实验6(ACL)访问控制列表的配置
1、实验目的
1.掌握访问控制列表ACL的工作原理
2.了解访问控制列表的类型
3.掌握在路由器上配置访问控制列表
2、实验原理
2.1概述
访问控制列表(AccessControlList)最直接的功能是包过滤。通过接入控制列表可以在路由器、三层交换机上进行网络安全属性配置,可以实现对进入路由器、三层交换机的输入数据流进行过滤。
2.2ACL的类型
ACL的类型主要分为IP标准访问控制列表(StandardIPACL)和IP扩展访问控制列表(ExtendedIPACL)。
(1)IP标准访问控制列表是基于IP数据包中的IP地址进行控制。
图标准访问控制列表
命令格式:
Access-listlistnumber{permit|deny}address[wildcard-mask]
其中:listnumber是规则序号,标准访问控制列表的规则序号范围1~99。
Permit和deny表示允许或者禁止满足该规则的数据包通过:Address是源地址IP;wildcard-mask是源地址IP的通配比较位,也称反掩码。
例如:
(config)#access-list1permit172.16.0.00.0.255.255
(config)#access-list1deny0.0.0.0255.255.255.255
至于反掩码的计算,我们下面会做进一步解析。
(2)IP扩展访问控制列表(ExtendedIPACL)
扩展访问控制列表不仅可以对源IP加以控制,还可以对目的地址、协议以及端口号加以控制。
扩展访问控制列表
命令格式:
Access-listlistnumber{permit|deny}protocolsourcesource-wildcard-maskdestinationdestination-wild-mask[operatoroperand]
其中:扩展访问列表的规则序号listnumber范围是100~199;protocol是指定的协议,如IP、TCP、UDP等;destination是目的地址;destination-wildcard-mask是目的地址反掩码;operator和operand用于指定端口范围,默认为全部端口号0~65535,只用TCP和UDP协议需要指定端口范围。
2.3ACL反掩码的计算
反掩码等于子网掩码中的各位取反,也就是掩码中的0变成1,1变成0。
32位的反掩码中包含0和1。
0表示检查该位;
1表示忽略该位。
在大多数情况下,我们考虑的情况主要有以下四种匹配:
匹配单个主机
匹配整个子网
匹配子网中的部分主机
匹配所有的主机
根据上面四种情况,方法如下:
1)匹配单一主机:所有的反掩码位数都为0
例如,对于以下标准访问控制列表:
Access-list1permit157.89.8.90.0.0.0!表示只允许IP地址为157.89.8.9主机数据包通过
对于扩展的访问控制列表
Access-list101permitip157.89.8.90.0.0.0any!只允许IP地址为157.89.8.9的主机的数据包通过
2)匹配一个完全子网
Wildcardmask=255.255.255.255–subnetmask
也就是反掩码=255.255.255.255–子网掩码
例1:子网网络号为2.3.4.0,掩码为255.255.255.0,那么反掩码为0.0.0.255
Access-list1permit3.2.4.00.0.0.255
例2:子网网络号为111.2.4.112,掩码为255.255.255.224,那么反掩码为0.0.0.31,
Access-list1permit111.2.4.1120.0.0.31
3)匹配子网某一个范围的主机
匹配的范围
157.89.16.0–157.89.31.255
反掩码=大IP-小IP
例如:
157.89.31.255
-157.89.16.0
反掩码0.0.15.255
access-list1permit157.89.16.00.0.15.255
4)匹配所有主机
匹配所有主机,使用下面的ACL命令
Access-list1permitany
或者Access-list1permit0.0.0.0255.255.255.255
3、实验环境
设备:R2624或cisco路由器1台
4、实验内容
要求,在路由器上配置ACL访问控制列表,使得PC1可以访问Server0,PC0不能访问Server0。
一、基本访问控制列表配置
步骤1:基本配置
Router>
Router>enable
Router#configureterminal
Router(config)#hostnameR1
R1(config)#interfacefastEthernet0/0//进入Fa0接口
R1(config-if)#ipadd192.168.1.254255.255.255.0,//配置Fa0的IP地址
R1(config-if)#noshutdown
R1(config-if)#interfacefastEthernet0/1//进入Fa1接口
R1(config-if)#ipadd192.168.2.254255.255.255.0//配置Fa1的IP地址
R1(config-if)#noshutdown
R1(config-if)#end
测试命令:#showipinterfacebrief//观察接口状态
R1#showipinterbrief
步骤2:配置标准的IP访问控制列表
R1(config)#access-list1deny192.168.1.10.0.0.0//拒绝来自192.168.1.1的流量通过
R1(config)#access-list1permitany//允许其他流量通过
测试验证
Showaccess-lists1
R1#shaccess-lists1
步骤3:把访问控制列表在接口下应用
R1(config)#interfacefastEthernet0/1
R1(config-if)#ipaccess-group1out//在接口下访问控制列表出栈流量调用
测试验证:
Showipaccess-lists1
Ping(192.168.1.1的主机不能ping通192.168.2.0网段的主机;192.168.1.2网段的主机能ping通192.168.2.0网段的主机)
【注意事项】
注意在访问控制列表的网络掩码是反掩码
标准控制列表要应用在尽量靠近目的地址的接口
注意标准访问控制列表的编号是从1~99
二、扩展访问控制列表配置
步骤1:配置iis服务器
参见“iis配置.ppt”文档
测试验证:
pc0是否可以访问Server0的web及ftp服务。
步骤2:配置扩展的IP访问控制列表
R1(config)#access-list101denytcphost192.168.1.2host192.168.2.2eqwww
R1(config)#access-list101permitipanyany
步骤3:把访问控制列表在接口下应用
R1(config)#interfacefastEthernet0/1
R1(config-if)#ipaccess-group101out//在接口下访问控制列表出栈流量调用
测试验证:
pc1上是否访问web?
Pc1上是否可以访问ftp?
IP
数据
TCP/UDP
源地址
源地址
TCP/UDP
IP
端口号
协议
源地址
目的地址
|
|