扩展访问控制列表

第1步按上图建立并配置全网拓扑路由pc0可以ping通pc1，pc2，可以ping通并且能web访问server0，pc1，pc2可以ping通pc0，可以ping通并且能web访问server0。

第2步标准访问列表建立使用Pc0和pc1,pc2之间可以互ping，pc0可以正常访问server0，但pc1,pc2无法访问server0（包括ping），在router0路由器上建立并正确应用标准访问控制列表，使之达到上述效果。

第3步扩展访问控制列表建立使用Pc0和pc1,pc2之间可以互ping，pc0可以正常访问server0,pc1,pc2无法ping通server0但可以通过web访问server0,在router1上建立并正确应用扩展访问控制列表，使之达到上述效果。

在packet tracer完成本次实验，保存pkt文件，打包提交。

ACL access-list 通常应用如下定义QOS优先系列按需拨号NAT映射路由数据包的过滤总结：挑选符合条件的流量Router(config)#access-list access-list-number permit|deny test conditionsAccess-list 1-99 标准的访问控制列表Access-list 100-199扩展的访问控制列表如上例第2步标准访问控制列表使用由于是标准访问控制列表所以在route0上建立并在端口fa0/0上应用（教材P15）access-list 1 permit 172.16.3.0 0.0.0.255int fa0/0ip access-group 1 out第3步扩展访问控制列表使用由于是扩展访问控制列表所以在route1上建立并在端口s0/0/0上应用（教材P15）access-list 101 permit ip 172.16.3.0 0.0.0.255 host 10.182.100.2access-list 101 permit tcp 172.16.4.0 0.0.0.255 host 10.182.100.2 80int s0/0/0ip access-group 101 outDDOS 拒绝服务攻击通常就是利用ping的协议icmp172.16.4.0可以访问服务器，但是不能ping服务器172.16.3.0可以随意访问任何网段。

访问控制列表AccessList路由器使用访问控制列表（ACL）来识别数据流，然后对其进行过滤、加密、分类或转换，以更好地管理和控制网络的功能。

标准访问列表：编号1-99或1300-1999，只检查分组的源地址，允许或禁止整个协议簇的分组通过。

扩展访问列表：编号100-199或2000-2699，检查分组的源地址、目标地址、协议、端口号和其他参数。

重点：1、入站访问列表的效率比出站访问列表高；2、路由器按顺序自上而下地处理访问列表中的语句；3、将具体条件放在一般性条件前，将常发生的条件放在不常发生的条件前；4、访问列表的最后有一条隐式的deny语句（access-list 1 deny any），分组将被禁止通过；5、新添的语句总被放在访问列表末尾，隐式的前面；6、使用编号访问列表时不能有选择性的删除其中一条语句，但使用名称访问列表可以（IOS11.2以上）；7、在每个接口的每个方向上针对每种协议的访问列表只能有一个，同一个接口上可以有多个访问列表，但必须是针对不同协议的。

