标准访问控制列表的配置.docx
《标准访问控制列表的配置.docx》由会员分享,可在线阅读,更多相关《标准访问控制列表的配置.docx(15页珍藏版)》请在冰豆网上搜索。
![标准访问控制列表的配置.docx](https://file1.bdocx.com/fileroot1/2022-11/16/92512672-efab-4873-ad85-98e259a5c130/92512672-efab-4873-ad85-98e259a5c1301.gif)
标准访问控制列表的配置
标准访问控制列表的配置
一、实验目的
1.掌握访问列表实验安全性的配置
2.理解标准访问控制列表的作用
二、应用环境
1.某些安全性要求比较高的主机或网络需要进行访问控制
2.其他的很多应用都可以使用访问控制列表提供操作条件
三、实验设备
1.DCR-1702两台
2.PC机两台
3.CR-V35MT一条
4.CR-V35FC一条
5.网线两条
四、实验拓扑
五、实验要求
ROUTER-AROUTER-B
S1/1(DCE)192.168.1.1/24S1/0(DTE)192.168.1.2/24
F0/0192.168.0.1/24F0/0192.168.2.1/24
PC-APC-B
IP192.168.0.2/24192.168.2.2/24
网关192.168.0.1192.168.2.1
实验目标:
禁止192.168.0.0/24对PC-B的访问
六、实验步骤
第一步:
参照实验三和上表,配置所有接口的地址,并测试连通性
Router-A#ping192.168.1.2
PING192.168.1.2(192.168.1.2):
56databytes
!
!
!
!
!
---192.168.1.2pingstatistics---
5packetstransmitted,5packetsreceived,0%packetloss
round-tripmin/avg/max=20/28/30ms
第二步:
参照实验七,配置静态路由
Router-A#shiproute
Codes:
C-connected,S-static,R-RIP,B-BGP,BC-BGPconnected
D-DEIGRP,DEX-externalDEIGRP,O-OSPF,OIA-OSPFinterarea
ON1-OSPFNSSAexternaltype1,ON2-OSPFNSSAexternaltype2
OE1-OSPFexternaltype1,OE2-OSPFexternaltype2
DHCP-DHCPtype
VRFID:
0
C192.168.0.0/24isdirectlyconnected,FastEthernet0/0
C192.168.1.0/24isdirectlyconnected,Serial1/1
S192.168.2.0/24[1,0]via192.168.1.2
Router-B#shiproute
Codes:
C-connected,S-static,R-RIP,B-BGP,BC-BGPconnected
D-DEIGRP,DEX-externalDEIGRP,O-OSPF,OIA-OSPFinterarea
ON1-OSPFNSSAexternaltype1,ON2-OSPFNSSAexternaltype2
OE1-OSPFexternaltype1,OE2-OSPFexternaltype2
DHCP-DHCPtype
VRFID:
0
S192.168.0.0/24[1,0]via192.168.1.1
C192.168.1.0/24isdirectlyconnected,Serial1/0
C192.168.2.0/24isdirectlyconnected,FastEthernet0/0
第三步:
PC-A能与PC-B通讯
第四步:
配置访问控制列表禁止PC-A所在的网段对PC-B的访问
Router-B#conf
Router-B_config#ipaccess-liststandard1!
定义标准的访问控制列表
Router-B_config_std_nacl#deny192.168.0.0255.255.255.0!
基于源地址
Router-B_config_std_nacl#permitany!
因为有隐含的DENYANY
第五步:
将访问控制列表(ACL)绑定在相应的接口
Router-B_config#intf0/0!
进入到离目标最近的接口
Router-B_config_f0/0#ipaccess-group1out!
绑定ACL1在出的方向
第六步:
验证
Router-B#shipaccess-list
StandardIPaccesslist1
deny192.168.0.0255.255.255.0
permitany
第七步:
测试
七、注意事项和排错
1.标准访问控制列表是基于源地址的
2.每条访问控制列表都有隐含的拒绝
3.标准访问控制列表一般绑定在离目标最近的接口
4.注意方向,以该接口为参考点,IN是流进的方向;OUT是流出的方向
八、配置序列
Router-B#shrun
正在收集配置...
当前配置:
!
