标准访问控制列表的配置.docx

标准访问控制列表的配置.docx

《标准访问控制列表的配置.docx》由会员分享，可在线阅读，更多相关《标准访问控制列表的配置.docx（15页珍藏版）》请在冰豆网上搜索。

标准访问控制列表的配置

标准访问控制列表的配置

一、实验目的

1.掌握访问列表实验安全性的配置

2.理解标准访问控制列表的作用

二、应用环境

1.某些安全性要求比较高的主机或网络需要进行访问控制

2.其他的很多应用都可以使用访问控制列表提供操作条件

三、实验设备

1.DCR-1702两台

2.PC机两台

3.CR-V35MT一条

4.CR-V35FC一条

5.网线两条

四、实验拓扑

五、实验要求

ROUTER-AROUTER-B

S1/1（DCE）192.168.1.1/24S1/0（DTE）192.168.1.2/24

F0/0192.168.0.1/24F0/0192.168.2.1/24

PC-APC-B

IP192.168.0.2/24192.168.2.2/24

网关192.168.0.1192.168.2.1

实验目标：

禁止192.168.0.0/24对PC-B的访问

六、实验步骤

第一步：

参照实验三和上表，配置所有接口的地址，并测试连通性

Router-A#ping192.168.1.2

PING192.168.1.2（192.168.1.2）:

56databytes

!

!

!

!

!

---192.168.1.2pingstatistics---

5packetstransmitted,5packetsreceived,0%packetloss

round-tripmin/avg/max=20/28/30ms

第二步：

参照实验七，配置静态路由

Router-A#shiproute

Codes:

C-connected,S-static,R-RIP,B-BGP,BC-BGPconnected

D-DEIGRP,DEX-externalDEIGRP,O-OSPF,OIA-OSPFinterarea

ON1-OSPFNSSAexternaltype1,ON2-OSPFNSSAexternaltype2

OE1-OSPFexternaltype1,OE2-OSPFexternaltype2

DHCP-DHCPtype

VRFID:

0

C192.168.0.0/24isdirectlyconnected,FastEthernet0/0

C192.168.1.0/24isdirectlyconnected,Serial1/1

S192.168.2.0/24[1,0]via192.168.1.2

Router-B#shiproute

Codes:

C-connected,S-static,R-RIP,B-BGP,BC-BGPconnected

D-DEIGRP,DEX-externalDEIGRP,O-OSPF,OIA-OSPFinterarea

ON1-OSPFNSSAexternaltype1,ON2-OSPFNSSAexternaltype2

OE1-OSPFexternaltype1,OE2-OSPFexternaltype2

DHCP-DHCPtype

VRFID:

0

S192.168.0.0/24[1,0]via192.168.1.1

C192.168.1.0/24isdirectlyconnected,Serial1/0

C192.168.2.0/24isdirectlyconnected,FastEthernet0/0

第三步：

PC-A能与PC-B通讯

第四步：

配置访问控制列表禁止PC-A所在的网段对PC-B的访问

Router-B#conf

Router-B_config#ipaccess-liststandard1！

定义标准的访问控制列表

Router-B_config_std_nacl#deny192.168.0.0255.255.255.0！

基于源地址

Router-B_config_std_nacl#permitany！

因为有隐含的DENYANY

第五步：

将访问控制列表（ACL）绑定在相应的接口

Router-B_config#intf0/0！

进入到离目标最近的接口

Router-B_config_f0/0#ipaccess-group1out！

绑定ACL1在出的方向

第六步：

验证

Router-B#shipaccess-list

StandardIPaccesslist1

deny192.168.0.0255.255.255.0

permitany

第七步：

测试

七、注意事项和排错

1.标准访问控制列表是基于源地址的

2.每条访问控制列表都有隐含的拒绝

3.标准访问控制列表一般绑定在离目标最近的接口

4.注意方向，以该接口为参考点，IN是流进的方向；OUT是流出的方向

八、配置序列

Router-B#shrun

正在收集配置...

当前配置:

!

!

version1.3.2E

servicetimestampslogdate

servicetimestampsdebugdate

noservicepassword-encryption

!

hostnameRouter-B

!