等价写法:access-list 1 deny 172.16.4.3 0.0.0.0 = access-list 1 deny host 172.16.4.3 access-list 1 permit 0.0.0.0 255.255.255.255 = access-list permit any拒绝172.16.1.1访问192.168.1.1上的telnet服务，其余主机可以：rt(config)#access-list 101 deny tcp host 172.16.1.1 host 192.168.1.1 eq telnet rt(config)#access-list 101 permit ip any any172.16.x.y,当x为偶数，y为奇数时允许，其他拒绝：rt(config)#access-list 1 permit 172.16.0.1 0.0.254.254rt(config)#access-list 1 deny 172.16.0.0 0.0.255.255命名列表：rt(config)#ip access-list standard list_namert(config-std-nacl)#permit 1.1.0.1 0.0.254.254rt(config-std-nacl)#deny 1.1.0.0 0.0.255.255access-list 有关收藏Chapter9 Managing Traffic with Access ListsIntroduction to Access Lists访问列表(access list,ACL)的主要作用是过滤你不想要的数据包.设置ACL的一些规则:1.按顺序的比较,先比较第一行,再比较第二行..直到最后1行2.从第一行起,直到找到1个符合条件的行;符合以后,其余的行就不再继续比较下去3.默认在每个ACL中最后1行为隐含的拒绝(deny),如果之前没找到1条许可(permit)语句,意味着包将被丢弃.所以每个ACL必须至少要有1行permit语句,除非你想想所有数据包丢弃2种主要的访问列表:1.标准访问列表(standard access lists):只使用源IP地址来做过滤决定2.扩展访问列表(extended access lists):它比较源IP地址和目标IP地址,层3的协议字段,层4端口号来做过滤决定利用ACL来过滤,必须把ACL应用到需要过滤的那个router的接口上,否则ACL是不会起到过滤作用的.而且你还要定义过滤的方向,比如是是想过滤从Internet到你企业网的数据包呢还是想过滤从企业网传出到Internet的数据包呢?方向分为下面2种:1.inbound ACL:先处理,再路由2.outbound ACL:先路由,再处理一些设置ACL的要点:1.每个接口,每个方向,每种协议,你只能设置1个ACL2.组织好你的ACL的顺序,比如测试性的最好放在ACL的最顶部3.你不可能从ACL从除去1行,除去1行意味你将除去整个ACL,命名访问列表(named access lists)例外(稍后介绍命名访问列表)4.默认ACL结尾语句是deny any,所以你要记住的是在ACL里至少要有1条permit语句5.记得创建了ACL后要把它应用在需要过滤的接口上6.ACL是用于过滤经过router的数据包,它并不会过滤router本身所产生的数据包7.尽可能的把IP标准ACL放置在离目标地址近的地方;尽可能的把IP扩展ACL放置在离源地址近的地方Standard Access Lists介绍ACL设置之前先介绍下通配符掩码(wildcard masking).它是由0和255的4个8位位组组成的.0代表必须精确匹配,255代表随意,比如:172.16.30.0 0.0.0.255,这个告诉router前3位的8位位组必须精确匹配,后1位8位位组的值可以为任意值.如果你想指定172.16.8.0到172.16.15.0,则通配符掩码为0.0.7.255(15-8=7)配置IP标准ACL,在特权模式下使用access-lists [范围数字] [permit/deny] [any/host]命令.范围数字为1到99和1300到1999;permit/deny分别为允许和拒绝;any为任何主机,host为具体某个主机(需要跟上IP地址)或某1段我们来看1个设置IP标准ACL的实例:router有3个LAN的连接1个Internet的连接.现在,销售部的用户不允许访问金融部的用户,但是允许他们访问市场部和Internet连接.配置如下:Router(config)#access-list 10 deny 172.16.40.0 0.0.0.255Router(config)#access-list 10 permit any注意隐含的deny any,所以末尾这里我们要加上permit any,any等同于0.0.0.0 255.255.255.255.接下来把ACL应用在接口上,之前说过了尽可能的把IP标准ACL放置在离目标地址近的地方,所以使用ip access-group命令把ACL 10放在E1接口,方向为出,即out.如下:Router(config)#int e1Router(config-if)#ip access-group 10 outControlling VTY(Telnet) Access使用IP标准ACL来控制VTY线路的访问.配置步骤如下:1.创建个IP标准ACL来允许某些主机可以telnet2.使用access-class命令来应用ACL到VTY线路上实例如下:Router(config)#access-list 50 permit 172.16.10.3Router(config)#line vty 0 4Router(config-line)#access-class 50 in如上,进入VTY线路模式,应用ACL,方向为进来,即in.因为默认隐含的deny any,所以上面的例子,只允许IP地址为172.16.10.3的主机telnet到router上Extended Access Lists扩展ACL:命令是access-list [ACL号] [permit/deny] [协议] [源地址] [目标地址] [操作符] [端口] [log].ACL号的范围是100到199和2000到2699;协议为TCP,UDP等,操作符号有eq(表等于),gt(大于),lt(小于)和neq(非等于)等等;log为可选,表示符合这个ACL,就记录下这些日志来看1个配置扩展ACL的实例:假如要拒telnet和FTP到绝位于金融部的主机172.16.30.5,配置如下:Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 21Router(config)#access-list 110 deny tcp any host 172.16.30.5 eq 23Router(config)#access-list 110 permit ip any any记住默认隐含的deny all.应用到E1接口,注意方向为out,如下:Router(config)#int e1Router(config-if)#ip access-group 110 outNamed Access Lists命名访问列表是创建标准和扩展访问列表的另外1种方法.它允许你使用命名的方法来创建和应用标准或者扩展访问列表.使用ip access-list命令来创建,如下:Router(config)#ip access-list ?extended Extended Acclogging Control access list loggingstandard Standard Access ListRouter(config)#ip access-list standard ?<1-99> Standard IP access-list numberWORD Access-list nameRouter(config)#ip access-list standard BlockSalesRouter(config-std-nacl)#?Standard Access List configuration commands:default Set a command to its defaultsdeny Specify packets to rejectexit Exit from access-list configuration modeno Negate a command or set its defaultpermit Specify packets to forwardRouter(config-std-nacl)#deny 172.16.40.0 0.0.0.255Router(config-std-nacl)#permit anyRouter(config-std-nacl)#exitRouter(config)#^ZRouter#sh run(略)!ip access-list standard BlockSalesdeny 172.16.40.0 0.0.0.255permit any!(略)接下来应用到接口上,如下:Router(config)#int 1Router(config-if)#ip access-group BlockSales outRouter(config-if)#^ZRouter#Monitoring Access Lists一些验证ACL的命令,如下:1.show access-list:显示router上配置了的所有的ACL信息,但是不显示哪个接口应用了哪个ACL的信息2.show access-list [number]:显示具体第几号ACL信息,也不显示哪个接口应用了这个ACL3.show ip interface:只显示IP访问列表信息4.show ip interface:显示所有接口的信息和配置的ACL信息5.show ip interface [接口号]:显示具体某个接口的信息和配置的ACL信息6.show running-config:显示DRAM信息和ACL信息,以及接口对ACL的应用信息.关于RIP路由选择信息协议（Routing Information Protocol）是一种距离矢量路由选择协议，使用跳数作为度量值来选择路径，最大跳数15跳，最多6条路径间负载均衡。

