第19章 路由器访问控制列表配置实训2.docx

1、第19章 路由器访问控制列表配置实训2第19章 路由器访问控制列表配置实训一、教学导航知识目标访问控制列表定义及其命令格式。技能目标掌握访问控制列表的配置。态度目标吸引学生对本门课程感兴趣；主动参与教师组织的教学活动；愿意与别人交流有关实训问题。单元重点访问控制列表的配置。单元难点访问控制列表的配置。教学方法教、学、做合一课时建议8学时项目与任务任务一： 网络的建立和配置；任务二： 标准访问控制列表的配置；任务三： 扩展访问控制列表的配置。操作流程1. 布置工作任务2. 明确工作要领，强调注意事项3. 小组讨论实施方案、分工4. 任务实施5. 总结、评价关键技术访问控制列表的配置二、教学内容访

2、问控制列表（ACL： Access Control List) 是路由器接口的一种特殊的指令列表，用来控制端口进出的数据包。确切地说，ACL是一种根据协议、地址、端口号、连接状态以及其他参数对数据流进行过滤的方法，是应用在网络边缘设备网络接口上的一组有序的规则集合。ACL适用于所有的被路由协议，例如IP、IPX、AppleTalk等等。如果路由器接口配置成为同时支持三种协议（IP、AppleTalk、IPX）的情况，那么用户必须定义三种ACL来分别控制这三种协议的数据封包。访问控制列表（ACL） ACL的作用ACL对网络的安全和性能都起重要作用，ACL是网络管理员实现网络安全访问配置的基本手段

3、。ACL通常定义在网络的边缘设备上，应用在网络边缘设备的网络接口上。通过预定义一组规则对通过网络接口的数据包进行过滤。网络安全方面：通过对数据包的过滤，可以将特定的信息隔离在网络外部，保护内部网络中设备和数据的安全，同时又可以不影响正常的网络服务。ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。ACL还可以实现访问限制，可以达到限制网络流量、提高网络性能的作用，又可以加强局域网内部对外部网络访问的管理。例如，用户可以被允许使用E-mail与外部网络通信，同时可以拒绝用户使用IE浏览外部网络。ACL还可以根据数据包的协议指定数据包的优先级，优化网络性能。ACL的工作原理 我们已经知

4、道ACL是应用在网络边缘设备网络端口上的一组有序的规则集合。每条规则都是以“IF THEN”结构。一个端口执行哪条规则，是按照列表中的条件语句的顺序来判断的。如果一个数据包的报头跟表中某个条件判断语句相匹配，那么立即执行该规则的动作，后面的规则就将被忽略。 只有当数据包与第一个条件判断语句不匹配时，它才被交给ACL中的下一个条件判断语句进行比较；如果匹配（假设为允许发送），数据都会立即发送到目的接口；如果所有的ACL判断语句都检查完毕，仍没有找到匹配的条件语句，则该数据包将被丢弃。 在路由器中，如果使用ACL的表号进行配置，则列表不能插入或删除行。如果列表要插入或删除一行，必须先去掉所有ACL

5、，然后重新配置。当ACL中条数很多时，这种改变非常烦琐。ACL的分类 图 1 ACL的分类标准访问控制列表：只根据数据包中源地址的匹配对数据包进行过滤。扩展访问控制列表：根据对数据包中的协议、源地址、目的地址、端口号的匹配对数据包进行过滤。动态访问控制列表：在传统访问控制列表的基础上加入动态表项，使对数据包过滤的规则能够动态产生，更具安全性。基于时间的访问控制列表：在传统访问控制列表的基础上增加了对时间判断，可实现按时间段对数据包进行过滤。自反的访问控制列表：在传统访问控制列表的基础上增加了根据连接状态对数据包进行过滤。命名的访问控制列表：在传统访问控制列表的基础上增加了用名称代替列表号，便于

6、记忆，同时扩展了条目数量。 在访问控制列表中，标准访问控制列表最简单，在实际应用中在满足具体应用需求的情况下，尽可能用简单的访问控制列表来实现功能。由于所有的访问控制列表都建立在传统访问控制列表基础上的，因此本章主要实训标准访问控制列表和扩展访问控制列表。ACL的配置的命令格式 ACL的配置分为两个步骤： 1. 创建ACL在全局配置模式下，使用下列命令创建ACL： Router (config)# access-list access-list-number permit | deny test-conditions 其中：1) access-list-number为ACL的表号，人们使用较频

