实训三：访问控制列表.docx

《实训三：访问控制列表.docx》由会员分享，可在线阅读，更多相关《实训三：访问控制列表.docx（12页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、实训二、网络控制列表一、实训说明：ACL（Access Control List,访问控制列表），简单说就是包过滤，在路由器上 读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等， 根据预先定义好的规那么对包进行过滤，从而到达访问控制的目的。ACL的主要 功能就是一方面保护资源节点，阻止非法用户对资源节点的访问，另一方面限制 特定的用户节点所能具备的访问权限。ACL并不复杂，但在实际应用中的，要 想恰当地应用ACL,必需要制定合理的策略。配置ACL的基本原那么：在实施ACL的过程中，应当遵循如下两个基本原那么: 最小特权原那么：只给受控对象完成任务所必须的最小的权限。最靠近受

2、控对象原 那么：所有的网络层访问权限控制。具体规那么如下：1、入站访问控制列表：将到来的分组路由到出站接口之前对其进行处理。 因为如果根据过滤条件分组被丢弃，那么无需查找路由选择表；如果分组被允许通 过，那么对其做路由选择方面的处理。2、出站访问列表：到来的分组首先被路由到出站接口，并在将其传输出去 之前根据出站访问列表对其进行处理。3、访问控制列表的顺序决定被检验的顺序，最特殊的的规那么应该被刚到访 问控制列表的前面。4、任何访问列表都必须至少包含一条permit语句，否那么将禁止任何数据流 通过。5、同一个访问列表被用于多个接口，然而，在每个接口的每个方向上，针 对每种协议的访问列表只能有

3、一个。6、在每个接口的每个方向上，针对每种协议的访问列表只能有一个。同一 个接口上可以有多个访问列表，但必须是针对不同协议的。7、将具体的条件放在一般性条件的前面；将常发生的条件放在不常发生的条件前面。二者都可以实现去掉访问列表的目的。前者是从列表号角度删除，后者 是从端口和输入或输出的角度删除。可以通过show access-list命令查看删除情况，新的访问控制列表如下:RouterChen (config)#access-list 2 RouterChen (config)#access-list 2 permit anyRouterChen (config)#int s0/1Route

4、rChen (config-if)#ip access-group 2 outRouterChen (config-if)#endRouterChen#sh access-list这个访问控制列表比上一个访问控制列表有以下几点不同：先 deny 后 permit,(2)禁止的是一个网络(3)是输出的访问控制列表6、此时终端A BCD E之间互相PING测试，哪些终端可以实现通信? 为什么？7、扩展的访问控制列表扩展的访问控制列表，有源和目的两个ip,并且要指明应用的协议。实际 中可控制的协议有很多，本软件实际只支持icmp的echo操作，用以说明问题。例1.阻止PCA访问PCD:RouterC

5、hen (config)#access-list 101 deny icmp 10.65.1.1 0.0.0.0 10.70.1.1 0.0.0.0 echoRouterChen (config)#access-list 101 permit ip any anyRouterChen （config）#int s0/0RouterChen （config-if）#ip access-group 101 inRouterChen#sh access-list 101PCA #ping 10.70.1.1 （不通）（请求 echo 包被禁止）PCE #ping 10.70.1.1 （通）PCD #

6、ping 10.65.1.1 （通）例2.阻止网络访问10.70.1.1（PCD）。RouterChen （config）#access-list 102 deny icmp 10.65.1.1 0.0.0.255 1 0.70.1.1 0.0.0.0 echoRouterChen （config）#access-list 102 permit ip any anyRouterChen （config）#interface s0/1RouterChen （config-if）#ip access-group 102 （默认为 out）PCA #ping 10.70.1.1 （不通）（PCE:1

7、0.65.1.1 禁止）PCE #ping 10.70.1.1 （不通）（PCE:10.65.1 .3 禁止）8、新添的语句总是被放在访问列表的末尾，但位于隐式deny语句的前面。9、使用编号的访问列表时，不能有选择性的删除其中的语句；但使用名称 访问列表时可以。10、除非显式地在访问列表末尾添加一条permit any语句，否那么默认情况下, 访问列表将禁止所有不与任何访问列表条件匹配的数据流。11、访问控制列表应绑定到端口上，创立访问列表后再将其应用于接口，如 果应用于接口的访问列表未定义或不存在，该接口将允许所有数据流通过。12、访问列表只过滤经由当前路由器的数据流，而不能过滤当前路由器