实验十五命名的扩展IP访问控制列表实验名称：命名的扩展IP访问控制列表。

实验目的：掌握交换机上命名的扩展IP访问控制列表规则及配置。

背景描述：你是学校的网络管理员，在S3550-24交换机上连着的学校的提供WWW 和FTP的服务器，学校规定学生只能对服务器进行FTP访问，不能进行WWW访问，教工则每此限制。

技术原理：IP访问控制列表是实现对流经路由器或交换机的数据包根据一定的规则进行过滤，从而提高网络可管理性和安全性。

IP访问控制列表分为两种：标准IP访问控制列表和扩展IP访问控制列表。

标准IP访问控制列表可以根据数据包的源IP地址定义规则，进行数据包过滤。

扩展IP访问控制列表可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规则，进行数据包过滤。

IP访问控制列表基于接口进行规则的应用，分为：入栈应用和出栈应用。

入栈应用是指外部经该接口进入路由器的数据包进行过滤。

出栈应用是指路由器从该接口向外转发数据时进行数据包过滤。

IP访问控制列表的配置有两种方式：按照编号的访问控制列表，按照命名的访问控制列表。

实现功能：实现网段间互相访问的安全控制。

实验设备：S3550-24（1台）；PC机（3台）；直连线（3根）实验拓扑：vlan 20实验步骤: 步骤1：基本配置。

S3760_01#conf tS3760_01(config)#vlan 10S3760_01(config-vlan)#name server S3760_01(config-vlan)#vlan 20S3760_01(config-vlan)#name teachers S3760_01(config-vlan)#vlan 30S3760_01(config-vlan)#name studentsS3760_01(config-vlan)#exitS3760_01(config)#interface fastEthernet 0/10 S3760_01(config-if)#switchport access vlan 10S3760_01(config-if)#exitS3760_01(config)#interface f0/12S3760_01(config-if)#switchport access vlan 20 S3760_01(config-if)#exitS3760_01(config)#interface f0/13S3760_01(config-if)#switchport access vlan 30 S3760_01(config-if)#exitS3760_01(config)#interface vlan 10S3760_01(config-if)#ip add 192.168.10.1 255.255.255.0 S3760_01(config-if)#exitS3760_01(config)#interface vlan 20S3760_01(config-if)#ip add 192.168.20.1 255.255.255.0 S3760_01(config-if)#exitS3760_01(config)#interface vlan 30S3760_01(config-if)#ip add 192.168.30.1 255.255.255.0 S3760_01(config-if)#exitS3760_01(config)#步骤2：配置扩展IP 访问控制列表。