7、繁的表号是标准的IP ACL（199）和扩展的IP ACL（100199）；2) permit | deny 表示动作，permit表示如果条件匹配成功，允许该数据包通过该网络接口，deny则表示如果条件匹配成功，丢弃该数据包。3) test-conditions表示匹配条件，各种访问控制列表的匹配条件是不一样的。注意：在ACL的配置中，如果删掉一条表项，其结果是删掉全部ACL，所以在配置时一定要小心。在命名的访问控制列表中，网络可以使用名字命名的ACL表。这种方式可以删除某一行ACL，但是仍不能插入一行或重新排序。2. 配置ACL在接口配置模式下，使用access-group命令将ACL应用

8、到某一接口上： Router (config-if)# protocol access-group access-list-number in | out 其中，in和out参数可以控制接口中不同方向的数据包，如果不配置该参数，缺省为out。 ACL在一个接口可以进行双向控制，即配置两条命令，一条为in，一条为out，两条命令执行的ACL表号可以相同，也可以不同。但是，在一个接口的一个方向上，只能有一个ACL控制。任务一：网络的建立和配置【背景描述】图 2 访问控制列表配置实训拓扑示意图某大型企业现有四个局域网分别为192.168.10.0/24（10号）、192.168.20.0/24（20

9、号）、192.168.30.0/24（30号）、192.168.40.0/24（40号），基于安全和业务的考虑，要求实现：1. 只允许10号网段与20号网段之间能够相互访问，我们可以通过配置标准访问控制列表来实现；2. 只允许10号网段的计算机能够访问PC3上的Web服务和PING服务，只允许20号网段的计算机能够访问PC4上的Telnet服务和Ping服务。我们可以通过配置扩展访问控制列表来实现。【实训要求】预习本章实训指导书，事先作好实训准备。特别是要搞清实训拓扑图中的各接口的参数定义和子网分布等情况。在实训过程中作必要的记录。实训结束后写好实训总结。实训环境的建立利用Boson Netw

10、ork Designer 绘制实验网络拓扑图，我们选择一台3640三层交换机、二台3620路由器、一台2950交换机和五台PC机，将PC5、C3640的Fast Ethernet 0/0、C3620A和C3620B的Fast Ethernet 1/0等四个设备接入Switch1任意接口，C3620A的Fast Ethernet 1/0接入PC1，C3620A的Fast Ethernet 2/0接入PC2，将C3620A的Fast Ethernet 0/0接入PC3，将C3620A的Fast Ethernet 0/0接入PC4。注意：C3640路由器请选择4个slot，分别设为 Fast Eth

11、ernet；C3640路由器选择2个slot，分别设为 Fast Ethernet。图表 3 访问控制列表配置实训拓扑图1. 配置默认网络环境：（用RIP协议配置动态路由，保证内网畅通）C3640：Router enable Router #config terminalRouter(config)#hostname C3640C3640 (config)#interface f0/0C3640(config-if)#ip address 192.168.50.1 255.255.255.0C3640(config-if)#no shutdownC3640(config-if)# interf

12、ace f1/0C3640(config-if)# ip address 192.168.10.1 255.255.255.0C3640(config-if)#no shutdownC3640(config-if)# interface f2/0C3640(config-if)# ip address 192.168.20.1 255.255.255.0C3640(config-if)#no shutdownC3640(config-if)#exitC3640(config)#router rip 激活RIP协议C3640(config-router)#network 192.168.10.0

13、 申明直连网段C3640(config-router)#network 192.168.20.0C3640(config-router)#network 192.168.50.0C3640(config-router)#endC3640#copy run startC3620A：Router enable Router #config terminalRouter(config)#hostname C3620AC3620A (config)#interface f0/0C3620A(config-if)#ip address 192.168.30.1 255.255.255.0C3620A(c

14、onfig-if)#no shutdownC3620A(config-if)# interface f1/0C3620A(config-if)# ip address 192.168.50.3 255.255.255.0C3620A(config-if)#no shutdownC3620A(config-if)#exitC3620A(config)#router rip 激活RIP协议C3620A(config-router)#network 192.168.30.0 申明直连网段C3620A(config-router)#network 192.168.50.0C3620A(config-r

