学习目标:①理解标准IP访问控制列表的原理及功能
②掌握编号的标准IP访问控制列表的配置方法
1.访问控制列表的概念
①ACLs的全称为接入控制列表(Access Control Lists),也称访问控制列表(Access Lists),俗称防火墙,在有的文档中还称包过滤。ACLs通过定义一些规则对网络设备接口上的数据包文进行控制;允许通过或丢弃,从而提高网络可管理型和安全性。
②IP ACL分为两种:标准IP访问列表和扩展IP访问列表,编号范围为1~99、1300~1999、100~199、2000~2699
③标准IP访问控制列表可以根据数据包的源IP地址定义规则,进行数据包的过滤。
④扩展IP访问列表可以根据数据包的原IP、目的IP、源端口、目的端口、协议来定义规则,进行数据包的过滤。
⑤IP ACL基于接口进行规则的应用,分为:入栈应用和出栈应用。
2.实验场景:允许总经办部门(PC 0)的访问财务部(PC 2),禁止市场部(PC 1)访问财务部
3.实验设备:Router-PT 2台、PC 3台、DCE串口线、交叉线
4.配置 PC 0、PC 1、PC 2、PC 3 的IP地址
PC 0 的IP地址:192.168.1.2
MAC地址:255.255.255.0
PC 1 的IP地址:192.168.2.2
MAC地址:255.255.255.0
PC 2 的IP地址:192.168.4.2
MAC地址:255.255.255.0
PC 3 的IP地址:192.168.5.2
MAC地址:255.255.255.0
5.配置路由器 Router 0
Router>en
Router#conf t
Router(config)#int f0/0 进入 f0/0 端口
Router(config-if)#ip add 192.168.1.1 255.255.255.0 配置 f0/0 端口的IP地址
Router(config-if)#no sh 开启端口
Router(config-if)#int f1/0
Router(config-if)#ip add 192.168.2.1 255.255.255.0
Router(config-if)#no sh
Router(config-if)#int s2/0 进入 s2/0 端口
Router(config-if)#ip add 192.168.3.1 255.255.255.0 配置 s2/0 端口的IP地址
Router(config-if)#no sh 开启端口
Router(config-if)#clock rate 64000 设置同步时间
Router(config-if)#exit
Router(config)#ip route 192.168.4.0 255.255.255.0 192.168.3.2 配置静态路由
Router(config)#ip route 192.168.5.0 255.255.255.0 192.168.3.2 配置静态路由
6.配置路由器 Router 1
Router>en
Router#conf t
Router(config)#int f0/0 进入 f0/0 端口
Router(config-if)#ip add 192.168.4.1 255.255.255.0 配置 f0/0 端口的IP地址
Router(config-if)#no sh 开启端口
Router(config-if)#int f1/0 进入 f1/0 端口
Router(config-if)#ip add 192.168.5.1 255.255.255.0 配置 f1/0 端口的IP地址
Router(config-if)#no sh 开启端口
Router(config-if)#int s2/0
Router(config-if)#ip add 192.168.3.2 255.255.255.0
Router(config-if)#no sh
Router(config-if)#exit
Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.3.1 配置静态路由
7.验证:按照上述步骤配置完之后,PC 0 ping PC 2 / PC 3 可以正常通信
8.配置 Router 0 的访问控制列表
# Router(config)#access-listaccess-list-number {permit|deny} sourse [mark] # 允许|拒绝 源地址 反掩码
Router#conf t
Router(config)#ip access-list standard chd 建立标准 ACL 命名为 chd
Router(config-std-nacl)#permit 192.168.1.0 0.0.0.255 允许 192.168.1.0 通过(PC 0 所在网段)
Router(config-std-nacl)#deny 192.168.2.0 0.0.0.255 禁止 192.168.2.0 通过(PC 1 所在网段)
Router(config-std-nacl)#exit
Router(config)#int s2/0 进入 s2/0 端口
Router(config-if)#ip access-group chd out 向端口 s2/0 配置允许口令为: chd
9.验证:PC 0 ping PC 2 可以正常通信,PC 1 ping PC 2 不通