第2章访问控制列表（一）➢TCP和UDP协议TCP/IP协议族的传输层协议主要有两个：TCP（Transmission ，传输控制协议）和UDP（User Datagram Protocol，用户数据抱协议）。

➢TCP协议TCP是面向连接的、可靠的进程到进程通信的协议。

TCP提供全双工服务，即数据可在同一时间双向传输，每一个TCP都有发送缓存和接受缓存，用来临时存储数据。

1.TCP报文段TCP将若干个字节构成一个分组，叫做报文段（Segment）。

TCP报文段封装在IP数据段中。

首部长度为20-60字节，以下是各个字段的含义：➢源端口：它是16位字段，为发送方进程对应的端口号➢目标端口号：它是16位字段，对应的是接收端的进程，接收端收到数据段后，根据这个端口号来确定把数据送给哪个应用程序的进程。

➢序号：当TCP从进程接收数据字节时，就把它们存储在发送缓存中，并对每一个字节进行编号。

编号的特点如下所述：◆编号不一定从0开始，一般会产尘一个随机数作为第1个字节的编号，称为初始序号（ISN），范围是0~232-1。

◆TCP每一个方向的编号是互相独立的。

◆当字节都被编上号后，TCP就给每一个报文段指派一个序号，序号就是该报文段中第1个字节的编号。

当数据到达目的地后，接收端会按照这个序号把数据重新排列，保证数据的正确性。

➢确认号：确认号是对发送端的确认信息，用它来告诉发送端这个序号之前的数据段都已经收到，比如确认号是X，就是表示前X-1个数据段都已经收到。

➢首部长度：用它可以确定首部数据结构的字节长度。

一般情况下TCP首部是20字节，但首部长度最大可以扩展为60字节。

➢保留：这部分保留位作为今后扩展功能用，现在还没有使用到。

➢控制位：这六位有很重要的作用，TCP的连接、传输和断开都是受六个控制为的指挥。

各位含义如下：◆URG：紧急指针有效位。

（指定一个包快速传送（重要数据优先传送））◆ACK：只有当ACK=1时，确认序列号字段才有效。

标准、扩展、名称访问控制列表配置2008-09-06 16:45:41| 分类：网络试验| 标签：acl 访问控制列表|字号大中小订阅试验目的：熟悉标准访问控制列表的应用。

试验设备：r1、r2、r3、sw1、sw2、vpcs。

说明：在全网均能连通的情况下完成试验，注意：标准访问控制列表放置原则是，尽可能离目标地址近。

试验内容：由于基本访问控制列表的放置原则，所以我们知道应该在r3上设置ACL，并且将其放置在r3的e1/0接口上。

1、只允许命令如下：r3(config)#access-list 1 permit /定义一个ACL名字为1，只允许，注意:这里的通配符掩码中0表示必须符合，1表示可以不同，所以，而第四位可以任意。

r3(config)#int e1/0/进入端口E1/0r3(config-if)#ip access-group 1 out/将ACL 1应用在该接口上，控制出站数据流。

这时可以试验，从不同的网络PING PC6的IP地址，并且还可以PING R3的E1/0地址，除了，都只能到达2、只允许PC1:首先执行r3(config)#no access-list 1删除掉刚才建立的内容以便后续试验。

r3(config)#access-list 1 permit host /只允许，host 效果等同于这时就只有pc1能ping通pc6了，请读者在pc1和pc3上ping pc6。

3、只拒绝r3(config)#no access-list 1/删除前面建立的列表r3(config)#access-list 1 deny /只拒绝r3(config)#access-list 1 permit any/允许通过所有数据，any表示所有网络，因为所有的ACL末尾都有条隐藏deny any（拒绝所有）的语句，所以在这条语句之前必须加一条允许所有的语句来让所有其他的网络的数据通过。