!
version1.3.2E
servicetimestampslogdate
servicetimestampsdebugdate
noservicepassword-encryption
!
hostnameRouter-B
!
!
!
interfaceFastEthernet0/0
ipaddress192.168.2.1255.255.255.0
noipdirected-broadcast
ipaccess-group1out
!
interfaceSerial1/0
ipaddress192.168.1.2255.255.255.0
noipdirected-broadcast
!
interfaceAsync0/0
noipaddress
noipdirected-broadcast
!
!
!
!
iproute192.168.0.0255.255.255.0192.168.1.1
!
!
ipaccess-liststandard1
deny192.168.0.0255.255.255.0
permitany
!
!
!
九、共同思考
1.为什么访问控制列表最后要加一条允许?
2.除了绑定在F0/0以外,在现在的环境中还能绑定在哪个接口上?
什么方向?
一十、课后练习
请配置禁止对PC-A的访问
一十一、相关命令详解
1.deny
在IP访问列表配置模式中可使用此命令配置禁止规则,要从IP访问列表中删除deny规则,在命令前加no前缀。
denysource[source-mask][log]
nodenysource[source-mask][log]
denyprotocolsourcesource-maskdestinationdestination-mask [precedenceprecedence][tostos][log]
nodenyprotocolsourcesource-maskdestinationdestination-mask [precedenceprecedence][tostos][log]
对于互联网控制报文协议(ICMP),也可以使用以下句法:
denyicmpsourcesource-maskdestinationdestination-mask[icmp-type][precedenceprecedence][tostos][log]
对于Internet组管理协议(IGMP),可以使用以下句法:
denyigmpsourcesource-maskdestinationdestination-mask[igmp-type][precedenceprecedence][tostos][log]
对于TCP,可以使用以下句法:
denytcpsourcesource-mask[operatorport]destinationdestination-mask[operatorport][established][precedenceprecedence][tostos][log]
对于数据报协议(UDP),可以使用以下句法:
denyudpsourcesource-mask[operatorport]destinationdestination-mask[operatorport][precedenceprecedence][tostos][log]
参数:
protocol
协议名字或IP协议号。
它可以是关键字icmp、igmp、igrp、ip、ospf、tcp或udp,也可以是表IP协议号的0到255的一个整数。
为了匹配任何Internet协议(包括ICMP、TCP和UDP)使用关键字ip。
某些协议允许进一步限定,如下描述。
source
源网络或主机号。
有两种方法指定源:
32位二进制数,用四个点隔开的十进制数表示。
使用关键字any作为0.0.0.00.0.0.0的源和源掩码缩写。
source-mask
源地址网络掩码。
使用关键字any作为0.0.0.00.0.0.0的源和源掩码缩写。
destination
目标网络或主机号。
有两种方法指定:
使用四个点隔开的十进制数表示的32位二进制数。
使用关键字any作为0.0.0.00.0.0.0的目标和目标掩码的缩写。
destination-mask
目标地址网络掩码。
使用关键字any作为0.0.0.00.0.0.0的目标地址和目标地址掩码缩写。
precedenceprecedence
(可选)包可以由优先级过滤,用0到7的数字指定。
tostos
(可选)数据包可以使用服务层过滤。
使用数字0-15指定。
icmp-type
(可选)ICMP包可由ICMP报文类型过滤。
类型是数字0到255。
igmp-type
(可选)IGMP包可由IGMP报文类型或报文名过滤。
类型是0到15的数字。
operator
(可选)比较源或目标端口。
操作包括lt(小于),gt(大于),eq(等于),neq(不等于)。
如果操作符放在source和source-mask之后,那么它必须匹配这个源端口。
如果操作符放在destination和destination-mask之后,那么它必须匹配目标端口。
port
(可选)TCP或UDP端口的十进制数字或名称。
端口号是一个0到65535的数字。
TCP端口名列在“使用方针”部分。
当过滤TCP时,可以只使用TCP端口名称。
UDP端口名称也列在“使用说明”部分。
当过滤TCP时,只可使用TCP端口名。
当过滤UDP时,只可使用UDP端口名。
established
(可选)只对TCP协议,表示一个已建立的连接。
如果TCP数据报ACK或RST位设