题2】：如果在PC2上ping PC1，结果应该是怎样的？③查看定义ACL列表：R1#show access-listsStandard IP access list 1deny 172.16.0.0, wildcard bits 0.0.255.255 (26 matches) check=276permit any (276 matches)④查看ACL在s0/0作用的方向：R1#show ip interface s0/0Serial0/0 is up, line protocol is upInternet address is 192.168.100.1/24Broadcast address is 255.255.255.255Address determined by setup commandMTU is 1500 bytesHelper address is not setDirected broadcast forwarding is disabledMulticast reserved groups joined: 224.0.0.9Outgoing access list is not setInbound access list is 1Proxy ARP is enabled【问题3】：如果把ACL作用在R1的fa0/0端口，相应的配置应该怎样改动？【问题4】：如果把上述配置的ACL在端口s0/0上的作用方向改为“out”，结果会怎样？⑹成功后在路由器R1上取消ACL，转为在R2路由器上禁止PC1所在网段访问：①在R2上配置如下：R2(config)#access-list 2 deny 10.0.0.0 0.255.255.255R2(config)# access-list 2 permit anyR2(config)#interface fa0/0R2(config-if)#ip access-group 2 out②测试和查看结果的操作和步骤⑸基本相同，这里不再赘述。

《网络设备配置与管理》教案——认识网络：访问控制及地址转换教案概述：本教案旨在帮助学生理解网络中的访问控制以及地址转换的概念和原理。

通过学习，学生将能够掌握网络访问控制列表的配置和使用，以及理解网络地址转换（NAT）的工作原理和配置方法。

教学目标：1. 了解访问控制列表（ACL）的基本概念和作用。

2. 学会配置基本ACL并应用到网络设备上。

3. 掌握网络地址转换（NAT）的概念和分类。

4. 学会配置NAT并解决内网访问外网的问题。

5. 能够分析并解决常见的访问控制和地址转换问题。

教学内容：一、访问控制列表（ACL）概述1. ACL的概念2. ACL的类型与编号3. ACL的匹配条件4. ACL的应用位置二、ACL的配置与管理1. 基本ACL的配置步骤2. 高级ACL的配置步骤3. ACL的调度与管理4. ACL的调试与监控三、网络地址转换（NAT）1. NAT的概念与作用2. NAT的类型与工作原理3. NAT的配置方法4. NAT的优缺点及适用场景四、NAT的高级应用1. PAT（端口地址转换）2. NAT Overload3. 负向NAT4. NAT与其他网络技术（如VPN、防火墙）的结合应用五、案例分析与实战演练1. 案例一：企业内网访问外网资源的安全控制2. 案例二：NAT解决内网设备访问外网问题3. 案例三：复杂网络环境下的NAT配置与应用4. 案例四：ACL与NAT在实际网络中的综合应用教学方法：1. 理论讲解：通过PPT、教材等辅助材料，系统讲解访问控制和地址转换的相关知识。

2. 实操演示：现场演示ACL和NAT的配置过程，让学生直观地了解实际操作。

3. 案例分析：分析实际案例，让学生学会将理论知识应用于实际工作中。

4. 互动问答：课堂上鼓励学生提问，解答学生关于访问控制和地址转换的疑问。

5. 课后作业：布置相关练习题，巩固学生所学知识。

教学评估：1. 课堂问答：检查学生对访问控制和地址转换的理解程度。

实验六、认识并使用ACL设置权限一、实验目的1、理解特殊文件权限作用。

2、理解ACL作用。

3、学会进行ACL权限设置。

二、实验重点与难点1、ACL命令工具的使用。

2、对扩展ACL的理解。

三、实验内容及步骤1、练习使用文件管理器给文件或目录设置权限。

2、新建两个用户tux，geeko，并设置密码。

在/tmp目录下新建立两个文件list，hello。

3、查看新建的两个文件的所有者和组分别是谁？并将list文件所有者改成tux，将hello文件所有者改成geeko，组改成users。

改完后使用ls -l查看一下。

4、使用umask修改当前shell创建目录和文件的默认权限，目录权限为rwxr--r--文件权限为rw-r--r--。

5、理解特殊文件权限：粘滞位，SUID，SGID作用，找出/bin目录下有哪些可执行文件设置了SUID权限，写出3个或更多。

6、在/home目录下新建一个目录newfolder，并给该目录添加粘滞位权限。

7、设置扩展ACL权限：使用root身份在/tmp下新建两个文件myfile1，myfile2，设置用户tux对myfile1具有读和写入权限，设置完毕后查看一下myfile1的扩展ACL权限。

