标准访问控制列表的配置.docx

1、标准访问控制列表的配置标准访问控制列表的配置一、 实验目的1. 掌握访问列表实验安全性的配置2. 理解标准访问控制列表的作用二、 应用环境1. 某些安全性要求比较高的主机或网络需要进行访问控制2. 其他的很多应用都可以使用访问控制列表提供操作条件三、 实验设备1. DCR-1702 两台2. PC机 两台3. CR-V35MT 一条4. CR-V35FC 一条5. 网线 两条四、 实验拓扑五、 实验要求ROUTER-A ROUTER-BS1/1 (DCE) 192.168.1.1/24 S1/0 (DTE) 192.168.1.2/24F0/0 192.168.0.1/24 F0/0 192.

2、168.2.1/24PC-A PC-BIP 192.168.0.2/24 192.168.2.2/24网关 192.168.0.1 192.168.2.1实验目标：禁止192.168.0.0/24对PC-B的访问六、 实验步骤第一步：参照实验三和上表，配置所有接口的地址，并测试连通性Router-A#ping 192.168.1.2PING 192.168.1.2 (192.168.1.2): 56 data bytes!- 192.168.1.2 ping statistics -5 packets transmitted, 5 packets received, 0% packet los

3、sround-trip min/avg/max = 20/28/30 ms第二步：参照实验七，配置静态路由Router-A#sh ip routeCodes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connected D - DEIGRP, DEX - external DEIGRP, O - OSPF, OIA - OSPF inter area ON1 - OSPF NSSA external type 1, ON2 - OSPF NSSA external type 2 OE1 - OSPF external type

4、 1, OE2 - OSPF external type 2 DHCP - DHCP typeVRF ID: 0C 192.168.0.0/24 is directly connected, FastEthernet0/0C 192.168.1.0/24 is directly connected, Serial1/1S 192.168.2.0/24 1,0 via 192.168.1.2Router-B#sh ip routeCodes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connected D - DEIGRP, D

5、EX - external DEIGRP, O - OSPF, OIA - OSPF inter area ON1 - OSPF NSSA external type 1, ON2 - OSPF NSSA external type 2 OE1 - OSPF external type 1, OE2 - OSPF external type 2 DHCP - DHCP typeVRF ID: 0S 192.168.0.0/24 1,0 via 192.168.1.1C 192.168.1.0/24 is directly connected, Serial1/0C 192.168.2.0/24

6、 is directly connected, FastEthernet0/0第三步：PC-A能与PC-B通讯第四步：配置访问控制列表禁止PC-A所在的网段对PC-B的访问Router-B#confRouter-B_config#ip access-list standard 1 ！定义标准的访问控制列表Router-B_config_std_nacl#deny 192.168.0.0 255.255.255.0 ！基于源地址Router-B_config_std_nacl#permit any ！因为有隐含的DENY ANY第五步：将访问控制列表（ACL）绑定在相应的接口Router-B_c

7、onfig#int f0/0 ！进入到离目标最近的接口Router-B_config_f0/0#ip access-group 1 out ！绑定ACL 1 在出的方向第六步：验证Router-B#sh ip access-list Standard IP access list 1 deny 192.168.0.0 255.255.255.0 permit any第七步：测试七、 注意事项和排错1. 标准访问控制列表是基于源地址的2. 每条访问控制列表都有隐含的拒绝3. 标准访问控制列表一般绑定在离目标最近的接口4. 注意方向，以该接口为参考点，IN 是流进的方向； OUT是流出的方向八、

8、配置序列Router-B#sh run正在收集配置.当前配置:!version 1.3.2Eservice timestamps log dateservice timestamps debug dateno service password-encryption!hostname Router-B!interface FastEthernet0/0 ip address 192.168.2.1 255.255.255.0 no ip directed-broadcast ip access-group 1 out!interface Serial1/0 ip address 192.168.

9、1.2 255.255.255.0 no ip directed-broadcast! interface Async0/0 no ip address no ip directed-broadcast!ip route 192.168.0.0 255.255.255.0 192.168.1.1!ip access-list standard 1 deny 192.168.0.0 255.255.255.0 permit any ! 九、 共同思考1. 为什么访问控制列表最后要加一条允许？2. 除了绑定在F0/0以外，在现在的环境中还能绑定在哪个接口上？什么方向？一十、 课后练习请配置禁止对P

10、C-A的访问一十一、 相关命令详解1. deny在IP访问列表配置模式中可使用此命令配置禁止规则，要从IP访问列表中删除deny规则，在命令前加no前缀。deny source source-mask logno deny source source-mask logdeny protocol source source-mask destination destination-maskprecedence precedence tos tos logno deny protocol source source-mask destination destination-maskpreceden

11、ce precedence tos tos log 对于互联网控制报文协议(ICMP)，也可以使用以下句法:deny icmp source source-mask destination destination-mask icmp-type precedence precedence tos tos log对于Internet 组管理协议(IGMP)，可以使用以下句法:deny igmp source source-mask destination destination-mask igmp-type precedence precedence tos tos log对于TCP，可以使用以下

12、句法:deny tcp source source-mask operator port destination destination-mask operator port established precedence precedence tos tos log对于数据报协议(UDP)，可以使用以下句法:deny udp source source-mask operator port destination destination-mask operator port precedence precedence tos tos log参数：protocol 协议名字或IP协议号。它可以是

13、关键字icmp、igmp、igrp、ip、ospf、tcp或udp，也可以是表IP协议号的0到255的一个整数。为了匹配任何Internet协议(包括ICMP、TCP和UDP)使用关键字ip。某些协议允许进一步限定，如下描述。 source 源网络或主机号。有两种方法指定源：32位二进制数，用四个点隔开的十进制数表示。使用关键字any作为0.0.0.0 0.0.0.0的源和源掩码缩写。 source-mask 源地址网络掩码。使用关键字any作为0.0.0.0 0.0.0.0的源和源掩码缩写。 destination 目标网络或主机号。有两种方法指定：使用四个点隔开的十进制数表示的32位二进制

14、数。使用关键字any作为0.0.0.0 0.0.0.0的目标和目标掩码的缩写。 destination-mask 目标地址网络掩码。使用关键字any作为0.0.0.0 0.0.0.0的目标地址和目标地址掩码缩写。 precedence precedence (可选)包可以由优先级过滤，用0到7的数字指定。 tos tos (可选) 数据包可以使用服务层过滤。使用数字015指定。 icmp-type (可选)ICMP包可由ICMP报文类型过滤。类型是数字0到255。 igmp-type (可选)IGMP包可由IGMP报文类型或报文名过滤。 类型是0到15的数字。 operator (可选)比较源

15、或目标端口。操作包括lt(小于)， gt(大于)，eq(等于)，neq(不等于)。如果操作符放在source和source-mask之后，那么它必须匹配这个源端口。如果操作符放在destination和destination-mask之后，那么它必须匹配目标端口。 port (可选)TCP或UDP端口的十进制数字或名称。端口号是一个0到65535的数字。TCP端口名列在“使用方针”部分。当过滤TCP时，可以只使用TCP端口名称。UDP端口名称也列在“使用说明”部分。当过滤TCP时，只可使用TCP端口名。当过滤UDP时， 只可使用UDP端口名。 established (可选)只对TCP协议，表示一个已建立的连接。如果TCP数据报ACK或RST位设