15、outer)#endC3620A#copy run startC3620B：Router enable Router #config terminalRouter(config)#hostname C3620BC3620B (config)#interface f0/0C3620B(config-if)#ip address 192.168.40.1 255.255.255.0C3620B(config-if)#no shutdownC3620B(config-if)# interface f1/0C3620B(config-if)# ip address 192.168.50.4 255.2

16、55.255.0C3620B(config-if)#no shutdownC3620B(config-if)#exitC3620B(config)#router rip 激活RIP协议C3620B(config-router)#network 192.168.40.0 申明直连网段C3620B(config-router)#network 192.168.50.0C3620B(config-router)#endC3620B#copy run startPC1：C:ipconfig /ip 192.168.10.2 255.255.255.0C:ipconfig /dg 192.168.10.

17、1PC2：C:ipconfig /ip 192.168.20.2 255.255.255.0C:ipconfig /dg 192.168.20.1PC3：C:ipconfig /ip 192.168.30.2 255.255.255.0C:ipconfig /dg 192.168.30.1PC4：C:ipconfig /ip 192.168.40.2 255.255.255.0C:ipconfig /dg 192.168.40.1PC5：C:ipconfig /ip 192.168.50.2 255.255.255.0C:ipconfig /dg 192.168.50.12. 测试默认网络环境

18、PC1：C:ping 192.168.20.2 测试到PC2连通性（畅通）C:ping 192.168.30.2 测试到PC3连通性（畅通）C:ping 192.168.40.2 测试到PC4连通性（畅通）C:ping 192.168.50.2 测试到PC5连通性（畅通）PC2：C:ping 192.168.30.2 测试到PC3连通性（畅通）C:ping 192.168.40.2 测试到PC4连通性（畅通）C:ping 192.168.50.2 测试到PC5连通性（畅通）PC3：C:ping 192.168.40.2 测试到PC4连通性（畅通）C:ping 192.168.50.2 测试到P

19、C5连通性（不通）PC4：C:ping 192.168.50.2 测试到PC5连通性（畅通）C:ping 192.168.50.2 测试到PC5连通性（不通）PC5：C:ping 192.168.10.2 测试到PC1连通性（畅通）C:ping 192.168.20.2 测试到PC2连通性（畅通）C:ping 192.168.30.2 测试到PC3连通性（不通）C:ping 192.168.40.2 测试到PC4连通性（不通）【思考题】在实训过程中，为什么PC5的ping包只能到达PC1和PC2，而不能到达PC3和PC4？任务二：标准访问控制列表配置实训这里我们要实现“只允许10号网段与20号

20、网段之间能够相互访问”，也就是说只允许PC1与PC2之间能够相互访问，其他计算机一律不能访问PC1和PC2。1. 标准访问控制列表配置：C3640： C3640 #config terminalC3640(config)#access-list 1 deny 192.168.10.0 0.0.0.255定义访问控制列表“access-list 1”的第一条规则，其中，“0.0.0.255”为子网掩码的反码，本条规则的意思是：不允许源地址为192.168.10.0/24网段的数据包通过C3640(config)# access-list 1 deny 192.168.20.0 0.0.0.255

21、定义访问控制列表“access-list 1”的第二条规则，意思是：不允许源地址为192.168.20.0/24网段的数据包通过C3640(config)#access-list 1 permit any定义访问控制列表“access-list 1”的第三条规则，意思是：放行其他所有数据包。C3640 (config)#interface f0/0C3640(config-if)#ip access-group 1 out将“access-group 1”访问控制列表作用到Fast Ethernet 0/0端口，对离开网络接口的数据包进行过滤。如果该命令为“ip access-group 1

22、in”，则表示对进入网络接口的数据包进行过滤C3640(config-if)# endC3640#show access-lists图 4 C3640当前访问控制列表情况2. 标准访问控制列表测试PC1：C:ping 192.168.20.2 测试到PC2连通性（畅通）C:ping 192.168.30.2 测试到PC3连通性（不通）C:ping 192.168.40.2 测试到PC4连通性（不通）C:ping 192.168.50.2 测试到PC5连通性（不通）C:ping 192.168.50.1 测试到C3640连通性（畅通）PC2：C:ping 192.168.10.2 测试到PC1连

23、通性（畅通）C:ping 192.168.30.2 测试到PC3连通性（不通）C:ping 192.168.40.2 测试到PC4连通性（不通）C:ping 192.168.50.2 测试到PC5连通性（不通）C:ping 192.168.50.1 测试到C3640连通性（畅通）PC3：C:ping 192.168.40.2 测试到PC4连通性（畅通）C:ping 192.168.10.2 测试到PC1连通性（不通）C:ping 192.168.20.2 测试到PC2连通性（不通）C:ping 192.168.50.1 测试到C3640连通性（畅通）PC4：C:ping 192.168.10.