8、使用su命令切换到tux用户，以tux用户身份访问myfile1文件，使用vi编辑器对myfile1进行编辑并保存。

9、使用su命令切换到geeko用户，使用geeko用户身份访问myfile1文件，同样使用vi编辑器对其进行编辑，能否编辑后保存退出？10、更改文件ACL权限，对myfile1设置掩码项为只读，设置完毕使用getfacl 命令查看myfile1权限中tux用户权限的变化，再以tux用户身份对myfile1文件内容进行修改保存，是否可以执行？通过本题练习你看到了掩码项有什么作用？11、删除myfile1的扩展ACL权限。

12、（选做）练习sudo委托管理任务的设置，参考书5-17页，赋予用户tux可以给geeko用户修改密码的权限。

授课标题：ACL访问控制列表学时：理论2节授课日期：2008-05-05三、标准访问控制列表定义1、语法：Router(config)# access-list [listnumber][permit|deny][host/any][source][source-wildcardmask][Log]2、说明：只能根据数据桢的源地址进行过滤，而不能根据数据桢的目的地址进行数据过滤；只能拒绝或允许整个协议族的数据包，而不能根据具体的协议进行过滤。

●定义访问控制列表必须在路由器的全局配置模式下进行●list number ：访问控制列表号的范围，标准IP访问控制列表的列表号标识是从 1 到 99●permit/deny ：关键字 permit 和 deny 用来表示满足访问列表项的报文是允许通过接口，还是要过滤掉。

●source ：源地址，对于标准的IP访问控制列表，源地址可以是：host、any、具体主机IP地址或具体网络地址●host ： host 用于指定某个具体主机。

host表示一种精确的匹配，其屏蔽码为 0.0.0.0（host 是 0.0.0.O 通配符屏蔽码的简写）。

例如，假定我们希望允许从 192.168.5.25 来的报文，则应该制定如下标准IP访问控制列表语句：access-list 44 permit 192.168.5.25 0.0.0.0如果采用关键字 host，则也可以用下面的语句来代替：access-list 44 permit host 192.168.5.25●any ：any 用于指定所有主机。

any 是源地证通配符屏蔽码 "0.O.O.O 255.255.255.255" 的简写。

假定我们要拒绝从源地址 192.168.5.25 来的报文，并且要允许从其他源地址来的报文，则应制定如下标准IP访问控制列表语句：access-list 55 deny host 192.168.5.25access-list 55 permit 0.0.0.0 255.255.255.255上述命令可以进行如下简写：access-list 66 deny host 192.168.5.25access-list 66 permit any●source-wi1dcardmask ：源地址通配符屏蔽码Cisco 访问控制列表中的通配符屏蔽码与子网屏蔽码刚好相反，在C类网络192.168.5.0 中，若不使用子网，则当配置网络中的每一个工作站时，使用的子网掩码是 255.255.255.O，而在访问控制列表中，其屏蔽码应该是： 0.0.0.255。

实验 7、ACL配置一一、实验目的1、理解访问控制列表（ACL）的概念2、掌握标准ACL的配置和调试3、掌握标准命名ACL的配置和调试（CISCO2621路由器不支持命名ACL）4、掌握扩展ACL的配置和调试5、掌握扩展命名ACL的配置和调试（CISCO2621路由器不支持命名ACL）二、实验设备及环境CISCO-2621、Cisco-2600路由器各两台,CISCO-1926F+ 交换机一台，计算机两台三、实验内容分别设计标准ACL和标准命名ACL，先使得PC1所在的网络不能通过路由器R1访问PC2所在的网络，然后使得PC2所在的网络不能通过路由器R2访问PC1所在的网络。