请读者自行测试。

扩展IP访问控制列表配置实验目标理解标准IP访问控制列表的原理及功能；掌握编号的标准IP访问控制列表的配置方法；实验背景你是公司的网络管理员，公司的经理部、财务部们和销售部门分属于不同的3个网段，三部门之间用路由器进行信息传递，为了平安起见，公司领导要求销售部门不能对财务部进行访问，但经理部可以对财务部进行访问。

PC1代表经理部的主机、PC2代表销售部的主机、PC3代表财务部的主机。

技术原理访问列表中定义的典型规那么主要有以下：源地址、目标地址、上层协议、时间区域；扩展IP访问列表〔编号100-199、2000、2699〕使用以上四种组合来进行转发或阻断分组；可以根据数据包的源IP、目的IP、源端口、目的端口、协议来定义规那么，进行数据包的过滤。

扩展IP访问列表的配置包括以下两部：i.定义扩展IP访问列表ii.将扩展IP访问列表应用于特定接口上实验设备PC 1台；Server-PT 1台；Router-PT 3台；交叉线；DCE串口线PC0IP:Submask:Gateway: Server0IP:Submask:Gateway:操作流程：Router0enconf thost R0ipno shutdownint fa 1/0ipno shutdownexitRouter1enconf thost R1int fa 1/0ipno shutdownint s 2/0ipno shutdownclock rate 64000Router2enconf thost R2ipno shutdownint fa 0/0ipno shutdownRouter0ip routeRouter2exitip routeRouter1eixtipipendshow ip routePC0ping 172.16.4.2(success)Web浏览器：://172.16.4.2(success) Router1conf taccess-list 100 permit tcp host 172.16.1.2 host 172.16.4.2 eq wwwaccess-lint 100 deny icmp host 172.16.1.2 host 172.16.4.2 echoint s 2/0ip access-group 100 outendPC0Web浏览器：://172.16.4.2(success)ping 172.16.4.2(Reply from 172.16.2.2: Destination host unreachable)。

实验二、访问控制列表标准访问控制列表一、组网图如下:二、实验要求：1、首先要求将整个网络配置其连通性2、要求采用标准acl，使pc1不能访问pc2三、配置如下：1、准备工作Pc1:<quidway>sys[quidway]sysname pc1[pc1]int vlan 1[pc-interface-vlan 1]ip address 1.1.1.1 255.255.255.0 [pc1]ip route 0.0.0.0 .0.0.0.0 1.1.1.254R1:[router]sysname r1[r1]int e0[r1-e0]ip address 1.1.1.254 24[r1-e0]undo shut[r1-s0]ip address 2.1.1.1 24[r1-s0]undo shut[r1]ip route 3.1.1.1 255.255.255.255 2.1.1.2Pc2:<quidway>sys[quidway]sysname pc2[pc2]int vlan 1[pc-interface-vlan 1]ip address 3.1.1.1 255.255.255.0 [pc2]ip route 0.0.0.0 .0.0.0.0 3.1.1.254R2:[router]sysname r2[r2]int e0[r2-e0]ip address 3.1.1.254 24[r2-e0]undo shut[r2-s0]ip address 2.1.1.1 24[r2-s0]shut[r2-s0]undo shut[r2]ip route 1.1.1.0 255.255.255.0 2.1.1.1[pc1]ping 3.1.1.12、acl配置如下：[r1]acl 1 match auto[r1-acl-1]rule deny source 1.1.1.1 0.0.0.0[r1-acl-1]rule permit source any[r1]firewall enable[r1-e0]firewall packet 1 in[pc1]ping 3.1.1.1扩展访问控制列表一、组网图如上二、实验要求：1、首先要求将整个网络配置其连通性2、要求采用扩展acl，使pc1不能访问pc2，但pc2可以访问pc1三、配置如下：1、准备工作如上2、acl配置如下：[r1]acl 100 match auto[r1-acl-100]rule deny icmp source 1.1.1.1 0.0.0.0 destination 3.1.1.1 0.0.0.0 icmp-type echo log [rl-acl-100]rule permit ip source any destination any[r1]firewall enable[r1-e0]firewall pack 100 in[pc1]ping 3.1.1.1[pc2 ]ping 1.1.1.1。