24、2 测试到PC1连通性（不通）C:ping 192.168.30.2 测试到PC3连通性（畅通）C:ping 192.168.50.1 测试到C3640连通性（畅通）PC5：C:ping 192.168.10.2 测试到PC1连通性（不通）C:ping 192.168.20.2 测试到PC2连通性（不通）C:ping 192.168.50.1 测试到C3640连通性（畅通）3. 删除已建立的访问控制列表C3640： C3640#config terminalC3640(config)#interface f0/0C3640(config-if)#no ip access-group 1 out

25、 删除接口上的应用C3640(config-if)#exitC3640(config)#no access-list 1 删除访问控制列表C3640(config)#endC3640#show access-lists 显示结果为“空”测试结果表明： “只允许10号网段与20号网段之间能够相互访问”已成功实现。所有数据包尽管能流进C3640 Fast Ethernet 0/0，然而PC1和PC2所有回复的封包全被Fast Ethernet 0/0丢弃了，因为Fast Ethernet 0/0限制了Fast Ethernet 0/0的流出数据，标准访问控制列表已发挥作用。【实训内容】按照以上实训

26、指导的步骤，实现标准访问控制列表的配置。三：同步实践教师演示题：如图所示：添加两个3620路由器(采用1个SLOT 集成4个以太网接口)，4台PC，其中PC1、PC2分别接入3620A的e0/1和e0/2,PC3、PC4分别接入3620B的e0/1和e0/2，两台路由器都用e0/3相连接。IP地址说明：设备名称IP地址子网掩码网关PC1192.168.10.1255.255.255.0192.168.10.254PC2192.168.20.2255.255.255.0192.168.20.254PC3192.168.30.3255.255.255.0192.168.30.254PC4192.1

27、68.40.4255.255.255.0192.168.40.2543620A e0/1192.168.10.254255.255.255.03620A e0/2192.168.20.254255.255.255.03620A e0/310.1.1.1255.255.255.2523620B e0/1192.168.30.254255.255.255.03620B e0/2192.168.40.254255.255.255.03620B e0/310.1.1.2255.255.255.252任务：1、 按表格说明的内容配置对应接口的IP地址；2、 在路由器上配置RIP路由使全网畅通（net s

28、tart telnet）；3、 要求只允许 PC3访问PC2的所有服务。4、 要求不允许PC4 PING通PC1，但PC4能够访问PC1的TELNET服务；3620A:Router#conf tRouter(config)#host 3620A3620A(config)#int e0/13620A(config-if)#ip add 192.168.10.254 255.255.255.03620A(config-if)#no sh%LINK-3-UPDOWN: Interface Ethernet0/1, changed state to up3620A(config-if)#int e0/

29、23620A(config-if)#ip add 192.168.20.254 255.255.255.03620A(config-if)#no sh%LINK-3-UPDOWN: Interface Ethernet0/2, changed state to up3620A(config-if)#int e0/33620A(config-if)#ip add 10.1.1.1 255.255.255.2523620A(config-if)#no sh%LINK-3-UPDOWN: Interface Ethernet0/3, changed state to up3620A(config-i

30、f)#exit3620A(config)#router rip 3620A(config-router)#net 192.168.10.03620A(config-router)#net 192.168.20.03620A(config-router)#net 10.1.1.03620A(config-router)#exit只允许 PC3访问PC2的所有服务意味着其他所有主机都不能访问该主机。由于访问控制列表默认情况下是拒绝所有服务，所以只需要打入允许的那一句。3620A(config)#access-list 1 permit 192.168.30.3 0.0.0.03620A(config)#int e0/23620A(config-if)#ip access-group 1 out3620B：RouterenRouter#conf tEnter configuration commands, one per line. End with CNTL/Z.Router(config)#host 3620B3620B(config)#int e0/13620B(config-if)#ip add 192.168.30.254 255.255.255.03620B(config-if)#no sh%LINK-3