实验拓朴结构图1、配置标准ALC（1）准备阶段●R1、R2通过各自的S1端口相连，R1的S1为DCE；●用交叉线连接PC1与R1的F0口、PC2与R2的F0口；●删除R1、R2路由器的初始配置后再重新启动路由器●R1的配置Red-Giant>enRed-Giant#config tRed-Giant (config)#hosename R1R1(config)#interface s1R1(config-if)# ip address 192.168.100.1 255.255.255.0R1(config-if)#clock rate 2000000R1(config-if)#no shutdownR1(config-if)#interface f0R1(config-if)#ip address 10.1.1.1 255.0.0.0R1(config-if)#no shutdownR1(config-if)#exitR1(config)#router ripR1(config-router)# network 192.168.100.0R1(config-router)# network 10.0.0.0R1(config-router)#^ZR1#write●R2的配置Red-Giant>enRed-Giant#config tRed-Giant (config)#hosename R2R2(config)#interface s1R2(config-if)# ip address 192.168.100.2 255.255.255.0R2(config-if)#no shutdownR2(config-if)#interface f0R2(config-if)#ip address 172.16.1.1 255.255.0.0R2(config-if)#no shutdownR2(config-if)#exitR2(config)#router ripR2(config-router)# network 192.168.100.0R2(config-router)# network 172.16.0.0R2(config-router)#^ZR2#write（2）配置标准ALC，使得PC1、PC2所在的网络不能互相访问●在路由器R1上进行如下配置：R1(config)# access-list 1 deny 172.16.0.0 0.0.255.255R1(config)# access-list 1 permit anyR1(config)# interface s1R1(config-if)# ip access-group 1 inR1(config-if)#^Z●●在路由器R2上进行如下配置：R2(config)# access-list 1 deny 10.0.0.0 0.0.0.255R2(config)# access-list 1 permit anyR2(config)# interface s1R2(config-if)# ip access-group 1 inR2(config-if)#^Z●2、配置标准命名ALC，使得PC1、PC2所在的网络不能互相访问（CISCO2621路由器不支持命名ACL）●在路由器R1上进行如下配置：R1(config)#ip access-list standard task1R1(config-std-nacl)#deny 192.168.100.0 0.0.0.255R1(config-std-nacl)#permit anyR1(config-std-nacl)#exitR1(config)#interface f0R1(config-if)#ip access-group task1 inR1(config-if)#^Z●在R1上删除ACL：R1(config)# no access-list task1●在路由器R2上进行如下配置：R2(config)# ip access-list standard task2R2(config-std-nacl)#deny 10.0.0.0 0.0.0.255R2(config-std-nacl)#permit anyR2(config-std-nacl)#exitR2(config)#interface f0R2(config-if)# ip access-group task2 inR2(config-if)#^Z3、配置扩展ALC实验拓朴结构图（1）准备阶段：●R1、R2通过各自的S1端口相连，R1的S1为DCE；●用交叉线连接PC1与R1的F0口、PC2与R2的F0口；●删除R1、R2路由器的初始配置后再重新启动路由器●R1的配置Red-Giant>enRed-Giant#config tRed-Giant (config)#hosename R1R1(config)#interface s1R1(config-if)# ip address 192.168.100.1 255.255.255.0R1(config-if)#clock rate 2000000R1(config-if)#no shutdownR1(config-if)#interface f0R1(config-if)#ip address 10.1.1.1 255.0.0.0R1(config-if)#no shutdownR1(config-if)#exitR1(config)#router ripR1(config-router)# network 192.168.100.0R1(config-router)# network 10.0.0.0R1(config-router)#^ZR1#write●R2的配置Red-Giant>enRed-Giant#config tRed-Giant (config)#hosename R2R2(config)#interface s1R2(config-if)# ip address 192.168.100.2 255.255.255.0R2(config-if)#no shutdownR2(config-if)#interface f0R2(config-if)#ip address 172.16.1.1 255.255.0.0R2(config-if)#no shutdownR2(config-if)#exitR2(config)#router ripR2(config-router)# network 192.168.100.0R2(config-router)# network 172.16.0.0R2(config-router)#^ZR2#write（2）配置扩展ALC，使得在R1路由器上禁止PC2所在网络的HTTP请求和所有的Telnet请求，但其它类型数据包仍能传送。

实训名称：标准的ACL配置一、实训原理1、ACL二、实训目的1、了解标准的ACL的基本配置三、实训内容通过配置标准的ACL来阻止某一个IP地址的数据流四、实训步骤：1、配交换机2、配置出口路由器3、配置远程路收器3、再配PC机IP地址拓扑图具体步骤：交换机EnConfVlan 2Name jsbExitVlan 3Name xsbExitInt f0/2switchport mode accessswitchport access vlan 2int f0/3switchport mode accessswitchport access vlan 3int f0/1switchport mode trunk配置出口路由器EnConfInt f0/1No shutExitInt f0/1.2 encapsulation dot1Q 2Ip add 192.168.2.254 255.255.255.0 ExitInt f0/1.3encapsulation dot1Q 3Ip add 192.168.3.254 255.255.255.0 ExitInt f0/0Ip add 192.168.1.1 255.255.255.252No shutrouter ripversion 2network 192.168.1.0network 192.168.2.0network 192.168.3.0no auto-summaryaccess-list 1 deny host 192.168.2.1 //配置标准的ACL access-list 1 permit any //允许所有通过int F0/0ip access-group 1 out 应用ACL在接口下配置远程路由器EnConfInt f0/0Ip add 192.168.1.2 255.255.255.252No shutInt f0/1Ip add 12.1.1.1 255.255.255.252No shutExitrouter ripversion 2network 12.0.0.0network 192.168.1.0no auto-summary给PC机配置IP地址PC0:192.168.2.1/24，网关：192.168.2.254 PC1:192.168.3.1/24，网关：192.168.3.254 PC2:12.1.1.2/30，网关：12.1.1.1PC3:192.168.2.2/24. 网关：192.168.2.254五、实训结果1、在PC0下ping PC2 的IP地址1、在PC3下ping PC2 的IP地址。