发布时间 : 星期日 文章实验十二 标准IP访问控制列表的配置和应用更新完毕开始阅读bf3032d63186bceb19e8bbf3
实验十二 标准IP访问控制列表的配置和应用
12.1 实验概述 1.实验目的
掌握访问控制列表的功能及应用特点,在此基础上学习在路由器等三层设备上标准 IP 访问控制列表的配置方法,为本章后续知识的学习奠定理论和实践基础。
2.实验原理
访问控制列表(ACL)实际上是一系列允许(Permit)和拒绝(Deny)匹配准则的集合。图12-1 显示了路由器对数据包的处理情况。
图12-1路由器使用访问控制列表处理数据包的过程
IP访问控制列表可以分为两大类:
· 标准 IP 访问控制列表:只对数据包的源 IP 地址进行检查。其列表号为 1~99 或1300~1999。
· 扩展 IP 访问控制列表:对数据包的源和目标 IP 地址、源和目标端口号等进行检查,因此扩展 IP访问控制列表可以允许或拒绝部分协议,例如 FTP、Telnet、SNMP等。其列表号为 100~199或 2000~2699。
标准 IP 访问控制列表只检查数据包的源 IP 地址,从而允许或拒绝某个 IP 网络、子网或主机的所有通信流量通过路由器的接口。定义标准 IP访问控制列表需要使用 access-list 命令来完成。在定义标准 IP 访问控制列表时应给其加上相应的编号(1~99)或 2000~2699,命令格式如下:
access-list access-list-number {deny|permit} source-address [source-wildcard] 其中,表 12-1是对 acess-list 命令相关参数的说明。
表 12-1 对 access-list 命令相关参数的说明
命令参数 access-list-number deny|permit source-address source-wildcard 说明 访问控制列表的号码,标准IP访问控制列表的编号为1~99 或2000~2699 对符合匹配语句的数据包所采取的动作,其中 permit 代表允许数据包通过, deny 代表拒绝数据包通过 数据包的源地址,它可以是某个网络、某个子网或者某台主机 数据包源地址的通配符掩码 3.实验内容和要求
(1) 了解访问控制列表在网络安全中的功能和应用 (2) 了解访问控制列表的分类和特点 (3) 掌握标准 IP访问控制列表的功能 (4) 掌握标准 IP访问控制列表的配置方法
4.2.2 实验规划 1.实验设备
(1) 路由器或三层交换机 (2 台) (2) 测试和配置用 PC(3 台) (3) Console 配置电缆(1 根)
(4) PC 与路由器之间的连接线 (3 根)
2.实验拓扑
为了让本实验尽可能地贴近实际应用,现假设某单位的办公室、人事处和财务处分别属于不同的网段,分别为 172.16.1.0/24、172.16.2.0/24 和 172.16.3.0/24,如图 12-2 所示。其中,这三个部门之间通过路由实现数据的交换,但出于安全考虑,单位要求办公室的网络可以访问财务处的网络,而人事处无法访问财务处的网络,其他网络之间都可以实现互访。在路由器Router-A与 Router-B 之间配置静态路由协议。
图12-2 标准IP 访问控制列表的规则拓扑
4.2.3 实验步骤
(1)路由器Router-A的基本配置。
Router #configure terminal (进入“全局配置”模式) Router(config)# (已进入“全局配置”模式) Router(config)# hostname Router-A (使用 hostname 命令将路由器的名称更改为“Router-A”) Router-A(config)#interface fastethernet 0/1 (进入路由器 fastethernet0/1 端口的配置模式) Router-A(config-if)#ip address 192.168.0.1 255.255.255.252 (将路由器 fastethernet 0/0 端口的地址配置为 192.168.0.1,子网掩码为 255.255.255.252,本网段只有两个合法的 IP地址) Router-A(config-if)#no shutdown (开启路由器的 fastethernet 0/0 端口) Router-A(config-if)#exit (返回全局配置模式) Router-A(config)# interface fastethernet 0/0(进入路由器 fastethernet0/0 端口的配置模式) Router-A(config-if)#ip address 172.16.1.1 255.255.255.0 (将路由器 fastethernet0/1 端口的地址配置为 172.16.1.1,子网掩码为 255.255.255.0) Router-A(config-if)#no shutdown (开启路由器的 fastethernet0/1 端口) Router-A(config-if)#exit Router-A(config)# interface fastethernet 0/2 Router-A(config-if)#ip address 172.16.2.1 255.255.255.0 Router-A(config-if)#no shutdown Router-A(config-if)#exit (2) 路由器Router-B 的基本配置。 Router #configure terminal (进入“全局配置”模式) Router(config)# (已进入“全局配置”模式) Router(config)# hostname Router-B (使用 hostname 命令将路由器的名称更改为“Router-B”) Router-B(config)#interface fastethernet 0/0 (进入路由器 fastethernet0/0 端口的配置模式) Router-B(config-if)#ip address 192.168.0.2 255.255.255.252 Router-B(config-if)#no shutdown Router-B(config-if)#exit Router-B(config)# interface fastethernet 0/1 Router-B(config-if)#ip address 172.16.3.1 255.255.255.0 Router-B(config-if)#no shutdown Router-B(config-if)#exit (3)路由器Router-A 和Router-B 上静态路由的配置。 Router-A(config)#ip route 172.16.3.0 255.255.255.0 192.168.0.2 Router-B(config)#ip route 172.16.1.0 255.255.255.0 192.168.0.1 (4) 在路由器 Router-B上配置标准访问控制列表,名称为 access-list 10。 Router-B(config)#access-list 10 deny hsot 172.16. 1.3(拒绝来自172.16. 1.3的流量通过) Router-B(config)#access-list 10 permit host 172.16.1.2 (允许来自172.16.1.2的流量通过) (5) 将访问控制列表应用到路由器 Router-B 的端口上。 Router-B(config)#interface fastethernet0/1 Router-B(config-if)#ip access-group 10 out (在 fastethernet0/1 的出站端口上调用访问控制列表) Router-B(config-if)#end Router-B#write memory 4.2.4 结果验证
(1) 在办公室所属的 PC1(网关为所连接路由器的端口的 IP地址 172.16.1.1)上 ping财务处的 PC3,应该是连通的;而在人事处所属的 PC2 上 ping 财务处的 PC3,则不通。说明路由器 Router-B 允许 172.16.1.0/24 网段的数据通过,而拒绝 172.16.2.0/24 网段的数据。
(2) 在路由器Router-B上利用show access-list 10命令查看标准IP访问控制列表access-list 10 的配置情况。
(3) 在路由器 Router-B上运行 show configure 命令,其中将会显示以下的部分内容: interface FastEthernet0/1 description money ip address 172.16.3.1 255.255.255.0 ip access-group 10 out (访问控制列表 access-list 10 已应用在FastEthernet0/1 端口上) duplex auto speed auto