!

!

interfaceFastEthernet0/0

ipaddress192.168.2.1255.255.255.0

noipdirected-broadcast

ipaccess-group1out

!

interfaceSerial1/0

ipaddress192.168.1.2255.255.255.0

noipdirected-broadcast

!

interfaceAsync0/0

noipaddress

noipdirected-broadcast

!

!

!

!

iproute192.168.0.0255.255.255.0192.168.1.1

!

!

ipaccess-liststandard1

deny192.168.0.0255.255.255.0

permitany

!

!

!

九、共同思考

1.为什么访问控制列表最后要加一条允许？

2.除了绑定在F0/0以外，在现在的环境中还能绑定在哪个接口上？

什么方向？

一十、课后练习

请配置禁止对PC-A的访问

一十一、相关命令详解

1.deny

在IP访问列表配置模式中可使用此命令配置禁止规则，要从IP访问列表中删除deny规则，在命令前加no前缀。

denysource[source-mask][log]

nodenysource[source-mask][log]

denyprotocolsourcesource-maskdestinationdestination-mask　[precedenceprecedence][tostos][log]

nodenyprotocolsourcesource-maskdestinationdestination-mask　[precedenceprecedence][tostos][log]

对于互联网控制报文协议（ICMP），也可以使用以下句法:

denyicmpsourcesource-maskdestinationdestination-mask[icmp-type][precedenceprecedence][tostos][log]

对于Internet组管理协议（IGMP），可以使用以下句法:

denyigmpsourcesource-maskdestinationdestination-mask[igmp-type][precedenceprecedence][tostos][log]

对于TCP，可以使用以下句法:

denytcpsourcesource-mask[operatorport]destinationdestination-mask[operatorport][established][precedenceprecedence][tostos][log]

对于数据报协议（UDP），可以使用以下句法:

denyudpsourcesource-mask[operatorport]destinationdestination-mask[operatorport][precedenceprecedence][tostos][log]

参数：

protocol

协议名字或IP协议号。

它可以是关键字icmp、igmp、igrp、ip、ospf、tcp或udp，也可以是表IP协议号的0到255的一个整数。

为了匹配任何Internet协议（包括ICMP、TCP和UDP）使用关键字ip。

某些协议允许进一步限定，如下描述。

source

源网络或主机号。

有两种方法指定源：

32位二进制数，用四个点隔开的十进制数表示。

使用关键字any作为0.0.0.00.0.0.0的源和源掩码缩写。

source-mask

源地址网络掩码。

使用关键字any作为0.0.0.00.0.0.0的源和源掩码缩写。

destination

目标网络或主机号。

有两种方法指定：

使用四个点隔开的十进制数表示的32位二进制数。

使用关键字any作为0.0.0.00.0.0.0的目标和目标掩码的缩写。

destination-mask

目标地址网络掩码。

使用关键字any作为0.0.0.00.0.0.0的目标地址和目标地址掩码缩写。

precedenceprecedence

（可选）包可以由优先级过滤，用0到7的数字指定。

tostos

（可选）数据包可以使用服务层过滤。

使用数字0－15指定。

icmp-type

（可选）ICMP包可由ICMP报文类型过滤。

类型是数字0到255。

igmp-type

（可选）IGMP包可由IGMP报文类型或报文名过滤。

类型是0到15的数字。

operator

（可选）比较源或目标端口。

操作包括lt（小于），gt（大于），eq（等于），neq（不等于）。

如果操作符放在source和source-mask之后，那么它必须匹配这个源端口。

如果操作符放在destination和destination-mask之后，那么它必须匹配目标端口。

port

（可选）TCP或UDP端口的十进制数字或名称。

端口号是一个0到65535的数字。

TCP端口名列在“使用方针”部分。

当过滤TCP时，可以只使用TCP端口名称。

UDP端口名称也列在“使用说明”部分。

当过滤TCP时，只可使用TCP端口名。

当过滤UDP时，只可使用UDP端口名。

established

（可选）只对TCP协议，表示一个已建立的连接。

如果TCP数据报ACK或RST位设