8、发送 的数据流。13、应将扩展访问列表放在离禁止通过的数据流源尽可能近的地方。14、标准访问列表不能指定目标地址，应将其放在离目的地尽可能近的地方。ACL局限性：由于ACL是使用包过滤技术来实现的，过滤的依据又仅仅只 是第三层和第四层包头中的局部信息，这种技术具有一些固有的局限性，如无法 识别到具体的人，无法识别到应用内部的权限级别等。因此，要到达endtoend 的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。完本钱实验所需的基本操作技术：Packet Tracer仿真软件的使用本实验涉及的知识点：包过滤技术本实验中的技术点：配置访问控制列表的规那么本实验涉及的技能：路由器的配置

9、二、实训目的：掌握访问控制列表的设置规那么，提升对于网络的应用能力。三、实训硬件环境:计算机，思科交换机等设备，网络仿真软件。四、实训任务(1) ACL配置实例1、网络拓扑图图一、网络拓扑图2、因为路由器选择的是2620XM。没有串口，所以在画拓扑图之前，先为路 由器增加串口，如下列图。图二、26二XM增加串口3、路由器配置图三、R1的IP地址和时钟配置Routeri13回冈Physical Config CLIIOS Command Line InterfaceJ 11 l y - i j u h； 工(config-router)#1(config-router)#Rl(config-ro

10、uter)#exit图四、Rl的动态路由配置（RIP）-通过命令行, Router013回冈Physical Config CLIIOS Command Line Interfaceouter entouter#conf 匕nter configuration comiaandsz one per line. End with CNTL/Z. tout er (config) #hostnane RO.0 (config) #int s0/0图五、RO配置图六、RO的动态路由配置（RIP） -通过图形界面4、PC配置以及测试连通性图七、PC配置争pc。13回区IPhysical Config

11、Desktop图八、网络连通性配置此时，网络中所有设备能够实现通信。5、路由器1上设置访问控制列表并进行网络连通性测试Routeri匕21 叵区 |Physical Config CLIIOS Command Line Interfacejkx vuxxi.xy / 4)Rl(config)J RI(config) Rl(config)J Rl(config-： Rl(config-：access-list 10 deny 192.168.1.2 0.0.0.0 access-list. 10 permit any int s0/0 f)$ip access-group 10 out f)#e

12、xitRl(config)#图九、设置访问控制列表Command PromptPinging 172.168.1.2 with 32 bytes of dat.a:Reply fromReply fromReply fromReply from172.168.1.2:172.168.1.2:172.168.1.2:172.168.1.2:bytes=32 bytes=32 byt.es = 32 byt.es = 32tiiae = 94ias 七ime=94m$ CiitLe = 93ias time = 94iasTTL = 254TTL = 2S4TTL = 2S4TTL = 254Pi

13、ng statistics for 172.168.1.2:Packets: Sent = 4, Received = 4, Lost = 0 (0% loss)z Approximate round trip times in milli-seconds:Minimum = 93m$, Maximum = 94ms, Average = 93msPCPCPCPinging 172.168.1.2 with 32 bytes of dat.a:ReplyReplyReplyReplyfrom from from from192.168.1.1:192.168.1.1:192.168.1.1:1

14、92.168.1.1:Destination host unreachable.Destination host unreachable.Destination host unreachable.Destination host unreachable.Ping statistics for 172.168.1.2:Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)PCPC图十、网络连通性测试总结：本来能够实现通信的双方，此时PING的结果是100%k)st。表示访问 控制列表设置成功。(2)、ACL配置测试1、网络拓扑结构图十一、网络拓

15、扑结构说明：路由器“陈”：S0/0 的 IP 地址： S0/1 的 1P 地址：路由器“晓”：fa0/0 的 IP 地址： faO/1 的 IP 地址： S0/1 的 IP 地址：路由器“丹”：faO/O 的 IP 地址： 10.69.L2 255.255.255.0 faO/1 的 IP 地址： 10.70.1.2 255.255.255.0 S0/0 的 IP 地址：终端A的IP地址：10.65.1.1 终端B的IP地址：10.66.1.1 终端C的IP地址：10.69.L1 终端D的IP地址：1Q70.1.1 终端E的IP地址：终端A的IP地址：10.65.1.1 终端B的IP地址：10

16、.66.1.1 终端C的IP地址：10.69.L1 终端D的IP地址：1Q70.1.1 终端E的IP地址：网关 10.65.L2 网关 10.66.1.2 网关 10.69.1.2 网关 10.70.1.2 网关 2、测试终端A能否PING通终端D。3、在路由器“陈”上做如下配置：RouterChen(config)#access-list 1 RouterChen(config)#access-list 1 deny anyRouterChen(config)#int s0/0RouterChen(config-if)#ip access-group 1 inRouterChen(config-if)#endRouterChen#sh access-list 14、此时终端A BCD E之间互相PING测试，哪些终端可以实现通信? 为什么？5、在路由器“陈”上做如下配置：下面再写一个访问控制列表，先删除原访问控制列表:RouterChen (config)#no access-list 1RouterChen (config-if)#no ip access-group 1 in